【公益译文】《基础设施韧性规划框架(IRPF)》(上)
2023-1-10 11:22:36 Author: blog.nsfocus.net(查看原文) 阅读量:14 收藏

阅读: 2

一、概述

网络安全与基础设施安全局(CISA)制定了《基础设施韧性规划框架(IRPF)》,将安全和韧性因素纳入关键基础设施规划和投资决策中。
1.1 引言
基础设施是各个社区的支柱,不仅提供关键服务(如水、运输、电力和通信),还提供健康、安全和经济增长的手段。这些系统通常延伸到社区之外,为整个地区提供服务,助力实现国家关键职能。基础设施对我们的社会和经济福祉至关重要,所以,必须确保我们的网络固若金汤,具有韧性。要保证社区在不受控环境中繁荣发展并适应不断变化的情况(例如不断演变的安全威胁、极端天气的影响、技术发展和社会经济变化),我们必须努力增强基础设施的韧性。

根据第21号总统政策令(PPD-21)《关键基础设施的安全和韧性》的定义,韧性指应对和适应不断变化的情况以及抵御破坏和快速恢复的能力。基础设施的韧性不仅取决于工程基础设施系统的物理属性,还取决于影响这些系统运行和管理的组织(如基础设施所有者和运营者、监管机构、厂商和承包商)的能力。韧性还受到组织因素的影响,如业务连续性和应急响应计划、员工培训水平以及测试计划的演练频率等。提高韧性对于管理社区面临的各种风险(包括基础设施系统之间相互依赖所带来的风险)至关重要。

网络安全与基础设施安全局(CISA)制定了《基础设施韧性规划框架(IRPF)》,指导地方、地区和私营部门在面临多重威胁和变化时如何携手合作、共同规划关键基础设施服务的安全保护和韧性。

IRPF的主要受众是州、地方、部落和领地政府以及相关的区域组织;当然,任何组织都可以灵活地使用IRPF来促进其韧性规划。IRPF为关键基础设施规划提供了资源,并为区域性以及跨系统和辖区的工作提供了框架。

该框架为社区和地区的关键基础设施的安全和韧性规划提供了方法和资源:

  • 了解并宣传基础设施韧性对社区韧性的促进作用;
  • 了解威胁和隐患对社区基础设施正常运转和服务的影响;
  • 促使政府、所有者和运营者做好准备,抵御和应对不断变化的威胁和隐患;
  • 将基础设施的安全和韧性因素(包括依赖性和连锁破坏的影响)纳入规划和投资决策;以及
  • 快速恢复社区和地区基础设施的正常运行。
本文中,“社区”不仅包括单个城镇,还包括进行规划的多辖区当局和具有共同利益或为增强相关基础设施系统韧性而共同努力的利益相关者。
1.2  基础设施韧性规划
IRPF并非一定之规,而是一套灵活的指导文件和资源,用于启动基础设施安全和韧性规划,并将其纳入现有规划机制。*IRPF由连续步骤构成,用户可以选择适用步骤和资源,在现有或正在进行的规划过程中更充分地考虑基础设施。

*在本指南中,我们提供了与非联邦政府合作伙伴合作开发的资源的链接。此类信息“按原样”提供,仅供参考。CISA对这些信息不提供任何形式的保证。CISA不为任何实体、产品或服务(包括任何分析对象)背书。提及特定服务标志、商标、制造商等并不说明或暗示CISA对相关商业产品、工艺或服务的认可、推荐或支持。

社区可以查看框架,确定自己处于哪个规划阶段,选择最能满足其需求的指导和资源。

时间和资源有限的社区可能希望将重点放在支持关键职能的基础设施部门,如能源、通信、运输以及水和废水系统,后续再行扩展。

相反,拥有更多时间和资源的社区可能会考虑其他关键基础设施部门,这些部门持续履行关键社会和经济职能,对社区或地区繁荣不可或缺,至关重要。

IRPF揭示了基础设施系统之间的依赖关系,帮助用户更好地理解基础设施风险,建立针对性的项目和战略,明确采取行动所需的资金和实施资源。

最后,基础设施韧性能促进社区韧性,建立和维护强大、安全和具有经济活力的生活和工作场所。最终会形成一个自我强化的循环,社会和经济韧性越强,基础设施的韧性就越强,反之亦然。

1.3 基础设施韧性规划框架(IRPF)
IRPF是简单框架,用于指导如何将关键基础设施韧性纳入地方、地区和部落规划。它旨在帮助社区、地区以及基础设施所有者和运营者更好地了解关键基础设施所面临的风险,识别增强韧性的机会,为政策和投资决策提供参考。

第1步,基础工作。社区定义并确定规划工作的范围,组建规划执行团队,查看现有数据、计划、研究和地图等资源。

第2步,识别关键基础设施。指导社区如何识别基础设施并确定其优先级以及评估基础设施系统之间的依赖性。

第3步,评估风险。引导社区完成对关键基础设施的风险评估,包括可能面临的威胁和隐患以及可能导致的后果。

第4步,制定行动计划。为制定战略性行动计划提供指导,计划须列出潜在解决方案并确定其优先级以应对风险并增强基础设施的韧性。

第5步,实施及评效。重点是将基础设施韧性项目和战略纳入社区和地区规划和流程,衡量成功与否。

为了支持这些工作,IRPF还提供了各种资源帮助社区完成IRPF的各个步骤。

IRPF鼓励规划者在考虑关键基础设施时采取基于系统的功能性方法。单个基础设施资产的重要性与其提供的最终功能一样重要:例如,如果有足够好的替代方案为社区提供饮用水,直到系统恢复,水处理厂或泵站在事故期间中断可能并无大碍。或者,基础设施系统高度互联,其中一个系统的中断可能会产生连锁影响,影响与其相连的其他基础设施系统。由于存在这两种情况,IRP建议规划者考虑基础设施系统提供的关键功能以及这些系统内部及之间存在的依赖关系。对这两个因素透彻理解后,规划者能够更合理地确定降低风险的战略和项目,优化韧性投资。

IRPF可应用于第21号总统政策令(PPD-21)《关键基础设施的安全和韧性》中确定的所有16个关键基础设施部门。PPD-21提出了“加强和维护安全可靠、正常运行、具有韧性的关键基础设施以抵御物理和网络威胁”的国策。PPD-21认定的这16个关键基础设施部门,其资产、系统和网络(无论有形还是虚拟)对美国至关重要,一旦无法正常运转或被破坏,将会影响安全、国家经济安全及/或国家公共卫生或安全。表1列出了这些关键基础设施部门以及各部门包含的主要成员。PPD-21是从国家角度看待关键基础设施系统和资产的,但这些部门在地方、州和地区层面也颇为重要,了解这些系统的风险可以促进社区的安全保障、健康和安全以及经济增长。

这些部门通过基础设施系统为各个社区和地区提供关键功能。这些系统由相互关联和依赖的资产组成,系统的持续运行不仅取决于其自身资产,也取决于其他部门的其他系统。重要的是,几乎所有部门都依赖能源、水和废水、通信和运输系统的正常运行。用户可基于IRPF检视这些基础设施系统,发现各系统内部和彼此之间的关键依赖关系,在规划时加以考虑。

表1 关键基础设施部门

小提示
IRPF深入挖掘了关键基础设施及依赖性,让基础设施所有者参与讨论,分析隐患所带来的风险,为隐患整治过程的几乎每一阶段提供支持,因而社区可以据此申请联邦拨款。其他资源,参见基础设施韧性规划资源。
可用资源
IRPF与联邦规划和风险管理流程对齐

通过矩阵展示了IRPF与现有的各种联邦风险和/或韧性规划流程和指南的一致及互补性。

具体资源,参见基础设施韧性规划资源。

地区基础设施韧性评估方法
CISA的《地区韧性评估计划》(RRAP)已实施十年有余,《地区基础设施韧性评估方法》从中吸取经验教训,用经过前者验证的通用流程来评估和解决复杂的基础设施韧性问题。

具体资源,参见基础设施韧性规划资源。

1.4 与规划工作和联邦认可的流程对齐
需要注意的是,制定IRPF是为了对齐并促进社区可能需要执行的联邦、州、地方、部落和领地的其他规划工作。表2列出了可参考IRPF的一些现有规划工作。

IRPF的步骤和相关资源可方便地整合到其他规划过程中,包括综合、隐患整治、环境、设施改建和地区交通规划。事实上,IRPF的一大好处就是帮助识别可纳入这些计划的韧性项目,使社区能够建立长期韧性,此外,还按优先级列举了灾难发生后可利用联邦资金实施的项目。并且,IRPF符合并支持联邦应急管理局(FEMA)的《国家减灾投资战略》和美国政府问责局(GAO)的《灾难恢复框架》。联邦应急管理局建立了一系列的“社区生命线”,乍一看可能与CISA基于部门的方法不一致,但这两个框架实际上是互补的。FEMA建立的社区生命线与CISA的基础设施部门一致,旨在支持响应行动,而CISA的16个部门可以支持常态活动。

表2 可以参考IRPF的规划工作

小提示
IRPF深入挖掘了关键基础设施及依赖性,让基础设施所有者参与讨论,分析隐患所带来的风险,为隐患整治过程的几乎每一阶段提供支持,因而社区可以据此申请联邦拨款。其他资源,参见基础设施韧性规划资源。
可用资源
IRPF与联邦规划和风险管理流程对齐

通过矩阵展示了IRPF与现有的各种联邦风险和/或韧性规划流程和指南的一致及互补性。

具体资源,参见基础设施韧性规划资源。

地区基础设施韧性评估方法
CISA的《地区韧性评估计划》(RRAP)已实施十年有余,《地区基础设施韧性评估方法》从中吸取经验教训,用经过前者验证的通用流程来评估和解决复杂的基础设施韧性问题。

具体资源,参见基础设施韧性规划资源。

在许多方面,IRPF是对其他韧性指南和方法的补充和完善。例如,IRPF的输出可成为国家标准与技术研究院(NIST)《社区韧性规划指南(CRPG)》第3步“风险评估和建筑环境描述”的输入。此外,CISA《地区基础设施韧性评估方法》所述的基础设施韧性评估过程与IRPF中提出的规划步骤和指南高度一致。

1.5 资金和技术援助资源
规划的一个关键特征是摸清规划和计划实施的资源可用性。IRPF以文件和用户友好的矩阵形式列举了这些资源,介绍了可助力社区实现规划的资金机会和技术援助。
可用资源
基础设施韧性资金计划和机制目录

《基础设施韧性资金计划和机制目录》列示了潜在的资金和技术援助来源并附有链接。

具体资源,参见基础设施韧性规划资源。

二、基础工作

IRPF的第1步涉及如何初步获取认可、组建合作规划小组、收集和查看现有数据、计划、研究、地图或其他可用于规划工作的技术资源,为成功奠定基础。虽然本节按步骤顺序描述相关活动,但这里的多数步骤可以同时或迭代进行。例如,确定了推动人和规划团队后,用户可能希望重新审查工作范围并再次评估之前的评估和规划活动与当前工作的相关性。规划人员应考虑如何充分利用IRPF,完善当前的规划流程,确认哪些步骤最有意义。最后,IRPF是一个灵活该框架,用户可以根据自己的需求调整IRPF流程。
2.1 确定项目推动人
要获得认可,相关实体不仅要宣扬韧性的重要性,还要投入时间和资源,为规划工作提供支持。州部门、部落委员会、地方管辖区、社区规划部门、地区规划组织、公共/私人非营利组织或牵头计划制定的其他组织可充当此等项目推动人。重要的是,该实体需要能够积极支持规划过程和实施工作。
注意
IRPF规划过程成功的一个关键要素是过程文档。在IRPF的所有阶段,协调领导和完整记录规划工作都非常重要。记录务必准确,尽量对所有相关文件进行定期备份(尽可能进行冗余备份)。
2.2 定义和确定工作范围
在将IRPF整合到规划过程之前,应考虑如下几个问题:

· 韧性规划的愿望或需求由何激发?

· 社区在韧性方面的大小目标分别是什么?

· 服务于社区的基础设施是否存在缺陷需要解决?

有许多种评估和分析可以为规划提供参考,包括威胁、漏洞和关键性分析、系统映射和图表、建模和模拟分析。定义明确的大小目标和范围后,规划人员才能选出最合适的分析方式。《地区基础设施韧性评估方法》提供了更多关于分析方法的详细信息,这些方法源于10多年来积累的经验和120多项不同的评估。规划者可以使用这些方法深入了解社区的基础设施系统。一旦确定了工作的总体方向,社区就可以根据工作范围更有效地分配时间、资金和人员。

2.2.1 时间和资源
重要的是要根据韧性目标和实现这些目标的复杂度配备足够的规划工作人员和资金。考虑到时间和资源可能存在限制,IRPF设计之初就是为了支持和补充现有或正在进行的地方和地区规划活动。因此,在规划IRPF所述的基础设施韧性概念时,需要预留额外的资源和时间。
小提示
若现有规划活动已获得资金拨款或技术援助,如隐患整治、综合规划或经济发展规划,可将IRPF流程和资源与其结合,达到节约资金的目的。
2.2.2 确定规划团队负责人
在整个IRPF集成过程中,需要有强有力的领导,规划团队负责人应担任项目经理。多数情况下,负责人来自项目推动实体。负责人至少应向项目推动人、社区官员和其他必要人员汇报与规划过程相关的各种活动的最新进展和结果。表3列出了优秀规划团队负责人的资格。

表3 规划团队负责人的职责

2.2.3 开展初步活动
规划团队负责人确定后,应开展初步活动,为后续的成功奠定基础。这些活动包括:

> 定义工作目标,确定该项工作与社区其他规划工作的关系;

> 确定工作范围(包括规划区域);

> 明确大小目标,概述工作战略;

> 制定初步计划;

> 获取会议设施;

> 指定引导人在规划小组会议时引导讨论(如适用);

> 列举关注此项工作或持有重要相关信息的利益相关者。

注意
将所有利益相关者聚集在一起并考虑到各种各样的意见和利益绝非易事。建议与项目推动人一起评估或分析利益相关者,最终确定应涵盖具体哪些组织。后续加入新的利益相关者时重复这一过程,产生滚雪球效应,提升外联效果。
协作与信息保护
规划人员应意识到信息共享带来的问题,考虑如何保护敏感材料不外泄。采用常见的网络安全方法,如用密码保护文件、签订保密协议等。现有资源包括国会授权的受保护关键基础设施信息(PCII)计划和运输安全管理局(TSA)的SSI计划,前者旨在保护自愿共享的私营部门基础设施信息中的敏感数据,后者则是为了保护和修订敏感安全信息(SSI)。
2.3 收集、审核现有信息
梳理之前的规划工作、研究、绘图和可供参考的其他数据,为本次规划打好基础。数据资源的来源包括州、地方、部落和领地(SLTT)、地区和联邦。

在举行首次规划会议之前,规划团队负责人应梳理并查看与社区基础设施资产、系统和网络以及社区中的威胁、隐患和灾难事件相关的数据和信息。

还应查阅社区现有的其他计划,找出与当前规划工作相关的信息。需要查阅的社区计划列表见0.2节中的表2。查阅过程中应比较这些现有计划中的战略,识别或可通过当前规划工作解决的不一致或冲突。

小提示
尽管总体范围和目标由所进行的规划活动的性质决定,仍然建议斟酌目标和方法,在规划过程中增加对关键基础设施的关注。

这一过程包括如下几个步骤:

> 识别知识鸿沟:首要任务是明确说明在基础设施韧性建设方面存在的知识鸿沟。许多情况下,这类知识鸿沟包括了解基础设施系统如何支持关键功能或服务、系统之间存在哪些依赖关系以及哪些系统容易受到破坏。

虽然无法列出所有的知识鸿沟,但这一过程可帮助规划人员和参与者打开思路,考虑到基础设施系统的方方面面和规划过程中应检视的问题。

> 细化范围:识别知识鸿沟后,通过细化范围,可在规划过程中集中考虑基础设施韧性的作用。工作范围要宽窄有度,“宽”指足以为规划供必要输入,“窄”指与规划项目的时间线和资源相称。

> 制定数据收集策略:根据工作范围和识别的知识鸿沟制定策略,确定如何以及何时收集哪些信息、规划工作的参与者和合作伙伴等。数据收集策略的最终目的是阐明须收集的信息,深入了解基础设施系统及其韧性问题。

> 制定分析策略:通过制定分析策略,可以明晰如何使用信息来支持规划目标,考虑将哪些资源和方法纳入规划过程。

可用资源
数据收集—资源列表样例

现有资源列表样例列举了参考资源,按资源所有者/创建者排序。创建者包括:

· 地方/县/地区机构

· 关键基础设施所有者/运营者

· 州、部落和领地机构

· 联邦机构

之所以提供本列表,是为了方便采用IRPF框架的规划者梳理先前的所有相关工作。

具体资源,参见基础设施韧性规划资源。

现有社区计划之比较
韧性计划集成记分卡是国土安全部(DHS)科技局通过其德克萨斯州农工大学沿海韧性卓越中心合作伙伴开发的一种计划评估方法。各社区可使用记分卡评估和协调自己的各种计划(例如运输、经济发展、隐患整治、应急管理等),这样有助于保证策略的一致性,共同减少隐患风险。
2.4 组建合作规划小组
2.4.1 确定组员
关键基础设施韧性规划的其中一项工作是建立外部合作伙伴小组,为涉及范围更广的规划工作提供信息。表4所列群体的代表可提供重要的见解和观点,邀请其参与能够促进规划工作,增强韧性。协作是关键,所带来的好处如图1所示。

就IRPF而言,关键基础设施利益相关者包括负责规划、设计、开发、投资、运营和管理关键基础设施资产和系统的社区和私营部门合作伙伴,具体人员包括民选官员、社区领导人、规划者、工程师、公共工程人员、应急管理人员、企业主和基础设施运营者。来自关键部门的合作伙伴可提供有关其基础设施系统的运营信息,这有助于发现韧性建设中存在的挑战,确定改进韧性战略的方案。

有效合作的成效:

· 提高了关键基础设施利益相关者对关键基础设

· 增强了描述和识别威胁、隐患和风险以及对应解决措施的能力。

· 通过扩大伙伴关系,选取和实施富有创造性的韧性解决方案。

· 增强了各利益群体实施该计划的意愿

· 揭示了创造性资金和实施技术的协同作用

表4 可考虑邀请加入规划小组的成员

参与者应包括来自能源、通信、运输、水和废水等服务提供商的代表,还应包括能为社区正常运作提供必要关键基础设施的其他社区代表。

联邦、州、部落和领地政府机构代表能够提供必要的数据和信息,这些数据和信息对于收集和梳理现有数据、计划、研究和绘图资源、确定适用的最佳做法以及选择技术援助和实施援助均有价值。此外,他们加入后可以提供政治支持。如果这些代表无法积极参与,社区可在必要时主动联系这些代表,并在整个规划过程中定期向其更新进度。

在规划过程中还应考虑网络安全,邀请了解信息基础设施与物理基础设施互联互通的信息技术/安全官员或专家参与。基础设施系统和资产越来越依赖工业控制系统和自动化系统,在进行规划和投资决策时需要具有网络安全专业知识。

在规划过程中应考虑商业风险,说明对关键技能、进口和对社区长期韧性至关重要的其他供应链的依赖。为此目的,可与关键基础设施运营者和关键企业进行讨论。积极寻求资源多样化方案,让社区能够灵活适应全球、全国或地方经济情况的变化。2020年11月,国土安全顾问委员会发布了一份报告,介绍了商业风险对韧性的影响。

需要注意的是,并非所有成员都会全程参与整个规划过程。用户应考虑介入的最佳时机,一方面,避免给外部合作伙伴带来不必要的负担;另一方面,确保有效收集相关必要信息。除了活跃成员外,可能还需要其他利益相关者参与其中。利益相关者是受社区基础设施影响、依赖社区基础设施并与社区基础设施交互的个人或团体。应让这些利益相关者参与进来,获得他们对规划过程和最终结果的认可和支持。不过,与小组成员不同的是,利益相关者可能不会全程参与规划,但他们会就特定主题提供宝贵信息或提出观点不同的各种意见。

利益相关者包括:

> 本地企业和行业代表;

> 关键基础设施系统所有者和运营者;

> 本社区社会机构的代表,如社区组织、非政府组织、商业/工业团体以及卫生、教育、环境组织等;

> 感兴趣的社区公民

规划团队负责人可以为关注此事的其他利益相关者制定邮件/分发列表,向他们定期更新规划过程的进度和结果并请求他们提供输入/反馈。规划团队负责人还可与特定的利益相关者个人或小组进行面谈,在关键基础设施识别、风险评估和行动计划制定阶段收集他们的建议和意见。

可用资源
规划参与者联系信息表

该电子表格供规划官员跟踪各种利益相关者的联系信息(包括接口人、电话号码、电子邮件地址等)。这些利益相关者按机构/部门类型排序。

具体资源,参见基础设施韧性规划资源。

2.4.2 邀请参与,获取承诺
在确定目标参与者并收集相关联系信息后,规划团队负责人邀请他们参加规划活动。

利益相关者,尤其是私营企业的许多利益相关者,一开始可能不愿意参与规划活动。这可能有多种原因,包括:

> 担心可能受到监管;

> 商业敏感性和担心共享私有信息;

> 竞争对手或其他关键合作伙伴提出对立观点。

在与私营部门合作伙伴沟通时,务必强调改善规划对参与者带来的好处,比如,促进快速、有效响应和恢复,保护业务和客户;节约保险费用,降低灾难恢复成本;改进缓解活动,提高上下游依赖关系的韧性;深入了解社区优先事项。

可用资源
利益相关者邀请函

此邀请函样例为项目推动人和/或规划团队负责人提供了示例内容,用于邀请和鼓励利益相关者参与规划过程。可以根据拟邀请的利益相关者类型按原样或选取部分内容使用该样例。

具体资源,参见基础设施韧性规划资源。

2.5 设定大小目标
任何规划工作,其成功都基于明确的大小目标,有了明确的目标,才能支撑社区在关键基础设施安全和韧性方面的发展方向和工作任务。建议规划团队负责人根据项目推动人确定的总体目标和社区其他计划初步确定大小目标。

目标的制定应考虑各种规划因素,包括关键基础设施系统以及其他社区成果(如宜居性、可持续性、经济、环境和公平)。

社区在经济安全和韧性方面的目标也很重要,需要加以考虑。可持续性就业和高效的地方经济生产力是支持地方政府和维持可持续基础设施资源的基本要素。初始目标可以较为概括。在执行第2步识别关键基础设施后,可以调整、细化这些目标。务必与项目推动人重新验证更新后的目标。也可以在IRPF规划过程后期进一步细化这些目标(例如,在第4步制定行动计划时)。

当社区进行迭代规划时,可能会获得新的数据、事实和信息,此时可以相应地调整目标。参与者/利益相关者能够根据IRPF的识别关键基础设施和评估风险步骤中所做的发现和判断来验证和重新定义目标。

目标定义
大目标(Goal)概述了期望的最终状态,即社区通过实施关键基础设施韧性方案来实现的目标。

小目标(Objective)具体量化了如何支持大目标的实现。

可用资源
目标样例

此列表模板例举了一些目标,在进行基础设施韧性讨论时可加以参考。

具体资源,参见基础设施韧性规划资源。

识别关键基础设施
3.1 识别基础设施
在规划过程中,务必识别对本社区或地区正常运作至关重要的基础设施系统和资产,包括能源、水和废水、通信和运输等基本系统以及对社区安全、卫生和经济活力至关重要的基础设施。除这些部门外,NIST CRPG还识别了一些能促进社区繁荣的社会功能,包括:社区服务、经济、教育、家庭、政府、卫生、媒体和宗教及文化信仰。

这其中的每一项功能都有自己的一套关键基础设施系统,从医院、养老院到学校、教堂,再到企业和社区中心。识别社区中的关键基础设施系统时,应考虑哪些设施和系统支持这些社会功能。

识别基础设施时需要考虑的其他因素:

· 计划或预计支持社区未来发展的未来关键基础设施系统和资产;

· 经过相关地理区域、为社区提供关键服务的外部基础设施,如输电线路和管道;

· 位于社区内、可能不会直接为社区提供服务、但对整个地区或国家至关重要的关键基础设施资产、系统或网络。

各规划小组应考虑创建表格/矩阵列表,列出社区关键基础设施,方便分类和分析。该基础设施基线清单可作为输入,用于识别社区基础设施之间的依赖关系。此外,它还可用于:

· 描述现有基础设施的特点;

· 支撑更全面的基础设施识别工作;

· 开发地图和其他可视化产品。

收集到的社区关键基础设施系统和资产信息可以输入到本地和地区地理空间平台,实现可视化,方便进一步分析。

可用资源
基础设施资产矩阵:建议数据字段指南

本指南为数据库/矩阵提供了建议数据字段及其说明,并指出了收集基础设施资产信息时的主要考虑因素。

若所有建议的数据字段均填写,未来社区在需要时可利用这些信息开展由联邦支持的分析项目。当然,可以根据参与者/利益相关者和社区的信息收集需求修改数据字段。

用以识别基础设施的数据集

本文件提供了不同类别的各种数据集(通信、能源、运输、水、其他、危险)。

具体资源,参见 基础设施韧性规划资源。

3.1.1 定义信息基础设施
社区应了解自己对信息技术和通信系统的依赖,运行和监控关键基础设施以及支持关键社会和经济功能(如提供基本的公共服务和业务连续性)必须使用这些技术和系统。信息基础设施对于电厂、水和废水设施、医院、电信系统、油气精炼厂以及运输网络等关键基础设施的运行和维护至关重要。由于物理基础设施和信息基础设施的互联性,参与规划过程的社区规划者和利益相关者应了解支持和保障基础设施系统持续运行的信息基础设施资产、系统和网络安全网络。

信息基础设施包括各种系统,均应加以考虑:

> 计算机系统;

> 用于监视和控制工厂或设备的控制系统,如数据采集与监控系统(SCADA);

> 网络,如互联网;

> 网络服务,如托管安全服务;

> 数据存储和处理系统,包括大型机、云服务商、服务器群、数据中心;

> 处理、存储和传输信息的软硬件,或电子信息和通信系统中这些元素的任意组合;

> 电子信息和通信系统中的数据和信息。

涉及信息基础设施时,规划者务必考虑远程服务商的存续时间、来源、维护和位置等因素,这样才能确定社区韧性面临的各种挑战。

3.2 确定基础设施优先级
在编制了社区关键基础设施列表后,规划团队负责人或指定的引导人应领导规划小组确定所识别基础设施资产的优先级。在确定关键基础设施系统/资产的重要性和优先级时,建议规划小组重点关注其对社区的影响。表5列举了确定关键基础设施优先级时需要考虑的关键影响。社区可以使用表中列出的所有关键考虑因素作为判断标准,或者仅选择最适合本社区的因素。此外,社区可以根据需要,修改这些关键因素或添加自己的标准。

表5 确定基础设施系统/资产优先级的关键考虑因素

3.3 发现基础设施系统之间的依赖关系
《国家基础设施保护计划(NIPP)》称,“有效的风险管理需要了解资产、系统和网络的关键性以及关键基础设施的相关依赖性,这对增强关键基础设施的安全和韧性至关重要。”依赖性是指基础设施系统内部和之间存在依赖关系,必须维护这些依赖关系才能保证系统正常运行或提供服务。  依赖性具有倍增效应,因为威胁或隐患会导致服务中断(如停电),影响使用这些资源的其他关键基础设施,进而影响依赖这些资源的其它关键基础设施。单个节点或链路受到冲击可能造成全市、全区或全国范围内的重大经济和物理损害。深入了解依赖性,特别是关键基础设施系统的依赖性,可以促进风险评估活动,确定韧性建设中的新优先事项。

要识别基础设施系统之间的依赖关系,参与者应考虑:

基础设施资产运营所需或使用的资源和服务的主要和次要来源/提供者。例如,考虑基础设施资产的能源依赖性时,社区应知道配电提供商是谁以及基础设施资产的一、二次变电站所在位置。

> 发生破坏性事件时确保基础设施资产持续运行的备份资源来源。例如,考虑基础设施资产的能源和水依赖性时,社区应了解发生重大事件或供应链变化时需要使用的现场备用发电机和现场储水能力。

中断或性能下降对下游基础设施资产和基本服务的影响。例如,停电后,泵将无法运行,网络和信息系统也将无法监控运行,最终中断水/废水设施的运行。

注意
由于信息共享安全和责任问题,部分服务商(例如能源和通信)可能不愿意在群组中提供系统依赖性信息。

在依赖关系识别讨论、访谈和工作表资源中提供了几种识别重要依赖关系的方法,对此加以说明。

具体资源,参见基础设施韧性规划资源。

可用资源
基础设施依赖性基础指南

该指南基于Web提供基础的信息资源,用以了解关键基础设施、识别依赖关系及其对社区风险的影响并将这些知识纳入韧性规划。

该指南的网上版本见https://www.cisa.gov/idp。

依赖关系识别表
依赖关系识别表可用来记录社区基础设施对其他已识别关键基础设施的依赖性。

依赖关系识别表列举了有关基础设施资产依赖性的一系列问题,重点是能源(包括电力和天然气)、通信服务、关键运输系统的可达性以及水和废水。

依赖关系识别表中的考虑因素还包括网络(如数据处理系统和服务)和功能/运行所需的关键产品,如化工产品、燃料、原材料以及副产品和废物的去除。

具体资源,参见基础设施韧性规划资源。

社区系统依赖性讨论指南
本指南可用于规划团队、其他参与者或利益相关者群体的依赖性讨论。

它列举了一系列可进行讨论的问题,以发现关键社区功能和/或设施对基础设施系统的依赖性。

具体资源,参见基础设施韧性规划资源。

可用资源
系统所有者/运营者依赖性访谈指南

本指南列举了一系列问题,可用于对关键基础设施系统的所有者和/或运营者进行单独访谈。这些问题旨在帮助识别和了解系统的依赖性和在中断期间提供服务的能力。

具体资源,参见基础设施韧性规划资源。

会议便利化指南
本指南为召集规划会议提供指导,参会者可以此为参考识别社区功能、设施、基础设施系统以及对社区韧性最为关键的相互依赖性。

具体资源,参见基础设施韧性规划资源。

免责声明:该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。

·   文章信息    ·   
发布机构:美国网络安全和基础设施安全局(CISA)

发布时间:2022年11月22日

小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/irpf1-0/
如有侵权请联系:admin#unsafe.sh