文 | 路云天網(wǎng)絡安全研究院 孔勇 范佳雪

環(huán)顧全球，網(wǎng)絡安全形勢仍十分嚴峻，各國在網(wǎng)絡空間展開激烈博弈。關鍵信息基礎設施是我國經(jīng)濟社會運行的神經(jīng)中樞，發(fā)揮著基礎性、全局性、支撐性作用，因此保護好關鍵信息基礎設施是網(wǎng)絡安全的重中之重。網(wǎng)絡安全是開放的而不是封閉的，維護關鍵信息基礎設施網(wǎng)絡安全要有全球視野和開放心態(tài)，因此有必要關注其他國家的做法。美國全面加強關鍵基礎設施保護安全工作已有26年的歷史，是值得我們關注的重點對象。通過開展美國關鍵基礎設施保護政策的系列研究，旨在進一步更好的學習美國關鍵基礎設施保護的理念與經(jīng)驗，思考關鍵基礎設施保護工作路徑，少走彎路。

2003年12月17日，美國布什政府發(fā)布第7號國土安全總統(tǒng)令《關鍵基礎設施識別、優(yōu)先排序和保護》（以下簡稱“國土安全總統(tǒng)令”），宣布取代1998年5月22日發(fā)布的第63號總統(tǒng)令《關鍵基礎設施保護》。國土安全總統(tǒng)令重新確定了美國關鍵基礎設施保護的整體框架，在關鍵基礎設施基礎上提出了“重要資源”的概念，明確了包括國土安全部在內(nèi)的各聯(lián)邦機構關于關鍵基礎設施保護的責任，并重新劃分了不同關鍵基礎設施行業(yè)的主管部門。該法令還要求國土安全部與其他聯(lián)邦機構協(xié)商制定后續(xù)的關鍵基礎設施保護國家計劃，這些舉措極大地推動了美國關鍵基礎設施保護體系的建設。

一、發(fā)布背景

1998年5月22日，美國克林頓政府頒布63號總統(tǒng)令《關鍵基礎設施保護政策》，旨在為關鍵基礎設施的保護指定一個可行性的框架，制定了聯(lián)邦政府和私營部門合作保護物理和網(wǎng)絡關鍵基礎設施的戰(zhàn)略。2002年依據(jù)《國土安全法》，美國布什政府宣布成立國土安全部，要求其負責國內(nèi)安全及防恐活動，關鍵基礎設施保護自然歸口在國土安全部管理。國土安全部的成立，使得63號令中確立的關鍵基礎設施保護框架不再適配實際情況，美國聯(lián)邦政府中關于關鍵基礎設施保護的職責需要重新劃分。

關鍵基礎設施和關鍵資源是支撐社會運行的基礎，與此同時也極容易成為恐怖分子的攻擊目標。美國國家安全長期受到恐怖分子的威脅，其中2001年“9·11”事件不僅使美國經(jīng)濟損失慘重，也大大削弱了政府公信力。為盡量避免類似事件的再次發(fā)生，保障聯(lián)邦政府和關鍵基礎設施的正常運行，需要完善關鍵基礎設施的保護框架，明確聯(lián)邦機構的責任，加強相關機構的合作。

二、主要內(nèi)容

國土安全總統(tǒng)令明確了國土安全部及其他聯(lián)邦機構關于關鍵基礎設施保護的責任，搭建了美國關鍵基礎設施保護的組織架構。同時，該總統(tǒng)令明確了美國關鍵基礎設施保護的基礎性框架，對后續(xù)國家政策的出臺做出計劃和要求，推動了關鍵基礎設施保護體系的不斷完善。

(一)細分保護對象，指定主管部門

國土安全總統(tǒng)令共提出了17類關鍵基礎設施行業(yè)和重要資源，其中：關鍵基礎設施是指對美國至關重要的系統(tǒng)和資產(chǎn)，包括物理的和虛擬的，這些系統(tǒng)和資產(chǎn)一旦喪失或被破壞，將對國土安全、經(jīng)濟安全、公眾衛(wèi)生安全產(chǎn)生破壞性影響。據(jù)此，關鍵基礎設施行業(yè)包括信息技術、電信、化學、運輸系統(tǒng)、應急服務、郵政和船運、農(nóng)業(yè)和食品、公共健康服務、供水與廢水處理系統(tǒng)、能源、銀行和金融、國家紀念物和圣像、國防工業(yè)基地。

國土安全總統(tǒng)令提到的“重要資源”是指維持經(jīng)濟和政府運行的至關重要的公共或私有資源。在國土安全總統(tǒng)令中，包括大壩、政府設施、商業(yè)設施、核設施等。

根據(jù)以上行業(yè)和資源的特征和運作模式，國土安全總統(tǒng)令指定了對應的主管部門：與1998年第63號總統(tǒng)令《關鍵基礎設施的保護政策》對比，國土安全總統(tǒng)令明確了大壩、政府設施和商業(yè)設施、核設施為重要資源，并將其與63號令中商務部、交通部、司法部和聯(lián)邦應急管理局主管的關鍵基礎設施行業(yè)保護職責賦予國土安全部。除此之外，國土安全總統(tǒng)令設置農(nóng)業(yè)部、內(nèi)政部、國防部分別為農(nóng)業(yè)和食品、國家紀念物和圣像、國防工業(yè)基地的主管部門。

(二)建立保護體系，明確組織架構

國土安全總統(tǒng)令按照關鍵基礎設施的行業(yè)特點和屬性劃分管理責任、分擔管理壓力，形成了國土安全部牽頭、聯(lián)邦政府相關機構和部門協(xié)力抓好基礎設施保護工作的格局。

圖1 關鍵基礎設施行業(yè)及其對口機構

圖2 關鍵基礎設施保護組織架構

協(xié)調(diào)保護工作。國土安全部部長應該負責協(xié)調(diào)整個國家的關鍵基礎設施和重要資源的保護工作，并作為首席聯(lián)邦官員領導、整合和協(xié)調(diào)聯(lián)邦各局、州和地方政府、私營部門之間的關鍵基礎設施和重要資源的保護工作。

識別關鍵資源。部長將負責標識關鍵基礎設施和重要資源，并為之排列優(yōu)先級，同時協(xié)調(diào)對關鍵基礎設施和重要資源的保護。其重點在于那些一旦被破壞便有可能對國民安全產(chǎn)生巨大影響或傷亡的關鍵基礎設施和重要資源。

制定指南準則。部長將確立統(tǒng)一的政策、手段、指南和方法，整合聯(lián)邦政府在各個部門內(nèi)以及各部門間的基礎設施保護和風險管理活動，相關計劃和活動要有衡量準則和標準。

安全機構運作。部長將運作一個重點關注網(wǎng)絡安全工作的機構，以進行關鍵基礎設施的分析、預警、信息共享、脆弱性消減，以及在必要時援助國家對關鍵基礎設施信息系統(tǒng)進行的恢復工作。在法律許可的范圍內(nèi)，該機構將協(xié)同司法及其他執(zhí)法機構對網(wǎng)絡安全空間威脅和攻擊實施調(diào)查及訴訟。除此之外，擁有信息技術專家的聯(lián)邦各部局，包括但不限于司法部、商務部、財政部、國防部、能源部、國務院和中央情報局，在法律要求的范圍內(nèi)必須支持這一安全機構的工作。

依照部長提供的指南，國土安全總統(tǒng)令給17類關鍵基礎行業(yè)和重要資源指定了其主管機構（特定機構），機構責任包括：與所有相關的聯(lián)邦部局、州和地方政府以及私營部門合作，包括基礎設施部門中的關鍵人員與實體；實施或推動對基礎設施部門脆弱性的評估；鼓勵實施風險管理戰(zhàn)略，以保護關鍵基礎設施和重要資源，緩解關鍵基礎設施和重要資源遭到攻擊后帶來的影響。

除了國土安全部和特定聯(lián)邦機構，國土安全總統(tǒng)令將關系到關鍵基礎設施和重要資源保護的各聯(lián)邦部局以及各個總統(tǒng)行政辦公室均賦予特殊職能。

國務院：一方面與國內(nèi)機構合作，協(xié)調(diào)配合國土安全部、司法部、商務部、國防部、財政部等相關聯(lián)邦機構工作；一方面與外國政府以及國際組織合作，加強對美國的關鍵基礎設施和重要資源的保護。

司法部（包括聯(lián)邦調(diào)查局）：負責減少國內(nèi)的恐怖分子威脅，調(diào)查和起訴那些針對關鍵基礎設施和重要資源已經(jīng)實施或正在醞釀襲擊和破壞的恐怖分子。

商務部：與私營部門、研究組織、學術組織和政府組織相合作，以改進信息系統(tǒng)技術，推動其他關鍵基礎設施工作，包括在《國防生產(chǎn)法》的授權下確保工業(yè)產(chǎn)品、材料和服務的及時可用，以滿足國土安全的需求。

交通部：負責國家航空系統(tǒng)的運營，并與國土安全部在所有與運輸安全和運輸基礎設施保護有關的事項上展開合作，比如管制危險材料以任何方式（包括管道）的運輸。

關鍵基礎設施保護政策協(xié)調(diào)委員會：協(xié)調(diào)機構間的政策建議，就物理和網(wǎng)絡兩方面的基礎設施保護工作向國土安全委員會提出咨詢建議。其中，協(xié)調(diào)委員會的主席將由一位聯(lián)邦官員擔任或由總統(tǒng)國土安全助理進行任命。

國家科技政策辦公室：協(xié)調(diào)跨機構的研究和開發(fā)工作，以增強對關鍵基礎設施和重要資源的保護。

管理與預算辦公室（OMB）：監(jiān)督與聯(lián)邦政府計算機安全項目有關的政府層政策、原則、標準和指南的執(zhí)行。OMB主任負責運行一個中央的聯(lián)邦信息安全事件中心，以適應2002年《聯(lián)邦信息安全管理法》的要求。

首席信息官委員會：依據(jù)2002年《電子政務法》中的要求，作為首要的跨機構論壇，改進聯(lián)邦各部局實施的與信息資源有關的設計、采辦、開發(fā)、現(xiàn)代化、使用、運行、共享和執(zhí)行等工作。

(三)制定后續(xù)計劃，完善機制體系

國家計劃。國土安全部長應該制定一個有關關鍵基礎設施和重要資源保護的全面、綜合的國家計劃，并在計劃中列舉出國家層面的目標、目的、里程碑。除此之外，還應包括：

基礎性戰(zhàn)略。用以標識關鍵基礎設施和重要資源、排列優(yōu)先級并對關鍵基礎設施保護工作加以協(xié)調(diào)，指導國土安全部與聯(lián)邦其他部局、州和地方政府、私營部門、外國政府以及國際組織的合作；

具體化工作。定義關鍵基礎設施和重要資源、排列關鍵基礎設施和重要資源的優(yōu)先級、降低關鍵基礎設施和重要資源的脆弱性、協(xié)調(diào)對關鍵基礎設施和重要資源的保護。

其他合作。包括與州和地方政府、私營部門共享關鍵基礎設施和重要資源的信息以及向其提供威脅預警數(shù)據(jù)。

行業(yè)計劃。在2004年7月之前，聯(lián)邦各部局的負責人應針對各部局所擁有和正在運行的關鍵基礎設施及重要資源制定相關保護計劃，并提交給OMB主任，以待批準。這些計劃應涉及標識、優(yōu)先級排序、保護以及應急計劃，旨在保障其基本運行，并在受到威脅時進行恢復和重建。

在符合2002年《國土安全法》以及其他相關規(guī)定和總統(tǒng)令的前提下，國土安全部應建立合適的系統(tǒng)、機制和程序，以確保聯(lián)邦其他部局、州和地方政府以及私營部門中與關鍵基礎設施和重要資源威脅及脆弱性有關的國土安全信息共享。

為更好地保護基礎設施，國土安全總統(tǒng)令要求國土安全部長建設一個國家級的跡象發(fā)現(xiàn)和預警體系機構，以增強國家對關鍵基礎設施襲擊事件的預警能力，同時促進：對基礎設施的基本運行狀況的了解；發(fā)現(xiàn)攻擊行為的前兆；形成能夠檢測和分析可能的攻擊模式的浪涌能力。

在建設這樣一個體系結構的過程中，國土安全部長將與聯(lián)邦、州、地方政府以及非政府實體合作，以便對物理和信息基礎設施及重要資源形成綜合視圖。

(四)上報工作情況，監(jiān)督指令實施

特定聯(lián)邦機構每年均應向國土安全部長匯報對各自負責的部門內(nèi)的關鍵基礎設施及重要資源進行標識、排列優(yōu)先級以及協(xié)調(diào)保護工作時的情況。自本令發(fā)布起一年內(nèi)，各機構應該提交這些報告，自此后每年匯報一次。

總統(tǒng)國土安全助理和總統(tǒng)國家安全事務助理應負責對關系到體系結構的整合以及下一代體系結構的國家安全和應急戰(zhàn)備通信政策進行審查，并與合適的聯(lián)邦部局的領導相協(xié)商。自本令發(fā)布起6個月，總統(tǒng)國土安全助理和總統(tǒng)國家安全事務助理應提交對這類政策的修改建議，供總統(tǒng)考慮。

三、要點分析

（一）細化關鍵基礎設施行業(yè)，強調(diào)重要資源概念

與1998年第63號總統(tǒng)令《關鍵基礎設施的保護政策》對比，國土安全總統(tǒng)令強調(diào)了“重要資源”的概念，擴大了關鍵基礎設施保護的實體范圍。同時結合不同關鍵基礎設施行業(yè)的運作特點，為其制定相對應的主管機構，并要求其主管機構對關鍵基礎設施和重要資源進行識別、優(yōu)先級排序和保護，推動該行業(yè)對關鍵基礎設施脆弱性的評估，必要時實施風險管理戰(zhàn)略，以控制關鍵基礎設施和重要資源遭到襲擊時帶來的影響。

（二）運作網(wǎng)絡安全焦點機構，建立威脅預警體系

國土安全總統(tǒng)令要求國土安全部運作一個關注網(wǎng)絡安全工作的機構，以進行關鍵基礎設施的分析、預警、信息共享、脆弱性削減，并援助國家對關鍵基礎設施的信息系統(tǒng)進行的恢復工作。與此同時，國土安全總統(tǒng)令要求其建設一個國家級的安全風險發(fā)現(xiàn)預警體系，重視信息共享與情報搜集工作。由此看出，國土安全總統(tǒng)令強調(diào)了關鍵基礎設施保護的情報搜集和信息共享工作，希望通過加強對威脅的態(tài)勢感知，更有效地避免恐怖襲擊事件的發(fā)生，也為后續(xù)國家保護與計劃司（NPPD）的組建和職責部署奠定基礎。

（三）推進后續(xù)國家計劃制定，監(jiān)督質量落地實施

國土安全總統(tǒng)令要求國土安全部制定一個有關關鍵基礎設施和重要資源保護的全面、綜合的國家計劃，并在計劃中列舉出國家層面的目標、目的、里程碑；要求聯(lián)邦各部局的負責人應針對各部局所擁有和正在運行的關鍵基礎設施及重要資源制定相關保護計劃，涉及標識、優(yōu)先級排序、保護以及應急響應。后續(xù)計劃的制定使得關鍵基礎設施保護框架得以不斷完善，同時也監(jiān)督了國土安全總統(tǒng)令落地實施。

四、總結

美國第7號國土安全總統(tǒng)令在第63號總統(tǒng)令的基礎上第一次確定了美國關鍵基礎設施保護工作的組織架構，為后續(xù)關鍵基礎設施保護工作開展奠定了基礎。在工作組織架構方面，新成立一個網(wǎng)絡安全機構，要求其負責信息情報的收集，輔助其他聯(lián)邦機構進行關鍵基礎設施的識別、管理、保護工作。在具體任務方面，國土安全總統(tǒng)令明確了國土安全部及特定聯(lián)邦機構的具體任務，包括對關鍵基礎設施進行識別、優(yōu)先級排序和保護工作，與關鍵基礎行業(yè)和相關私營部門展開合作、信息共享。在后續(xù)框架完善方面，國土安全總統(tǒng)令要求國土安全部制定關鍵基礎設施和重要資源保護的全面、綜合的國家計劃，要求聯(lián)邦各部局制定關鍵基礎設施及重要資源行業(yè)計劃。在第7號國土安全總統(tǒng)令的推動下，美國形成了完善的關鍵基礎設施保護框架，為后續(xù)自下而上的系統(tǒng)性保護計劃奠定了基礎。