文 | 中國電子科學(xué)研究院 陳炳昊 、 深信服科技股份有限公司 孔勇

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在2021年發(fā)布《基礎(chǔ)設(shè)施韌性規(guī)劃框架》（IRPF），并于2022年11月23日，美國發(fā)布了新版《基礎(chǔ)設(shè)施韌性規(guī)劃框架》（以下簡稱“IRPF框架”），旨在為各州和地區(qū)級基礎(chǔ)設(shè)施保護(hù)者提供最新指導(dǎo)，將關(guān)鍵基礎(chǔ)設(shè)施的韌性能力納入其決策和規(guī)劃活動，強(qiáng)化網(wǎng)絡(luò)攻擊應(yīng)對能力，提升關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)水平。

一、IRPF框架概述

IRPF框架作為靈活的指導(dǎo)文件，專門提供規(guī)劃應(yīng)用指南，用于啟動基礎(chǔ)設(shè)施安全韌性規(guī)劃，并將其納入現(xiàn)有的規(guī)劃機(jī)制。

（一）基礎(chǔ)設(shè)施對象范圍

IRPF框架可應(yīng)用于總統(tǒng)第21號總統(tǒng)令（PPD-21）《關(guān)鍵基礎(chǔ)設(shè)施安全和韌性》中確定的全部16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。PPD-21確定的16個(gè)行業(yè)的資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)，無論是物理的還是虛擬的，都被認(rèn)為對美國至關(guān)重要，以至于其喪失能力或被破壞將對社會安全、經(jīng)濟(jì)安全、國家安全等產(chǎn)生重大影響。雖然PPD-21從國家角度看待關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)和資產(chǎn)，但這些部門在地方、州和區(qū)域?qū)用嬉簿哂邢嚓P(guān)性，了解這些系統(tǒng)的風(fēng)險(xiǎn)可以改善地區(qū)安全、健康以及經(jīng)濟(jì)增長。表1中列出了16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，并列舉了各行業(yè)典型的基礎(chǔ)設(shè)施。

表1 關(guān)鍵基礎(chǔ)設(shè)施行業(yè)典型基礎(chǔ)設(shè)施

?

關(guān)鍵基礎(chǔ)設(shè)施行業(yè)在每個(gè)地區(qū)通過基礎(chǔ)設(shè)施系統(tǒng)提供關(guān)鍵職能。這些系統(tǒng)由相互關(guān)聯(lián)和依賴的資產(chǎn)組成，這些系統(tǒng)的持續(xù)運(yùn)行不僅取決于其自身資產(chǎn)，也取決于其他部門的其他系統(tǒng)。例如，幾乎所有行業(yè)都依賴能源、供水和廢水、電信和交通系統(tǒng)發(fā)揮作用。IRPF框架幫助用戶檢查這些基礎(chǔ)設(shè)施系統(tǒng)，確定它們內(nèi)部和相互之間的關(guān)鍵依賴關(guān)系，并將這些知識納入規(guī)劃。

（二）重視關(guān)鍵功能和依賴關(guān)系

IRPF框架鼓勵(lì)規(guī)劃者在考慮關(guān)鍵基礎(chǔ)設(shè)施時(shí)，采取以功能性為核心的體系化方法，強(qiáng)調(diào)單個(gè)基礎(chǔ)設(shè)施的重要性取決于其所能提供的最終功能。另外，基礎(chǔ)設(shè)施系統(tǒng)是高度相互關(guān)聯(lián)的，其中一個(gè)系統(tǒng)的中斷可能會產(chǎn)生連鎖反應(yīng)，影響到其他一系列基礎(chǔ)設(shè)施系統(tǒng)。

鑒于以上兩個(gè)方面因素，IRPF框架鼓勵(lì)規(guī)劃者考慮基礎(chǔ)設(shè)施系統(tǒng)提供的關(guān)鍵功能，以及這些系統(tǒng)內(nèi)部和相互之間的依賴關(guān)系。對這兩個(gè)因素的深刻理解可以幫助規(guī)劃者確定戰(zhàn)略和項(xiàng)目，以降低風(fēng)險(xiǎn)，并在韌性能力提升方面做出更好投資。

（三）IRPF框架與聯(lián)邦認(rèn)可程序保持一致

IRPF框架的制定與其他聯(lián)邦、州、地方和地區(qū)的規(guī)劃工作保持一致，并為其提供信息。表2列出了一些現(xiàn)有的規(guī)劃工作。這些步驟和相關(guān)資源可以很容易地整合到其他規(guī)劃過程中，如綜合、減災(zāi)、環(huán)境、資本改進(jìn)計(jì)劃和區(qū)域交通規(guī)劃等。此外，IRPF框架可以為其他安全韌性規(guī)劃指南和方法論提供補(bǔ)充和完善。

表2 IRPF框架可以提供的規(guī)劃工作

二、基礎(chǔ)設(shè)施韌性規(guī)劃五大步驟

IRPF框架將基礎(chǔ)設(shè)施保護(hù)規(guī)劃工作分為五大步驟，包括奠定基礎(chǔ)、關(guān)鍵基礎(chǔ)設(shè)施識別、風(fēng)險(xiǎn)評估、制定行動計(jì)劃，以及實(shí)施和評估。

（一）奠定基礎(chǔ)

IRPF框架中規(guī)劃工作的第一步為奠定基礎(chǔ)，包括確定項(xiàng)目工作范圍，組建合作規(guī)劃小組，收集和審查現(xiàn)有的數(shù)據(jù)、計(jì)劃、研究或其他可能與規(guī)劃工作有關(guān)的技術(shù)資源，形成工作目標(biāo)和愿景等。

1. 確定項(xiàng)目負(fù)責(zé)主體和工作范圍

為了獲得認(rèn)可，支持韌性的個(gè)人實(shí)體能夠?yàn)橐?guī)劃工作投入時(shí)間和資源上的支持是很重要的。項(xiàng)目負(fù)責(zé)主體可以來自州部門、部落委員會、地方管轄區(qū)、社區(qū)規(guī)劃部門、區(qū)域規(guī)劃組織、公共/私人非營利組織或其他領(lǐng)導(dǎo)計(jì)劃制定的組織。重要的是，該項(xiàng)目負(fù)責(zé)主體能夠積極支持規(guī)劃過程和實(shí)施工作。

在將IRPF框架納入規(guī)劃過程之前，工作范圍應(yīng)重點(diǎn)考慮以下問題：推動基礎(chǔ)設(shè)施韌性規(guī)劃的愿望和需求；基礎(chǔ)設(shè)施韌性的目標(biāo)和目的；服務(wù)的基礎(chǔ)設(shè)施中是否存在需要解決的具體問題。

有許多類型的評估和分析可以為規(guī)劃提供信息，例如：威脅、脆弱性和關(guān)鍵性分析、系統(tǒng)映射和圖表繪制、建模和仿真分析等。定義明確的目標(biāo)和范圍可以幫助規(guī)劃人員確定哪種分析形式能更好支撐工作?！痘A(chǔ)設(shè)施韌性評估方法》提供了更多關(guān)于分析方法的細(xì)節(jié)，規(guī)劃者可以使用更多分析方法來提高對基礎(chǔ)設(shè)施系統(tǒng)的理解。一旦確定了工作的總體方向，就可以更有效地分配時(shí)間、資金和人員，以配合工作。

2. 成立規(guī)劃小組并啟動初始工作

成立規(guī)劃小組，開展基礎(chǔ)設(shè)施規(guī)劃。在IRPF框架中，明確規(guī)劃小組需要強(qiáng)有力的領(lǐng)導(dǎo)作為項(xiàng)目經(jīng)理。團(tuán)隊(duì)領(lǐng)導(dǎo)應(yīng)向項(xiàng)目主體、地區(qū)官員和其他必要的人報(bào)告，提供與規(guī)劃過程有關(guān)的各種活動的最新進(jìn)展和成果。IRPF框架要求規(guī)劃小組負(fù)責(zé)人應(yīng)該具備以下四點(diǎn)能力：對本地和區(qū)域基礎(chǔ)設(shè)施（如公共工程）較為熟悉；對威脅、危害、風(fēng)險(xiǎn)和后果有充分了解；能夠讓更多的利益相關(guān)者參與到規(guī)劃過程中，并且在關(guān)鍵基礎(chǔ)設(shè)施方面能夠具有專業(yè)知識；具備執(zhí)行管理、協(xié)調(diào)、活動策劃以及推進(jìn)規(guī)劃會議議程等能力。

一旦確定了規(guī)劃小組領(lǐng)導(dǎo)，應(yīng)及時(shí)召開啟動會，為規(guī)劃工作奠定基礎(chǔ)。這些活動包括：確定工作目的，并確定其與其他社區(qū)規(guī)劃工作的關(guān)系；確定工作范圍（包括規(guī)劃區(qū)域）；闡明目標(biāo)，并概述工作戰(zhàn)略；確定負(fù)責(zé)人（主持人），以促進(jìn)規(guī)劃小組會議期間的討論；確定對工作有興趣或信息至關(guān)重要的利益相關(guān)者。

3. 收集和審查現(xiàn)有信息

為了給參與者打下堅(jiān)實(shí)基礎(chǔ)，確定以前的規(guī)劃工作、研究、繪圖等數(shù)據(jù)是否能為當(dāng)下提供支撐尤為重要。數(shù)據(jù)資源可以來自州、地方、部落和領(lǐng)土（SLTT）、區(qū)域或聯(lián)邦。在第一次規(guī)劃會議前，規(guī)劃團(tuán)隊(duì)的負(fù)責(zé)人應(yīng)確定并審查與基礎(chǔ)設(shè)施資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)有關(guān)的數(shù)據(jù)和信息，以及區(qū)域內(nèi)威脅、危害和災(zāi)害事件的數(shù)據(jù)和信息，還應(yīng)審查其他現(xiàn)有計(jì)劃和規(guī)劃，以確定與當(dāng)前規(guī)劃工作是否一致。

4. 外部合作規(guī)劃小組組成

將關(guān)鍵基礎(chǔ)設(shè)施韌性納入規(guī)劃的一種方法是建立外部合作伙伴關(guān)系，成立外部合作規(guī)劃小組，為更廣泛的規(guī)劃工作提供信息。IRPF框架建議邀請以下團(tuán)體代表參與規(guī)劃，他們可以提供重要的見解和觀點(diǎn)。除了積極的規(guī)劃團(tuán)隊(duì)參與者外，可能還有其他利益相關(guān)者應(yīng)參與該過程。利益相關(guān)者是受區(qū)域基礎(chǔ)設(shè)施影響、依賴基礎(chǔ)設(shè)施并與基礎(chǔ)設(shè)施互動的個(gè)人及團(tuán)體。這些利益相關(guān)者參與進(jìn)來，以獲得對規(guī)劃過程和最終結(jié)果的認(rèn)可和支持。

5. 邀請參與者和利益相關(guān)者參與規(guī)劃討論

在確定潛在參與者并收集相關(guān)聯(lián)系信息后，規(guī)劃小組負(fù)責(zé)人應(yīng)邀請其參與規(guī)劃討論。利益相關(guān)者，尤其是許多私營企業(yè)的利益相關(guān)者最初可能不愿意參加規(guī)劃活動。主要原因包括：對潛在監(jiān)管的擔(dān)憂；商業(yè)敏感性和對分享專有信息的擔(dān)憂；競爭對手或其他主要合作伙伴的競爭觀點(diǎn)。

在與私營部門合作伙伴的溝通中，應(yīng)重點(diǎn)強(qiáng)調(diào)改進(jìn)規(guī)劃對參與者的價(jià)值。主要包括：為企業(yè)和客戶群提供更快、更有效的反應(yīng)和恢復(fù)；減少與災(zāi)難恢復(fù)相關(guān)的保險(xiǎn)等成本；改進(jìn)的減災(zāi)活動可以提高上游和下游的依賴性；并有機(jī)會通過規(guī)劃更好地了解地區(qū)的優(yōu)先事項(xiàng)。

6. 建立初步目標(biāo)和愿景

設(shè)定明確的目標(biāo)和愿景是任何成功規(guī)劃工作的重要基礎(chǔ)，因?yàn)槠涠x了在關(guān)鍵基礎(chǔ)設(shè)施安全韌性方面“想要去哪里”或“想要做什么”的愿景。目標(biāo)和愿景的制定應(yīng)包括涉及關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)以及其他成果的全部規(guī)劃因素，如宜居性、可持續(xù)性、經(jīng)濟(jì)、環(huán)境和公平。最初的目標(biāo)和愿景可以是頂層的、宏觀的。在執(zhí)行步驟二（關(guān)鍵基礎(chǔ)設(shè)施識別）后，可以對這些目標(biāo)和愿景進(jìn)行調(diào)整，使其更具體。

此外，這些目標(biāo)和愿景也可以在IRPF規(guī)劃過程的后期階段進(jìn)一步完善。隨著規(guī)劃的不斷迭代，新的數(shù)據(jù)、事實(shí)和信息可能會出現(xiàn)，這時(shí)可以對目標(biāo)和愿景進(jìn)行相應(yīng)調(diào)整。參與者/利益相關(guān)者可以根據(jù)IRPF框架的關(guān)鍵基礎(chǔ)設(shè)施識別和風(fēng)險(xiǎn)評估這兩個(gè)步驟，來驗(yàn)證和完善目標(biāo)和愿景。

（二）關(guān)鍵基礎(chǔ)設(shè)施識別

IRPF框架中的第二個(gè)步驟是關(guān)鍵基礎(chǔ)設(shè)施識別，該部分內(nèi)容主要包括識別關(guān)鍵基礎(chǔ)設(shè)施、對基礎(chǔ)設(shè)施進(jìn)行優(yōu)先排序，以及確定基礎(chǔ)設(shè)施系統(tǒng)之間的相互依賴關(guān)系。

1. 識別基礎(chǔ)設(shè)施

在規(guī)劃過程中，關(guān)鍵是確定對地區(qū)的正常運(yùn)作至關(guān)重要的基礎(chǔ)設(shè)施系統(tǒng)和資產(chǎn)。這應(yīng)包括基本系統(tǒng)，如能源、供水和污水處理、電信和交通系統(tǒng)等，以及對地區(qū)安全、健康發(fā)展和經(jīng)濟(jì)活力至關(guān)重要的基礎(chǔ)設(shè)施。除了這些行業(yè)之外，NIST CRPG還確定了一些有助于繁榮的社會功能，包括：社區(qū)服務(wù)、經(jīng)濟(jì)、教育、家庭、政府、健康、媒體，以及宗教和文化信仰。規(guī)劃小組應(yīng)考慮創(chuàng)建一個(gè)關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)庫/矩陣列表，以便對基礎(chǔ)設(shè)施資產(chǎn)進(jìn)行分類和分析。除了可以用來分析基礎(chǔ)設(shè)施之間的依賴關(guān)系，基礎(chǔ)設(shè)施的基線清單還可以用來描述現(xiàn)有基礎(chǔ)設(shè)施的特點(diǎn)，為更全面的基礎(chǔ)設(shè)施識別工作打下基礎(chǔ)，開發(fā)地圖產(chǎn)品和其他視覺效果。

特別地，應(yīng)當(dāng)重點(diǎn)識別網(wǎng)絡(luò)基礎(chǔ)設(shè)施。網(wǎng)絡(luò)基礎(chǔ)設(shè)施對于電廠、供水和廢水設(shè)施、醫(yī)院、電信系統(tǒng)、石油和天然氣精煉廠以及交通網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營和維護(hù)至關(guān)重要。由于物理基礎(chǔ)設(shè)施和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的互聯(lián)性，參與規(guī)劃過程的規(guī)劃者和利益相關(guān)者應(yīng)了解支持和確保基礎(chǔ)設(shè)施系統(tǒng)持續(xù)運(yùn)行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)安全等。網(wǎng)絡(luò)基礎(chǔ)設(shè)施一般包括計(jì)算機(jī)系統(tǒng)、用于監(jiān)測和控制工廠或設(shè)備的控制系統(tǒng)、網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)）、網(wǎng)絡(luò)服務(wù)（例如安全管理服務(wù)）、數(shù)據(jù)存儲和處理系統(tǒng)（包括大型機(jī)、云供應(yīng)商、服務(wù)器群、數(shù)據(jù)中心）、電子信息和通信系統(tǒng)內(nèi)的數(shù)據(jù)和信息。在考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施時(shí)，規(guī)劃人員必須考慮遠(yuǎn)程服務(wù)提供商的服務(wù)年限、技術(shù)來源、后期維護(hù)和位置等因素，以便確定其韌性面臨的各種挑戰(zhàn)。

2. 對基礎(chǔ)設(shè)施進(jìn)行優(yōu)先排序

在編制了關(guān)鍵基礎(chǔ)設(shè)施清單后，規(guī)劃小組應(yīng)對已確定的基礎(chǔ)設(shè)施資產(chǎn)進(jìn)行重要性和安全保護(hù)優(yōu)先級的排序。規(guī)劃小組將每個(gè)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)/資產(chǎn)的安全影響、背景影響、運(yùn)營影響、經(jīng)濟(jì)影響和服務(wù)影響作為確定其重要性和優(yōu)先級的依據(jù)。這些需要考慮的關(guān)鍵因素可作為確定關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先級的標(biāo)準(zhǔn)。此外，項(xiàng)目規(guī)劃小組也可以修改或添加自己的標(biāo)準(zhǔn)，以最好地滿足自身需求。

表3 確定基礎(chǔ)設(shè)施系統(tǒng)/資產(chǎn)優(yōu)先次序的關(guān)鍵考慮因素

3. 確定基礎(chǔ)設(shè)施系統(tǒng)之間的依賴性

依賴性是指基礎(chǔ)設(shè)施系統(tǒng)內(nèi)部和相互之間的依賴關(guān)系，必須維持這些系統(tǒng)的功能或提供服務(wù)。依賴性具有倍增效應(yīng)，對一個(gè)節(jié)點(diǎn)或環(huán)節(jié)的影響可能會導(dǎo)致整個(gè)城市、區(qū)域和國家范圍內(nèi)的重大經(jīng)濟(jì)和物質(zhì)損失。

為了確定基礎(chǔ)設(shè)施系統(tǒng)相互之間的依賴性，參與者應(yīng)該考慮：基礎(chǔ)設(shè)施資產(chǎn)運(yùn)行所需或使用的資源和服務(wù)的主要和次要來源/提供者；在發(fā)生破壞性事件時(shí)，維持基礎(chǔ)設(shè)施資產(chǎn)運(yùn)作的后備資源；中斷或退化時(shí)對下游基礎(chǔ)設(shè)施資產(chǎn)和基本服務(wù)的影響。典型的依賴關(guān)系的例子包括：供水系統(tǒng)需要電力來操作水泵；金融服務(wù)依賴通信來促進(jìn)交易；通信系統(tǒng)需要電力來運(yùn)行；維修配電系統(tǒng)的工作人員需要通過道路進(jìn)入現(xiàn)場；應(yīng)急服務(wù)的提供依賴電信和交通；網(wǎng)絡(luò)和信息技術(shù)基礎(chǔ)設(shè)施用于操作和監(jiān)控電力系統(tǒng)、供水和廢水系統(tǒng)、交通網(wǎng)絡(luò)等。

（三）風(fēng)險(xiǎn)評估

IRPF框架中的第三個(gè)步驟是風(fēng)險(xiǎn)評估。關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評估通常使用假設(shè)的情況或情景，將確定的風(fēng)險(xiǎn)劃分為不同組成部分，每一部分均可單獨(dú)評估和分析。用于IRPF框架的風(fēng)險(xiǎn)評估方法包括：確定對基礎(chǔ)設(shè)施的威脅和危害；評估優(yōu)先考慮的基礎(chǔ)設(shè)施的脆弱性；評估后果和基礎(chǔ)設(shè)施系統(tǒng)之間的相互作用；對基礎(chǔ)設(shè)施系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。

1. 確定對基礎(chǔ)設(shè)施的威脅和危害

基礎(chǔ)設(shè)施系統(tǒng)/資產(chǎn)可能會面臨無數(shù)的威脅和危害，主要來源于自然災(zāi)害、人為蓄意和意外事故等。對于某一類關(guān)鍵基礎(chǔ)設(shè)施可以考慮哪些威脅和危害會對其造成影響。此外，基礎(chǔ)設(shè)施容易受到來自物理和網(wǎng)絡(luò)上的威脅和危害。物理基礎(chǔ)設(shè)施系統(tǒng)因自動控制系統(tǒng)的廣泛應(yīng)用，也面臨著網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)。惡意行為試圖利用漏洞來竊取信息或金錢，或擾亂、破壞基本服務(wù)的提供。

2. 脆弱性評估

脆弱性評估可以通過確定可能被對手利用的潛在故障點(diǎn)和薄弱點(diǎn)，為安全韌性解決方案提供信息。在評估過程中需要考慮的脆弱性的關(guān)鍵因素是：基于其對公眾的一般可及性；基于該資產(chǎn)對公眾的可識別性的程度；基礎(chǔ)設(shè)施資產(chǎn)從破壞性事件中輕松恢復(fù)的能力，應(yīng)當(dāng)綜合考慮到其對外部服務(wù)的依賴性、其運(yùn)行的能力以及自身的穩(wěn)健性，對資產(chǎn)恢復(fù)正常運(yùn)行的能力進(jìn)行定性評估；基于基礎(chǔ)設(shè)施資產(chǎn)的安全措施和程序的整體脆弱性；基于資產(chǎn)與其他易受影響的資產(chǎn)的接近程度的脆弱性；基于資產(chǎn)是否在其整體系統(tǒng)中代表一個(gè)單點(diǎn)故障的脆弱性。

3. 后果評估

后果是一個(gè)事件、事故或發(fā)生的影響，通常以四種方式衡量：人（傷害、疾病或生命損失）；經(jīng)濟(jì)（與基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性損失相關(guān)的成本，以及替換成本）；任務(wù)（一個(gè)組織或團(tuán)體實(shí)現(xiàn)戰(zhàn)略目標(biāo)或履行職能的能力）；心理（個(gè)人或團(tuán)體的精神或情緒狀態(tài)，導(dǎo)致認(rèn)知和/或行為的改變）。

4. 基礎(chǔ)設(shè)施系統(tǒng)風(fēng)險(xiǎn)

一旦確定了威脅因素，評估了脆弱性和后果，就可以把兩者進(jìn)行結(jié)合，以確定對優(yōu)先基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)，完成風(fēng)險(xiǎn)評估。

（四）制定行動計(jì)劃

IRPF框架的第四個(gè)步驟是制定行動計(jì)劃，旨在指導(dǎo)其完成選擇項(xiàng)目和解決方案的過程，從而增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的抗災(zāi)能力，并制定實(shí)施戰(zhàn)略。

1. 完善目標(biāo)和愿景

在確定和實(shí)施安全韌性解決方案之前，應(yīng)根據(jù)關(guān)鍵基礎(chǔ)設(shè)施識別和風(fēng)險(xiǎn)評估的結(jié)果，重新驗(yàn)證他們的愿景，并細(xì)化其初始目標(biāo)和愿景。

2. 確定安全韌性解決方案以減輕風(fēng)險(xiǎn)

IRPF框架的核心成果是基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)緩解解決方案。解決方案可以是政策、戰(zhàn)略、計(jì)劃、法規(guī)和條例、提高韌性的計(jì)劃以及實(shí)際的基礎(chǔ)設(shè)施項(xiàng)目。IRPF框架提供的韌性增強(qiáng)的行動清單包括：利用土地使用規(guī)劃工具、更新法規(guī)和標(biāo)準(zhǔn)、投資于堅(jiān)固的基礎(chǔ)設(shè)施、更新基礎(chǔ)設(shè)施維護(hù)和資本改進(jìn)計(jì)劃、制定連續(xù)性和應(yīng)急計(jì)劃、納入綠色基礎(chǔ)設(shè)施、成立基礎(chǔ)設(shè)施委員會等。

3. 強(qiáng)調(diào)網(wǎng)絡(luò)安全貫穿始終

在制定解決方案時(shí)，IRPF框架重點(diǎn)強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性。由于現(xiàn)在的許多物理基礎(chǔ)設(shè)施全部或部分由計(jì)算機(jī)控制，并通過互聯(lián)網(wǎng)連接，因此規(guī)劃應(yīng)考慮健全的政策和程序，將網(wǎng)絡(luò)安全的改進(jìn)納入基礎(chǔ)設(shè)施發(fā)展的生命周期。

4. 確定現(xiàn)有資源和能力

行動計(jì)劃可以包括：要求其他公共和私人實(shí)體支持實(shí)施，以解決有韌性的基礎(chǔ)設(shè)施系統(tǒng)的共同利益。識別和評估關(guān)鍵基礎(chǔ)設(shè)施所有者和經(jīng)營者的資源和能力，將有助于對實(shí)施的韌性解決方案清單進(jìn)行優(yōu)先排序。最常見的資源和能力類型包括規(guī)劃與監(jiān)管、計(jì)劃政策、財(cái)政經(jīng)費(fèi)等，在確定解決方案的優(yōu)先次序時(shí)應(yīng)予以考慮。

5. 選擇實(shí)施的解決方案

在制定解決方案清單并確定能力后，應(yīng)集中精力確定哪些公共和私人實(shí)體需要采取行動以實(shí)現(xiàn)目標(biāo)。評估和優(yōu)先排序的過程可以幫助權(quán)衡不同的解決方案的利弊。評價(jià)標(biāo)準(zhǔn)應(yīng)考慮基礎(chǔ)設(shè)施的關(guān)鍵性、脆弱性和威脅可能性，以及滿足目標(biāo)和愿景措施的能力。聯(lián)邦緊急事務(wù)管理局《地方減災(zāi)規(guī)劃手冊》中也有相關(guān)評價(jià)標(biāo)準(zhǔn)的描述。無論使用何種評價(jià)標(biāo)準(zhǔn)，都應(yīng)得到規(guī)劃參與者/利益相關(guān)者的同意。

6. 制定實(shí)施策略

在對解決方案進(jìn)行評估和優(yōu)先排序后，則開始制定實(shí)施策略。實(shí)施策略描述了如何實(shí)施和管理每個(gè)優(yōu)先考慮的解決方案。實(shí)施計(jì)劃應(yīng)包括以下要素：負(fù)責(zé)方、合作者/合作機(jī)構(gòu)/私營部門合作伙伴、初步實(shí)施步驟、預(yù)估時(shí)間表、資源列表、實(shí)施的潛在障礙和潛在解決方案。

（五）實(shí)施和評估

IRPF框架的最后一個(gè)步驟是實(shí)施和評估，主要包括通過現(xiàn)有的規(guī)劃機(jī)制實(shí)施優(yōu)先解決方案、監(jiān)測和評估其有效性，以及更新計(jì)劃。

1. 通過現(xiàn)有規(guī)劃機(jī)制實(shí)施

將優(yōu)先考慮的解決方案納入現(xiàn)有的規(guī)劃、政策和方案中。規(guī)劃參與者和其他利益相關(guān)者應(yīng)審查整體的運(yùn)作、優(yōu)先事項(xiàng)和現(xiàn)有的規(guī)劃機(jī)制，以了解如何在現(xiàn)有規(guī)劃機(jī)制中整合安全韌性項(xiàng)目和戰(zhàn)略。資金來源可以包括傳統(tǒng)的基礎(chǔ)設(shè)施機(jī)制，如稅收、費(fèi)用和債券，以及聯(lián)邦和州政府機(jī)構(gòu)和慈善組織的撥款。在各級政府資源有限的情況下，可通過公私合作來發(fā)展創(chuàng)新的融資機(jī)制。聯(lián)邦政府各層次部門和機(jī)構(gòu)，非盈利和專業(yè)組織可以提供技術(shù)援助。

2. 監(jiān)測并評估有效性

所有計(jì)劃都應(yīng)該制定運(yùn)營維護(hù)程序，以監(jiān)測和評估解決方案的有效性。演習(xí)可能是評估運(yùn)營計(jì)劃和解決方案有效性的一種方式。CISA桌面演練包（CTEP）是一種資源，可供關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者用來制定計(jì)劃并進(jìn)行演練。

3. 更新計(jì)劃

最后，規(guī)劃小組應(yīng)當(dāng)制定一個(gè)更新計(jì)劃的過程。當(dāng)監(jiān)測和評估其規(guī)劃活動的有效性時(shí)，將成功經(jīng)驗(yàn)、遇到的障礙和吸取的經(jīng)驗(yàn)教訓(xùn)進(jìn)行反饋，并將其納入未來的工作中。更新計(jì)劃過程應(yīng)確定協(xié)調(diào)規(guī)劃更新的領(lǐng)導(dǎo)機(jī)構(gòu)、啟動更新程序條件等。災(zāi)難事件發(fā)生后，在制定恢復(fù)和災(zāi)后重建計(jì)劃時(shí)，可以加快計(jì)劃更新進(jìn)度。

三、總結(jié)

美國CISA發(fā)布的IRPF框架，重點(diǎn)闡述了基礎(chǔ)設(shè)施保護(hù)規(guī)劃工作的五個(gè)步驟。奠定基礎(chǔ)：確定規(guī)劃工作的范圍，組建規(guī)劃團(tuán)隊(duì)來執(zhí)行這項(xiàng)工作，并審查現(xiàn)有的數(shù)據(jù)、計(jì)劃、研究、地圖和其他資源。關(guān)鍵基礎(chǔ)設(shè)施識別：提供識別指導(dǎo)，說明如何識別和確定基礎(chǔ)設(shè)施的重要性和安全保護(hù)優(yōu)先級，并評估基礎(chǔ)設(shè)施系統(tǒng)之間的依賴性。風(fēng)險(xiǎn)評估：指導(dǎo)完成對關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)評估，包括評估其對威脅和危害的脆弱性，以及可能導(dǎo)致的后果。制定行動計(jì)劃：通過確定潛在解決方案并確定其優(yōu)先級，為風(fēng)險(xiǎn)防控和提高基礎(chǔ)設(shè)施抗災(zāi)能力的戰(zhàn)略行動計(jì)劃提供指導(dǎo)。實(shí)施和評估：重點(diǎn)是將基礎(chǔ)設(shè)施韌性項(xiàng)目和戰(zhàn)略納入地區(qū)和區(qū)域計(jì)劃，以及衡量其是否成功。

IRPF框架最大的特點(diǎn)就是應(yīng)用指導(dǎo)的靈活性。無論是基礎(chǔ)設(shè)施保護(hù)規(guī)劃工作五大步驟，還是每一個(gè)步驟里的具體過程，都是可以有選擇迭代進(jìn)行。例如，用戶可以選擇其中任意步驟，應(yīng)用在正在進(jìn)行的規(guī)劃過程中；當(dāng)確定了負(fù)責(zé)人和規(guī)劃團(tuán)隊(duì)時(shí)，用戶也可以重新審視他們的范圍，并重新評估過去的評估和規(guī)劃活動；規(guī)劃者可考慮IRPF框架哪些步驟如何最好地補(bǔ)充其當(dāng)前的規(guī)劃流程。對于規(guī)劃小組的參與者和利益相關(guān)者可根據(jù)需要選擇參加相關(guān)規(guī)劃過程，并非所有參與者都將參與規(guī)劃過程的所有階段。用戶應(yīng)考慮何時(shí)參與最有價(jià)值，以避免給外部合作伙伴帶來不必要的負(fù)擔(dān)，并確保有效收集相關(guān)信息。同樣，利益相關(guān)者也不需要參與規(guī)劃過程的所有階段，他們主要針對特定階段特定主題提供寶貴意見。

綜上所述，IRPF框架在關(guān)鍵基礎(chǔ)設(shè)施識別、關(guān)鍵依賴關(guān)系、基礎(chǔ)設(shè)施優(yōu)先排序、風(fēng)險(xiǎn)評估、制定行動計(jì)劃和實(shí)施解決方案等方面提供全方位可落地的指導(dǎo)，為各州及地區(qū)級基礎(chǔ)設(shè)施保護(hù)者提供可操作的靈活的規(guī)劃建議，能夠?qū)㈥P(guān)鍵基礎(chǔ)設(shè)施的韌性能力納入其規(guī)劃活動，從而有效提升關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)整體水平。