5.跨部门安全优先级
本章阐述了跨部门的全面安全保卫方案,体现了关键基础设施和重要资产保护工作的国家级重点,突出了那些需要立即引起注意、必须加强合作和提高安全投资成本效率的跨部门保护问题和行动。下文所列保护方案还支持了本战略的三大根本性目标:(1)确定和确保我们国家最关键基础设施和资产的保护;(2)及时发出警报,确保基础设施和资产面临迫在眉睫的具体威胁时的安全;(3)创造一个能使所有利益相关人都能更好地保护其所控制的基础设施和资产的环境。
我们身处一个威胁丛生的环境,因此必须把安全视为核心实践措施和标准运营方式不可分割的组成部分,而绝不是处理其他问题时的附加问题。随着恐怖主义威胁的持续和发展,我们必须不断调整我们的安全计划和保护工作,以使它们得以长期有效运转。本战略后面提到的行动代表着我们国家在这一漫长行程中所要迈出的头几步。
本章阐述的跨部门安全重点可划分为以下几个类别:
规划和资源配置;
信息共享、迹象发现和预警;
确保人员可靠和建立人力资产;
技术研发;
建模、仿真和分析。
以下各节分别讨论了跨部门保护问题以及与该保护问题相关的障碍,随后阐明了迎接这些挑战和排除保护障碍所必须采取的具体行动。
规划和资源配置
行之有效并且高效率的风险评估、保护规划和资源配置是密切相关的环节。它们取决于联邦、州、地方政府、私营部门以及我们的国际合作伙伴共同衔接和实现它们各自和共同的目标、需要和优先重点的能力。
州和地方政府的有限资源目前正面临着前所未有的需求。税收的减少意味着州和地方社区经常会缺乏足够的资源对关键基础设施实施全面保护。资源的匮乏要求联邦、州和地方政府必须更加有效地携手合作,对它们有限的资源进行评估、计划和配置。
工业界也同样要面对多变的威胁和困难的经济环境。在有些情况下,某些关键部门的企业把资源集中使用在维持贸易活动上。为了提高安全投资流程的稳定性,私营部门机构必须更加密切地协调关键基础设施保护计划,以确保联邦政府和州政府能够了解和认可它们未来的开支情况。
风险评估和风险管理也必须相互结合、相互调节。工业界和公共机构需要统一的词汇和标准来指导它们的保护工作。各级政府和私营部门在全国和国际层次上的密切合作是未来形成共同的语汇和观点的关键所在。
(1)规划和资源配置面临的挑战
对州和地方资源的大量需求、因缺乏协调而造成的不确定性以及恐怖主义威胁的多变性使国内保护环境面临着很多挑战。“9·11”事件以来,要求州和地方政府加强关键基础设施和重要资产、边境地区、机场和港口安全保卫的呼声越来越高。出乎预料的税收减少使很多州大受影响,对其在收支平衡条件下的工作能力提出了挑战。因此,州和地方政府无法在不相应削减其他项目和服务支出的条件下增加安全保卫措施的开支。
我们通常依靠州和地方政府来保护国家的重要资产(如桥梁、隧道、核电站、水坝、机场等)。而州和地方政府却往往需要联邦政府的资源来确保辖区内关键基础设施和重要资产的安全。在威胁变化多端、愈演愈烈的情况下,决定以哪种最佳方式来合理和恰当配置归属于不同政府部门的有限资源,需要各级政府以前所未有的程度通力合作。
另一个资源配置挑战与各州申请联邦政府援助时所必须通过的机制有关。联邦政府的现行拨款审批政策和流程有时效率极低。由于州和地方政府官员必须根据不同的指导方针寻求从各种渠道得到资金,他们往往把遵守资金申请要求和审批流程视为导致工作重复的因素。改进现行机制、提高向州和地方政府提供联邦政府资金的效率,需要对联邦政府机构的问题进行全面考虑。
将美国各州和托管领地团结到关键基础设施保护的合作框架内,是另外一大挑战。州和地方执法机关和应急响应部门是防止恶意暴力行为的第一道防线。事实上,“9·11”事件以来,州和地方政府在全国范围内一直承担着大部分安全支出。我们的国家保护计划必须考虑它们关心的问题以及它们所受到的限制。
确定工作重点以加强基础设施保护的一大重要挑战,是估计恐怖袭击所可能造成的经济破坏十分困难。这种破坏既包括袭击的直接影响(如工厂和设备的损失),也包括随之而来的任何长期经济损失。随着时间的推移,连锁性后果往往会大大超过短期后果,但是对它们很难做出估计。对关键性商业运作的相对短期破坏有可能造成严重的经济滑坡(如价格波动、失去合同、失去资金、保险损失等)。精确预测这种影响的程度,需要对现代工业和金融市场体现出来的互依赖性有高度敏感。
在风险管理的过程中,关键性确定的某些方面也可能会造成意外后果。把某些设施指定为与国内保护工作相关的“关键基础设施”,有可能使对它们的安全和运作变得更困难并且开销更大。联邦政府必须与其他利益相关人共同采取协调一致的行动,开发出各种选择方案,以弥补因为当今这个威胁丛生的环境而所付出的代价。
统一各种不同的评估方法是另外一种挑战。目前,各部门和机构采用了各种各样的方法来对脆弱性进行评估。很多情况下,这些方法既不一致也互不兼容,从而使保护的整体规划和资源配置变得十分复杂。
很多关键基础设施还跨越了国境,这也提出了一项独特的挑战。因此,我们必须与全世界的朋友和盟国密切合作,共同制定相关计划,确保构成国际市场的相互紧密连接的基础设施的安全。
(2)规划和资源配置方案
在规划和资源配置的过程中,联邦、州和地方政府以及私营部门的利益相关人有义务共同:
确定各自的关键基础设施和重要资产保护目标;
开展情况分析以确定增加安全投资的合理性;
制定安全底线、标准和指导方针;
针对并不自然存在于市场中的与安全相关的活动确定潜在方案。
为了实施这些行动,我们将实施以下活动。
①为公共和私营部门关键基础设施和重要资产保护规划建立合作机制
国土安全部以及其他联邦领导部门和机构将促进并鼓励发展定义明确的合作机制,使公共-私营部门可以通过这一机制在国家级保护规划和业绩测量方面展开合作。联邦政府还将与其他利益相关人共同评估关键基础设施和重要资产的脆弱性、共享信息、制定用以消除或减轻这些脆弱性的保护战略和计划以及制定袭击后恢复计划。国土安全部将就明确性、全面性、一致性和资源配置重点对这些部门计划进行评估。
国土安全部将把各部门的单个计划综合为一个全面的关键基础设施和重要资产保护国家计划,同时公布与国家级保护行动相关的联邦政府年度计划、流程和预算。
②确定关键保护重点并为这些重点建立适当的支持机制
国土安全部将与其他利益相关人共同制定一套统一的方法,用以保护具有国家级关键性的设施、系统和功能,帮助联邦、州和地方政府以及私营部门确定保护重点。国土安全部将通过这一方法建立一个综合数据库,将这些重要设施、系统和功能的相关信息分类存储。国土安全部还将对各关键部门的脆弱性和防范工作进行全面和不断更新的评估。这将有助于指导短期保护行动,并为长期的领导重心和根据情况进行资源投资奠定基础。
此外,国土安全部还将确定涉及多个年度的关键基础设施和重要资产保护方案,以使规划制定工作更具前瞻性、结构更合理。
③加强公共和私营部门之间的风险管理技术共享
由于要求各异、标准不同,目前使用的风险评估方法也是千差万别。政府和工业界均可从对方的丰富经验中受益匪浅。国土安全部将协调历史教训和最佳实践措施的共享,以建立一个适合于不同使用者环境的国内保护评估框架。
④为私营机构具有前瞻性地加强安全措施确定激励选择方案
在与私营部门协商的前提下,国土安全部将与商务部和财政部共同确定具有提高成本效益意义的适宜激励选择方案,以补偿利益相关人为加强安全而进行的投资。
这些方案包括奖励新政策的最早实施者,或者以财政刺激手段鼓励将安全强化措施结合到关键部门的产品和服务之中。
⑤协调并巩固联邦和州政府的保护计划
国土安全部将与其他联邦政府部门和机构共同强化联邦保护计划,以明确角色、责任和预期。国土安全部还将与州政府共同协调保护规划工作,对州政府的行动提供明确指导。此外,国土安全顾问系统还将与州一级关键基础设施和重要资产保护计划协调一致。
⑥建立一个专家小组,分析研究关键基础设施和重要资产受袭后的重建和恢复工作会遇到哪些法律障碍
国土安全部将协同司法部召集联邦、州和地方政府以及私营部门的代表共同分析研究有可能阻碍紧急情况下恢复关键基础设施服务的法规和许可证审核流程,并寻找解决这些问题的方案。
关键基础设施的重建可能要求在紧急情况下必须放弃现有的法规和许可证审核流程。这些“事发后应急法规流程”的制定必须提前就被确定为公共和私营部门合作关系的一个组成部分。
⑦建立一个完整的关键基础设施和重要资产地理空间数据库
为了使关键基础设施和重要资产保护的规划、分析和决策支持工作更加有效地进行,我们必须建立一个完整的关键基础设施和重要资产地理分布数据库,供联邦、州和地方政府以及私营部门访问和用于具体用途。
这方面的工作要求与政府相关部门和机构建立地理空间担保合作关系,由这些政府部门和机构充当图像/地理空间数据的代理人、合成人和协调人。国土安全部以及其他联邦部门和机构与私营部门合作,继续收集有关重点人口中心、国内关键基础设施部门以及跨国界基础设施的信息。这个数据库将为公共和私营部门高层决策者和运营规划者提供一个参考资料通用体系,从而得以对脆弱性分析、国内防范、突发事件管理等工作提供支持。
⑧与我们的国际伙伴共同实施关键基础设施保护计划
“9·11”事件以来,我们签署了多项了双边关键基础设施全面保护框架协议,并与我们的邻国加拿大和墨西哥共同实施了一系列保护方案。国土安全部将与国务院以及联邦其他部门和机构将扩大这一安全合作关系,以便我们的其他重要国际伙伴也加入进来。这方面工作的总体目标是确定我们的跨边境基础设施的脆弱性以及消除或减轻这些脆弱性所需采取的措施。
信息共享、迹象发现和预警
要想应对与恐怖主义威胁相关的挑战,公共和私营部门关键基础设施和重要资产的利益相关人就必须能够密切合作。联邦政府,尤其是情报部门和执法机关在提供、协调和证实有关威胁的情报并将其通报给各级政府方面发挥着重要作用。同样,州和地方政府的执法机关和私营部门的安全实体也是地方威胁情报的无价来源。而且,它们比联邦政府更了解影响其设施、系统和功能的脆弱性。为与安全相关信息的交流和交换建立公认和有效的流程,是填补现存差距和奠定合作基础的关键所在。
交流安全信息所常遇到的困难是关键基础设施和重要资产保护工作发展的主要障碍。需要有超常的合作和坚定的信念才能改变这种状况。联邦、州和地方政府以及私营部门必须尽最大努力进行有效的信息共享,在最需要的部门之间建立起及时、有效、实用的交流通道。信息是与恐怖主义斗争的重要工具,给最需要的部门及时提供准确信息是安全保卫工作的重中之重。
恰当保护我们的关键基础设施和重要资产需要:
改进威胁情报的搜集工作;
对威胁进行全面评估和分析;
加强迹象发现和预警流程及系统;
完善信息共享活动的协调机制。
及时准确的信息是我们国家关键基础设施和重要资产保护工作的基础。这也是我们的保护战略的基础,唯有信息及时准确,我们的预防、警报、戒备和应急响应才能有效进行。目前,各级公共和私营部门之间的有效信息共享还存在着很大障碍。要克服这些障碍,我们必须:
明确交换安全信息的目的;
确定为达到这一目的而必须共享的信息类型;
确定如何及何时最适度共享并保护关键性安全信息;
确定这些信息的适宜接收者;
指定分析信息的责任并确定威胁的先兆;
信息分析工作完成并且明确了威胁先兆后,立即指定采取适当行动的责任。
(1)信息共享、迹象发现和预警面临的挑战
政府各机构之间以及公共和私营部门之间信息共享活动的总体管理始终缺乏适当的协调和推动。因此,收集威胁信息、进行风险分析和发布警报的现有全国机制根本就不能满足国内保护任务的需要。
州、地方政府以及私营部门的官员指出,他们从联邦政府收到的威胁信息通常含混、重复,有时甚至互相矛盾。他们说,很少能收到有助于他们做出复杂的资源配置决策的具体、准确而且及时的警报。他们还说,即便在得到相关的及时信息时,也经常会由于安全审查方面的要求而无法将其下达到适当部门。
此外,现行的安全审查流程十分复杂而且代价昂贵,往往要拖很长时间。例如,现行规定要求有某些州和地方政府的执法官员接受两次审查,一次由州和地方政府进行,另一次由联邦政府进行。我们必须简化这一流程,提高它的效率,使之能够满足我们的保护需要。
事实上,保护国家关键基础设施和重要资产也许并不需要所有利益相关人都接受这样的审查。如果忽略情报来源和方法,很多情报报告或许已经称不上是机密文件。我们需要讲究时效的流程,用以对相关情报进行解密,或者将得自保密来源的信息进行筛选,将其传递给适当的接收者。这些问题由于敏感信息传递方式的低效以及现行确保所需信息适宜传递的机制而变得更加复杂了。目前,尚没有一个中央协调机制来评估敏感信息的影响和确保这些信息传送到需要它们的部门。除此之外,技术通信系统的缺乏也无法确保机密的威胁信息安全传输到基础设施的所有者和运营者手中。
上述问题提出了严峻挑战,阻碍了我们国家确保关键基础设施和重要资产安全所需合作关系的发展。其中最突出的是主要利益相关人之间缺乏信任,这是我们必须克服的问题。如果各种信息混乱不堪、相互矛盾,我们在反恐斗争中就会处于劣势。
(2)信息共享、迹象发现和预警方案
2002年《国土安全法》的制定表明,我们消除公共和私营部门之间信息共享障碍的工作中取得了实质性进展。该法规定,自愿提交国土安全部的关键基础设施信息,如附有特殊保护声明,将不受《信息自由法》和州的“阳光”法律的信息披露条款管辖。此外,如果这样的信息由可靠途径获得,未得提交人同意,将不能直接用于民事诉讼。
该法还规定政府必须建立接收、处理和保存自愿提交的关键基础设施信息以及保护这些信息保密性的流程。它还规定必须建立允许在联邦以及州和地方政府之间共享这些信息并对其保密的机制。该法授权联邦政府向相关商业机构、目标部门、其他政府机关和公众就关键基础设施所受潜在威胁提供咨询和警报。该法还规定,联邦政府必须保护构成警报来源的任何自愿的信息来源,同时还要保护有关信息所有者或其他不宜公开的信息。
最后,该法允许私营部门参与者之间自愿达成提高关键基础设施安全性的协议,其中涉及不存在承担反托拉斯法责任的适当形式的信息共享。在这种新法律制度下,国土安全部将可以向私营部门关键基础设施所有者和运营者保证,他们提供的敏感信息是有保密保障的。这些保证将鼓励私营部门与政府一起共享重要信息。同时,政府也将保证这样的行动不会减弱市场中的竞争。
建立一个更加有效的信息共享制度以完成我们的主要保护任务,需要政府进一步加强领导,同时需要公共和私营部门利益相关人之间的紧密合作。具体方案包括以下方面。
①定义信息共享要求,建立效果好且效率高的信息共享过程
我们首先必须采取的步骤之一,是准确定义与关键基础设施和重要资产保护任务相关的信息共享要求。这些要求应该侧重于实时威胁、脆弱性、突发事件数据、最佳实践措施、安全指南、风险评估和操作流程的共享。国土安全部将连同司法部、国务院和其他联邦领导部门和机构一起,领导这一与其他重要利益相关人(其中包括国际合作伙伴)建立双向要求框架的工作。一旦确定了这些要求,就必须建立相应流程,以确保适宜的使用者可以及时获取所需信息。
②行使2002年《国土安全法》规定的权力,保护被私营部门认为敏感和私有的信息
为了促进公共和私营部门之间有意义的信息交流,我们应迅速实施2000年《国土安全法》的规定,鼓励私营部门共享与安全相关的敏感信息和突发事件数据。因此,在该法建立的框架内,国土安全部应与司法部、国会、其他联邦领导部门和机构以及各州的立法机关一起:
适当保护私营部门与政府共享脆弱性评估、突发事件报告和其他安全数据;
建立适当的机制,确保与我们的国际伙伴共享和交流与安全相关的信息。
③推动关键部门信息共享和分析中心的发展和运作
部门的信息分享分析和中心提供了一种公共-私营部门信息共享的模式,尤其是在提示和警报方面。很多关键基础设施部门都使用这种体系在本部门成员之间交流潜在风险、威胁、脆弱性和突发事件数据等信息。
信息共享分析和中心通常采用的运行机制可使各中心之间及时共享很多类别的相关敏感信息。信息共享和分析中心已被证实是一种成功的信息共享模式,但是它们的能力还可以进一步提高,尤其是在发展先进的分析能力方面。国土安全部和其他联邦领导部门和机构将进一步支持各部门通过信息共享和分析中心交流安全信息。同时,国土安全部将与工业界共同建立相应的流程和机制,以帮助推动州和地方政府参与信息共享和分析中心的运作。
④改善国内威胁数据的收集、分析和向州和地方政府及私营工业传送的流程
我们的情报机构拥有完善的收集、分析和发布威胁国家安全利益的信息的流程。我们必须建立类似的收集和评估流程,从而得以对来自各种渠道的有关国内关键基础设施和重要资产保护的信息进行综合分析。
我们还必须建立一些流程,以确保州和地方执法机构以及关键基础设施和重要资产所有者和运营者能够充分和及时获得必要信息,其中包括对恐怖组织的策略、技术和流程的评估,对恐怖分子能力和动机的评估,其他国家反恐活动的经验教训,以及有关部门脆弱性的全面分析。
国土安全部将与情报机构和司法部共同开发全面收集、评估和发布威胁信息的流程,以综合提高情报和执法机构执行国内保护任务的能力。它们还将建立相关流程,以确保情报和执法数据的综合结果能够及时传达到利益相关人,其中包括开发对需要掌握这些信息的人员快速进行背景审查和发放安全许可证的方法。
⑤促进为州和地方政府以及指定的私营部门实体提供服务的安全通信系统的开发
国土安全部将召集国家标准计量局、国防部和其他相关机构的专家开发共享敏感信息的技术系统,进而帮助州和地方政府使用这一系统。
⑥完善国土安全顾问系统
国土安全顾问系统于2002年年初开始运行。国土安全部将继续与其他联邦政府部门和机构、州和地方政府以及私营部门一起,说明、协调和确定应对该系统所示涉及特定重要资产及其运行的各种级别威胁的行动。
确保人员可靠,建立人力资产并提高人员意识
国内安全工作要从我们的社区、我们的制度和我们的商业贸易开始。接触并操作我们的关键基础设施和重要资产的人员对于我们的国家保护计划至关重要。影响人员可靠性和建立人力资产的主要问题涉及以下四个主要方面。
制定安全措施,防止通敌雇员进行破坏活动或协助恐怖分子接近重要设施或系统。
培养和训练更多的熟练操作员和安全人员,以确保关键基础设施和重要资产的安全。
确保这些人员工作时的安全。
实施交流信息和提高人员认识计划,帮助企业和机构行动起来保护各自的资产并有效控制风险。
(1)人员的可靠性
“9·11”事件说明恐怖主义组织有能力打入美国社会长期潜伏伺机作乱。这种“内部人员威胁”日益成为各部门关键基础设施和重要资产保护工作的心头之患。“内部人员”是指那些能够正常接近重要设施和系统的雇员或其他人员,其中还包括承包商、临时聘用人员和外部供应商。这些内部人员能够自由出入和得到信任,往往会在有意或无意中泄露有关重要节点、脆弱性、操作特点或安全措施的信息,从而成为恐怖分子的帮凶。他们还可能直接为恐怖分子提供方便,使其接近运营中心和控制室之类的重要设施和系统。
(2)建立人力资产
与人员可靠性密切相关的是确保可信、可靠、训练有素人员保护关键基础设施和重要资产免受恐怖主义攻击的基本需要。私营部门所有者和运营者要依靠技术娴熟的雇员来完成保护任务。安全人员,特别应急响应人员,需要得到足够的训练、装备和其他支持才能有效完成任务,此外他们在执行任务过程中还需要有一定的人身安全保证。
(3)提高人员认识
常备不懈的状态要求广大社会公众,特别是在政府机构和最直接受影响的私营部门工作的人员,对我们面对的威胁的范围和性质以及我们所必须采取的预防措施有深刻认识。近年来,联邦政府与私营部门共同实施了一项系统计划,以提高关键部门重要企业领导人的保护意识。这项在“9·11”以后得到大力加强的工作已经取得了卓有成效的结果。此外,攻击涉及的范围以及由此引起的广泛宣传(如国会听证会和媒体的报道)也极大地提高了公众对恐怖主义威胁的认识。为了使我们国家的保护工作真正取得成功,这样的认识水平必须长期保持下去。
(4)确保人员可靠、建立人力资产和提高人员意识所面临的挑战
对应聘者、访问者、固定和临时员工以及接触关键部位的承包商及时和定期进行全面背景审查,是预防“内部人员威胁”的重要手段。不幸的是,深入进行人员甄别和背景审查的工作往往超出了私营部门和非联邦政府机构的能力。私营雇主无法接触可帮助他们确定是否应该接纳雇员、承包商和来访者或者是否应该允许这些人接近敏感设施的人员可靠性资料(这些数据通常掌握在联邦政府手里)。兼职、临时和季节性员工流动性很大,对有效的背景甄别审查也是一大挑战。其他挑战还包括宪法规定的自由、审查流程的成本以及可证实的文件和其他信息来源的缺乏。
除了人员可靠性以外,各行业熟练员工(从安全技术人员到应急响应人员)的短缺也是保护关键基础设施和重要资产的严重障碍。同样,尽管私营部门安全人员是保护重要设备的重要力量,但是在整个关键部门,对于这些重要岗位却没有资格认定标准、培训或证书要求。鉴于恐怖主义威胁的动态特性,正在进行的安全人员培训急需保持技术水平,并根据恐怖分子武器和策略的发展而不断进行更新。
保护雇员免受恐怖分子威胁及袭击波及的潜在影响,是关键基础设施和重要资产所有者和运营者关注的重要问题。这也是雇员、安全人员和应急响应人员关注的重点。进一步的攻击有可能导致受害地区遭到生物、化学或放射污染,如果没有有效的预防措施,可能会威胁到应急响应人员及其家人(通过交叉感染)以及受攻击地区的其他人员。
尽管发生了“9·11”事件,工业界人士对恐怖主义威胁关键基础设施的严重性的认识依然处于较低水平。随着时间的推移,“9·11”事件在相关人士头脑中留下的印象渐渐淡去,普通公众的认识和兴趣也一点点淡漠。因此,确保关键基础设施安全所必需的行动缺少了持续的重视,这使我们又一次暴露在了敌人的威胁之下。
(5)确保人员可靠、建立人力资产和提高人员认识的方案
为了战胜这些挑战,我们将采取以下行动。
①协调制定人员可靠性国家标准的工作
国土安全部将与司法部共同组建一个顾问小组,对关键基础设施部门确保人员可靠性计划作全面分析研究。这个由联邦机构和部门、州和地方政府以及私营部门代表组成的顾问小组将就制定国家标准和建立背景审查、筛选以及对关键服务部门重要雇员进行识别的能力提出建议。
在各关键基础设施部门之间协调确保人员可靠政策和计划将有助于建立统一的标准。但是,在制定人员可靠性国家标准时,我们必须找到一个平衡点,使我们能够在降低风险并确保关键基础设施安全的同时维护个人自由。
②为进行人员背景审查的公司制定认证流程
为了补充私营部门的确保人员可靠性工作,国土安全部将和司法部共同为进行人员背景审查的公司建立一套认证流程,以确保能够对雇员的背景及时准确查证,并减少这个过程中的障碍。
此外,国土安全部将推动有关创建数据库或授权进入数据库识别选项的研究,以协助确定关键职位和其他潜在职位候选人以及合同工作人员和重要服务供应商人员的任用。由移民局以及其他各种情报部门和执法机关掌握的联邦数据库可以用来推动这种流程的建立。我们在这个方面做出努力的同时,还必须谨慎从事,以保护由宪法保障的个人自由。
③建立私营部门安全官员认证制度或规范安全培训计划
为了最大程度地发挥美国私营部门安全人员的作用,国土安全部将与执法机构和联邦安全官员一起加强与州和地方政府相应部门、私营部门基础设施所有者和运营者以及专门从事私营安全官员培训和认证机制建立工作的私营安全公司之间的对话。由联邦执法学术机构制定安全人员培训计划是一种可行模式。
④确定重要人员保护需要并制定适宜计划
国土安全部将与州和地方政府以及工业界代表共同确定由于其在关键基础设施保护工作中的作用而有可能成为恐怖分子袭击目标的重要人员的保护需要并为此制定适当的保护计划。
必须确保安全人员和应急响应人员执行保护任务时的人身安全。需要给这些人员装备保护设备以及抵御有毒或生物污染的必要服装,同时也防止把潜在危险物质传播给他人。必须按计划确保安全人员和应急响应人员接受履行职责必需的保护训练和教育。
(6)促进公共和私营部门保护技术的共享
国土安全部将与其他联邦领导部门共同促进公共-私营部门之间的保护技术共享。
培训和演练可起到检验保护计划和人员能力的作用,这对于共享最佳实践措施来说至关重要。因此,国土安全部将发展并综合现有方法,制定与保护关键基础设施和重要资产相关的培训计划,以达到解决一般性保护问题的目标。只要安排得当,这些方法都能适应公共和私营部门的培训和评估工作。
(7)制定和实施提高全民保护关键基础设施和重要资产意识的计划
国土安全部将与其他重要利益相关人共同评估制定全面提高全民意识计划的需要,用以支持防范工作、安全投资、保护行动的持续发展,同时加强公众对恐怖主义威胁的了解。
提高全民保护意识,意味着全国上下都应认识到,必须将安全从根本上融入到我们的日常生活和商业活动之中。我们的提高全民保护意识计划应该侧重于关键基础设施工业的具体需要,以支持私营部门根据信息做出的决策,推动相关保护战略和资源配置规划的制定。
这一计划还必须十分全面,足以保持公众对威胁丛生环境的了解,同时增强公众对现行战略和应对威胁手段的信心。
技术研发
恐怖主义的威胁要求我们合理配置我们国家的科学技术优势。保护我国关键基础设施和重要资产免受威胁,需要全国做出系统化努力,以充分利用我们的研发能力。唯有如此,我们才能满足保护标准和解决方案提出的诸多紧迫需要,同时还能为先进工具和技术的长期发展打下基础,用以在将来制定出更全面、更具成本效益的保护方案,尤其是用以应对我们将来可能遇到的最具灾难性的威胁。
组织全国的工作需要坚持不懈的努力、认真的计划和周密的协调。我们国家的研究事业广泛而复杂。为了研发出能够确保关键基础设施和重要资产安全的先进材料、产品和服务,各种规模的私营公司、大专院校、研究机构和政府实验室都在进行着纯理论和应用方面的研究。
然而,要想把这些优势转化为实际力量,我们必须把确定各部门的需要——标准、工具和流程作为关键性的第一步。这将为研究人员、工程师和基础设施所有者和运营者提供一种指导产品开发的最低能力要求,并为终极用户提供一套衡量他们所用技术有效性的标准。
(1)技术研发面临的挑战
利益相关人的数量庞大和成分复杂,说明协调涉及关键基础设施和重要资产保护的技术研发工作会遇到阻碍。各级政府机构以及各关键基础设施部门组织都有各自的研发重点和解决各自最重要问题的利益取向。最初的一大挑战便是在各不相同的需要和努力中找出共同点来,以确定协调哪些方面的研发工作可以给各方带来最大利益。
从整个国家来看,与关键基础设施和重要资产保护相关的长期研究、开发、测试和策划普遍缺乏突出的重点,这是目前我们国内保护工作的严重不足。我们需要一套流程,根据各部门的需要,在全国范围内协调安排科研重点,以支持跨部门的研发工作。
此外,我们的国内保护工作还需要新的工具不断涌现,用以确保运行的安全。在这方面,我们必须不断提高我们检验威胁到我们的食品和农业、供水、大众运输和其他部门的各种污染物(其中包括生物、化学和放射性污染物)的能力。同样,我们还必须不断提高检测和监督能力,以及时发现大规模杀伤性武器及其部件的存在。
我们尤其需要用以支持可以互用的通信的标准。目前这方面的能力缺乏一向是我们国家的保护和应急响应工作的最大不足。现在,联邦、州和地方执法人员以及消防、医疗和应急管理人员使用的是互不兼容的通信系统,这难免给信息交换和安全工作带来困难和障碍。通信设备统一标准的缺乏,无论是在恐怖事件发生过程中还是之后,都有可能严重阻碍安全人员、应急响应人员、州政府应急管理人员和联邦官员之间的密切合作。如果互不兼容的通信连接被恐怖分子利用,我们对恐怖事件的反应可能会变得更加复杂。
对于可以直接进入我们的最关键的设施和系统的人员缺乏鉴别身份的可靠工具,这也会妨碍各部门的安全。在鉴别从事保护和事件处理工作的执法、消防、应急响应人员的身份方面,也存在类似问题。
最后,既要加强安全,同时又要保持商业渠道合理通畅,这种时常会相互冲突的需要要求我们有新的工具和流程。例如,重要的水坝,特别是那些位于航道上的水坝,面临着严峻的安全挑战。这些水坝的船闸必须保持畅通无阻,但又必须减少来自水上的威胁。其他部门,如航空运输、铁路和海运等,以及重要商业和政府建筑物、国家标志性建筑物等的安全,同样需要有效的防入侵监控和传感能力。
(2)技术研发工作
为了应对这些挑战,政府和工业界必须共同为物理和信息基础设施制定安全技术标准。这样的标准能够使重要利益相关人更加有效地携手合作,开发对于加强基础设施安全和减轻它们之间互依赖性来说至关重要的产品。
因此,我们将采取以下行动。
①协调公共和私营部门的安全研发活动
国土安全部将与其他相关联邦政府机构相互协调,支持安全技术的研发工作,其中包括具体专业的实验计划和项目。这方面的工作涉及建立一种机制,将国防部和其他政府机构开发的技术转让和应用于私营部门基础设施的保护工作。相关行动还包括与我们的国际伙伴适当合作,以扩大我们的研究基础和利用我们的伙伴和同盟者开发的技术解决方案。
②协调互用性标准,确保通信系统的兼容性
我们将制定和推广互用性标准,以确保联邦、州和地方政府使用的通信系统相互兼容。联邦通信委员会将与国土安全部、其他联邦领导部门和机构(如商务部国家电信和信息管理局)、其他标准制定机构(如国家标准计量局)、对用户有很大影响的组织以及设备制造商一起领导这一工作。标准的建立将使各级国土安全实体能够使用安全可靠的通信方法。标准化通信系统将增强我们的保护和应急响应能力,同时将提高各个级别的有效规划和培训水平。
③开发鉴别和验证人员身份的方法
为了提高我们关键设施、系统和功能的安全系数,我们必须采用更好的手段来识别人员身份。我们必须创建一套统一的方法,用以鉴别执法人员以及进入关键设施和系统的人员的身份。
实现这一人员鉴别计划所需要的技术包括生物计量识别器、磁条和基于微处理器的“智能”卡以及其他系统。这些工具可以使保护和应急响应工作中的人员身份鉴别迅速进行。这种必不可少的加强型“现场控制”可使恐怖事件现场的调查工作顺利进行,同时可为不同分析数据之间的比较设置一条调查基线。
④完善监视、监控和检测的技术能力
对于周边、入口和关键节点区域,我们必须从技术上改进我们的监视、检测(包括防入侵检查方法)和监控系统。我们必须开发出更加强大的检测系统,供各关键基础设施部门的安全人员使用。
国土安全部将与其他公共和私营部门利益相关人合作,共同制定研究计划,寻找技术解决方案,弥补关键部门在监视和检测方面的不足,其中包括检测化学、生物和放射性残留物的能力。
建模、仿真和分析
建模、仿真和分析活动有助于确定关键基础设施和重要资产保护及相关投资的重点。本战略讨论了基础设施内关键节点和单点故障以及国际国内基础设施部门之间日渐增强的互依赖性提出的挑战和表现出来的不确定性。这些互依赖性和关键节点往往难以识别和解决,它们遭到破坏会产生跨部门的连锁影响。如果使用得当,建模、仿真和分析可以预测到这些依赖性和互依赖性在各种威胁环境中所可能造成的潜在后果。
建模、仿真和分析还可以勾勒出风险环境构成因素之间的复杂关系,从而对保护行动的规划和决策提供支持。例如,仿真特定枢纽的运输流动格局(如模拟某铁路终点站或航空集散站的运输流动格局),便可以分析出攻击该节点有可能在各个方向同时产生什么后果。这样的信息有助于引起对有可能出现的连锁性后果的警惕,而这些可能性否则是不会被考虑到的。
通过建模和仿真,相关部门可以对与特定脆弱性相关的风险做出更精确的评估,从而根据所得信息做出保护决策。建模和仿真还可以用作实时决策支持工具,帮助减轻袭击带来的后果或者完全阻止二次袭击。
私营部门基础设施和资产所有者和运营者在防范和应对洪水、地震和飓风等各种自然灾害方面有着相当丰富的经验。他们深谙应该如何规划和应对,这源自于与这些自然灾害的长期斗争。与自然灾害恰成对照的是,对我们关键基础设施和重要资产的恐怖主义威胁是新近出现的现象。因此,我们缺乏有关这类恶意事件发生模式的类似长期数据,也没有证据显示怎样防御最有成效,这就使建立可靠的替代性数据变得更加重要了。
(1)建模、仿真和分析面临的挑战
历史上,我们曾依靠建模、仿真和分析方法对与国防和情报任务相关的决策和规划活动提供支持。现在,我们必须以创造性的方式利用建模、仿真和分析对日趋复杂的决策、风险控制和资源投资提供支持,以应对国内的恐怖主义活动。
建模、仿真和分析对于政府和经济的很多部门都极具价值。这方面的研究可能有很大的需求。就研发规划而言,我们必须在众多项目中找出重点,着重突出那些可以带来普遍利益和体现了最严重威胁和脆弱性的研究项目。
对建模和仿真资源的改善还必须涉及加强数据收集和制定统一标准。当前,很多与国家级保护行动相关的数据要么不存在,要么无法取用,要么不是以标准格式保存的。因此,必须创建和采用数据收集流程、系统和标准,才能将数据以建模和仿真的方式展现出来。
此外,提高我们国家的建模、仿真和分析水平要求公共-私营部门共同做出努力才能取得最佳效果。通过联邦跨部门机构、州和地方政府、国家实验室、学术界和商业企业的有效合作,我们可以为发展这一能力挖掘出大量人才和资源。跨部门的合作对于建立标准方法和统一分析框架、说明研究结果,特别是在对基础设施互依赖性建模时,也是必不可少的。
大多数工业界官员都对企业的运作和相关脆弱性了然于胸。然而,很多企业需要在帮助之下才能识别出它们对其他部门的依赖以及这些互依赖性给他们带来的风险。这种互依赖性的潜在影响在“9·11”事件攻击银行与金融服务部门中表现得淋漓尽致,当时世贸大厦的倒塌阻断了曼哈顿下区的电信服务供应。这次破坏造成电子金融交易中断,由此带来的长期经济影响在一年以后依然阴魂不散。
在多数情况下,建模和仿真能力并没有很好地融合到现行的基础设施保护规划行动中。而这种融合却会把建模和仿真研究数据转化为对具体部门保护规划、决策支持和资源配置的有效指导,这才是至为关键的。
(2)建模、仿真和分析方案
我们提出的适合于各关键基础设施部门的建模、仿真和分析方案涉及以下工作。
①把建模、仿真和分析融合到国家基础设施和资产保护规划和决策支持工作中
国土安全部将建立一个由公共和私营部门、国家实验室、学术界和商业研究机构代表组成的咨询组,专门研究如何将建模和仿真活动融合到国内保护规划之中。
咨询组将负责对建模、仿真和分析进行研究,然后向国土安全部建议应该把正在进行或规划中的研究活动集中在哪些国家重点项目上。在这一过程的初期,将着重开发和推广模拟部门互依赖性的标准和方法。这类标准所基于的是对被确定是关键性的资产和服务的明确定义,它们将应用到由国土安全部监管的全国协调一致的规划活动中。
②开发恐怖袭击短期和长期影响的经济模型
恐怖袭击的经济意义并非总是显而易见的,其短期影响往往只是长期影响的部分先兆。对基础设施遭受物理袭击造成的跨部门暂时经济损失建立模型,有助于政策制定者和应急管理控制专家了解和减轻最坏情况的影响。
③提高对关键节点/堵塞点和互依赖性进行分析的能力
作为对互依赖性建模和勾勒特定恐怖事件后果的核心目标的基础,我们还将开发度量尺度,用以根据威胁及其影响的等级评估基础设施子系统和关键节点是否设置充分。其中涉及对不同基础设施的坚固性进行比较,因为在这些地方,关键性枢纽中心和关键节点彼此紧密相连,其中一个受到攻击,都会产生连锁性影响。明确国际国内关键基础设施的互依赖性,是我们保护重点项目的重中之重。
④就部门预警与预警流程及行动之间的矛盾建模
对预警反应以及和预警系统设计所可能造成的负面影响进行建模,将提高工作的灵活性并减少备份。提高国土安全预警水平的目的是立即对基础设施采取保护措施,挫败恐怖分子的阴谋。但是,这些措施也有可能造成破坏性后果,其交互作用的方式带来了另外的脆弱性。
⑤针对网络和物理威胁、脆弱性及后果进行集成风险建模
风险评估有助于识别和确定风险管理和资源配置的方式。这些评估所涉及的威胁分析可以为风险管理和投资决策提供一个基线和参照框架。威胁分析与旨在确定安全系统有效性进而进行后果分析的脆弱性评估结合到一起,将能提供有关关键资产和节点的信息。这类研究中包含了涉及各类网络和物理袭击事件的模型。分析工作将侧重于物理和网络系统之间错综复杂的交互关系,旨在全面确定各种潜在后果,确保研究成果应用到国际国内基础设施保护工作之中。
⑥开发改进信息一体化的模型
各部门间威胁和脆弱性信息的一体化必须通过建模实现,这与联邦政府和关键基础设施之间的信息共享要求是一样的,目的是便于找出低效点和丢失的信息。