文|路云天网络安全研究院 孔勇 范佳雪

环顾全球，网络安全形势仍十分严峻，各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢，发挥着基础性、全局性、支撑性作用，因此保护好关键信息基础设施是网络安全的重中之重。网络安全是开放的而不是封闭的，维护关键信息基础设施网络安全要有全球视野和开放心态，因此有必要关注其他国家的做法。美国全面加强关键基础设施保护安全工作已有二十五年历史，是值得我们重点关注的对象。通过开展美国关键基础设施保护系列政策的研究，旨在进一步更好地学习美国关键基础设施保护的理念与经验，思考关键基础设施保护工作路径，少走弯路。

美国于1998年颁布的第63号总统令《关键基础设施保护》，把保护美国关键基础设施安全作为明确的国家目标，并提出关键基础设施保护工作的组织架构。9·11事件之后，布什政府于2001年10月16日发布了13231号行政令《信息时代的关键基础设施保护》（以下简称“13231号行政令”），成立总统关键基础设施保护委员会（PCIPB：President's Critical Infrastructure Protection Board），全面负责美国关键基础设施信息系统安全的管理协调工作，与信息安全相关的多个政府部门和联邦机构统一与PCIPB相协调。针对信息系统保护的不同职能，PCIPB下设10个常设委员会分别与私营部门、各州和地方政府以及学术界开展合作，涉及领域包括信息安全保护协调、事故协调与危机响应、基础设施相互依存、信息共享、行政部门信息系统安全、研究与开发、国际信息基础设施保护、执法协调、国家安全和金融信息系统基础设施安全等。另外，13231号行政令还建立了国家基础设施咨询委员会（NIAC：National Infrastructure Advisory Committee），与之前成立的总统国家安全通信咨询委员会一并组成总统咨询小组，代表私营产业界向总统提供建议。随着13231号行政令的发布，美国更加重视关键基础设施信息系统安全保护，并持续加强政府之间以及政府与私营部门之间的协调工作。

一、主要内容

2001年10月16日，美国发布13231号行政令，正式成立总统关键基础设施保护委员，全面负责美国关键基础设施信息系统的协调保护工作，其下设的10个常设委员会与联邦政府机构紧密协调，建立了信息系统保护的多方沟通渠道。此外，该行政令还成立了国家基础设施咨询委员会，代表私营产业界向总统提供建议，为有效识别和减轻风险提出实用解决方案，极大地促进了美国关键基础设施保护的公私部门合作机制。

(一)提出关键基础设施信息系统保护方针并持续授权

二十一世纪初，美国认识到“信息技术革命改变了商业交易、政府运作和国防的实施方式，而这些都依赖于相互依存的关键信息基础设施网络”。13231号行政令提出了两个保护关键基础设施信息系统的方针。一是持续努力确保关键基础设施信息系统的安全，包括应急准备通信及支持此类系统的物理资产。二是防止中断关键基础设施信息系统的运行，保护美国人民、经济、政府服务及国家安全，确保发生的中断次数最少、持续时间最短、造成损害或损失最小。

13231 号行政令还分别对行政部门信息系统安全和国家安全信息系统进行授权，要求管理和预算办公室（OMB：Office of Management and Budget）负责监督和制定政府范围内各部、局使用信息系统的安全政策、标准和指南，要求国防部和中央情报局负责监督和制定相关政策、标准和指南，以确保被其他行政部、局所依赖的国家安全信息系统的业务运转安全。同时，13231号行政令明确规定各行政部门和机构负责人有责任提供和维护信息系统（包括应急通信系统）的安全。

(二)设立关键基础设施保护委员会加强协调保护能力

为了加强对关键基础设施信息系统的协调保护，13231号行政令建立了由近20个政府部门组成的协调机构“总统关键基础设施保护委员会”（PCIPB），代表联邦政府全面负责关键基础设施信息系统保护的协调工作，并通过下设协调委员会和常设委员会的方式履行对信息系统协调保护的不同职责。

应是总统网络空间安全特别顾问并由总统亲自任命，在白宫办公厅内应该有相应规模的工作班子，各行政部、局可选派工作人员进入主席的工作班子。

必须是联邦政府的全职官员或雇员，或是永久性兼职官员或雇员。成员应来自下述行政部、局和办公室的高级官员或代表。

图1：美国总统关键基础设施保护委员会组织结构

表1：美国关键基础设施保护委员会成员构成

此外，13231号行政令还要求在委员会下组成协调委员会，成员包括下述官员。

表2：美国协调委员会成员构成

13231号行政令规定总统关键基础设施保护委员会应具备两大职责，提供政策建议和对关键基础设施信息系统的保护工作进行协调（包括对应急通信及支撑这些系统的物理资产的保护）。为履行相关职责，行政令还规定委员会应做好如下九个方面工作。

工作职责：协调与私营部门的合作，并向私营部门进行关于关键基础设施信息系统（含应急通信以及支撑这些系统的物理资产）安全的咨询，具体包括以下几个方面：

（1）委员会可以协助制定自愿性的标准及最佳实践。

（2）与可能受影响的业界协商，确定双方共同关注的领域。

（3）协调高级联络官的活动，负责与这些部门和机构所关注领域内的私营部门组织就关键基础设施保护问题进行接触。

对应协调部门：

（1）委员会要协调州和地方政府与私营部门、业界社区、学术界代表和其他相关社会组织的合作。

（2）委员会应与关键基础设施保障办公室（CIAO：Critical Infrastructure Assurance Office）、商务部国家标准和技术研究所、国家基础设施保护中心（NIPC：National Infrastructure Protection Center）和国家通信系统（NCS：National Communications System）协调工作。

工作职责：与工业界、州和地方政府以及非政府组织进行合作，确保建立和维护其信息共享系统，以便在政府的网络运行中心、工业界自愿建立的信息共享和分析中心以及其他有关网络运行中心之间共享威胁预警信息、分析结果以及系统恢复所需的信息。

对应协调部门：委员会应当与国家安全系统委员会（NCS）、联邦计算机应急响应中心、国家基础设施保护中心（NIPC）以及其他有关部、局进行协调。

工作职责：协调项目和政策，以应对威胁关键基础设施信息系统安全的事件，包括应急通信和支持此类系统的物理资产。

对应协调部门：委员会应通过国家基础设施保护中心（NIPC）和国家安全系统委员会（NCS）及其他部门机构与司法部协调工作。

图2：美国总统关键基础设施保护委员会九大工作方向

工作职责：与行政部门和机构协商，协调各项计划，确保负责保护关键基础设施信息系统(包括应急准备通信和支持这些系统的物理资产)的政府雇员得到充分的培训和评估。

对应协调部门：人事管理办公室应酌情与委员会协调工作。

工作职责：协调联邦政府在关键基础设施信息系统领域的研究和开发计划，确保政府在这一领域的活动与企业、大学、联邦资助的研究中心和国家实验室进行协调。

对应协调部门：委员会应与国家科学基金会、国防高级研究计划局以及其他部门和机构酌情协调工作。

工作职责：推动打击网络犯罪的项目，协助联邦执法机构从行政部门和机构获得必要的合作。支持联邦执法机构调查涉及关键基础设施信息系统（包括应急通信以及支持此类系统的有形资产）的非法活动，并支持这些机构与其他有责任保卫国家安全的部门和机构进行协调。

对应协调部门：委员会应通过国家关键基础设施保护中心（NIPC）与司法部协调工作，通过特勤局与财政部协调工作，并视情况与其他部门和机构协调工作。

工作职责：支持国务院协调美国政府在国际信息基础设施保护问题方面的国际合作项目。

工作职责：根据行政管理和预算局（OMB）A-19号通知，向各部门和机构、行政管理和预算局局长和总统立法事务助理提供有关保护关键基础设施信息系统（包括应急通信以及支持此类系统的有形资产）的立法建议。

工作职责：执行2001年10月8日第13228号行政命令赋予国土安全部的与保护和恢复关键基础设施信息系统免受攻击有关的职能。

对应协调部门：总统国土安全助理与总统国家安全事务助理协调。

委员会可下设常设委员会，常设委员会可下设必要的子委员会。

常设委员会主席：由各部、局一把手或代表担任，并应定期向总统关键基础设施保护委员会全面报告所开展的工作，确保各常设委员会之间的协调。

常设委员会成员：可不必来自委员会成员所在部、局，还可包括其他的部、局代表。

13231号行政令列举了已经设立的常设委员会清单，并明确了各常设委员会主席及相应的协调对象。

表3：常设委员会及协调对象

13231号行政令要求总统关键基础设施保护委员会定期制定国家计划，并经过与国土安全办公室的协调，对关键基础设施信息系统安全工作向管理和预算办公室（OMB）提出预算建议。此外，总统办公室应为委员会提供资金、人事及其他管理支持，各成员单位也应向委员会提供管理支持，国家安全局应确保委员会信息通信系统的安全。另外，包括国家科学基金会、能源部、交通部、环境保护局、商务部、国防部在内的各行政部、都应在向OMB提交的预算中体现对委员会的活动支持。

(三)创建国家基础设施咨询委员会提升顾问咨询能力

13231号行政令还建立了国家基础设施咨询委员会（NIAC），与之前成立的国家安全电信咨询委员会（NSTAC）形成总统顾问小组，代表私营部门向总统提供观点和建议。

由总统在国家基础设施咨询委员会（NIAC）内部指定主席和副主席。

由总统任命30位关键基础设施信息系统安全高级管理人员，这些高级管理人员必须是非联邦政府全职雇员，来自私营部门、学术界、州和地方政府且具有相关专业知识。

国家基础设施咨询委员会的主要职责是向总统提供关键基础设施信息系统安全的建议，以促进公私合作，包括银行和金融、交通、能源、制造业、应急服务等领域，具体职能方向如下：

（1）加强公共和私营部门在保护关键基础设施的信息系统方面的伙伴关系，提升私营部门对关键基础设施信息系统保护工作的参与度。

（2）提出并制定鼓励私营部门开展关键基础设施信息系统安全风险评估的手段和方法。

（3）监督私营部门信息共享和分析中心（ISAC）的建设，向总统关键基础设施保护委员会提出促进各ISAC与NIPC及其他联邦机构合作的建议。

（4）通过关键基础设施保护委员会向总统汇报，确保与总统经济政策助理进行协调。

（5）向负责关键基础设施保护的对口“领导机关”、部门协调员、NIPC、ISAC以及关键信息基础设施保护委员会提出建议。

为支持和管理国家基础设施咨询委员会的正常运行，13231号行政令明确了其享有的权利：

（1）NIAC可以举行听证会、开展调查及建立合适的子委员会。

（2）行政部、局负责人应向NIAC提供关键基础设施信息系统安全的相关信息。

（3）联邦政府的高级官员可以参加NIAC的相关会议。

（4）NIAC成员工作没有工资补贴。

（5）商务部应通过关键基础设施保护办公室（CIAO）向NIAC提供管理服务、人事服务，必要时可提供资金支持。

（6）NIAC在13231号行政令发布2年后终止，总统可在委员会到期前延续。

二、价值和意义

（一）重点加强信息系统安全保护，应对互联网信息时代发展

二十一世纪初的互联网技术飞速发展，美国关键基础设施的控制和运行越发依赖网络信息技术，关键基础设施的信息系统建设也日益庞大和复杂。“9·11”事件给美国敲响了警钟，包括应急通信在内的关键基础设施信息系统在恐怖袭击中出现了重大的保障协调问题。美国意识到之前充分的物理防御已经无法完全适应信息时代的关键基础设施保护，13231号行政令的发布进一步加强了美国关键基础设施信息系统的安全保护，通过持续强化公私营部门的合作机制，提供更加广泛和实用的政策建议，使关键基础设施信息系统安全成为保护重点。

（二）优化跨部门管理协调机构，启动国家级协调组织模式

13231号行政令成立的总统关键基础设施保护委员会被赋予了全面处理关键基础设施信息系统协调保护的职能，委员会主席是总统亲自任命的网络空间安全特别顾问理查德·克拉克，成员均为各行政部、局的高级领导人，委员会分别从公私合作、信息共享、应急响应、研究开发、专业培训、国际合作、立法建议、执法协同、保障恢复等九个方向，针对美国关键基础设施信息系统寻求协调保护的解决方法，通过设置相应的常设委员会，对接多个领域的具体协调对象，以定期会议沟通的方式保持“委员会”与“常设委员会”之间的步调一致，形成合力，为美国关键基础设施保护提供了跨部门管理协调的机制参考。

（三）促进公私部门的合作机制，强化建言献策的顾问作用

美国的关键基础设施保护离不开政府和私营部门的合作努力，政府制定相关政策命令需要听取来自私营产业界的有效建议。13231号行政令成立的国家基础设施咨询委员会（NIAC），延续了63号总统令建立起来的公私合作机制，力图通过协调和审查各个机构的关键基础设施保护项目，结合美国实际情况提供相关政策建议。国家基础设施咨询委员会的成员来自行业、州和地方政府的高级管理人员，这些成员都具备丰富的专业知识和行业经验，对各自领域的关键基础设施信息系统安全非常了解，通过对关键基础设施的物理和网络风险进行深入研究，能够很好的向总统提供实用战略和政策建议，极大地促进了美国关键基础设施保护的公私合作机制。