美国关键基础设施政策 研究专报 第 8 期 路云天网络安全研究院 云天洞察 第16期 2022年6月13日 美国关键基础设施保护国家级计划形成 ——2006年美国《国家基础设施保护计划》解读 2006年6月，按照 2003年美国布什政府颁布的 第7号国土安全 总统令《关键基础设施识别、优先排序和保护》（以下简称 “HSPD- 7”）要求，国土安全部牵头起草并发布了 《国家基础设施保护计划》 （National Infrastructure Protection Plan，NIPP） （ 以 下 简 称 NIPP2006 ）。NIPP提出了一个全面的风险管理框架，明确界定了国 土安全部、联邦部门、州和地方政府以及私营部门等安全合作伙伴 的角色职责，在广泛协调沟通的基础上，设计了一套较为完备的组 织协作模式和信息共享机制，该计划还阐述了如何通过与其他国家 级国土安全规划的整合，使其更具统一性、连续性和协作性。 NIPP 自2006年发布以来，先后在 07/08、09和13年经历了多次更新，在 总结先前实施经验的基础上更加贴合时代发展要求，更新后的保护 计划已成为美国关键基础设施保护重要的理论指导和实 践指南。 一、主要内容 2006年6月，美国国土安全部发布 NIPP2006，标志着美国全面 实施国家级关键基础设施保护计划。这份保护计划总结和凝练了美 国多年的关键基础设施保护经验，正文共分七章内容，分别阐述了 计划概述、角色责任、风险管理框架、协调合作机制、国土安全任 务整合、长效行动任务和资源保障方案等。 (一) 计划概述：提出两个总体目标，明确保护努力方向 保护关键基础设施和重要资源（以下简称 CI/KR）对美国的国家 安全、公共安全、经济活力和 社会稳定 至关重要。 美国的政策侧重 于加强CI/KR保护，确保在发生恐怖袭击、自然灾 害或其他类型事 件时，维持基本的政府 职能、公共服务和经济 运行，并确保 CI/KR 不会被用作大规模杀伤性武器针对美国。 为贯彻这一政策， NIPP提 出了两个总体目标 ，一是通过加强对国家 CI/KR的保护，建设一个 更安全、更 可靠、更有弹性的美国； 二是提升国家预防、响应和快 速恢复的能力，以应对恐怖袭击、自然灾害或其他紧急状况。为实 现总体目标， NIPP提出了CI/KR保护的三个努力方向 ，即阻止威胁、 减轻脆弱性以及减少恐怖袭击或其他事件的相关后果，通过一系列 广泛的行动（如加固设施、建立弹性和冗余、将抗危害性纳入初始 设施设计、启动主动或被动对策、安装安全系统、促进员工保障计 划、实施网络安全措施等）实现对 CI/KR的保护。为验证和优化保 护行动， NIPP还提出了衡量目标实现进展的 四个能力 ，一是具备协 调保护计划，应对已知和潜在威胁的能力，二是具备快速学习经验 教训，适应不断变化的威胁或事件的能力，三是具备固化流程机制，有效实施保护及快速响应、恢复的能力，四是具备实时事件通报， 开展强大的信息共享的能力 。 图1.CI/KR保护方向示意图（引自 NIPP2006） (二) 角色责任：明确合作角色定位，界定保护职责分工 图2.NIPP角色责任示意 美国认识到改善关键基础设施保护需要一个全面、统一的组织， NIPP明确提出了相关角色的权力职责，以期通过加强公私部门之间 的密切合作共同保护美国的关键基础设施。在 NIPP的框架下，共划 分了7类角色，包括国土安全部、行业特定机构、其他联邦部门、 州和地方政府、私营部门、咨询委员会以及学术界等。 1.国土安全部 根据《国土安全法》和 HSPD-7的规定，国土安全部被要求在领 导、整合和协调全国 CI/KR保护方面做出努力，一是协同开发 NIPP 和支持行业特定计划；二是制定和实施多层次的风险管理计划；三 是制定跨部门和区域的保护指南和协议；四是推荐行业内和行业间 的风险管理绩效标准和指标。除了总体领导和跨部门协调职责外， 国土安全部也担任 10个关键基础设施行业的行业特定机构并履行相 应职责。此外， NIPP还明确了国土安全部在国家级层面的 18项关键 基础设保护职责，如：协调联邦行动、促进安全伙伴关系、支持风 险评估计划、建立信息共享网络、开发风险评估工具、关注网络漏 洞威胁、开展教育培训活动、编制保护预算报告、监督计 划实施过 程、促进技术开发转让、提供实时威胁情报、组织安全演习评估、 促进国际合作，整合国家保护资源等。 2.行业特定机构（ SSA） 鉴于每个关键基础设施行业 都有其独特的特点、运营模式和风 险状况，HSPD-7为每个关键基础设施行业都 指定了联邦政府 的行业 特定机构 。行业特定机构的工作要点 ，一是与国土安全部 合作实施 NIPP行业伙伴关系模式和风险管理框架 ，提供行业级 CI/KR保护指 导，二是与行业安全伙伴合作制定行业特定计划 （SSP）并向国土安 全部提交部门级绩效 反馈，三是与私营部门安全伙伴合作，在行业 部门内制定信息共享和分析机制，四是向国土安全部提交管辖行业的CI/KR保护预算需求的年度报告。此外， NIPP也明确了行业特定 机构在部门级层面的多项保护职责，如：促进行业风险评估，支持 国土安全部数据调用、通报需求预算和分配保护资源等。 表1.行业特定机构和 HSPD-7指定的CI/KR行业 行业特定机构 关键基础设施 /关键资源 农业部 卫生和公共服务部 农业和食品 国防部 国防工业基地 能源部 能源 卫生和公共服务部 公共卫生和医疗保健 内政部 国家纪念碑和标志 财政部 银行和金融 环境保护局 饮用水和水处理系统 国土安全部 -基础设施保护办公室 化学 商业设施 水坝 紧急服务 商业核反应堆、材料和废物 -网络安全和电信局 信息技术 电信 -运输安全管理局 邮运 -运输安全管理局 -美国海岸警卫队 运输系统 -移民和海关执法局 -联邦保护局 政府设施 3.其他联邦部门、机构和办公室 NIPP规定包括国务院、司法部、商务部、交通部、国防部、核 管理委员会、国土安全委员会、科学与技术政策办公室以及管理和 预算办公室在内的多个联邦部门和机构都将作为安全合作伙伴，与 国土安全部和行业特定机构 进行协调。 这些部门和机构要与国土安 全部合作 实施CI/KR保护的三个工作方向，一是 在本部门内实施保 护计划，并协助进行风险评估及重要性排序，二是 通过行业代表 组 成的监管机构 支持和强化 CI/KR保护的国家目标 ，三是与所有相关安全合作 伙伴合作，在适当的情况下共享本行业内的安全相关信息。 4.州、地方和部落政府 NIPP认为州、地方和部落政府 应负责执行国土安全任务，保护 公共安全并确保向其管辖范围内的社区和行业提供基本服务。 按照 管辖范围和组织结构的不同，又可细分为州政府、地方政府、部落 政府、区域合作伙伴以及地区级其他实体。其中 州政府负责建立安 全伙伴关系和协调信息共享，在管辖范围内做好 CI/KR保护规划和 预案，作为重要的协调中心，州政府要促进公私合作伙伴的保护和 应急响应活动，当 威胁事件超 出私营部门能力范围时，州政府要充 当请求联邦援助的渠道，此外，州政府还负责落实管辖范围 内的所 有部门的CI/KR保护资源得到有效分配。 地方政府 代表着实施NIPP 伙伴关系模式的前线 ，它们与私营部门共同提供关键的公共服务和 其他相关功能，通常承担最初的预防、响应和恢复的职责，作为 NIPP框架下的关键合作伙伴，地方政府将极大的推动应急准备和参 与相关计划实施。 部落政府 在CI/KR保护方面的角色和责任通常与 州和地方政府的角色和责任相同 ，并确保与联邦、州、地方 政府的 密切协调，以实现在其管辖范围内实施 NIPP和行业特定计划框架的 协同效应。 区域合作伙伴 包括各种公共和 私营部门 组织，这些组织 跨越司法管辖区或部门边界，侧重于国土安全 预防、保护、响应和 恢复。地区级其他实体 履行与CI/KR运营和保护的各个方面相关的 监管、咨询或业务监督职能 。 5.私营部门 私营部门是其控制的关键基础设施的第一道防线，负责开展关 键基础设施的 保护、修复、协调 及合作活动 ，支持风险管理规划 并 向联邦政府提供 意见和建议。包括评估业务和应急管理计划的连续 性，增强业务流程和系统的弹性和冗余度，保护设施免受物理和网 络攻击、防范内部威胁，以及加强与外部组织的协调等。 6.咨询委员会 咨询委员会就保护政策和活动向政府提供建议和专业知识。此 类委员会经常与私营部门领导人进行接触，以获得与关键基础设施 保护相关的政策或计划的反馈，很好的提高了特定计划的效率和 效 果。其中有四个较为重要委员会分别是 关键基础设施伙伴关系咨询 委员会（ CIPAC）、国土安全咨询委员会（ HSAC）、国家基础设施咨 询委员会（ NIAC）、国家安全电信咨询委员会（ NSTAC） 7.学术界和研究中心 学术和研究中心在实现国家级 CI/KR保护和实施 NIPP方面发挥 着重要作用 。如基于研发中心对 CI/KR保护问题进行独立分析 、研 究和提供创新思维， 针对安全合作伙伴 研究可用于支持 NIPP工作的 新技术和 新方法等。 (三) 管理风险：提出风险管理框架，构建风险管理模型 NIPP的基石是风险管理框架 ，这一框架通过对威胁、脆弱性和 后果的流程化处理，实现对风险的综合评估。针对改进和加强 CI/KR 保护能