简要对比中美关键信息基础设施安全保护政策（10 张图）

2021 年 7 月 28 日，拜登签发了《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》（National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems），就加强关键基础设施的网络空间安全防护提出相关倡议。 

看到这则新闻，我就把手头的资料做了一个简要的对比。

中国所提的“关键信息基础设施”是 Critical Information Infrastructure，而美国国土安全部（Homeland Security）和美国国家标准与技术研究院（NIST）是关于 Critical Infrastructure，即关键基础设施。实际上，两者在目标和内容上差别不大。

美国对“Critical Infrastructure”的定义最早出自于 2001 年 10 月 26 日小布什签发的“美国爱国者法案”（USA PATRIOT Act）。顺便提一下，这部法案并不是针对“爱国”的，“爱国”（PATRIOT）是该法案的首字母缩写。实际上这部法案是关于反恐的。

2013 年，奥巴马签发《网络安全增强法案（2014）》（Improving Critical Infrastructure Cybersecurity）。

中国关于关键信息基础设施安全保护的重要文件是 2017 年国家互联网信息办公布的《关键信息基础设施安全保护条例 (征求意见稿）》。

美国国土安全部对关键基础设施的定义是 16 个行业。中国的定义基本类似。需要注意的，美国把重要商业设施也算在内了，这是非常必要的，大型和超大型城市的重要商业设施对公众安全有重大影响。

下面是 NIST 《提高关键基础设施网络安全的框架》（Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1），最新的是 2018 年发布的 1.1 版本。

对应中国，全国信息安全标准化技术委员会于 2018 年起草的《信息安全技术 关键信息基础设施网络安全保护基本要求》标准草案。

整体而言，美国在关键信息基础设施安全保护上起步更早，发展相对成熟，而中国在这方面已经落后，相关政策、标准迟迟没有正式发布，打雷了，雨没落下来。