首提关键基础设施保护工作组织架构

孔勇 范佳雪

1997年7月，美国关键基础设施保护委员会发布《保护美国基础设施》报告，为美国政府关键基础设施保护提供了全面建议。基于委员会的报告，1998年5月22日，美国总统克林顿颁布第63号总统令《关键基础设施保护》（以下简称“63号令”），提出了关键基础设施保护工作的组织架构，成立国家基础设施保护委员会、关键基础设施协调组、国家基础设施保护中心、信息共享和分析中心等机构，明确了财政部、司法部、国防部、商业部、交通部、能源部、中央情报局、联邦应急管理局、联邦调查局、国家安全局等相关部门的责任与义务。此外，该指令还制定了一个国家目标，即美国联邦政府及相关责任部门、州和地方政府、私营部门应该各司其职，在2003年之前拥有保护国家基础设施的能力。

63号令《关键基础设施保护》正式将关键基础设施重要性提升到国家安全高度，强调美国政府应采取所有必要措施来迅速减弱关键基础设施的脆弱性，尤其是信息系统在面临物理和信息攻击时所呈现出来的重大脆弱性。

（一）提出两个阶段的国家目标

一是两年目标，即到2000年美国应实现初步的信息保障能力。

二是五年目标，即到2003年美国获得并保持对关键基础设施进行保护的能力，以防止可能会严重危害到下述关键功能的有预谋的行为：联邦政府履行其重要的国家安全责任并确保公众健康和安全；州和地方政府维持有序运转，提供最起码的重要公共服务；私营部门确保经济有序运行以及重要电信、能源、金融和运输服务的正常提供。

以上关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国利益损害最小的规模上。

（二）明确五方面的指导方针

1. 明确公私合营、责任共担的合作伙伴关系原则

63号令中指出，保护关键基础设施必然是关键基础设施所有者、运营者和政府之间共同承担的责任，大家是一种合作伙伴关系。此外，联邦政府应鼓励国际合作以帮助管理这一日益全球化的问题。

2. 要求联邦政府带头积极推动保护工作

63号令明确联邦政府相关职责：一是联邦政府应通过其研究、开发和采购活动，鼓励采用日益强大的基础设施保护方法。二是联邦政府应作为私营部门如何最好地实现基础设施保障的典范，并应在可行的范围内分享其努力的结果。三是酌情提供包括执法、监管、外国情报和国防准备在内的政府全部权力、能力和资源，以确保实现和维护关键基础设施保护目标。

3. 强调美国国会的重要地位

63号令中明确要求：为实现本指令规定目标的方法和计划项目，须向国会协商并征求其意见。

4.关注威胁评估、预防、管理、应急等全周期工作

在威胁评估方面，63号令要求加快评估频率以应对快速变化的环境。为了应对关键基础设施现有的依赖性、脆弱性和威胁环境，应当进行频繁的风险评估，因为关键基础设施面临的威胁性质在快速持续变化，因此保护措施和响应必须具有充分的适应性。在预防措施以及威胁和危机管理方面，鼓励私营部门所有者和运营商应自愿参与到国家基础设施保护系统中，为其控制的基础设施提供最大可行的安全性，并向政府提供必要的信息以协助它们完成该任务。在应急响应和恢复方面，63号令指出，对于一个稳健、灵活的基础设施保护计划来说，与州政府、地方政府以及第一时间应急响应人员的密切合作与协调是非常重要的。所有关键基础设施保护计划和行动都应考虑州、地方政府以及应急响应人员的需求、活动和责任。

5. 發挥市场作用保证新技术的应用

63号令指出，市场提供的激励措施是解决关键基础设施保护问题的首选，只有在真实市场出现实质性故障时才能够使用监管举措来保护美国人民的健康、安全或福祉。在这种情况下，机构应确定和评估直接监管举措的可用替代方案，包括提供经济激励措施以鼓励期望的行为，提供私营部门可以做出选择的信息。这些激励措施以及其他行动旨在帮助利用最新技术，为国际问题带来全球解决方案，并使私营部门所有者和运营商能够实现并保持最大的安全可靠性。同时，必须注意尊重隐私权，要求消费者和运营商必须确信其共享的信息将得到准确、保密和可靠的处理。

（三）建立保护工作组织架构

63号令建立了关键基础设施保护工作的组织架构，明确了相关组织机构的保护责任，提出了保护工作机制，成立新的保护工作组织机构。

1. 行业部门领导机构

针对每个关键基础设施行业部门，确定相关部局作为行业联络的领导机构，每个领导机构指派一名相当于助理部长或更高级别的人来担任行业部门联络官。行业部门联络官与私营部门一起研究相关行业的国家基础设施保护计划，解决关键基础设施保护有关问题。

具体行业部门领导机构的保护责任分工如表1所示。

2. 特殊职能领导机构

除了领导机构，某些关键基础设施保护职能必须主要由联邦政府执行（例如国防、外事、情报、执法等）。对其中的每项特殊职能，63号令要求都应该有一个特殊职能领导机构负责协调美国政府在该领域内的活动。每个特殊职能领导机构将指派一名助理部长和更高级别的高级官员担任联邦政府的职能协调员。

具体特殊职能领导机构的保护责任分工如表2所示。

此外，國家科技委员会科技政策办公室（OSTP）将负责研发日程和研发项目的协调。国防部仍将保留其对国家通信系统的执行责任并负责对总统的国家安全电信咨询委员会提供支持。

3. 关键基础设施协调组（CICG）

关键基础设施协调组由安全、基础设施保护和反恐怖主义国家协调员领导。国家协调员由总统指派并通过总统国家安全事务助理向总统汇报，国家安全事务助理则应当确保与总统经济事务助理的协调。关键基础设施协调组包括行业部门领导机构的行业部门联络官、特殊职能领导机构的职能协调员，以及包括国家经济委员会在内的其他相关部门和机构的代表。必要时将得到外部政策组织的协助，比如安全政策委员会、安全政策论坛、国家安全和电信委员会以及信息系统安全委员会。

4. 国家基础设施保护委员会

由行业部门领导机构、特殊职能领导机构、国家经济委员会、国家协调员推荐，总统将指派一个由大型基础设施提供商和州及地方官员组成的小组组成国家基础设施保护委员会，委员会主席由总统指定。国家协调员担任委员会的执行主任。国家基础设施保护委员会将定期集会以加强公私部门合作，并在必要的时候向总统提交报告。联邦政府的高级官员也可以适时参加国家基础设施保护委员会的会议。

（四）明确下一步具体工作任务

63号令明确要求在该总统令发布180天内完成国家基础设施保护计划日程表，细化了关键基础设施保护具体工作任务。

1. 明确开展脆弱性评估活动

通过脆弱性评估活动发现问题，基于脆弱性评估来设计整改计划。整改计划中应确定脆弱性整改的时间期限、责任和经费等情况。

2. 提高预警响应和恢复重建的能力

一是要求立即建立对重大基础设施攻击发出预警的国家中心即国家预警和信息中心，由国家基础设施保护中心（NIPC）和信息共享和分析中心（ISAC）组成。二是应当建立起系统运行时对重大基础设施攻击进行响应的系统，目标是对破坏进行隔离，并使其影响减至最小。三是要求在面对各种规模的已有成功防御先例的基础设施攻击时，我们的重建系统都能够立刻重新建立起所期望的基本功能。

3. 加大教育和意识培养

在政府和私营部门内，都应有针对脆弱性（漏洞）的意识培养和教育计划项目，目的是提高人们对安全的重要性的感性认识水平，并在安全标准方面，特别是在网络信息系统安全标准方面对他们进行培训。

4. 重视研究和开发

应协调联邦政府资助支持基础设施保护的研究与开发活动，进行多年研究规划，并将私营部门的研究考虑进去，并且要得到足够的资金，从而在一个短暂但可实现的时间内快速使脆弱性减至最小。

5. 增强情报收集和共享能力

情报共同体应当制定和实施一个相关计划，以加强收集和分析美国国家基础设施面临的国外威胁，包括但不限于国外的网络计算机/信息战威胁。

6. 加强国际合作

应制定相关计划，在关键基础设施保护方面，扩大与意识形态相近的友好国家、国际组织和跨国公司的合作。

7. 提出立法和预算要求

应当评估行政部门中涉及关键基础设施的法律依据和预算优先事项，在必要时向总统提出修订建议。任何评估和建议都应当与预算和管理办公室（OMB）主任保持协调。

8. 提交执行情况年度报告

国家协调员还应当在与国家经济委员会的合作下，通过总统国家安全事务助理向总统和各部局的领导提交有关该总统令执行情况的年度报告。年度报告应包括更新的威胁评估、关于实现国家计划确定的阶段性任务的状态报告以及额外的政策、立法和预算建议。同时强调，任何评估和建议都应当与预算和管理办公室主任保持协调。此外，当2000年美国建立初步的信息保障能力后，国家协调员应当对其重新进行评估。

（一）重视私营部门的合作，要求保障私营部门利益

63号令指出，保护关键基础设施必然是关键基础设施所有者、运营者和政府之间共同承担的责任，大家是一种合作伙伴关系。通过63号令建立了行业部门联络官和私营部门行业协调员的合作机制。关键基础设施行业部门领导机构应指定行业部门领导机构中的高级官员作为行业部门联络官，直接对接私营部门开展合作。私营部门同样需要明确相关行业代表作为行业协调员，与行业部门联络官组织交流和合作。

63号令要求联邦政府应该在最大可能程度上努力避免造成政府法规和无效的政府监管的增多，同时尽量避免对私营部门发放没有资金支持的政府训令。总统令要求政府提供经济激励措施以鼓励私营部门期望的行为，并提供私营部门可以做出选择的信息。这些激励措施以及其他行动旨在保障私营部门在关键基础设施保障中的资金投入，同时有利推动相关领域技术发展，为关键基础设施保护中面对的实际问题带来全新解决方案，并使私营部门所有者和运营商能够实现并保持最大的安全可靠性。

（二）制定行业“国家基础设施保护计划”，强调行业全面协调

63号令要求联合制定行业“国家基础设施保护计划”，计划应包括以下内容。一是评估该行业面对网络或物理攻击时的脆弱性。二是推荐用以消除重大脆弱性的计划。三是提出用来识别和防止大规模攻击行为的系统。四是制定下列行动计划：在受到攻击的过程中对该攻击进行报警，控制并切断攻击，随后，在攻击的余波之中，必要时与联邦应急管理局协商，迅速重建最基本的重要职能。

63号令强调在每篇行业计划的准备过程中，国家协调员应该与行业部门领导机构的行业联络员、私营部门的代表行业协调员以及国家经济委员会的代表一起确定各计划的全面协调与整合，尤其注意其中的相互依赖性。

（三）构建国家预警和信息中心，加强安全信息共享

63号令要求立即建立对重大基础设施攻击发出预警的国家中心即国家预警和信息中心，由国家基础设施保护中心NIPC和信息共享和分析中心ISAC组成。其中，国家基础设施保护中心NIPC用于检测和分析攻击和威胁，私营部门建立信息共享和分析中心与国家基础设施保护中心协同工作。

信息共享和分析中心一方面将收集、分析、并适当过滤私营部门的信息向工业界和国家基础设施保护中心共享，另一方面还将收集、分析和共享来自国家基础设施保护中心的信息。通过该机制能够对脆弱性、威胁、入侵和异常事件等重要信息进行共享，奠定了政府和私营部门的合作伙伴关系基础。

63号令第一次确定了美国关键基础设施保护工作的组织架构，为后续关键基础设施保护工作开展奠定了基础。在工作组织架构方面，新成立国家基础设施保护委员会、关键基础设施协调组、国家基础设施保护中心、信息共享和分析中心等机构。在责任与义务方面，明确了财政部、司法部、国防部、商业部、交通部、能源部、中央情报局、联邦应急管理局、联邦调查局、国家安全局等相关部门的责任与义务。在具体任务方面，总统令明确布置了具体任务，包括开展脆弱性评估活动、提高预警响应和恢复重建的能力、加大教育和意识培养、增强情报收集和共享能力等。在任务督办机制方面，要求总统令发布180天内完成国家基础设施保护计划日程表，同时要求国家协调员在与国家经济委员会的合作下，通过总统国家安全事务助理向总统和各部局的领导提交有关该总统令的执行情况的年度报告。基于63号令，美国形成了整套的管理体系，正式系统化开启关键基础设施保护工作。