信息時代下美國關鍵基礎設施加強信息系統保護
——《信息時代的關鍵基礎設施保護》解讀

文|路云天網絡安全研究院 孔勇 范佳雪

環顧全球，網絡安全形勢仍十分嚴峻，各國在網絡空間展開激烈博弈。關鍵信息基礎設施是我國經濟社會運行的神經中樞，發揮著基礎性、全局性、支撐性作用，因此保護好關鍵信息基礎設施是網絡安全的重中之重。網絡安全是開放的而不是封閉的，維護關鍵信息基礎設施網絡安全要有全球視野和開放心態，因此有必要關注其他國家的做法。美國全面加強關鍵基礎設施保護安全工作已有二十五年歷史，是值得我們重點關注的對象。通過開展美國關鍵基礎設施保護系列政策的研究，旨在進一步更好地學習美國關鍵基礎設施保護的理念與經驗，思考關鍵基礎設施保護工作路徑，少走彎路。

美國于1998年頒布的第63號總統令《關鍵基礎設施保護》，把保護美國關鍵基礎設施安全作為明確的國家目標，并提出關鍵基礎設施保護工作的組織架構。9·11事件之后，布什政府于2001年10月16日發布了13231號行政令《信息時代的關鍵基礎設施保護》（以下簡稱“13231號行政令”），成立總統關鍵基礎設施保護委員會（PCIPB：President's Critical Infrastructure Protection Board），全面負責美國關鍵基礎設施信息系統安全的管理協調工作，與信息安全相關的多個政府部門和聯邦機構統一與PCIPB相協調。針對信息系統保護的不同職能，PCIPB下設10個常設委員會分別與私營部門、各州和地方政府以及學術界開展合作，涉及領域包括信息安全保護協調、事故協調與危機響應、基礎設施相互依存、信息共享、行政部門信息系統安全、研究與開發、國際信息基礎設施保護、執法協調、國家安全和金融信息系統基礎設施安全等。另外，13231號行政令還建立了國家基礎設施咨詢委員會（NIAC：National Infrastructure Advisory Committee），與之前成立的總統國家安全通信咨詢委員會一并組成總統咨詢小組，代表私營產業界向總統提供建議。隨著13231號行政令的發布，美國更加重視關鍵基礎設施信息系統安全保護，并持續加強政府之間以及政府與私營部門之間的協調工作。

一、主要內容

2001年10月16日，美國發布13231號行政令，正式成立總統關鍵基礎設施保護委員，全面負責美國關鍵基礎設施信息系統的協調保護工作，其下設的10個常設委員會與聯邦政府機構緊密協調，建立了信息系統保護的多方溝通渠道。此外，該行政令還成立了國家基礎設施咨詢委員會，代表私營產業界向總統提供建議，為有效識別和減輕風險提出實用解決方案，極大地促進了美國關鍵基礎設施保護的公私部門合作機制。

(一)提出關鍵基礎設施信息系統保護方針并持續授權

二十一世紀初，美國認識到“信息技術革命改變了商業交易、政府運作和國防的實施方式，而這些都依賴于相互依存的關鍵信息基礎設施網絡”。13231號行政令提出了兩個保護關鍵基礎設施信息系統的方針。一是持續努力確保關鍵基礎設施信息系統的安全，包括應急準備通信及支持此類系統的物理資產。二是防止中斷關鍵基礎設施信息系統的運行，保護美國人民、經濟、政府服務及國家安全，確保發生的中斷次數最少、持續時間最短、造成損害或損失最小。

13231 號行政令還分別對行政部門信息系統安全和國家安全信息系統進行授權，要求管理和預算辦公室（OMB：Office of Management and Budget）負責監督和制定政府范圍內各部、局使用信息系統的安全政策、標準和指南，要求國防部和中央情報局負責監督和制定相關政策、標準和指南，以確保被其他行政部、局所依賴的國家安全信息系統的業務運轉安全。同時，13231號行政令明確規定各行政部門和機構負責人有責任提供和維護信息系統（包括應急通信系統）的安全。

(二)設立關鍵基礎設施保護委員會加強協調保護能力

為了加強對關鍵基礎設施信息系統的協調保護，13231號行政令建立了由近20個政府部門組成的協調機構“總統關鍵基礎設施保護委員會”（PCIPB），代表聯邦政府全面負責關鍵基礎設施信息系統保護的協調工作，并通過下設協調委員會和常設委員會的方式履行對信息系統協調保護的不同職責。

應是總統網絡空間安全特別顧問并由總統親自任命，在白宮辦公廳內應該有相應規模的工作班子，各行政部、局可選派工作人員進入主席的工作班子。

必須是聯邦政府的全職官員或雇員，或是永久性兼職官員或雇員。成員應來自下述行政部、局和辦公室的高級官員或代表。

圖1：美國總統關鍵基礎設施保護委員會組織結構

表1：美國關鍵基礎設施保護委員會成員構成

此外，13231號行政令還要求在委員會下組成協調委員會，成員包括下述官員。

表2：美國協調委員會成員構成

13231號行政令規定總統關鍵基礎設施保護委員會應具備兩大職責，提供政策建議和對關鍵基礎設施信息系統的保護工作進行協調（包括對應急通信及支撐這些系統的物理資產的保護）。為履行相關職責，行政令還規定委員會應做好如下九個方面工作。

工作職責：協調與私營部門的合作，并向私營部門進行關于關鍵基礎設施信息系統（含應急通信以及支撐這些系統的物理資產）安全的咨詢，具體包括以下幾個方面：

（1）委員會可以協助制定自愿性的標準及最佳實踐。

（2）與可能受影響的業界協商，確定雙方共同關注的領域。

（3）協調高級聯絡官的活動，負責與這些部門和機構所關注領域內的私營部門組織就關鍵基礎設施保護問題進行接觸。

對應協調部門：

（1）委員會要協調州和地方政府與私營部門、業界社區、學術界代表和其他相關社會組織的合作。

（2）委員會應與關鍵基礎設施保障辦公室（CIAO：Critical Infrastructure Assurance Office）、商務部國家標準和技術研究所、國家基礎設施保護中心（NIPC：National Infrastructure Protection Center）和國家通信系統（NCS：National Communications System）協調工作。

工作職責：與工業界、州和地方政府以及非政府組織進行合作，確保建立和維護其信息共享系統，以便在政府的網絡運行中心、工業界自愿建立的信息共享和分析中心以及其他有關網絡運行中心之間共享威脅預警信息、分析結果以及系統恢復所需的信息。

對應協調部門：委員會應當與國家安全系統委員會（NCS）、聯邦計算機應急響應中心、國家基礎設施保護中心（NIPC）以及其他有關部、局進行協調。

工作職責：協調項目和政策，以應對威脅關鍵基礎設施信息系統安全的事件，包括應急通信和支持此類系統的物理資產。

對應協調部門：委員會應通過國家基礎設施保護中心（NIPC）和國家安全系統委員會（NCS）及其他部門機構與司法部協調工作。

圖2：美國總統關鍵基礎設施保護委員會九大工作方向

工作職責：與行政部門和機構協商，協調各項計劃，確保負責保護關鍵基礎設施信息系統(包括應急準備通信和支持這些系統的物理資產)的政府雇員得到充分的培訓和評估。

對應協調部門：人事管理辦公室應酌情與委員會協調工作。

工作職責：協調聯邦政府在關鍵基礎設施信息系統領域的研究和開發計劃，確保政府在這一領域的活動與企業、大學、聯邦資助的研究中心和國家實驗室進行協調。

對應協調部門：委員會應與國家科學基金會、國防高級研究計劃局以及其他部門和機構酌情協調工作。

工作職責：推動打擊網絡犯罪的項目，協助聯邦執法機構從行政部門和機構獲得必要的合作。支持聯邦執法機構調查涉及關鍵基礎設施信息系統（包括應急通信以及支持此類系統的有形資產）的非法活動，并支持這些機構與其他有責任保衛國家安全的部門和機構進行協調。

對應協調部門：委員會應通過國家關鍵基礎設施保護中心（NIPC）與司法部協調工作，通過特勤局與財政部協調工作，并視情況與其他部門和機構協調工作。

工作職責：支持國務院協調美國政府在國際信息基礎設施保護問題方面的國際合作項目。

工作職責：根據行政管理和預算局（OMB）A-19號通知，向各部門和機構、行政管理和預算局局長和總統立法事務助理提供有關保護關鍵基礎設施信息系統（包括應急通信以及支持此類系統的有形資產）的立法建議。

工作職責：執行2001年10月8日第13228號行政命令賦予國土安全部的與保護和恢復關鍵基礎設施信息系統免受攻擊有關的職能。

對應協調部門：總統國土安全助理與總統國家安全事務助理協調。

委員會可下設常設委員會，常設委員會可下設必要的子委員會。

常設委員會主席：由各部、局一把手或代表擔任，并應定期向總統關鍵基礎設施保護委員會全面報告所開展的工作，確保各常設委員會之間的協調。

常設委員會成員：可不必來自委員會成員所在部、局，還可包括其他的部、局代表。

13231號行政令列舉了已經設立的常設委員會清單，并明確了各常設委員會主席及相應的協調對象。

表3：常設委員會及協調對象

13231號行政令要求總統關鍵基礎設施保護委員會定期制定國家計劃，并經過與國土安全辦公室的協調，對關鍵基礎設施信息系統安全工作向管理和預算辦公室（OMB）提出預算建議。此外，總統辦公室應為委員會提供資金、人事及其他管理支持，各成員單位也應向委員會提供管理支持，國家安全局應確保委員會信息通信系統的安全。另外，包括國家科學基金會、能源部、交通部、環境保護局、商務部、國防部在內的各行政部、都應在向OMB提交的預算中體現對委員會的活動支持。

(三)創建國家基礎設施咨詢委員會提升顧問咨詢能力

13231號行政令還建立了國家基礎設施咨詢委員會（NIAC），與之前成立的國家安全電信咨詢委員會（NSTAC）形成總統顧問小組，代表私營部門向總統提供觀點和建議。

由總統在國家基礎設施咨詢委員會（NIAC）內部指定主席和副主席。

由總統任命30位關鍵基礎設施信息系統安全高級管理人員，這些高級管理人員必須是非聯邦政府全職雇員，來自私營部門、學術界、州和地方政府且具有相關專業知識。

國家基礎設施咨詢委員會的主要職責是向總統提供關鍵基礎設施信息系統安全的建議，以促進公私合作，包括銀行和金融、交通、能源、制造業、應急服務等領域，具體職能方向如下：

（1）加強公共和私營部門在保護關鍵基礎設施的信息系統方面的伙伴關系，提升私營部門對關鍵基礎設施信息系統保護工作的參與度。

（2）提出并制定鼓勵私營部門開展關鍵基礎設施信息系統安全風險評估的手段和方法。

（3）監督私營部門信息共享和分析中心（ISAC）的建設，向總統關鍵基礎設施保護委員會提出促進各ISAC與NIPC及其他聯邦機構合作的建議。

（4）通過關鍵基礎設施保護委員會向總統匯報，確保與總統經濟政策助理進行協調。

（5）向負責關鍵基礎設施保護的對口“領導機關”、部門協調員、NIPC、ISAC以及關鍵信息基礎設施保護委員會提出建議。

為支持和管理國家基礎設施咨詢委員會的正常運行，13231號行政令明確了其享有的權利：

（1）NIAC可以舉行聽證會、開展調查及建立合適的子委員會。

（2）行政部、局負責人應向NIAC提供關鍵基礎設施信息系統安全的相關信息。

（3）聯邦政府的高級官員可以參加NIAC的相關會議。

（4）NIAC成員工作沒有工資補貼。

（5）商務部應通過關鍵基礎設施保護辦公室（CIAO）向NIAC提供管理服務、人事服務，必要時可提供資金支持。

（6）NIAC在13231號行政令發布2年后終止，總統可在委員會到期前延續。

二、價值和意義

（一）重點加強信息系統安全保護，應對互聯網信息時代發展

二十一世紀初的互聯網技術飛速發展，美國關鍵基礎設施的控制和運行越發依賴網絡信息技術，關鍵基礎設施的信息系統建設也日益龐大和復雜?！?·11”事件給美國敲響了警鐘，包括應急通信在內的關鍵基礎設施信息系統在恐怖襲擊中出現了重大的保障協調問題。美國意識到之前充分的物理防御已經無法完全適應信息時代的關鍵基礎設施保護，13231號行政令的發布進一步加強了美國關鍵基礎設施信息系統的安全保護，通過持續強化公私營部門的合作機制，提供更加廣泛和實用的政策建議，使關鍵基礎設施信息系統安全成為保護重點。

（二）優化跨部門管理協調機構，啟動國家級協調組織模式

13231號行政令成立的總統關鍵基礎設施保護委員會被賦予了全面處理關鍵基礎設施信息系統協調保護的職能，委員會主席是總統親自任命的網絡空間安全特別顧問理查德·克拉克，成員均為各行政部、局的高級領導人，委員會分別從公私合作、信息共享、應急響應、研究開發、專業培訓、國際合作、立法建議、執法協同、保障恢復等九個方向，針對美國關鍵基礎設施信息系統尋求協調保護的解決方法，通過設置相應的常設委員會，對接多個領域的具體協調對象，以定期會議溝通的方式保持“委員會”與“常設委員會”之間的步調一致，形成合力，為美國關鍵基礎設施保護提供了跨部門管理協調的機制參考。

（三）促進公私部門的合作機制，強化建言獻策的顧問作用

美國的關鍵基礎設施保護離不開政府和私營部門的合作努力，政府制定相關政策命令需要聽取來自私營產業界的有效建議。13231號行政令成立的國家基礎設施咨詢委員會（NIAC），延續了63號總統令建立起來的公私合作機制，力圖通過協調和審查各個機構的關鍵基礎設施保護項目，結合美國實際情況提供相關政策建議。國家基礎設施咨詢委員會的成員來自行業、州和地方政府的高級管理人員，這些成員都具備豐富的專業知識和行業經驗，對各自領域的關鍵基礎設施信息系統安全非常了解，通過對關鍵基礎設施的物理和網絡風險進行深入研究，能夠很好的向總統提供實用戰略和政策建議，極大地促進了美國關鍵基礎設施保護的公私合作機制。