从美国“CISA法案”看美国关键基础设施管理体系对我国的借鉴

2019-04-15 01:45:04 法制与社会2019年10期

摘 要 2018年11月,美国国会颁布了《2018年网络安全和基础设施安全局法案》,该法案内容的核心是将原有的国家保护和计划司升级为联邦级别的领导机构—网络安全和基础设施安全局。这部法律是特朗普政府对强化本国关键基础设施安全保护管理体制的重要措施,美国网络安全的保障能力得以进一步提升。美国在关键基础设施保护上已经探索了20多年,其在机构设置、部门协同上日益完善,并不断创新。我国目前正处于关键信息基础设施保护的起步阶段。深入研究美国关键基础设施管理体制,剖析网络安全和基础设施安全局的组织架构,并逐步形成基于责任制的共同保护是我国现阶段关保任务的工作路径。

关键词 CISA 关键基础设施 NPPD

作者简介:安锦程,北京邮电大学人文学院法学系硕士研究生,研究方向:关键信息基础设施保护、国际互联网治理、人工智能监管。

中图分类号:D63                                                               文献标识码:A                         DOI:10.19387/j.cnki.1009-0592.2019.04.074

2018年11月16日,美国总统特朗普签署了《2018年网络安全和基础设施安全局法案》(“Cybersecurity and Infrastructure Security Agency Act of 2018”,以下简称“CISA法案”)。CISA法案的对外颁布是美国关键基础设施管理领域的一件大事,该法案将前国家保护和计划司(National Protection and Programs Directorate,NPPD)拔高成了“网络安全和基础设施安全局”(Cybersecurity and Infrastructure Agency,以下简称“CISA”),从而将网络安全事务管理提高到了联邦管理层级,这意味着美国政府管理部门将关键基础设施安全是美国国家安全的核心内容在管理体制上予以最终明确。由于行政层级得以提升,CISA较前身NPPD拥有更大预算和更宽泛的职权。美国国土安全部副部长、前NPPD副主管克里斯托弗·克雷布斯(Christopher Krebs)成为了CISA的首任局长。

CISA法案的颁布使得美国关键基础设施安全保护工作进入一个新阶段。美国不仅是世界信息化潮流的引领者,也是网络安全建设的先锋,这一点在关键基础设施保护方面尤为明显。因此,梳理美国关键基础设施保护工作的相关做法对我国是大有裨益的。然而,美国关键基础设施安全保护工作内容众多、体系庞杂并且角度多样,本文难以全部概括。本文的出发点在于通过对美国关键基础设施某一方面的简要介绍来推动和完善我国的相关工作开展。

关键信息基础设施安全保护已经成为全球性的重要课题 。当前,美国在关键基础设施安全保护工作上的难点在于,由于其国体的特性而导致的公众对国家公权力的警惕,使得运营关键基础设施的私实体对部署联邦的入侵检测系统存在抵触情绪;中国的问题则是,关键信息基础设施所在的各重要领域的监管部门能否就关保工作形成合力,在中央网信办的协调下,形成统一、完善的统筹体制。我们的问题恰恰是美国做得好的地方。因此,本文就美国关键基础设施管理体系进行简要介绍,并就完善我国关键信息基础设施安全保护工作提出意见。

一、美国关键基础设施管理体系

(一)国家领导机构

911事件以前,美国对关保工作的安排尚没有清晰的思路,对领导部门的建设也存在争议,领导机构经历了几次变换。911事件的发生,使得美国通信、民航等与国计民生密切相连的重要部门暴露了大量的脆弱性,潜在的风险上升为现实的危害。911事件后,美國于2002年对外发布《2002年国土安全法》,依照该法组建了国土安全部,承担关键基础设施总的领导和协调职能。此后,关键基础设施的领导机构就稳定为国土安全部。2003年12月,布什政府根据新形势下的国家安全需要,颁布了《第7号国土安全总统令》(“Homeland Security Presidential Directive 7”,简称“HSPD-7”) 。该总统令明确要求“国土安全部部长应该负责协调整个国家的关键基础设施和重要资源的保护工作;作为首席联邦官员来领导、整合并协调联邦各部局、州和地方政府、私营部门之间的关键基础设施和重要资源的保护工作。”HSPD-7是对《2002年国土安全法》第二编“信息分析和基础设施保护”的补充和强化。

综合以上两份文件,国土安全部在关键基础设施保护方面的主要职责包括为,为提高国家关键基础设施的安全和韧性(Resilience) ,形成保护合力而提供战略指导;评估关键基础设施保护的能力,分析关键基础设施面临的威胁、脆弱性和所有危害的潜在后果;同同各重要领域的对口机构(Sector-Specific-Agency)和其他关键基础设施合作伙伴进行咨商,制定国家计划和衡量标准;标识并分析了各关键基础设施部门之间的依赖性;对强化国家安全及关键基础设施安全与韧性安全与韧性态势方面进行报告 。

直到2007年,具体负责关键基础设施安全的NPPD才在国土安全部建立起来。NPPD是“网络安全和基础设施安全局”的前身。如果说以往的管理机构,例如关键基础设施保护委员会(Presidents Commission on Critical Infrastructure Protection,PCCIP)等主要负责收集、处理关键基础设施相关信息而言,NPPD的定位便是完全的行政管理和执行机构。

NPPD下属五个部门,分别承担了美国国土安全部在关键基础设施的识别认定、网络安全保障、生物特征识别、信息共享、能力构建、应急响应,以及网络综合安全和执法服务等职责,对关键基础设施保护形成了闭环管理 。

(二) 总结

美国在关键基础设施保护工作的探索中充分认识到,这项工作的有效开展是需要国家级的一致努力。这种努力需要国土安全部的领导与协调,也需要关键基础设施对口机构(SSA)以及来自其他联邦各部、局的专业化或基础性支撑,还需要关键基础设施所有者和运营者以及SLTT实体的强有力合作。总体而言,美国的关键基础设施保护体制是完善和健全的,并在美国政府高度重视下持续运转。

二、网络安全与基础设施安全局介绍

(一) 背景说明

美国设立网络安全与基础设施安全局不仅是部门博弈的结果,也是迫于形势的需要。CISA是巩固国土安全部在网络安全问题上的权威的而进行长期斗争的结果。奥巴马执政时期,便希望建立一个独立、强大而又高效负责关保工作的“局”机构,但是立法者却认为仅仅成立十几年时间的国土安全部并不像国家安全局或联邦调查局那样有能力应对网络威胁。然而2016年美国选举的“通俄门”事件让美国重新审视其关键基础设施管理工作的有效性。基于此,2018年11月16日,美国众议院通过了“CISA法案”。应当说,“CISA”法案在一定程度上展示了未来美国国土安全部的发展方向。

(二)主要职责

网络安全与基础设施安全局的主要职责包括以下几项:

1.其下属的国家网络安全和通讯整合中心(National Cybersecurity and Communications Integration Center,NCCIC)为联邦政府提供全天候全方位的實时安全态势感知能力,包括网络状态、分析、事件汇报及网络防御能力;

2.提供网络安全工具、事件汇报服务和评估功能,以保护、支持联邦民政部门和机构的网络基本运作;

3.透过私营和公共部门的合作伙伴关系,提高关键基础设施网络安全和韧性工作,并为联邦利益相关者及全国的基础设施所有者和运营商提供培训、技术援助和评估;

4.透过其国家风险管理中心(National Risk Management Cen ter)为美国关键基础设施提供综合性的危害风险分析;

5.强化各级政府的公共安全协同通讯,提供培训、协调、攻击和相关指导,帮助全国的合作伙伴开发紧急通讯能力。

从上面的内容可以简单看出,CISA将原有的NPPD的技术支撑部门进行了系统整合,以“风险管理”的理念处理关键基础设施面临的风险和危险,实施全方位的态势感知,这种做法是十分先进的。此外,继续贯彻关保工作优先级的工作思路,以应急通讯作为工作抓手,提升联邦整体的指挥调度能力。这一点是我国网信部门所要借鉴的。

三、关于完善我国关键信息基础设施安全保护管理体制的建议

我国是中央集权制的国家,与美国大量的关键基础设施由私营实体掌握的国情不同,我国绝大多数关键信息基础设施由国家管理,这体现了公有制,也是对人民负责的体现。关键信息基础设施是我国网络安全的“神经中枢”“重中之重” ,因此,保护关键信息基础设施网络安全是全社会共同的责任,应当责任清晰、各负其责。关键信息基础设施在现阶段的网络安全防控能力薄弱,应急响应能力滞后,单独依靠关键信息基础设施自身难以应对大规模的网络攻击。因此,做好关键信息基础设施保护工作亟需提升国家、运行单位、社会机构之间的任务协同和工作协作能力。

具体而言,国家网信部门应当负责统筹协调网络安全工作和相关监督管理工作,组织建设关键信息基础设施一体化保护体系,形成网络安全威慑能力,在关键信息基础设施保护工作中,行使国家权力,体现国家意志。国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。相关部门间建立起顺畅、互信的指令下达和解释说明渠道,强化部门间沟通协调,实现资源合理配置,强化国家各相关职能部门间的任务协同、工作协作和威胁情报共享,建立多方参与、分工协作、高效协同的工作机制。国家相关部门在组织安全管理的同时,更要做好服务,综合运用各种资源、能力帮助运行单位保护好关键信息基础设施。

注释:

刘金瑞.我国关键基础设施立法的基本思路和制度建构.环球法律评论.2016(5).

左晓栋.美国网络安全政策二十年.电子工业出版社.2017.

张弛、崔占华.美国关键基础设施安全管理综述.信息安全研究.2017,3(8).

唐旺,宁华,陈星,等.美国关键基础设施网络安全保护现状.信息技术与标准化.2016(5).

左晓栋.HSPD-7及分析.信息网络安全.2004(2).

习近平.在网络安全和信息化座谈会上的讲话.2016年4月19日.