美國關鍵基礎設施保護政企合作問題研究

◎國防科技大學信息通信學院 楊博文 鄭理

一、緣何開展關鍵基礎設施保護政企合作

關鍵基礎設施安全事關國家安全。對于美國，一是越來越多的恐襲事件針對關鍵基礎設施，通過破壞、損毀關鍵基礎設施影響社會安全與穩定；二是隨著關鍵基礎設施越來越多的使用信息網絡技術，“網絡化”的關鍵基礎設施“吸引”更多的破壞者利用網絡攻擊的隱蔽性和網絡影響的級聯性對關鍵基礎設施實施破壞，且這種破壞難以溯源；三是敵對國或別有用心的政治集團通過攻擊、利用關鍵基礎設施達到影響內政的目的，如攻擊破壞選舉基礎設施干擾美國總統選舉活動，影響選舉安全。

關鍵基礎設施保護是政府的“責”，但是企業的“事”。政府是領導國家建設、維護國家安全的主體力量，既然關鍵基礎設施安全事關國家安全，政府就應該確保關鍵基礎設施安全。但對于美國，國家關鍵基礎設施絕大部分歸私營企業所有，政府僅占據少量份額，因此，要將關鍵基礎設施保護落到實處必須政府牽頭，掌管關鍵基礎設施的企業具體落實保護性措施。

關鍵基礎設施種類繁多、千差萬別，雖政府牽頭，但也要分工落實。這里所說的“分工”是政府內的分工。對于美國的16類關鍵基礎設施領域，如糧食與農業、國防工業基地、能源、金融、化工業等，都具有自己專門的設施、專門的設備、專用的系統以及領域內的特定風險，不可一概而論采用“一刀切”的治理措施。因此，需要聯邦政府根據部門分工，各部門分別與各行業（領域）的企業“對口”合作，建立一對一的合作機制，方能真正讓“合作”落地，而不是一級政府對所有行業。

綜上，對于美國，政企合作的模式之于關鍵基礎設施保護是必要的。政府要在中間起牽頭作用，通過協調相應的部門與對應的行業、企業開展合作，推動企業落實關鍵基礎設施保護性措施。

二、政企合作的重點

信息共享活動是政企合作的重點。關鍵基礎設施有其固有的脆性，或叫弱點、漏洞，所謂的對關鍵基礎設施實施的攻擊、破壞，利用的就是其弱點。因此，要提高關鍵基礎設施的安全性，除了對恐襲事件或破壞活動進行預測外，最重要的一點就是從堵塞漏洞、降低脆性上進行防范。通過了解關鍵基礎設施固有的漏洞或脆性，分析可能被支配利用的弱點，從而制定防控措施，拿出較為完善的關鍵基礎設施保護和應急處置方案。在政府推動完成這些任務的過程中，涉及到企業將有關關鍵基礎設施保護的信息與政府共享，并且政府也希望通過多源的情報分析與日常掌握的關鍵基礎設施脆性信息經過綜合集成生成預警信息之后，發布給更廣泛的企業乃至全社會，有助于企業做出關鍵基礎設施保護的合理決策，以及引起社會的重視。因此，關鍵基礎設施保護政企合作的重點是政府與企業間的信息交互，或稱信息共享。

三、政企合作模式的建立

政企合作的模式之于關鍵基礎設施保護是必要的，且合作的重點在于政府與企業間的信息共享，但這種政企信息共享的合作模式卻不易建立。

（一）政府與企業在“信息共享”上的擔憂

信息共享或信息交互是雙向的信息交流活動，目的在于通過“共享”創造比“獨享”更大的價值，其本質是對多源的信息進行綜合集成分析，產生對事物更加完整、客觀的認識，及基于此作出更加有效的決策。政府的擔憂：除上述所講的獲取關鍵基礎設施固有的漏洞或脆性信息外，政府統領國家情報界，能夠從國內外獲取豐富的有關關鍵基礎設施威脅、恐怖襲擊、網絡攻擊等的情報信息，這對于關鍵基礎設施企業做好預測、防范工作有重要的價值，但如果不對此類信息進行裁剪、脫密就共享給企業，會導致國家情報甚至政府所采用的情報偵察手段、技術等外泄。但若在信息處理上花費過多時間，將降低情報的價值，尤其對于重大威脅隱患。企業的擔憂：若將關鍵基礎設施的問題漏洞等信息，以及基礎設施遭受攻擊破壞的情況第一時間報告政府，可能會影響企業在客戶心中的知名度、聲譽，導致客戶對企業的信任降級。同樣，企業共享給政府的信息中可能會暴露客戶的隱私數據、企業的商業秘密，這些信息如果不仔細斟酌和篩選，可能導致客戶失信于企業，甚至如果信息被同行掌握可能影響企業的競爭優勢，或違反“反壟斷法”。總體上，企業的擔憂是政企間信息共享機制不健全造成的。

（二）發布國家戰略文件營造合作氛圍

美國政企合作保護關鍵基礎設施的歷史可追溯到1998年克林頓總統發布的第63號總統令，主題即“關鍵基礎設施保護”。文中首次提出要“公私合作減弱關鍵基礎設施的脆性”。這之后陸續頒發了《保護美國的網絡空間：信息系統保護國家計劃1.0版，一個對話的邀請》（2000）、《國土安全的國家戰略》（2002）、《國土安全法》（2002）、《保衛網絡空間的國家戰略》（2003）、《關鍵基礎設施和核心資產的物理保護國家戰略》（2003）。這6份年代相近、代表國家意志的文件，在全社會營造了關鍵基礎設施保護政企合作的氛圍：1.合作是政府履行關鍵基礎設施保護職能的方式。關鍵基礎設施保護是一份全社會“共享”的責任，應該以合作的方式來應對。政府雖不掌握歸私企所有的基礎設施，并不意味著政府在基礎設施管理中不擔負任何職責或僅承擔少量的責任，而應該通過合作（政企合作、聯邦政府與非聯邦政府合作，以及與更廣泛的科研機構、院校等的合作）的方式來履行這一職能。2.自愿是合作的第一原則。只有堅持自愿的原則才能確保真誠的交流與信息共享，才能為今后深化政企合作奠定好的基礎。第63號總統令載明：政府不得動用法律與權威干預政企合作，亦不得對企業施加無資金支持的政府授權。3.政府扮演“協調員”、“服務員”。如在推動關鍵基礎設施保護的概念與標準演化中，充分發揮業界和市場的作用，讓概念與標準在市場的推動下不斷完善，政府不干預。必要時，政府對成熟的標準進行認證，服務于整個行業。在促進信息系統安全行業開展信息系統保護技術研發方面，政府將加大投資，刺激市場開發出更好的標準和技術，在促進企業采購基礎設施保護技術方面，政府將采取減稅、補助等政策促進企業購買更好的安全產品。在經驗共享方面，政府將發揮國家安全局長期維護聯邦政府網絡的經驗優勢為企業服務，引導商務部國家標準與技術研究所與企業一道共同開發網絡安全框架和方案。此外，政府還將牽頭與企業共同制定信息共享的原則、需求與流程。4.權衡國家利益與對個人隱私的適度影響。為了維護國家安全和基礎設施安全，在企業向政府提供信息，以及政府對企業涉獵涉密信息的人員進行背景審查的過程中都會影響到客戶、公民的隱私數據。同時，政府將通過制定嚴格的信息共享流程、簡化涉密人員背景審查的手續，最大限度保護公民隱私。

（三）法律保障與技術支撐相結合減輕信息共享擔憂，營造互信環境

在這方面最重要的立法就是2002年的《國土安全法》。該法授權在聯邦機構內成立新的部門：國土安全部。它在整合聯邦有關基礎設施保護、網絡安全等職能部門的基礎上統一領導國家關鍵基礎設施保護，并明確了對自愿共享的關鍵基礎設施信息的保護措施：1.凡自愿提交的出于保護關鍵基礎設施的信息（含信息的提交者、機構，下同）免受“信息自由法”信息公開的制約，信息的提交者與國土安全部之間的信息交互免受“聯邦咨詢委員會法”會議信息公開的制約；2.自愿提交的信息僅用于關鍵基礎設施保護，以及有關關鍵基礎設施破壞的犯罪調查和指控；3.要將自愿提交的信息公開或用于其他目的，必須經信息提交者的書面同意；4.聯邦政府官員和雇員要保護私營企業自愿提交的信息，如在預警信息發布環節要注意公開的范圍，一旦泄露了不應公開的信息將處以罰金或一年以內的監禁，并被免職。《國土安全法》的受眾是全社會，文中所指的“信息的提交者”包括企業、個人，以及任一實體機構或組織，因此它既減輕了企業的擔憂，也有利于調動社會的積極性。

此外，相關文件提出改進聯邦政府內情報部門、國土安全部門、國防部門和應急通信管理部門間的信息系統，為信息共享與互聯互通消除障礙，促進關鍵基礎設施威脅情報的整合，同時，通過建立關鍵基礎設施預警網絡，在政府與企業間建立“鏈接”，為政府與企業共享威脅告警信息等敏感內容提供一個安全、保密、可信的環境。

（四）指定對接機構實質推動，在實踐中完善機制

建立業界聯絡機構是啟動政企合作的第一步。1998年的第63號總統令指定了聯邦政府內的8個機構作為業界的聯絡機構，分別為：商務部負責信息與通信領域，財政部負責銀行與金融業，環境保護局負責供水業，交通運輸部負責航空、公路、軌道交通、管線、鐵路和水上商業，司法部聯邦調查局負責緊急執法服務，聯邦緊急事務管理局負責應急消防，衛生與公眾服務部負責公共健康服務，能源部負責電力以及油和氣的生產存儲。合作聯絡人的認定是政企合作的第二步。在政府側建立業界聯絡機構的基礎上，聯邦政府指定一個牽頭機構的高級官員作為“聯絡官”，負責與對應領域的企業開展聯絡和協調工作，并與企業共同協商指定一名企業側的“協調官”，作為企業所在行業領域的代表。這樣，就奠定了政府與對應企業合作的橋梁和紐帶。

有了聯絡機構，政府與企業就通過會議、論壇以及各種平臺以自愿為原則、以法律為保障、以技術為支撐開展對話與信息共享，建立并不斷完善機制，包括充實已有的政企合作機制，擴大信息共享面。如1982年成立的由代表電信行業的高級企業領導組成的國家安全電信咨詢委員會（NSTAC），負責向總統提供咨詢建議，并與政府的國家通信系統（NCS）在電信與應急通信領域建立了長期合作機制。在NSTAC的提議下，成立了通信領域的信息共享與分析中心，搭建了政府與企業間通信領域關鍵基礎設施保護信息共享的平臺。1998年11月，能源部和能源業的天然氣研究所、電力研究所共同啟動的能源論壇，有超過100 個電力、石油和天然氣的行業和政府代表參加，到了1999年有150個與會代表。在新墨西哥州，工業界、學術界和政府機構自愿組建了“新墨西哥州關鍵基礎設施保護委員會”等。