美國作為網絡技術的發起國和強大網絡空間勢力的擁有國，也是關鍵基礎設施保護起步最早的國家。美國國土安全部作為關鍵基礎設施的主管部門，也肩負著保障國家安全的重要職責，基于此，美國關鍵基礎設施安全保障的戰略思路和法律政策，從一開始就與國家安全掛鉤，相比其他國家，站得更高，布局更加寬廣。

美國關鍵信息基礎設施的涵義范圍

迄今為止，美國的法律文件和行政令中還沒有“關鍵信息基礎設施”（CII，Critical Information Infrastructure）的定義。但從國土安全部對關鍵基礎設施（CI，Critical Infrastructure）所劃定的16個部門（Sector）來看，其中的通信部門和CI部門合在一起，基本相當于國際上通稱的CII。

關鍵基礎設施通信部門（以下稱“通信CI”），主要包括有線基礎設施、無線基礎設施、衛星基礎設施、電纜基礎設施和廣播基礎設施等共計五大類物理層面資產，以及為關鍵基礎設施穩定運行提供各類服務的邏輯層面資產。

關鍵基礎設施IT部門（以下稱“IT CI”），主要是按照功能提供進行劃定，具體包括六大類，分別是，提供IT產品和服務；提供事故管理能力；提供域名解決方案；提供身份驗證管理和其他信用支持相關服務；提供基于互聯網的內容、信息通信服務；提供互聯網路由、接入和連接服務。

等級劃定、清單確認以及優先保護

以通信CI為例。國土安全部將所有通信CI按照重要程度，分為三等級五大類。

第一等級為全國性通信CI，即，這類通信CI會對國土安全和國家經濟安全產生至關重要的影響。第二等級為全國性或地區性的通信CI，即會對國土安全或者部分地區安全產生重要影響。第一等級和第二等級的具體認定工作，都是由通信CI全國協調委員會來進行的，名錄確定之后，上報至國土安全部。第三等級由三個組成部分構成，分別是，通信CI內部、州級（地區級）和國外通信CI。其中，前兩者都由各州政府自行確認，國外CI清單則由美國情報部門聯合美國海外“合作伙伴”初步擬定，報國土安全部確認。

在清單名錄制定出來后，即根據國土安全部《國家關鍵基礎設施優先保護計劃》之規定，對于一部分CI實施特殊保護。以通信CI為例，范圍包括通信資產、通信系統和通信網絡三大類，具體的劃定有以下四種途徑。

其一，通過國家關鍵基礎設施協調中心（NCC）或者國家通信系統保護中心（NCS）直接指定。其二，對跨部門通信功能的依賴程度進行分析，挑選出依賴性最強的，國土安全部直接確定。其三，與應急有關的通信系統由行業主管部門直接提名。比如，FCC每年提名的國家應急警報系統，以及公共安全應答點系統。其四，具有較高資產價值的通信設施和樓宇。如，全國范圍的通信交換中心、海底電纜陸地站點，以及承載了某一地區范圍或者國家范圍核心電信業務的電信大樓，由NCC確定。

部門安全評估和交叉評估

在CI各類保障制度中，安全評估具有特殊重要的作用，不僅是劃分關鍵信息基礎設施保障次序的客觀前提，也是采取下一步具體措施的重要參考依據。

國土安全部對通信CI和IT CI進行安全評估的基本思路是全災害因素評估（All-hazards Elements），也就是說，將各方面的安全威脅因素統統考慮在內，比如，主觀和客觀因素、人為和非人為因素、已有的和正在浮現的因素、可控和不可控因素、自然和非自然因素等。具體評估種類包括通信CI和IT CI的單獨評估，以及通信CI和IT CI之間跨部門的交叉評估。

第一，通信CI的評估范圍包括物理、網絡和人員三大類。一是物理威脅，主要包括自然災害威脅和事件威脅兩大類。前者，如特大颶風、大地震、超級太陽風暴等；后者，如恐怖襲擊、電磁干擾、損毀海底通信電纜等。二是網絡威脅，主要包括惡意行動和非惡意的客觀情勢所帶來的安全威脅。前者，如對通信CI進行非正常狀態下的惡意系統變更，或者對未使用頻段進行占有和破壞；后者，如頻段資源枯竭等。三是人類活動威脅，主要是指人類對于CI的機密性、完整性、可適用性所產生的影響，比如，供應鏈采購過程中的安全威脅等。

第二，IT CI的評估范圍包括人類惡意威脅、人類非惡意威脅，以及自然災害威脅三大類。人類惡意威脅的評估著重于主觀動向、攻擊能力、人員身份，以及既往攻擊行為的特征；人類非惡意威脅的評估要點在于偶發原因、工作環境，以及引發事故的人員的內在特征，比如技術水平、情緒等方面；自然災害威脅，評估要點和威脅等級由專門機構來提供，比如國家海洋和氣象管理部門、應急部門、災害控制部門等。

第三，通信CI和IT CI跨部門安全評估。通信CI和IT CI作為16個CI部門中最核心的部門，雙雙帶有“生命線”性質，國土安全部規定必須進行跨部門風險評估。具體方式是建立全國性評估模型，以2014年美國通信CI和IT CI的模型為例，橫軸為“跨部門安全風險影響程度”，分為“低、低-中、中、中-高、高”五個等級，縱軸為多功能重疊的安全評估情景，比如產品和服務、網絡接入、DNS、身份管理、網絡內容、事故管理等選項，針對每個選項的安全等級在細分的單元格中進行勾選，得出每一細項的評估結論。

美國關鍵信息基礎設施保護的未來走向

結合2015年年底美國《網絡安全法案》、2016年白宮《網絡安全國家行動計劃》，以及國土安全部近幾年發布的政策，美國關鍵信息基礎設施安全保護主要有以下走向。

第一，關鍵基礎設施安全的戰略地位全面與國家安全掛鉤。近幾年，安全威脅呈現出線上線下聯動的態勢，加之主管部門——國土安全部所肩負的保障國家安全的職責，CI的戰略地位不斷抬升之勢，甚至與戰爭、網絡軍控相聯系，美國學者甚至提出應當仿照《南極條約》所規定的“南極洲僅用于和平之目的，不應該成為國際武力威脅和紛爭的場所和對象”，關鍵基礎設施也應當豁免于戰爭威脅和武力攻擊。

第二，將不斷完善通信CI和IT CI的“全災害因素”評估制度。除了傳統意義上的網絡安全威脅因素之外，國土安全部提出下一步要將一些兼具長期性和戰略性的威脅因素考慮在內，比如，恐怖主義襲擊、氣候變化、自然災害、大規模流行病等。此外，跨領域交叉評估的范圍將逐步擴大，比如，通信CI和金融CI的交叉評估。

第三，對新興安全威脅與傳統安全威脅同時考慮。國土安全部提出，一方面，需要警惕新技術、新業務給CI帶來的新的安全威脅，比如物聯網、工業互聯網、人工智能等。另一方面，不能忽視關鍵信息基礎設施自身的安全問題，比如設施老化問題所帶來的安全威脅，以及關鍵基礎設施之間相互依賴所帶來的安全威脅等。