为保护关键基础设施安全,美国自克林顿政府以来出台了大量法律文件,如第13010号行政令、第63号总统令、《爱国者法案》、《国土安全法》、第7号国家安全总统令、第13636号行政命令、第21号总统令等,其中举措值得借鉴。
一、美国保护关键基础设施立法的特点
(一)确定和完善关键基础设施的内涵与范畴
政府对“关键基础设施”定义的表述有所不同,但是并无本质区别,而关键基础设施涉及的领域和范畴则处于不断完善和调整之中。1996年克林顿政府第13010号行政令中,关键基础设施主要包括电信、电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务(包括医疗,警察,消防,救援)、政府连续性等8类;2003年第7号总统令中,确认了17类国家重要基础设施和关键资源,主要包括:农业和食品、能源、公众健康和保健、电信、邮政和运输业、交通系统、化学、商业设施、政府设施、紧急事务处理部门、水坝、核反应堆、原料和垃圾、国防工业基地、国家纪念性和标志性建筑;2008年,国土安全部宣布挑选“关键制造业”作为第18类需要保护的国家基础设施和关键资源;2013年第21号总统令重新确定了16类关键基础设施部门:化学、商业设施、通讯、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统。总体看来,美国对关键基础设施的分类正趋向稳定。
(二)调整和优化关键基础设施保护机构及其职能
美国政府频繁调整保护关键基础设施安全的领导机构,几乎每份文件都涉及到机构整合与新建。1996年第13010号行政令最大贡献之一,便是建立了“总统关键基础设施保护委员会”,负责向总统汇报关键基础设施的脆弱点信息,应对加强基础设施保护提案所引发的法律问题等;1998年第63号总统令,计划在联邦调查局建立“国家关键基础设施保护中心”,负责协调联邦政府应急响应、调查威胁和监督恢复等工作;2001年第13231号行政令宣布成立“国家关键基础设施保护委员会”,委员会有权修改关键基础设施保护政策,并须定期就职能范围内的各种问题提出计划和建议。2002年《国土安全法》组建了国土安全部,其所属的信息分析与基础设施保护局负责关键基础设施保护工作。2013年第21号总统令强化了国土安全部的职责,并对其他部门在关键基础设施保护方面的角色和责任进行了详细界定。
(三)强调公私合作和信息共享
美国大部分关键基础设施归私营企业经营和所有,因此各届政府都非常重视与私营机构的合作及信息共享。1998年第63号总统令提出,新建立的“国家基础设施保护中心”将汇聚来自政府与私营企业的代表,开展信息共享尝试,同时鼓励政府与企业建立信息共享和分析中心;2002年《国土安全法》确立了关键基础设施信息的共享程序,要求各行业设立信息共享和分析组织,以集合、分析和披露关键基础设施信息,并对泄露信息的行为做了相应处罚规定;2013年第13636号行政令,明确要求国土安全部采取措施推进网络安全信息共享;2013年第21号总统令更是直接将促进政府部门之间以及与关键基础设施所有者和运营者之间的有效信息交换作为措施之一。
二、对我国关键基础设施保护立法的几点建议
(一)明确关键基础设施的保护范畴
“关键基础设施”这一概念发源于国外,目前我国无论是官方文件还是学术文献中,均未对国家关键基础设施给出明确界定。公安部提出的“要害”一词,以及在等级保护相关规定中涉及的受保护单位和信息系统类别,与美国划定的关键基础设施范围存在很多相同之处,但随着网络空间发展和网络威胁的日益复杂化、高级化和隐蔽化,其内容难免有些片面和滞后。借鉴美国经验,结合我国当前形势,建议在相关立法中明确关键基础设施的保护范畴,具体可包括铁路、银行、通信、海关、税务、民航、电力、金融、国防、能源、卫生、交通、文化、教育等重要信息系统,以及用户众多的互联网平台。
(二)加强关键基础设施保护工作统筹协调
保护关键基础设施安全是一项长期任务,涉及多个部门、多个行业和多个领域,需要加以统筹协调。目前,我国保护关键基础设施工作的现状是政府部门作为主管机构,侧重于从宏观层面制定相关政策,具体的保护工作都是由各行业自己完成。这种模式不利于国家从整体上把握关键基础设施的安全状况,也不利于关键基础设施遭受大规模攻击后的紧急协调。未来,应建立关键基础设施保护的协调机制,明确关键信息基础设施保护的统筹协调部门,并赋予其更多资源,明确各相关部门的具体职能,并建立协调平台,吸纳各行业关键基础设施运营者参加,定期沟通,形成合力,共同推进关键基础设施保护工作。
(三)明确提出建立关键基础设施信息共享机制
我国关键基础设施更多属于国家所有,随着信息安全市场和产业的发展,越来越多的一手原始安全信息逐步集中在互联网、电信等企业手中,政府获取信息的难度加大,政府与企业之间的信息共享尤为必要。然而,关键基础设施运营者往往不愿意对外透露威胁信息,除担心信息共享会带来负面影响外,更重要的是担心这些信息的保密性问题,以及提供这些信息后是否会受到行为限制等。建议在立法中明确提出建立网络安全信息共享机制,并且最大程度地确保共享信息的保密性,让企业能自愿且放心地交换信息。
作者:赛迪智库网络安全研究所 张莉
(作者:杨威)
编辑: