文|路云天網(wǎng)絡安全研究院 孔勇 范佳雪

環(huán)顧全球，網(wǎng)絡安全形勢仍十分嚴峻，各國在網(wǎng)絡空間展開激烈博弈。關鍵信息基礎設施是我國經(jīng)濟社會運行的神經(jīng)中樞，發(fā)揮著基礎性、全局性、支撐性作用，因此保護好關鍵信息基礎設施是網(wǎng)絡安全的重中之重。網(wǎng)絡安全是開放的而不是封閉的，維護關鍵信息基礎設施網(wǎng)絡安全要有全球視野和開放心態(tài)，因此有必要關注其他國家的做法。美國全面加強關鍵基礎設施保護安全工作已有二十五年歷史，是值得我們重點關注的對象。通過開展美國關鍵基礎設施保護系列政策的研究，旨在進一步更好地學習美國關鍵基礎設施保護的理念與經(jīng)驗，思考關鍵基礎設施保護工作路徑，少走彎路。

美國于1998年頒布的第63號總統(tǒng)令《關鍵基礎設施保護》，把保護美國關鍵基礎設施安全作為明確的國家目標，并提出關鍵基礎設施保護工作的組織架構。9·11事件之后，布什政府于2001年10月16日發(fā)布了13231號行政令《信息時代的關鍵基礎設施保護》（以下簡稱“13231號行政令”），成立總統(tǒng)關鍵基礎設施保護委員會（PCIPB：President's Critical Infrastructure Protection Board），全面負責美國關鍵基礎設施信息系統(tǒng)安全的管理協(xié)調工作，與信息安全相關的多個政府部門和聯(lián)邦機構統(tǒng)一與PCIPB相協(xié)調。針對信息系統(tǒng)保護的不同職能，PCIPB下設10個常設委員會分別與私營部門、各州和地方政府以及學術界開展合作，涉及領域包括信息安全保護協(xié)調、事故協(xié)調與危機響應、基礎設施相互依存、信息共享、行政部門信息系統(tǒng)安全、研究與開發(fā)、國際信息基礎設施保護、執(zhí)法協(xié)調、國家安全和金融信息系統(tǒng)基礎設施安全等。另外，13231號行政令還建立了國家基礎設施咨詢委員會（NIAC：National Infrastructure Advisory Committee），與之前成立的總統(tǒng)國家安全通信咨詢委員會一并組成總統(tǒng)咨詢小組，代表私營產(chǎn)業(yè)界向總統(tǒng)提供建議。隨著13231號行政令的發(fā)布，美國更加重視關鍵基礎設施信息系統(tǒng)安全保護，并持續(xù)加強政府之間以及政府與私營部門之間的協(xié)調工作。

一、主要內(nèi)容

2001年10月16日，美國發(fā)布13231號行政令，正式成立總統(tǒng)關鍵基礎設施保護委員，全面負責美國關鍵基礎設施信息系統(tǒng)的協(xié)調保護工作，其下設的10個常設委員會與聯(lián)邦政府機構緊密協(xié)調，建立了信息系統(tǒng)保護的多方溝通渠道。此外，該行政令還成立了國家基礎設施咨詢委員會，代表私營產(chǎn)業(yè)界向總統(tǒng)提供建議，為有效識別和減輕風險提出實用解決方案，極大地促進了美國關鍵基礎設施保護的公私部門合作機制。

(一)提出關鍵基礎設施信息系統(tǒng)保護方針并持續(xù)授權

二十一世紀初，美國認識到“信息技術革命改變了商業(yè)交易、政府運作和國防的實施方式，而這些都依賴于相互依存的關鍵信息基礎設施網(wǎng)絡”。13231號行政令提出了兩個保護關鍵基礎設施信息系統(tǒng)的方針。一是持續(xù)努力確保關鍵基礎設施信息系統(tǒng)的安全，包括應急準備通信及支持此類系統(tǒng)的物理資產(chǎn)。二是防止中斷關鍵基礎設施信息系統(tǒng)的運行，保護美國人民、經(jīng)濟、政府服務及國家安全，確保發(fā)生的中斷次數(shù)最少、持續(xù)時間最短、造成損害或損失最小。

13231 號行政令還分別對行政部門信息系統(tǒng)安全和國家安全信息系統(tǒng)進行授權，要求管理和預算辦公室（OMB：Office of Management and Budget）負責監(jiān)督和制定政府范圍內(nèi)各部、局使用信息系統(tǒng)的安全政策、標準和指南，要求國防部和中央情報局負責監(jiān)督和制定相關政策、標準和指南，以確保被其他行政部、局所依賴的國家安全信息系統(tǒng)的業(yè)務運轉安全。同時，13231號行政令明確規(guī)定各行政部門和機構負責人有責任提供和維護信息系統(tǒng)（包括應急通信系統(tǒng)）的安全。

(二)設立關鍵基礎設施保護委員會加強協(xié)調保護能力

為了加強對關鍵基礎設施信息系統(tǒng)的協(xié)調保護，13231號行政令建立了由近20個政府部門組成的協(xié)調機構“總統(tǒng)關鍵基礎設施保護委員會”（PCIPB），代表聯(lián)邦政府全面負責關鍵基礎設施信息系統(tǒng)保護的協(xié)調工作，并通過下設協(xié)調委員會和常設委員會的方式履行對信息系統(tǒng)協(xié)調保護的不同職責。

應是總統(tǒng)網(wǎng)絡空間安全特別顧問并由總統(tǒng)親自任命，在白宮辦公廳內(nèi)應該有相應規(guī)模的工作班子，各行政部、局可選派工作人員進入主席的工作班子。

必須是聯(lián)邦政府的全職官員或雇員，或是永久性兼職官員或雇員。成員應來自下述行政部、局和辦公室的高級官員或代表。

圖1：美國總統(tǒng)關鍵基礎設施保護委員會組織結構

表1：美國關鍵基礎設施保護委員會成員構成

此外，13231號行政令還要求在委員會下組成協(xié)調委員會，成員包括下述官員。

表2：美國協(xié)調委員會成員構成

13231號行政令規(guī)定總統(tǒng)關鍵基礎設施保護委員會應具備兩大職責，提供政策建議和對關鍵基礎設施信息系統(tǒng)的保護工作進行協(xié)調（包括對應急通信及支撐這些系統(tǒng)的物理資產(chǎn)的保護）。為履行相關職責，行政令還規(guī)定委員會應做好如下九個方面工作。

工作職責：協(xié)調與私營部門的合作，并向私營部門進行關于關鍵基礎設施信息系統(tǒng)（含應急通信以及支撐這些系統(tǒng)的物理資產(chǎn)）安全的咨詢，具體包括以下幾個方面：

（1）委員會可以協(xié)助制定自愿性的標準及最佳實踐。

（2）與可能受影響的業(yè)界協(xié)商，確定雙方共同關注的領域。

（3）協(xié)調高級聯(lián)絡官的活動，負責與這些部門和機構所關注領域內(nèi)的私營部門組織就關鍵基礎設施保護問題進行接觸。

對應協(xié)調部門：

（1）委員會要協(xié)調州和地方政府與私營部門、業(yè)界社區(qū)、學術界代表和其他相關社會組織的合作。

（2）委員會應與關鍵基礎設施保障辦公室（CIAO：Critical Infrastructure Assurance Office）、商務部國家標準和技術研究所、國家基礎設施保護中心（NIPC：National Infrastructure Protection Center）和國家通信系統(tǒng)（NCS：National Communications System）協(xié)調工作。

工作職責：與工業(yè)界、州和地方政府以及非政府組織進行合作，確保建立和維護其信息共享系統(tǒng)，以便在政府的網(wǎng)絡運行中心、工業(yè)界自愿建立的信息共享和分析中心以及其他有關網(wǎng)絡運行中心之間共享威脅預警信息、分析結果以及系統(tǒng)恢復所需的信息。

對應協(xié)調部門：委員會應當與國家安全系統(tǒng)委員會（NCS）、聯(lián)邦計算機應急響應中心、國家基礎設施保護中心（NIPC）以及其他有關部、局進行協(xié)調。

工作職責：協(xié)調項目和政策，以應對威脅關鍵基礎設施信息系統(tǒng)安全的事件，包括應急通信和支持此類系統(tǒng)的物理資產(chǎn)。

對應協(xié)調部門：委員會應通過國家基礎設施保護中心（NIPC）和國家安全系統(tǒng)委員會（NCS）及其他部門機構與司法部協(xié)調工作。

圖2：美國總統(tǒng)關鍵基礎設施保護委員會九大工作方向

工作職責：與行政部門和機構協(xié)商，協(xié)調各項計劃，確保負責保護關鍵基礎設施信息系統(tǒng)(包括應急準備通信和支持這些系統(tǒng)的物理資產(chǎn))的政府雇員得到充分的培訓和評估。

對應協(xié)調部門：人事管理辦公室應酌情與委員會協(xié)調工作。

工作職責：協(xié)調聯(lián)邦政府在關鍵基礎設施信息系統(tǒng)領域的研究和開發(fā)計劃，確保政府在這一領域的活動與企業(yè)、大學、聯(lián)邦資助的研究中心和國家實驗室進行協(xié)調。

對應協(xié)調部門：委員會應與國家科學基金會、國防高級研究計劃局以及其他部門和機構酌情協(xié)調工作。

工作職責：推動打擊網(wǎng)絡犯罪的項目，協(xié)助聯(lián)邦執(zhí)法機構從行政部門和機構獲得必要的合作。支持聯(lián)邦執(zhí)法機構調查涉及關鍵基礎設施信息系統(tǒng)（包括應急通信以及支持此類系統(tǒng)的有形資產(chǎn)）的非法活動，并支持這些機構與其他有責任保衛(wèi)國家安全的部門和機構進行協(xié)調。

對應協(xié)調部門：委員會應通過國家關鍵基礎設施保護中心（NIPC）與司法部協(xié)調工作，通過特勤局與財政部協(xié)調工作，并視情況與其他部門和機構協(xié)調工作。

工作職責：支持國務院協(xié)調美國政府在國際信息基礎設施保護問題方面的國際合作項目。

工作職責：根據(jù)行政管理和預算局（OMB）A-19號通知，向各部門和機構、行政管理和預算局局長和總統(tǒng)立法事務助理提供有關保護關鍵基礎設施信息系統(tǒng)（包括應急通信以及支持此類系統(tǒng)的有形資產(chǎn)）的立法建議。

工作職責：執(zhí)行2001年10月8日第13228號行政命令賦予國土安全部的與保護和恢復關鍵基礎設施信息系統(tǒng)免受攻擊有關的職能。

對應協(xié)調部門：總統(tǒng)國土安全助理與總統(tǒng)國家安全事務助理協(xié)調。

委員會可下設常設委員會，常設委員會可下設必要的子委員會。

常設委員會主席：由各部、局一把手或代表擔任，并應定期向總統(tǒng)關鍵基礎設施保護委員會全面報告所開展的工作，確保各常設委員會之間的協(xié)調。

常設委員會成員：可不必來自委員會成員所在部、局，還可包括其他的部、局代表。

13231號行政令列舉了已經(jīng)設立的常設委員會清單，并明確了各常設委員會主席及相應的協(xié)調對象。

表3：常設委員會及協(xié)調對象

13231號行政令要求總統(tǒng)關鍵基礎設施保護委員會定期制定國家計劃，并經(jīng)過與國土安全辦公室的協(xié)調，對關鍵基礎設施信息系統(tǒng)安全工作向管理和預算辦公室（OMB）提出預算建議。此外，總統(tǒng)辦公室應為委員會提供資金、人事及其他管理支持，各成員單位也應向委員會提供管理支持，國家安全局應確保委員會信息通信系統(tǒng)的安全。另外，包括國家科學基金會、能源部、交通部、環(huán)境保護局、商務部、國防部在內(nèi)的各行政部、都應在向OMB提交的預算中體現(xiàn)對委員會的活動支持。

(三)創(chuàng)建國家基礎設施咨詢委員會提升顧問咨詢能力

13231號行政令還建立了國家基礎設施咨詢委員會（NIAC），與之前成立的國家安全電信咨詢委員會（NSTAC）形成總統(tǒng)顧問小組，代表私營部門向總統(tǒng)提供觀點和建議。

由總統(tǒng)在國家基礎設施咨詢委員會（NIAC）內(nèi)部指定主席和副主席。

由總統(tǒng)任命30位關鍵基礎設施信息系統(tǒng)安全高級管理人員，這些高級管理人員必須是非聯(lián)邦政府全職雇員，來自私營部門、學術界、州和地方政府且具有相關專業(yè)知識。

國家基礎設施咨詢委員會的主要職責是向總統(tǒng)提供關鍵基礎設施信息系統(tǒng)安全的建議，以促進公私合作，包括銀行和金融、交通、能源、制造業(yè)、應急服務等領域，具體職能方向如下：

（1）加強公共和私營部門在保護關鍵基礎設施的信息系統(tǒng)方面的伙伴關系，提升私營部門對關鍵基礎設施信息系統(tǒng)保護工作的參與度。

（2）提出并制定鼓勵私營部門開展關鍵基礎設施信息系統(tǒng)安全風險評估的手段和方法。

（3）監(jiān)督私營部門信息共享和分析中心（ISAC）的建設，向總統(tǒng)關鍵基礎設施保護委員會提出促進各ISAC與NIPC及其他聯(lián)邦機構合作的建議。

（4）通過關鍵基礎設施保護委員會向總統(tǒng)匯報，確保與總統(tǒng)經(jīng)濟政策助理進行協(xié)調。

（5）向負責關鍵基礎設施保護的對口“領導機關”、部門協(xié)調員、NIPC、ISAC以及關鍵信息基礎設施保護委員會提出建議。

為支持和管理國家基礎設施咨詢委員會的正常運行，13231號行政令明確了其享有的權利：

（1）NIAC可以舉行聽證會、開展調查及建立合適的子委員會。

（2）行政部、局負責人應向NIAC提供關鍵基礎設施信息系統(tǒng)安全的相關信息。

（3）聯(lián)邦政府的高級官員可以參加NIAC的相關會議。

（4）NIAC成員工作沒有工資補貼。

（5）商務部應通過關鍵基礎設施保護辦公室（CIAO）向NIAC提供管理服務、人事服務，必要時可提供資金支持。

（6）NIAC在13231號行政令發(fā)布2年后終止，總統(tǒng)可在委員會到期前延續(xù)。

二、價值和意義

（一）重點加強信息系統(tǒng)安全保護，應對互聯(lián)網(wǎng)信息時代發(fā)展

二十一世紀初的互聯(lián)網(wǎng)技術飛速發(fā)展，美國關鍵基礎設施的控制和運行越發(fā)依賴網(wǎng)絡信息技術，關鍵基礎設施的信息系統(tǒng)建設也日益龐大和復雜?！?·11”事件給美國敲響了警鐘，包括應急通信在內(nèi)的關鍵基礎設施信息系統(tǒng)在恐怖襲擊中出現(xiàn)了重大的保障協(xié)調問題。美國意識到之前充分的物理防御已經(jīng)無法完全適應信息時代的關鍵基礎設施保護，13231號行政令的發(fā)布進一步加強了美國關鍵基礎設施信息系統(tǒng)的安全保護，通過持續(xù)強化公私營部門的合作機制，提供更加廣泛和實用的政策建議，使關鍵基礎設施信息系統(tǒng)安全成為保護重點。

（二）優(yōu)化跨部門管理協(xié)調機構，啟動國家級協(xié)調組織模式

13231號行政令成立的總統(tǒng)關鍵基礎設施保護委員會被賦予了全面處理關鍵基礎設施信息系統(tǒng)協(xié)調保護的職能，委員會主席是總統(tǒng)親自任命的網(wǎng)絡空間安全特別顧問理查德·克拉克，成員均為各行政部、局的高級領導人，委員會分別從公私合作、信息共享、應急響應、研究開發(fā)、專業(yè)培訓、國際合作、立法建議、執(zhí)法協(xié)同、保障恢復等九個方向，針對美國關鍵基礎設施信息系統(tǒng)尋求協(xié)調保護的解決方法，通過設置相應的常設委員會，對接多個領域的具體協(xié)調對象，以定期會議溝通的方式保持“委員會”與“常設委員會”之間的步調一致，形成合力，為美國關鍵基礎設施保護提供了跨部門管理協(xié)調的機制參考。

（三）促進公私部門的合作機制，強化建言獻策的顧問作用

美國的關鍵基礎設施保護離不開政府和私營部門的合作努力，政府制定相關政策命令需要聽取來自私營產(chǎn)業(yè)界的有效建議。13231號行政令成立的國家基礎設施咨詢委員會（NIAC），延續(xù)了63號總統(tǒng)令建立起來的公私合作機制，力圖通過協(xié)調和審查各個機構的關鍵基礎設施保護項目，結合美國實際情況提供相關政策建議。國家基礎設施咨詢委員會的成員來自行業(yè)、州和地方政府的高級管理人員，這些成員都具備豐富的專業(yè)知識和行業(yè)經(jīng)驗，對各自領域的關鍵基礎設施信息系統(tǒng)安全非常了解，通過對關鍵基礎設施的物理和網(wǎng)絡風險進行深入研究，能夠很好的向總統(tǒng)提供實用戰(zhàn)略和政策建議，極大地促進了美國關鍵基礎設施保護的公私合作機制。