文 | 路云天网络安全研究院 孔勇 范佳雪

环顾全球，网络安全形势仍十分严峻，各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢，发挥着基础性、全局性、支撑性作用，因此保护好关键信息基础设施是网络安全的重中之重。网络安全是开放的而不是封闭的，维护关键信息基础设施网络安全要有全球视野和开放心态，因此有必要关注其他国家的做法。美国全面加强关键基础设施保护安全工作已有26年的历史，是值得我们关注的重点对象。通过开展美国关键基础设施保护政策的系列研究，旨在进一步更好的学习美国关键基础设施保护的理念与经验，思考关键基础设施保护工作路径，少走弯路。

2003年12月17日，美国布什政府发布第7号国土安全总统令《关键基础设施识别、优先排序和保护》（以下简称“国土安全总统令”），宣布取代1998年5月22日发布的第63号总统令《关键基础设施保护》。国土安全总统令重新确定了美国关键基础设施保护的整体框架，在关键基础设施基础上提出了“重要资源”的概念，明确了包括国土安全部在内的各联邦机构关于关键基础设施保护的责任，并重新划分了不同关键基础设施行业的主管部门。该法令还要求国土安全部与其他联邦机构协商制定后续的关键基础设施保护国家计划，这些举措极大地推动了美国关键基础设施保护体系的建设。

一、发布背景

1998年5月22日，美国克林顿政府颁布63号总统令《关键基础设施保护政策》，旨在为关键基础设施的保护指定一个可行性的框架，制定了联邦政府和私营部门合作保护物理和网络关键基础设施的战略。2002年依据《国土安全法》，美国布什政府宣布成立国土安全部，要求其负责国内安全及防恐活动，关键基础设施保护自然归口在国土安全部管理。国土安全部的成立，使得63号令中确立的关键基础设施保护框架不再适配实际情况，美国联邦政府中关于关键基础设施保护的职责需要重新划分。

关键基础设施和关键资源是支撑社会运行的基础，与此同时也极容易成为恐怖分子的攻击目标。美国国家安全长期受到恐怖分子的威胁，其中2001年“9·11”事件不仅使美国经济损失惨重，也大大削弱了政府公信力。为尽量避免类似事件的再次发生，保障联邦政府和关键基础设施的正常运行，需要完善关键基础设施的保护框架，明确联邦机构的责任，加强相关机构的合作。

二、主要内容

国土安全总统令明确了国土安全部及其他联邦机构关于关键基础设施保护的责任，搭建了美国关键基础设施保护的组织架构。同时，该总统令明确了美国关键基础设施保护的基础性框架，对后续国家政策的出台做出计划和要求，推动了关键基础设施保护体系的不断完善。

(一)细分保护对象，指定主管部门

国土安全总统令共提出了17类关键基础设施行业和重要资源，其中：关键基础设施是指对美国至关重要的系统和资产，包括物理的和虚拟的，这些系统和资产一旦丧失或被破坏，将对国土安全、经济安全、公众卫生安全产生破坏性影响。据此，关键基础设施行业包括信息技术、电信、化学、运输系统、应急服务、邮政和船运、农业和食品、公共健康服务、供水与废水处理系统、能源、银行和金融、国家纪念物和圣像、国防工业基地。

国土安全总统令提到的“重要资源”是指维持经济和政府运行的至关重要的公共或私有资源。在国土安全总统令中，包括大坝、政府设施、商业设施、核设施等。

根据以上行业和资源的特征和运作模式，国土安全总统令指定了对应的主管部门：与1998年第63号总统令《关键基础设施的保护政策》对比，国土安全总统令明确了大坝、政府设施和商业设施、核设施为重要资源，并将其与63号令中商务部、交通部、司法部和联邦应急管理局主管的关键基础设施行业保护职责赋予国土安全部。除此之外，国土安全总统令设置农业部、内政部、国防部分别为农业和食品、国家纪念物和圣像、国防工业基地的主管部门。

(二)建立保护体系，明确组织架构

国土安全总统令按照关键基础设施的行业特点和属性划分管理责任、分担管理压力，形成了国土安全部牵头、联邦政府相关机构和部门协力抓好基础设施保护工作的格局。

图1 关键基础设施行业及其对口机构

图2 关键基础设施保护组织架构

协调保护工作。国土安全部部长应该负责协调整个国家的关键基础设施和重要资源的保护工作，并作为首席联邦官员领导、整合和协调联邦各局、州和地方政府、私营部门之间的关键基础设施和重要资源的保护工作。

识别关键资源。部长将负责标识关键基础设施和重要资源，并为之排列优先级，同时协调对关键基础设施和重要资源的保护。其重点在于那些一旦被破坏便有可能对国民安全产生巨大影响或伤亡的关键基础设施和重要资源。

制定指南准则。部长将确立统一的政策、手段、指南和方法，整合联邦政府在各个部门内以及各部门间的基础设施保护和风险管理活动，相关计划和活动要有衡量准则和标准。

安全机构运作。部长将运作一个重点关注网络安全工作的机构，以进行关键基础设施的分析、预警、信息共享、脆弱性消减，以及在必要时援助国家对关键基础设施信息系统进行的恢复工作。在法律许可的范围内，该机构将协同司法及其他执法机构对网络安全空间威胁和攻击实施调查及诉讼。除此之外，拥有信息技术专家的联邦各部局，包括但不限于司法部、商务部、财政部、国防部、能源部、国务院和中央情报局，在法律要求的范围内必须支持这一安全机构的工作。

依照部长提供的指南，国土安全总统令给17类关键基础行业和重要资源指定了其主管机构（特定机构），机构责任包括：与所有相关的联邦部局、州和地方政府以及私营部门合作，包括基础设施部门中的关键人员与实体；实施或推动对基础设施部门脆弱性的评估；鼓励实施风险管理战略，以保护关键基础设施和重要资源，缓解关键基础设施和重要资源遭到攻击后带来的影响。

除了国土安全部和特定联邦机构，国土安全总统令将关系到关键基础设施和重要资源保护的各联邦部局以及各个总统行政办公室均赋予特殊职能。

国务院：一方面与国内机构合作，协调配合国土安全部、司法部、商务部、国防部、财政部等相关联邦机构工作；一方面与外国政府以及国际组织合作，加强对美国的关键基础设施和重要资源的保护。

司法部（包括联邦调查局）：负责减少国内的恐怖分子威胁，调查和起诉那些针对关键基础设施和重要资源已经实施或正在酝酿袭击和破坏的恐怖分子。

商务部：与私营部门、研究组织、学术组织和政府组织相合作，以改进信息系统技术，推动其他关键基础设施工作，包括在《国防生产法》的授权下确保工业产品、材料和服务的及时可用，以满足国土安全的需求。

交通部：负责国家航空系统的运营，并与国土安全部在所有与运输安全和运输基础设施保护有关的事项上展开合作，比如管制危险材料以任何方式（包括管道）的运输。

关键基础设施保护政策协调委员会：协调机构间的政策建议，就物理和网络两方面的基础设施保护工作向国土安全委员会提出咨询建议。其中，协调委员会的主席将由一位联邦官员担任或由总统国土安全助理进行任命。

国家科技政策办公室：协调跨机构的研究和开发工作，以增强对关键基础设施和重要资源的保护。

管理与预算办公室（OMB）：监督与联邦政府计算机安全项目有关的政府层政策、原则、标准和指南的执行。OMB主任负责运行一个中央的联邦信息安全事件中心，以适应2002年《联邦信息安全管理法》的要求。

首席信息官委员会：依据2002年《电子政务法》中的要求，作为首要的跨机构论坛，改进联邦各部局实施的与信息资源有关的设计、采办、开发、现代化、使用、运行、共享和执行等工作。

(三)制定后续计划，完善机制体系

国家计划。国土安全部长应该制定一个有关关键基础设施和重要资源保护的全面、综合的国家计划，并在计划中列举出国家层面的目标、目的、里程碑。除此之外，还应包括：

基础性战略。用以标识关键基础设施和重要资源、排列优先级并对关键基础设施保护工作加以协调，指导国土安全部与联邦其他部局、州和地方政府、私营部门、外国政府以及国际组织的合作；

具体化工作。定义关键基础设施和重要资源、排列关键基础设施和重要资源的优先级、降低关键基础设施和重要资源的脆弱性、协调对关键基础设施和重要资源的保护。

其他合作。包括与州和地方政府、私营部门共享关键基础设施和重要资源的信息以及向其提供威胁预警数据。

行业计划。在2004年7月之前，联邦各部局的负责人应针对各部局所拥有和正在运行的关键基础设施及重要资源制定相关保护计划，并提交给OMB主任，以待批准。这些计划应涉及标识、优先级排序、保护以及应急计划，旨在保障其基本运行，并在受到威胁时进行恢复和重建。

在符合2002年《国土安全法》以及其他相关规定和总统令的前提下，国土安全部应建立合适的系统、机制和程序，以确保联邦其他部局、州和地方政府以及私营部门中与关键基础设施和重要资源威胁及脆弱性有关的国土安全信息共享。

为更好地保护基础设施，国土安全总统令要求国土安全部长建设一个国家级的迹象发现和预警体系机构，以增强国家对关键基础设施袭击事件的预警能力，同时促进：对基础设施的基本运行状况的了解；发现攻击行为的前兆；形成能够检测和分析可能的攻击模式的浪涌能力。

在建设这样一个体系结构的过程中，国土安全部长将与联邦、州、地方政府以及非政府实体合作，以便对物理和信息基础设施及重要资源形成综合视图。

(四)上报工作情况，监督指令实施

特定联邦机构每年均应向国土安全部长汇报对各自负责的部门内的关键基础设施及重要资源进行标识、排列优先级以及协调保护工作时的情况。自本令发布起一年内，各机构应该提交这些报告，自此后每年汇报一次。

总统国土安全助理和总统国家安全事务助理应负责对关系到体系结构的整合以及下一代体系结构的国家安全和应急战备通信政策进行审查，并与合适的联邦部局的领导相协商。自本令发布起6个月，总统国土安全助理和总统国家安全事务助理应提交对这类政策的修改建议，供总统考虑。

三、要点分析

（一）细化关键基础设施行业，强调重要资源概念

与1998年第63号总统令《关键基础设施的保护政策》对比，国土安全总统令强调了“重要资源”的概念，扩大了关键基础设施保护的实体范围。同时结合不同关键基础设施行业的运作特点，为其制定相对应的主管机构，并要求其主管机构对关键基础设施和重要资源进行识别、优先级排序和保护，推动该行业对关键基础设施脆弱性的评估，必要时实施风险管理战略，以控制关键基础设施和重要资源遭到袭击时带来的影响。

（二）运作网络安全焦点机构，建立威胁预警体系

国土安全总统令要求国土安全部运作一个关注网络安全工作的机构，以进行关键基础设施的分析、预警、信息共享、脆弱性削减，并援助国家对关键基础设施的信息系统进行的恢复工作。与此同时，国土安全总统令要求其建设一个国家级的安全风险发现预警体系，重视信息共享与情报搜集工作。由此看出，国土安全总统令强调了关键基础设施保护的情报搜集和信息共享工作，希望通过加强对威胁的态势感知，更有效地避免恐怖袭击事件的发生，也为后续国家保护与计划司（NPPD）的组建和职责部署奠定基础。

（三）推进后续国家计划制定，监督质量落地实施

国土安全总统令要求国土安全部制定一个有关关键基础设施和重要资源保护的全面、综合的国家计划，并在计划中列举出国家层面的目标、目的、里程碑；要求联邦各部局的负责人应针对各部局所拥有和正在运行的关键基础设施及重要资源制定相关保护计划，涉及标识、优先级排序、保护以及应急响应。后续计划的制定使得关键基础设施保护框架得以不断完善，同时也监督了国土安全总统令落地实施。

四、总结

美国第7号国土安全总统令在第63号总统令的基础上第一次确定了美国关键基础设施保护工作的组织架构，为后续关键基础设施保护工作开展奠定了基础。在工作组织架构方面，新成立一个网络安全机构，要求其负责信息情报的收集，辅助其他联邦机构进行关键基础设施的识别、管理、保护工作。在具体任务方面，国土安全总统令明确了国土安全部及特定联邦机构的具体任务，包括对关键基础设施进行识别、优先级排序和保护工作，与关键基础行业和相关私营部门展开合作、信息共享。在后续框架完善方面，国土安全总统令要求国土安全部制定关键基础设施和重要资源保护的全面、综合的国家计划，要求联邦各部局制定关键基础设施及重要资源行业计划。在第7号国土安全总统令的推动下，美国形成了完善的关键基础设施保护框架，为后续自下而上的系统性保护计划奠定了基础。