◎國防科技大學信息通信學院 楊博文 鄭理
關鍵基礎設施安全事關國家安全。對于美國,一是越來越多的恐襲事件針對關鍵基礎設施,通過破壞、損毀關鍵基礎設施影響社會安全與穩(wěn)定;二是隨著關鍵基礎設施越來越多的使用信息網(wǎng)絡技術,“網(wǎng)絡化”的關鍵基礎設施“吸引”更多的破壞者利用網(wǎng)絡攻擊的隱蔽性和網(wǎng)絡影響的級聯(lián)性對關鍵基礎設施實施破壞,且這種破壞難以溯源;三是敵對國或別有用心的政治集團通過攻擊、利用關鍵基礎設施達到影響內(nèi)政的目的,如攻擊破壞選舉基礎設施干擾美國總統(tǒng)選舉活動,影響選舉安全。
關鍵基礎設施保護是政府的“責”,但是企業(yè)的“事”。政府是領導國家建設、維護國家安全的主體力量,既然關鍵基礎設施安全事關國家安全,政府就應該確保關鍵基礎設施安全。但對于美國,國家關鍵基礎設施絕大部分歸私營企業(yè)所有,政府僅占據(jù)少量份額,因此,要將關鍵基礎設施保護落到實處必須政府牽頭,掌管關鍵基礎設施的企業(yè)具體落實保護性措施。
關鍵基礎設施種類繁多、千差萬別,雖政府牽頭,但也要分工落實。這里所說的“分工”是政府內(nèi)的分工。對于美國的16類關鍵基礎設施領域,如糧食與農(nóng)業(yè)、國防工業(yè)基地、能源、金融、化工業(yè)等,都具有自己專門的設施、專門的設備、專用的系統(tǒng)以及領域內(nèi)的特定風險,不可一概而論采用“一刀切”的治理措施。因此,需要聯(lián)邦政府根據(jù)部門分工,各部門分別與各行業(yè)(領域)的企業(yè)“對口”合作,建立一對一的合作機制,方能真正讓“合作”落地,而不是一級政府對所有行業(yè)。
綜上,對于美國,政企合作的模式之于關鍵基礎設施保護是必要的。政府要在中間起牽頭作用,通過協(xié)調(diào)相應的部門與對應的行業(yè)、企業(yè)開展合作,推動企業(yè)落實關鍵基礎設施保護性措施。
信息共享活動是政企合作的重點。關鍵基礎設施有其固有的脆性,或叫弱點、漏洞,所謂的對關鍵基礎設施實施的攻擊、破壞,利用的就是其弱點。因此,要提高關鍵基礎設施的安全性,除了對恐襲事件或破壞活動進行預測外,最重要的一點就是從堵塞漏洞、降低脆性上進行防范。通過了解關鍵基礎設施固有的漏洞或脆性,分析可能被支配利用的弱點,從而制定防控措施,拿出較為完善的關鍵基礎設施保護和應急處置方案。在政府推動完成這些任務的過程中,涉及到企業(yè)將有關關鍵基礎設施保護的信息與政府共享,并且政府也希望通過多源的情報分析與日常掌握的關鍵基礎設施脆性信息經(jīng)過綜合集成生成預警信息之后,發(fā)布給更廣泛的企業(yè)乃至全社會,有助于企業(yè)做出關鍵基礎設施保護的合理決策,以及引起社會的重視。因此,關鍵基礎設施保護政企合作的重點是政府與企業(yè)間的信息交互,或稱信息共享。
政企合作的模式之于關鍵基礎設施保護是必要的,且合作的重點在于政府與企業(yè)間的信息共享,但這種政企信息共享的合作模式卻不易建立。
信息共享或信息交互是雙向的信息交流活動,目的在于通過“共享”創(chuàng)造比“獨享”更大的價值,其本質(zhì)是對多源的信息進行綜合集成分析,產(chǎn)生對事物更加完整、客觀的認識,及基于此作出更加有效的決策。政府的擔憂:除上述所講的獲取關鍵基礎設施固有的漏洞或脆性信息外,政府統(tǒng)領國家情報界,能夠從國內(nèi)外獲取豐富的有關關鍵基礎設施威脅、恐怖襲擊、網(wǎng)絡攻擊等的情報信息,這對于關鍵基礎設施企業(yè)做好預測、防范工作有重要的價值,但如果不對此類信息進行裁剪、脫密就共享給企業(yè),會導致國家情報甚至政府所采用的情報偵察手段、技術等外泄。但若在信息處理上花費過多時間,將降低情報的價值,尤其對于重大威脅隱患。企業(yè)的擔憂:若將關鍵基礎設施的問題漏洞等信息,以及基礎設施遭受攻擊破壞的情況第一時間報告政府,可能會影響企業(yè)在客戶心中的知名度、聲譽,導致客戶對企業(yè)的信任降級。同樣,企業(yè)共享給政府的信息中可能會暴露客戶的隱私數(shù)據(jù)、企業(yè)的商業(yè)秘密,這些信息如果不仔細斟酌和篩選,可能導致客戶失信于企業(yè),甚至如果信息被同行掌握可能影響企業(yè)的競爭優(yōu)勢,或違反“反壟斷法”??傮w上,企業(yè)的擔憂是政企間信息共享機制不健全造成的。
美國政企合作保護關鍵基礎設施的歷史可追溯到1998年克林頓總統(tǒng)發(fā)布的第63號總統(tǒng)令,主題即“關鍵基礎設施保護”。文中首次提出要“公私合作減弱關鍵基礎設施的脆性”。這之后陸續(xù)頒發(fā)了《保護美國的網(wǎng)絡空間:信息系統(tǒng)保護國家計劃1.0版,一個對話的邀請》(2000)、《國土安全的國家戰(zhàn)略》(2002)、《國土安全法》(2002)、《保衛(wèi)網(wǎng)絡空間的國家戰(zhàn)略》(2003)、《關鍵基礎設施和核心資產(chǎn)的物理保護國家戰(zhàn)略》(2003)。這6份年代相近、代表國家意志的文件,在全社會營造了關鍵基礎設施保護政企合作的氛圍:1.合作是政府履行關鍵基礎設施保護職能的方式。關鍵基礎設施保護是一份全社會“共享”的責任,應該以合作的方式來應對。政府雖不掌握歸私企所有的基礎設施,并不意味著政府在基礎設施管理中不擔負任何職責或僅承擔少量的責任,而應該通過合作(政企合作、聯(lián)邦政府與非聯(lián)邦政府合作,以及與更廣泛的科研機構、院校等的合作)的方式來履行這一職能。2.自愿是合作的第一原則。只有堅持自愿的原則才能確保真誠的交流與信息共享,才能為今后深化政企合作奠定好的基礎。第63號總統(tǒng)令載明:政府不得動用法律與權威干預政企合作,亦不得對企業(yè)施加無資金支持的政府授權。3.政府扮演“協(xié)調(diào)員”、“服務員”。如在推動關鍵基礎設施保護的概念與標準演化中,充分發(fā)揮業(yè)界和市場的作用,讓概念與標準在市場的推動下不斷完善,政府不干預。必要時,政府對成熟的標準進行認證,服務于整個行業(yè)。在促進信息系統(tǒng)安全行業(yè)開展信息系統(tǒng)保護技術研發(fā)方面,政府將加大投資,刺激市場開發(fā)出更好的標準和技術,在促進企業(yè)采購基礎設施保護技術方面,政府將采取減稅、補助等政策促進企業(yè)購買更好的安全產(chǎn)品。在經(jīng)驗共享方面,政府將發(fā)揮國家安全局長期維護聯(lián)邦政府網(wǎng)絡的經(jīng)驗優(yōu)勢為企業(yè)服務,引導商務部國家標準與技術研究所與企業(yè)一道共同開發(fā)網(wǎng)絡安全框架和方案。此外,政府還將牽頭與企業(yè)共同制定信息共享的原則、需求與流程。4.權衡國家利益與對個人隱私的適度影響。為了維護國家安全和基礎設施安全,在企業(yè)向政府提供信息,以及政府對企業(yè)涉獵涉密信息的人員進行背景審查的過程中都會影響到客戶、公民的隱私數(shù)據(jù)。同時,政府將通過制定嚴格的信息共享流程、簡化涉密人員背景審查的手續(xù),最大限度保護公民隱私。
在這方面最重要的立法就是2002年的《國土安全法》。該法授權在聯(lián)邦機構內(nèi)成立新的部門:國土安全部。它在整合聯(lián)邦有關基礎設施保護、網(wǎng)絡安全等職能部門的基礎上統(tǒng)一領導國家關鍵基礎設施保護,并明確了對自愿共享的關鍵基礎設施信息的保護措施:1.凡自愿提交的出于保護關鍵基礎設施的信息(含信息的提交者、機構,下同)免受“信息自由法”信息公開的制約,信息的提交者與國土安全部之間的信息交互免受“聯(lián)邦咨詢委員會法”會議信息公開的制約;2.自愿提交的信息僅用于關鍵基礎設施保護,以及有關關鍵基礎設施破壞的犯罪調(diào)查和指控;3.要將自愿提交的信息公開或用于其他目的,必須經(jīng)信息提交者的書面同意;4.聯(lián)邦政府官員和雇員要保護私營企業(yè)自愿提交的信息,如在預警信息發(fā)布環(huán)節(jié)要注意公開的范圍,一旦泄露了不應公開的信息將處以罰金或一年以內(nèi)的監(jiān)禁,并被免職。《國土安全法》的受眾是全社會,文中所指的“信息的提交者”包括企業(yè)、個人,以及任一實體機構或組織,因此它既減輕了企業(yè)的擔憂,也有利于調(diào)動社會的積極性。
此外,相關文件提出改進聯(lián)邦政府內(nèi)情報部門、國土安全部門、國防部門和應急通信管理部門間的信息系統(tǒng),為信息共享與互聯(lián)互通消除障礙,促進關鍵基礎設施威脅情報的整合,同時,通過建立關鍵基礎設施預警網(wǎng)絡,在政府與企業(yè)間建立“鏈接”,為政府與企業(yè)共享威脅告警信息等敏感內(nèi)容提供一個安全、保密、可信的環(huán)境。
建立業(yè)界聯(lián)絡機構是啟動政企合作的第一步。1998年的第63號總統(tǒng)令指定了聯(lián)邦政府內(nèi)的8個機構作為業(yè)界的聯(lián)絡機構,分別為:商務部負責信息與通信領域,財政部負責銀行與金融業(yè),環(huán)境保護局負責供水業(yè),交通運輸部負責航空、公路、軌道交通、管線、鐵路和水上商業(yè),司法部聯(lián)邦調(diào)查局負責緊急執(zhí)法服務,聯(lián)邦緊急事務管理局負責應急消防,衛(wèi)生與公眾服務部負責公共健康服務,能源部負責電力以及油和氣的生產(chǎn)存儲。合作聯(lián)絡人的認定是政企合作的第二步。在政府側建立業(yè)界聯(lián)絡機構的基礎上,聯(lián)邦政府指定一個牽頭機構的高級官員作為“聯(lián)絡官”,負責與對應領域的企業(yè)開展聯(lián)絡和協(xié)調(diào)工作,并與企業(yè)共同協(xié)商指定一名企業(yè)側的“協(xié)調(diào)官”,作為企業(yè)所在行業(yè)領域的代表。這樣,就奠定了政府與對應企業(yè)合作的橋梁和紐帶。
有了聯(lián)絡機構,政府與企業(yè)就通過會議、論壇以及各種平臺以自愿為原則、以法律為保障、以技術為支撐開展對話與信息共享,建立并不斷完善機制,包括充實已有的政企合作機制,擴大信息共享面。如1982年成立的由代表電信行業(yè)的高級企業(yè)領導組成的國家安全電信咨詢委員會(NSTAC),負責向總統(tǒng)提供咨詢建議,并與政府的國家通信系統(tǒng)(NCS)在電信與應急通信領域建立了長期合作機制。在NSTAC的提議下,成立了通信領域的信息共享與分析中心,搭建了政府與企業(yè)間通信領域關鍵基礎設施保護信息共享的平臺。1998年11月,能源部和能源業(yè)的天然氣研究所、電力研究所共同啟動的能源論壇,有超過100 個電力、石油和天然氣的行業(yè)和政府代表參加,到了1999年有150個與會代表。在新墨西哥州,工業(yè)界、學術界和政府機構自愿組建了“新墨西哥州關鍵基礎設施保護委員會”等。