美国关键基础设施政策 研究专报 第7期 路云天网络安全研究院云天洞察第15期 2022年5月12日 美国新组织架构下的关键基础设施 识别、优先排序和保护 ——2003年美国第7号国土安全总统令《关键基础设施识 别、优先排序和保护》解读 2003年12月17日，美国布什政府发布第7号国土安全总统令 《关键基础设施识别、优先排序和保护》（以下简称“国土安全总 统令”），宣布取代1998年5月22日发布的第63号总统令《关键 基础设施保护》。国土安全总统令重新确定了美国关键基础设施保 护的整体框架，在关键基础设施基础上提出了“重要资源”的概念， 明确了包括国土安全部在内的各联邦机构关于关键基础设施保护的 责任，并重新划分了不同关键基础设施行业的主管部门。该法令还 要求国土安全部与其他联邦机构协商制定后续的关键基础设施保护 国家计划，极大地推动了美国关键基础设保护体系的建设。一、发布背景 1998年5月22日，美国克林顿政府颁布总统令63号《关键基 础设施保护政策》，旨在为关键基础设施的保护指定一个可行性的 框架，制定了联邦政府和私营部门合作保护物理和网络关键基础设 施的战略。2002年依据《国土安全法》，美国布什政府宣布成立国 土安全部，要求其负责国内安全及防恐活动，关键基础设施保护自 然归口在国土安全部管理。国土安全部的成立，使得63号令中确立 的关键基础设施保护框架不再适配实际情况，联邦政府中关于关键 基础设施保护的职责需要重新划分。 关键基础设施和关键资源支撑了社会的基础运转，与此同时也 极容易成为恐怖分子的攻击目标。美国国家安全长期受到恐怖分子 的威胁，其中2001年“9·11”事件不仅使美国经济损失惨重，也 大大地削弱了政府公信力。为了尽量避免类似事件的发生，保障联 邦政府和关键基础设的基础运作，需要完善关键基础设施的保护框 架，明确联邦机构的责任，加强相关机构的合作。 二、主要内容 国土安全总统令明确了国土安全部及其他联邦机构关于关键基 础设施保护的责任，搭建了美国关键基础设施保护的组织架构。同 时，该总统令明确了美国关键基础设施保护的基础性框架，对后续 国家政策的出台做出计划和要求，推动了关键基础设施保护体系的 不断完善。 （一）细分保护对象，指定主管部门 国土安全总统令共提出了17类关键基础设施行业和重要资源， 其中：关键基础设施是指对美国至关重要的系统和资产，包括物理的 和虚拟的，这些系统和资产一旦丧失或被破坏将对国土安全、经济 安全、公众卫生安全产生破坏性影响。根据此，关键基础设施行业 包括信息技术、电信、化学、运输系统、应急服务、邮政和船运、 农业和食品、公共健康服务、供水与废水处理系统、能源、银行和 金融、国家纪念物和圣像、国防工业基地。 重要资源是指维持经济和政府最基础运作至关重要的公共或私 有资源。在国土安全总统令中，包括大坝、政府设施、商业设施、 核设施等。 根据以上行业和资源的特征和运作模式，国土安全总统令指定 了对应的主管部门： 图1：关键基础设施行业及其对口机构 与1998年第63号总统令《关键基础设施的保护政策》对比， 国土安全总统令明确了大坝、政府设施和商业设施、核设施为重要 资源，并将其与63号令中商务部、交通部、司法部和联邦应急管理局主管的关键基础设施行业保护职责赋予国土安全部。除此之外， 国土安全总统令设置农业部、内政部、国防部分别为农业和食品、 国家纪念物和圣像、国防工业基地的主管部门。 （二）建立保护体系，明确组织架构 国土安全总统令按照关键基础设施的行业特点和属性划分管理 责任、分担管理压力，形成了国土安全部牵头、联邦政府相关机构 和部门协力抓好基础设施保护的格局。 图2：关键基础设施保护组织架构 1.国土安全部的责任 协调保护工作。国土安全部部长应该负责协调整个国家的关键 基础设施和重要资源的保护工作，并作为首席联邦官员领导，整合 和协调联邦各局、州和地方政府、私营部门之间的关键基础设施和 重要资源的保护工作。 识别关键资源。部长将负责标识关键基础设施和重要资源，并 为之排列优先级，同时协调对关键基础设施和重要资源的保护。其 重点在于那些一旦被破坏便有可能对国民安全产生巨大影响或伤亡的关键基础设施和重要资源。 制定指南准则。部长将确立统一的政策、手段、指南和方法， 整合联邦政府在各个部门之内以及各部门之间的基础设施保护和风 险管理活动，相关的计划和活动要有衡量准则和标准。 安全机构运作。部长将运作一个重点关注网络安全工作的机构， 以进行关键基础设施的分析、预警、信息共享、脆弱性削减及援助 国家对关键基础设施的信息系统进行的恢复工作。在法律许可的范 围内，该机构将协同司法及其他执法机构对网络安全空间威胁和攻 击实施调查及诉讼。除此之外，拥有信息技术专家的联邦各部局， 包括但不限于司法部、商务部、财政部、国防部、能源部、国务院 和中央情报局，在法律要求的范围内必须支持这一安全机构的工作。 2.特定机构的责任 依照部长提供的指南，国土安全总统令给17类关键基础行业和 重要资源指定了其主管机构（特定机构），机构责任包括： （1）与所有相关的联邦部局、州和地方政府以及私营部门合作， 包括基础设施部门中的关键人员与实体； （2）实施或推动对基础设施部门的脆弱性的评估； （3）鼓励实施风险管理战略，以保护关键基础设施和重要资源， 减缓关键基础设施和重要资源遭到攻击后带来的影响。 3.其他部、局和办公室的角色和责任 除了国土安全部和特定联邦机构，国土安全总统令将关系到关 键基础设施和重要资源保护的各联邦部局以及各个总统行政办公室 均赋予特殊职能，包括： 国务院：一方面与国内机构合作，协调配合国土安全部、司法 部、商务部、国防部、财政部等相关联邦机构工作；一方面与外国政府以及国际组织合作，加强对美国的关键基础设施和重要资源的 保护。 司法部（包括联邦调查局）：负责减缓国内的恐怖分子威胁， 调查和起诉实际或酝酿中的恐怖分子对关键基础设施和重要资源的 袭击和破坏。 商务部：与私营部门、研究组织、学术组织和政府组织相合作， 以改进信息系统技术，推动其他的关键基础设施工作，包括在《国 防生产法》的授权下确保工业产品、材料和服务的及时可用，以满 足国土安全的需求。 交通部：负责国家航空系统的运营，并与国土安全部在所有与 运输安全和运输基础设施保护有关的事项上展开合作，比如管制危 险材料以任何方式（包括管道）的运输。 关键基础设施保护政策协调委员会：就物理和网络两方面的基 础设施保护跨机构政策向国土安全委员会提出咨询建议。其中，协 调委员会的主席将由一位联邦官员担任或由国土安全总统助理进行 任命。 国家科技政策办公室：协调跨机构的研究和开发工作，以增强 对关键基础设施和重要资源的保护。 管理与预算办公室（OMB）：监督与联邦政府计算机安全项目 有关的政府层政策、原则、标准和指南的执行。OMB主任负责运行 一个中央的联邦信息安全事件中心，以适应2002年《联邦信息安全 管理法》的要求。 首席信息官委员会：依据2002年《电子政务法》中的要求，作 为首要的跨机构论坛，改进联邦各部局实施的与信息资源有关的设 计、采办、开发、现代化、使用、运行、共享和执行等工作。（三）制定后续计划，完善机制体系 1.国家计划和行业计划的制定 国家计划。国土安全部长应该制定一个有关关键基础设施和重 要资源保护的全面、综合的国家计划，并在计划中列举出国家层面 的目标、目的、里程碑。除此之外，还应包括： （1）基础性战略。用以标识关键基础设施和重要资源、排列优 先级并对关键基础设施保护工作加以协调，指导国土安全部与联邦 其他部局、州和地方政府、私营部门、外国政府以及国际组织的合 作； （2）具体化工作。工作概要将用以指导：定义关键基础设施和 重要资源、排列关键基础设施和重要资源的优先级、降低关键基； 设施和重要资源的脆弱性、协调对关键基础设施和重要资源的保护。 （3）其他合作。包括与州和地方政府、私营部门共享关键基础 设施和重要资源的信息以及向其提供威胁预警数据。 行业计划。在2004年7月之前，联邦各部局的负责人应针对各 部局所拥有和正在运行的关键基础设施及重要资源制定相关保护计 划，并提交给OMB主任，以待批准。这些计划应涉及标识、优先 级排序、保护以及应急计划，旨在保障其基本运行，并在受到威胁 时进行恢复和重建。 2.信息共享机制的建立 在符合2002年《国土安全法》以及其他相关规定和总统令的前 提下，国土安全部应建立合适的系统、机制和程序，以确保联邦其 他部局、州和地方政府以及私营部门中与关键基础设施和重要资源 威胁及脆弱性有关的国土安全信息共享。 3.预警体系和综合视图的建设为更好地保护基础设施，国土安全总统令要求国土安全部长建 设一个国家级的迹象发现和预警体系机构，以增强国家对关键基础 设施袭击事件的预警能力，同时促进： （1）对基础设施的基本运行状况的了解； （2）发现攻击行为的前兆； （3）形成能够检测和分析可能的攻击模式的浪涌能力。 在建设这样一个体系结构的过程中，国土安全部长将与联邦、 州、地方政府以及非政府实体合作，以便对物理和信息基础设施及 重要资源形成综合视图。 （四）上报工作情况，监督指令实施 特定联邦机构每年均应向国土安全部长汇报对各自负责的部门 内的关键基础设施及重要资源进行标识、排列优先级以及协调保护 工作时的情况。自本令发布起一年内，各机构应该提交这些报告， 自此后每年汇报一次。 总统国土安全助理和总统国家安全事务助理应负责对关系到体 系结构的整合以及下一代体系结构的国家安全和应急战备通信政策 进行审查，并与合适的联邦部局的