美国关键基础设施政策 研究专报 第 4 期 路云天网络安全研究院 云天洞察 第12期 2022年3月16日 美国关键基础设施保护工作组织架构 ——1998年第63号总统令《关键基础设施保护》解读 1997年7月，美国关键基础设施保护委员会发布报告《 保护美 国基础设施 》 ，为美国政府关键基础设施保护提供了全面建议。基于 委员会的报告， 1998年5月22日美国克林顿总统颁布第63号总统 令《关键基础设施保护》 （以下简称“ 63号令” ） ，提出了关键基础设 施保护工作 的组织架构，成立国家基础设施保护委员会、关键基础 设施协调组、国家基础设施保护中心、信息共享和分析中心等机构， 明确了财政部、司法部、国防部、商业部、交通部、能源部、中央 情报局、联邦应急管理局、联邦调查局、国家安全局等相关部门的 责任与义务 。此外，该指令还制定了一个国家目标，即美国联邦政 府及相关责任部门、州和地方政府、私营部门应该各司其职，在 2003年之前拥有保护国家基础设施的能力。 一、主要内容 1998年美国第 63号总统令《关键基础设施保护》正式将关键基 础设施重要性提升到国家安全高度。强调美国政府应对采取所 有必 要的措施来迅速减弱关键基础设施的脆弱性，尤其是信息系统在面 临物理和信息攻击时的任何重大脆弱性。 （一）提出两个阶段的国家目标 一是两年目标 ，即到2000年美国应当实现初步的信息保障能力。 二是五年目标 ，即到2003年美国获得并保持对关键基础设施进 行保护的能力，以防止可能会严重危害到下述关键功能的有预谋的 行为： 1）联邦政府履行其重要的国家安全责任并确保公众健康和安全。 2）州和地方政府维持有序运转，提供最起码的重要公共服务。 3）私营部门确保经济有序运行以及重要电信、能源、金融和运 输服务的正常提供。 以上关键功能遭到的任何破坏或操纵必须控制在历时短、频率 小、可控、地域上可隔离以及对美国的利益损害最小的规模上。 （二）明确五个方面的指导方针 1. 明确公私合营、责任共担的合作伙伴关系原则 63号令中指出，保护 关键基础设施必然是 关键基础设施所有者 、 运营者和政府之间共同 承担的责任，大家是一种合作 伙伴关系。此 外，联邦政府应鼓励国际合作以帮助管理这一日益全球化的问题。 2. 要求联邦政府带头积极推动保护工作 63号令明确联邦政府相关要求：一是 联邦政府应通过其研究、 开发和采购，鼓励采用日益强大的基础设施保护方法。 二是联邦政 府应作为私营部门如何最好地实现基础设施保障的典范，并应在可行的范围内 分享其努力的结果。 三是酌情提供政府的全部权力、能 力和资源，包括执法、监管、外国情报和国防准备，以确保实现和 维护关键基础设施保护。 3. 强调美国国会的重要地位 63号令中明确要求： 针对那些旨在满足 实现63号令标的方法和 计划项目，须向 国会咨询，并努力寻求国会的参与。 4.关注威胁评估、预防、管理、应急等全周期工作 在威胁评估方面， 63号令要求加大评估频率以应对快速变化的 环境。为了 应对关键基础设施现有的 依赖性、脆弱性和威胁环境 ， 应当进行频繁 的风险评估，因为关键基础设施面临的威胁性质 在快 速持续的变化，因此我们的保护措施和 响应必须具有 充分的适应性。 在预防措施以及威胁和危机管理 方面，鼓励私营部门所有者和 运营 商应自愿参与 到国家基础设施保护系统 中，为其控制的基础设施提 供最大可行的安全性，并向政府提供必要的信息以协助他们完成该 任务。在应急响应和恢复方面 ，63号令指出对于一个稳健、 灵活的 基础设施保护计划 来说，与州政府、地方政府以及 第一时间应急响 应人员的密切合作与协调 是非常重要的。所有关键基础设施保护计 划和行动都应考虑州 、地方政府以及 应急响应 人员的需求、活动和 责任。 5. 发挥市场作用保证新技术的应用 63号令指出，市场提供的激励措施是解决关键基础设施保护问 题的首选，只有在真实市场出现实质性故障时，才能够使用监管来 保护美国人民的健康、安全或福祉。在 这种情况下，机构应确定和 评估直接监管的可用替代方案，包括提供经济激励措施以鼓励期望 的行为，提供私营部门可以做出选择的信息。这些激励措施以及其他行动旨在帮助利用最新技术，为国际问题带来全球解决方案，并 使私营部门所有者和运营商能够实现并保持最大的安全可靠性。同 时，必须注意尊重隐私权，要求消费者和运营商必须确信信息将得 到准确、保密和可靠的处理。 （三）建立保护工作组织架构 63号令建立了关键基础设施保护工作的组织架构，明确了相关 组织机构的保护责任，提出了保护工作机制，成立新的保护工作组 织机构。 图1：美国关键基础设施保护工作组织架构 1. 行业部门领导机构 针对每个关键基础设施行业部门，确定相关部局作为行业联络 的领导机构，每个领导机构指派一名相当于助理部长或更高级别的 人来担任行业部门联络官。行业部门联络官与私营部门一起研究相 关行业的国家基础设施保护计划，解决关键基础设施保护有关问题。 具体行业部门领导机构的保护责任分工如下表所示。 表1：行业部门领导机构责任分工 行业部门领导机构 保护责任分工 商务部 信息与通信 财政部 银行与金融 环境保护局（ EPA） 供水 交通部 航空 高速公路（包括汽运和智能运输系统） 大宗货物运输 输运管道、铁路、水路贸易 司法部/FBI 应急执法服务 联邦应急管理局（ FEMA） 应急消防服务，政府服务连续性 健康和公众服务部（ HHS） 公共健康服务，包括预防、监测、实验室服务以 及公民健康服务 能源部 电力、石油和天然气生产和储存 2. 特殊职能领导机构 除了部门 联络领导机构，某些关键基础设施保护职能必须主要 由联邦政府执行（例如国防、外事、情报、执法等）。对其中的每 项特殊职能， 63号令要求都应该有一个特殊职能领导机构负责协调 美国政府在该领域内的活动。每个特殊职能领导机构将指派一名助 理部长和更高级别的高级官员担任联邦政府的职能协调员。 具体特殊职能领导机构的保护责任分工如下表所示。 表2：特殊职能领导机构责任分工 行业部门领导机构 保护责任分工 司法部/FBI 执法和国内安全 中央情报局 外国情报 国务院 国外事务 国防部 国防事务 此外，国家科技委员会科技政策办公室（ OSTP）将负责研发日 程和研发项目的协调。国防部仍将保留其对国家通信系统的执行责 任并负责对总统的国家安全电信咨询委员会提供支持。 3. 关键基础设施协调组（ CICG） 关键基础设施协调组由安全、基础设施保护和反恐怖主义国家 协调员领导。国家协调员由总统指派并通过总统国家安全事务助理 向总统汇报，国家安全事务助理则应当确保与总统经济事务助理的 协调。关键基础设施协调组包括行业部门领导机构的行业部门联络 官、特殊职能领导机构的职能协调员，以及包括国家经济委员会在 内的其他相关部门和机构的代表。必要时将得到外部政策组织的协 助，比如安全政策委员会、安全政策论坛、国家安全和电信委员会 以及信息系统安全委员会。 4. 国家基础设施保护委员会 由行业部门领导机构、特殊职能领导机构、国家经济委员会、 国家协调员推荐，总统将指派一个由大型基础设施提供商和州及地 方官员组成的小组组成国家基础设施保护委员会。委员会主席由总 统指定。国家协调员担任委员会的执行主任。国家基础设施保护委 员会将定期集会，以加强公私部门合作，并在必要的时候向总统提 交报告。联邦政府的高级官员也可以适时参加国家基础设施保护委 员会的会议。 （四）明确下一步具体工作任务 63号令明确要求在该总统令发布 180天内完成国家基础设施保 护计划日程表，细化了关键基础设施保护具体工作任务。 1. 明确开展脆弱性评估活动 通过脆弱性评估活动发现问题，基于脆弱性评估来设计整 改计划。整改计划中应确定脆弱性整改的时间期限、责任和经费等情况。 2. 提高预警响应和恢复重建的能力 一是要求立即建立对重大基础设施攻击发出预警的国家中心即 国家预警和信息中心，由国家基础设施保护中心 NIPC和信息共享和 分析中心 ISAC组成。二是应当建立起系统运行时对重大基础设施攻 击进行响应的系统，目标是对破坏进行隔离，并使其影响减至最小。 三是要求在面对已成功的各种规模的基础设施攻击时，我们的重建 系统都能够立刻重新建立起最基本的期望功能。 3. 加大教育和意识培养 在政府和私营部门内，都应有针对脆弱性（漏洞）的意识培养 和教育计划项目，以提高人们对安全重要性有感性认识，并在安全 标准方面，特别是在网络信息系统安全标准方面对他们进行培训。 4. 重视研究和开发 应协调联邦政府资助支持基础设施保护的研究与开发活动，进 行多年研究规划，并将私营部门的研究考虑进去，并且要得到足够 的资金，从而在一个短暂但可实现的时间内快速使脆弱性减至最小。 5. 增强情报收集和共享能力 情报共同体应当制定和实施一个相关的计划，以加强收集和分 析我们国家基础设施面临的国外威胁，包括但不限于国外的网络计 算机/信息战威胁。 6. 加强国际合作 应制定相关计划，在关键基础设施保护方 面，扩大与意识形态 相近的友好国家、国际组织和跨国公司的合作。 7. 提出立法和预算要求 应当评估行政部