◎国防科技大学信息通信学院 杨博文 郑理
关键基础设施安全事关国家安全。对于美国,一是越来越多的恐袭事件针对关键基础设施,通过破坏、损毁关键基础设施影响社会安全与稳定;二是随着关键基础设施越来越多的使用信息网络技术,“网络化”的关键基础设施“吸引”更多的破坏者利用网络攻击的隐蔽性和网络影响的级联性对关键基础设施实施破坏,且这种破坏难以溯源;三是敌对国或别有用心的政治集团通过攻击、利用关键基础设施达到影响内政的目的,如攻击破坏选举基础设施干扰美国总统选举活动,影响选举安全。
关键基础设施保护是政府的“责”,但是企业的“事”。政府是领导国家建设、维护国家安全的主体力量,既然关键基础设施安全事关国家安全,政府就应该确保关键基础设施安全。但对于美国,国家关键基础设施绝大部分归私营企业所有,政府仅占据少量份额,因此,要将关键基础设施保护落到实处必须政府牵头,掌管关键基础设施的企业具体落实保护性措施。
关键基础设施种类繁多、千差万别,虽政府牵头,但也要分工落实。这里所说的“分工”是政府内的分工。对于美国的16类关键基础设施领域,如粮食与农业、国防工业基地、能源、金融、化工业等,都具有自己专门的设施、专门的设备、专用的系统以及领域内的特定风险,不可一概而论采用“一刀切”的治理措施。因此,需要联邦政府根据部门分工,各部门分别与各行业(领域)的企业“对口”合作,建立一对一的合作机制,方能真正让“合作”落地,而不是一级政府对所有行业。
综上,对于美国,政企合作的模式之于关键基础设施保护是必要的。政府要在中间起牵头作用,通过协调相应的部门与对应的行业、企业开展合作,推动企业落实关键基础设施保护性措施。
信息共享活动是政企合作的重点。关键基础设施有其固有的脆性,或叫弱点、漏洞,所谓的对关键基础设施实施的攻击、破坏,利用的就是其弱点。因此,要提高关键基础设施的安全性,除了对恐袭事件或破坏活动进行预测外,最重要的一点就是从堵塞漏洞、降低脆性上进行防范。通过了解关键基础设施固有的漏洞或脆性,分析可能被支配利用的弱点,从而制定防控措施,拿出较为完善的关键基础设施保护和应急处置方案。在政府推动完成这些任务的过程中,涉及到企业将有关关键基础设施保护的信息与政府共享,并且政府也希望通过多源的情报分析与日常掌握的关键基础设施脆性信息经过综合集成生成预警信息之后,发布给更广泛的企业乃至全社会,有助于企业做出关键基础设施保护的合理决策,以及引起社会的重视。因此,关键基础设施保护政企合作的重点是政府与企业间的信息交互,或称信息共享。
政企合作的模式之于关键基础设施保护是必要的,且合作的重点在于政府与企业间的信息共享,但这种政企信息共享的合作模式却不易建立。
信息共享或信息交互是双向的信息交流活动,目的在于通过“共享”创造比“独享”更大的价值,其本质是对多源的信息进行综合集成分析,产生对事物更加完整、客观的认识,及基于此作出更加有效的决策。政府的担忧:除上述所讲的获取关键基础设施固有的漏洞或脆性信息外,政府统领国家情报界,能够从国内外获取丰富的有关关键基础设施威胁、恐怖袭击、网络攻击等的情报信息,这对于关键基础设施企业做好预测、防范工作有重要的价值,但如果不对此类信息进行裁剪、脱密就共享给企业,会导致国家情报甚至政府所采用的情报侦察手段、技术等外泄。但若在信息处理上花费过多时间,将降低情报的价值,尤其对于重大威胁隐患。企业的担忧:若将关键基础设施的问题漏洞等信息,以及基础设施遭受攻击破坏的情况第一时间报告政府,可能会影响企业在客户心中的知名度、声誉,导致客户对企业的信任降级。同样,企业共享给政府的信息中可能会暴露客户的隐私数据、企业的商业秘密,这些信息如果不仔细斟酌和筛选,可能导致客户失信于企业,甚至如果信息被同行掌握可能影响企业的竞争优势,或违反“反垄断法”。总体上,企业的担忧是政企间信息共享机制不健全造成的。
美国政企合作保护关键基础设施的历史可追溯到1998年克林顿总统发布的第63号总统令,主题即“关键基础设施保护”。文中首次提出要“公私合作减弱关键基础设施的脆性”。这之后陆续颁发了《保护美国的网络空间:信息系统保护国家计划1.0版,一个对话的邀请》(2000)、《国土安全的国家战略》(2002)、《国土安全法》(2002)、《保卫网络空间的国家战略》(2003)、《关键基础设施和核心资产的物理保护国家战略》(2003)。这6份年代相近、代表国家意志的文件,在全社会营造了关键基础设施保护政企合作的氛围:1.合作是政府履行关键基础设施保护职能的方式。关键基础设施保护是一份全社会“共享”的责任,应该以合作的方式来应对。政府虽不掌握归私企所有的基础设施,并不意味着政府在基础设施管理中不担负任何职责或仅承担少量的责任,而应该通过合作(政企合作、联邦政府与非联邦政府合作,以及与更广泛的科研机构、院校等的合作)的方式来履行这一职能。2.自愿是合作的第一原则。只有坚持自愿的原则才能确保真诚的交流与信息共享,才能为今后深化政企合作奠定好的基础。第63号总统令载明:政府不得动用法律与权威干预政企合作,亦不得对企业施加无资金支持的政府授权。3.政府扮演“协调员”、“服务员”。如在推动关键基础设施保护的概念与标准演化中,充分发挥业界和市场的作用,让概念与标准在市场的推动下不断完善,政府不干预。必要时,政府对成熟的标准进行认证,服务于整个行业。在促进信息系统安全行业开展信息系统保护技术研发方面,政府将加大投资,刺激市场开发出更好的标准和技术,在促进企业采购基础设施保护技术方面,政府将采取减税、补助等政策促进企业购买更好的安全产品。在经验共享方面,政府将发挥国家安全局长期维护联邦政府网络的经验优势为企业服务,引导商务部国家标准与技术研究所与企业一道共同开发网络安全框架和方案。此外,政府还将牵头与企业共同制定信息共享的原则、需求与流程。4.权衡国家利益与对个人隐私的适度影响。为了维护国家安全和基础设施安全,在企业向政府提供信息,以及政府对企业涉猎涉密信息的人员进行背景审查的过程中都会影响到客户、公民的隐私数据。同时,政府将通过制定严格的信息共享流程、简化涉密人员背景审查的手续,最大限度保护公民隐私。
在这方面最重要的立法就是2002年的《国土安全法》。该法授权在联邦机构内成立新的部门:国土安全部。它在整合联邦有关基础设施保护、网络安全等职能部门的基础上统一领导国家关键基础设施保护,并明确了对自愿共享的关键基础设施信息的保护措施:1.凡自愿提交的出于保护关键基础设施的信息(含信息的提交者、机构,下同)免受“信息自由法”信息公开的制约,信息的提交者与国土安全部之间的信息交互免受“联邦咨询委员会法”会议信息公开的制约;2.自愿提交的信息仅用于关键基础设施保护,以及有关关键基础设施破坏的犯罪调查和指控;3.要将自愿提交的信息公开或用于其他目的,必须经信息提交者的书面同意;4.联邦政府官员和雇员要保护私营企业自愿提交的信息,如在预警信息发布环节要注意公开的范围,一旦泄露了不应公开的信息将处以罚金或一年以内的监禁,并被免职。《国土安全法》的受众是全社会,文中所指的“信息的提交者”包括企业、个人,以及任一实体机构或组织,因此它既减轻了企业的担忧,也有利于调动社会的积极性。
此外,相关文件提出改进联邦政府内情报部门、国土安全部门、国防部门和应急通信管理部门间的信息系统,为信息共享与互联互通消除障碍,促进关键基础设施威胁情报的整合,同时,通过建立关键基础设施预警网络,在政府与企业间建立“链接”,为政府与企业共享威胁告警信息等敏感内容提供一个安全、保密、可信的环境。
建立业界联络机构是启动政企合作的第一步。1998年的第63号总统令指定了联邦政府内的8个机构作为业界的联络机构,分别为:商务部负责信息与通信领域,财政部负责银行与金融业,环境保护局负责供水业,交通运输部负责航空、公路、轨道交通、管线、铁路和水上商业,司法部联邦调查局负责紧急执法服务,联邦紧急事务管理局负责应急消防,卫生与公众服务部负责公共健康服务,能源部负责电力以及油和气的生产存储。合作联络人的认定是政企合作的第二步。在政府侧建立业界联络机构的基础上,联邦政府指定一个牵头机构的高级官员作为“联络官”,负责与对应领域的企业开展联络和协调工作,并与企业共同协商指定一名企业侧的“协调官”,作为企业所在行业领域的代表。这样,就奠定了政府与对应企业合作的桥梁和纽带。
有了联络机构,政府与企业就通过会议、论坛以及各种平台以自愿为原则、以法律为保障、以技术为支撑开展对话与信息共享,建立并不断完善机制,包括充实已有的政企合作机制,扩大信息共享面。如1982年成立的由代表电信行业的高级企业领导组成的国家安全电信咨询委员会(NSTAC),负责向总统提供咨询建议,并与政府的国家通信系统(NCS)在电信与应急通信领域建立了长期合作机制。在NSTAC的提议下,成立了通信领域的信息共享与分析中心,搭建了政府与企业间通信领域关键基础设施保护信息共享的平台。1998年11月,能源部和能源业的天然气研究所、电力研究所共同启动的能源论坛,有超过100 个电力、石油和天然气的行业和政府代表参加,到了1999年有150个与会代表。在新墨西哥州,工业界、学术界和政府机构自愿组建了“新墨西哥州关键基础设施保护委员会”等。