美国关基研究专题报告(五):2001年第13231号行政令《信息时代的关键基础设施保护》解读
发布日期:2023-01-15 作者: 来源: 分享:
美国于1998年颁布的第63号总统令《关键基础设施保护》,把保护美国关键基础设施安全作为明确的国家目标,并提出关键基础设施保护工作的组织架构。9·11事件之后,布什政府于2001年10月16日发布13231号行政令《信息时代的关键基础设施保护》(以下简称“13231号行政令”),成立总统关键基础设施保护委员会(PCIPB),全面负责美国关键基础设施信息系统安全的管理协调工作,与信息安全相关的多个政府部门和联邦机构统一与PCIPB相协调。针对信息系统保护的不同职能,PCIPB下设10个常设委员会分别与私营部门、各州和地方政府以及学术界开展合作,涉及领域包括信息安全保护协调、事故协调与危机响应、基础设施相互依存、信息共享、行政部门信息系统安全、研究与开发、国际信息基础设施保护、执法协调、国家安全和金融信息系统基础设施安全等。另外,13231号行政令还建立了国家基础设施咨询委员会(NIAC),与之前成立的总统国家安全通讯咨询委员会一并组成总统咨询小组,代表私营产业界向总统提供建议。随着13231号行政令的发布,美国更加重视关键基础设施信息系统安全的保护,并持续加强政府之间以及政府与私营部门之间的协调工作。2001年美国发生了震惊世界的9·11恐怖袭击事件,2000多条宝贵生命随之消逝,事件对美国造成的经济损失高达2000亿美元,对全球经济造成的损失甚至高达1万亿美元。9·11事件暴露了美国在信息预警和应急通信等方面的巨大问题。联邦调查局事后调查报告指出,事发前恐怖分子曾多次利用互联网传递信息、制定计划甚至购买机票。恐怖袭击发生后,在最初的救援中,因通讯信号延迟或中断,大量进入世贸大厦救援的消防员未能及时撤离,葬身在世贸大厦的倾覆中,造成了严重的二次伤亡。惨痛的代价使美国认识到关键基础设施信息系统的重要战略地位,为有效改善关键基础设施信息系统保障不力的问题,布什政府在恐怖袭击之后发布了13231号行政令,宣布成立总统关键基础设施保护委员会,代表政府统一协调组织其他与关键基础设施信息系统有关的联邦机构的工作。从此,美国开始建立国家级关键基础设施信息系统保护的协调机构,不断强化与私营部门的沟通和协调,持续为关键基础设施信息系统保护提供有效和实用的政策建议。
2001年10月16日,美国发布13231号行政令,正式成立总统关键基础设施保护委员,全面负责美国关键基础设施信息系统的协调保护工作,其下设的10个常设委员会与联邦政府机构紧密协调,建立了信息系统保护的多方沟通渠道。此外,该行政令还成立了国家基础设施咨询委员会,代表私营产业界向总统提供建议,为有效识别和减轻风险提出实用解决方案,极大的促进了美国关键基础设施保护的公私部门合作机制。
二十一世纪初,美国认识到“信息技术革命改变了商业交易、政府运作和国防的实施方式,而这些都依赖于相互依存的关键信息基础设施网络”。13231号行政令提出了两个关键基础设施信息系统保护的方针。一是持续努力确保关键基础设施信息系统的安全,包括应急准备通信,以及支持此类系统的物理资产。二是防止中断关键基础设施信息系统的运行,保护美国人民、经济、政府服务以及国家安全,确保任何发生的中断次数最少,持续时间最短,造成损害或损失最小。13231号行政令还分别对行政部门信息系统安全和国家安全信息系统进行授权,要求管理和预算办公室(OMB)负责监督和制定政府范围内各部、局使用信息系统的安全政策、标准和指南。要求国防部和中央情报局负责监督和制定相关政策、标准和指南,以确保被其他行政部、局所依赖的国家安全信息系统的业务运转安全。并明确规定各行政部门和机构负责人有责任提供和维护信息系统(包括应急通信系统)的安全。为了加强对关键基础设施信息系统的协调保护,13231号行政令建立了由近20个政府部门组成的协调机构“总统关键基础设施保护委员会”(PCIPB),代表联邦政府全面负责关键基础设施信息系统保护的协调工作,并通过下设协调委员会和常设委员会的方式履行对信息系统协调保护的不同职责。
1.总统关键基础设施保护委员会人员组成
主席:应是总统网络空间安全特别顾问并由总统亲自任命,在白宫办公厅内应该有相应规模的工作班子,各行政部、局可选派工作人员进入主席的工作班子。主席的相关权职如下。(1)向有关官员提出政策和方案,以确保国家关键基础设施信息系统的保护,包括应急通信以及支持这些系统的物理资产。(2)向国家安全事务总统助理和国土安全事务总统助理进行汇报,以确保国家安全委员会(NSC)与国土安全办公室充分协调。(3)就私营部门系统和经济影响相关的问题与总统经济政策助理进行协调。(4)就各行政部、局使用的信息系统涉及的预算和计算机网络安全相关问题与行政管理和预算办公室主任进行协调。(5)有权要求各行政部门和机构尽全力及时通报委员会工作范畴内所有信息系统安全工作情况。成员:必须是联邦政府的全职官员或雇员,或是永久性兼职官员或雇员。成员应来自下述行政部、局和办公室的高级官员或代表。
此外,13231号行政令还要求在委员会下组成协调委员会,成员包括下述官员。
2.总统关键基础设施保护委员会具体职责
13231号行政令规定总统关键基础设施保护委员会应具备两大职责,提供政策建议和对关键基础设施信息系统的保护工作进行协调(包括对应急通信及支撑这些系统的物理资产的保护)。为履行相关职责,行政令还规定委员会应做好如下九个方面工作。
工作职责:委员会应当协调与私营部门的合作,并向私营部门进行关于关键基础设施信息系统安全的咨询。(含应急通信以及支撑这些系统的物理资产)包括:(2)与可能受影响的业界协商,确定双方共同关注的领域。(3)协调高级联络官的活动,负责与这些部门和机构所关注领域内的私营部门组织就关键基础设施保护问题进行接触。(1)委员会要协调州和地方政府与私营部门、业界社区、学术界代表和其他相关社会组织的合作。(2)委员会应与关键基础设施保障办公室(CIAO)、商务部国家标准和技术研究所、国家基础设施保护中心(NIPC)和国家通信系统(NCS)协调工作。工作职责:与工业界、州和地方政府以及非政府组织进行合作,确保建立和维护其信息共享系统,以便在政府的网络运行中心、工业界自愿建立的信息共享和分析中心以及其他有关网络运行中心之间共享威胁预警信息、分析结果以及系统恢复所需的信息。对应协调部门:委员会应当与国家安全系统委员会(NCS)、联邦计算机应急响应中心、国家基础设施保护中心(NIPC)以及其他有关部、局进行协调。工作职责:协调项目和政策,以应对威胁关键基础设施信息系统安全的事件,包括应急通信和支持此类系统的物理资产。对应协调部门:委员会应通过国家基础设施保护中心(NIPC)和国家安全系统委员会(NCS)及其他部门机构与司法部协调工作。工作方向四:行政部门安全专业人员的招募、留任和培训协调工作职责:与行政部门和机构协商,协调各项计划,确保负责保护关键基础设施信息系统(包括应急准备通信和支持这些系统的物理资产)的政府雇员得到充分的培训和评估。对应协调部门:人事管理办公室应酌情与委员会协调工作。工作职责:协调联邦政府在关键基础设施信息系统领域的研究和开发计划,确保政府在这一领域的活动与企业、大学、联邦资助的研究中心和国家实验室进行协调。对应协调部门:委员会应与国家科学基金会、国防高级研究计划局以及其他部门和机构酌情协调工作。工作职责:推动打击网络犯罪的项目,协助联邦执法机构从行政部门和机构获得必要的合作。支持联邦执法机构调查涉及关键基础设施信息系统的非法活动(包括应急通信以及支持此类系统的有形资产),并支持这些机构与其他有责任保卫国家安全的部门和机构进行协调。对应协调部门:委员会应通过国家关键基础设施保护中心(NIPC)与司法部协调工作,通过特勤局与财政部协调工作,并视情况与其他部门和机构协调工作。工作职责:支持国务院协调美国政府在国际信息基础设施保护问题方面的国际合作项目。工作职责:根据行政管理和预算局(OMB)A-19号通知,向各部门和机构、行政管理和预算局局长和总统立法事务助理提供有关保护关键基础设施信息系统的立法建议。(包括应急通信以及支持此类系统的有形资产)工作职责:执行2001年10月8日第13228号行政命令赋予国土安全部的与保护和恢复关键基础设施信息系统免受攻击有关的职能。对应协调部门:国土安全总统助理与国家安全事务总统助理协调。
3.总统关键基础设施保护委员会下属的常设委员会协调分工
委员会可下设常设委员会,常设委员会可下设必要的子委员会。常设委员会主席:由各部、局一把手或代表担任,并应定期向总统关键基础设施保护委员会全面报告所开展的工作,确保各常设委员会之间的协调。常设委员会成员:可不必来自委员会成员所在部、局,还可包括其他的部、局代表。13231号行政令列举了已经设立的常设委员会清单,并明确了各常设委员会主席及相应的协调对象。
| | |
| | |
| | |
| 国防部领导的国家通信安全和信息系统安全委员会调整为国家安全系统委员会 |
| |
| 国家通信系统NCS首脑委员会更名作为国家安全和应急通信常设委员会 |
| |
| | 与国土安全办公室相协调,并与数据交流中心的物理安全工作组及信息安全政策协调委员会密切协作 |
| | 协调与关键基础设施信息系统互依赖有关的风险评估、威胁评估和脆弱性评估 |
| | 支持和协调国务院对美国政府中相关信息基础设施的国际问题 |
| | |
4.总统关键基础设施保护委员会的预算支撑
13231号行政令要求总统关键基础设施保护委员会定期制定国家计划,并经过与国土安全办公室的协调,对关键基础设施信息系统安全工作向管理和预算办公室(OMB)提出预算建议。此外,总统办公室应为委员会提供资金、人事及其他管理支持,各成员单位也应向委员会提供管理支持,国家安全局应确保委员会信息通信系统的安全。另外,包括国家科学基金会、能源部、交通部、环境保护局、商务部、国防部在内的各行政部、局应在向OMB提交的预算中体现对委员会的活动支持。13231号行政令还建立了国家基础设施咨询委员会(NIAC),与之前成立的国家安全电信咨询委员会(NSTAC)形成总统顾问小组,代表私营部门向总统提供观点和建议。
1.国家基础设施咨询委员会的人员组成
主席:由总统在国家基础设施咨询委员会(NIAC)内部指定主席和副主席。成员:由总统任命30位关键基础设施信息系统安全高级管理人员,这些高级管理人员必须是非联邦政府全职雇员,来自私营部门、学术界、州和地方政府且具有相关专业知识。
2.国家基础设施咨询委员会的具体职能
国家基础设施咨询委员会的主要职责是向总统提供关键基础设施信息系统安全的建议,以促进公私合作,包括银行和金融、交通、能源、制造业、应急服务等领域。具体职能方向如下。(1)加强公共和私营部门在保护关键基础设施的信息系统方面的伙伴关系,提升私营部门对关键基础设施信息系统保护工作的参与度。(2)提出并制定鼓励私营部门开展关键基础设施信息系统安全风险评估的手段和方法。(3)监督私营部门信息共享和分析中心(ISAC)的建设,向总统关键基础设施保护委员会提出促进各ISAC与NIPC及其他联邦机构合作的建议。(4)通过关键基础设施保护委员会向总统汇报,确保与总统经济政策助理进行协调。(5)向负责关键基础设施保护的对口“领导机关”、部门协调员、NIPC、ISAC以及关键信息基础设施保护委员会提出建议。
3.国家基础设施咨询委员会的管理执行
为支持和管理国家基础设施咨询委员会的正常运行,13231号行政令明确了其享有的权利。(1)NIAC可以举行听证会、开展调查及建立合适的子委员会。(2)行政部、局负责人应向NIAC提供关键基础设施信息系统安全的相关信息。(3)联邦政府的高级官员可以参加NIAC的相关会议。(5)商务部应通过关键基础设施保护办公室(CIAO)向NIAC提供管理服务、人事服务,必要时可提供资金支持。(6)NIAC在13231号行政令发布2年后终止,总统可在委员会到期前延续。
(一)重点加强信息系统安全保护,应对互联网信息时代发展
二十一世纪初的互联网技术飞速发展,美国关键基础设施的控制和运行越发依赖网络信息技术,关键基础设施的信息系统建设也日益庞大和复杂。9·11事件给美国敲响了警钟,包括应急通信在内的关键基础设施信息系统在恐怖袭击中出现了重大的保障协调问题。美国意识到之前充分的物理防御已经无法完全适应信息时代的关键基础设施保护,13231号行政令的发布进一步加强了美国关键基础设施信息系统的安全保护,通过持续强化公私营部门的合作机制,提供更加广泛和实用的政策建议,使关键基础设施信息系统安全成为保护重点。
(二)优化跨部门管理协调机构,启动国家级协调组织模式
13231号行政令成立的总统关键基础设施保护委员会被赋予了全面处理关键基础设施信息系统协调保护的职能,委员会主席是总统亲自任命的网络空间安全特别顾问理查德·克拉克,成员均为各行政部、局的高级领导人,委员会分别从公私合作、信息共享、应急响应、研究开发、专业培训、国际合作、立法建议、执法协同、保障恢复等九个方向,针对美国关键基础设施信息系统寻求协调保护的解决方法,通过设置相应的常设委员会,对接多个领域的具体协调对象,以定期会议沟通的方式保持“委员会”与“常设委员会”之间的步调一致,形成合力,为美国关键基础设施保护提供了跨部门管理协调的机制参考。13231号行政令建立的“总统关键基础设施保护委会员”相较于63号总统令成立的“关键基础设施协调组”在组织架构、人员编制和职能规划等方面更加细致、清晰和明确,更加符合国家统一的高级别关键基础设施协调机构的设定。此外,克林顿时期13010号行政令建立的“总统关键基础设施保护委员会”与布什政府13231号行政令建立的“总统关键基础设施保护委员会”也有较大区别,前者侧重于发挥调查研究和建言献策的职能,负责摸清美国早期关键基础设施现状和探索关键基础设施保护的未来,该委员会于1996年成立并在完成总统赋予的职责后,于1999年被克林顿下令撤销。后者则侧重于发挥管理协调的职能,力图拉通纵向(机构主管部门与私营部门间)和横向(政府部门间)的关键基础设施协调保护工作,该委员会于2001年成立,后将协调管理职责移交给了2002年成立的国土安全部,随后在对13231号行政令的修订中被移除。从此,美国关键基础设施保护开启了由相对松散和分散的组织协调模式向更加集中和统一的国家级协调模式的转变。
(三)促进公私部门的合作机制,强化建言献策的顾问作用
美国的关键基础设施保护离不开政府和私营部门的合作努力,政府制定相关政策命令需要听取来自私营产业界的有效建议。13231号行政令成立的国家基础设施咨询委员会(NIAC),延续了63号总统令建立起来的公私合作机制,力图通过协调和审查各个机构的关键基础设施保护项目,结合美国实际情况提供相关政策建议。国家基础设施咨询委员会的成员来自行业、州和地方政府的高级管理人员,这些成员都具备丰富的专业知识和行业经验,对各自领域的关键基础设施信息系统安全非常了解,通过对关键基础设施的物理和网络风险进行深入研究,能够很好的向总统提供实用战略和政策建议,极大的促进了美国关键基础设施保护的公私合作机制。13231号行政令成立的国家基础设施咨询委员会(National Infrastructure Advisory Council,NIAC)与63号总统令和13130号行政令成立的国家基础设施保障委员会(National Infrastructure Assurance Council,NIAC)虽然名称缩写相同,但两个委员会诞生在不同时期,人员组成和对关键基础设施保护的影响作用也不尽相同。63号总统令提及的国家基础设施保障委员会诞生于1998年,该委员会由总统指派的大型基础设施提供商和州及地方政府官员组成,但并未对具体职责和管理执行进行细致说明。1999年克林顿政府发布13130号行政令,进一步对国家基础设施保障委员会的人员构成、职责分工和管理执行进行详细说明和规定。2001年布什政府发布的13231号行政令又撤销了13130号行政令,并宣布成立国家基础设施咨询委员会,更加突出咨询顾问和建言献策的职能。此后的二十多年中,该委员会累计向历任总统建言献策300多份,为减少美国关键基础设施风险发挥了重要作用,该委员会目前已经成为美国唯一审查跨部门关键基础设施安全和弹性问题的执行委员会。综上所述,13231号行政令在保护关键基础设施的信息系统方面提供了具体的政策指导,美国认识到网络信息系统在支持社会和经济的方方面面所发挥的重要作用,关键基础设施也越来越依赖这些网络信息系统。因此,该行政令提出了美国关键基础设施信息系统保护的方针,“防止这些系统的操作中断,确保任何发生的中断次数最少,持续时间最短,造成损害或损失最小”。此外,13231号行政令成立了总统关键基础设施保护委员会和国家基础设施咨询委员会,总统关键基础设施保护委员会全面负责美国关键基础设施信息系统安全的管理协调工作,国家基础设施咨询委员会代表私营产业界向总统提供建议,为有效识别和减轻风险提出实用解决方案。在美国关键基础设施保护的发展历程中,这两个委员会为完善协调管理模式和促进公私合作机制做出了巨大贡献。