從美國國土安全策略與相關法案探討國家關鍵基礎設



從美國國土安全策略與相關法案探討國家關鍵基礎設施防護

黃俊能1

1中央警察大學  消防學系副教授

壹、緒論

911恐怖攻擊事件,使美國的外交政策集中於對付恐怖主義威脅。美國政府開始反恐戰爭和行動,美國國土安全部(United States Department of Homeland Security, DHS)也因應防止恐怖活動及天然災害威脅,於911事件之後成為美國統整相關「安全」部會之大型聯邦部門。「關鍵基礎設施防護」(Critical Infrastructure Protection, CIP)過去被視為非傳統安全之項目,亦因應防止恐怖活動而強化,在國土安全部主導下,提出各項倡議與國家策略及執行方案,各相關安全部門提出各項關鍵基礎設施防護措施與作為,本文以探討美國至八○年代初期民生需求「基礎設施」之定義,至九○年代反恐需求「關鍵基礎設施」之演變,介紹現有美國關鍵基礎設施之歷史演變過程、各項法案與國家策略,探討各項各項倡議與國家策略及執行方案之主要精神。本文並針對美軍國防部(Department of Defense)因應美國總統第7號命令,而發佈國防部命令(Directive)對所屬三軍及其國軍情報單位,針對關鍵基礎設施給予要求及付予相關權責,說明美國國防部對關鍵基礎設施防護之現行政策與作為,提供我國相關單位參考。

貳、關鍵基礎設施概念界定與分類範圍

一、美國關鍵基礎設施之歷史演變過程

美國在911恐怖攻擊事件後,政府部門經過重整,成立了國土安全部(Department of Homeland Security, DHS),為有史以來僅次於國防部的最大部會,針對各項反恐及可能遭受攻擊的基礎設施進行定義及防護,在一份2003年總統辦公室所發佈「關鍵基礎設施與重要資產實體防護國家策略」的報告之中(Office of the President, 2003),提及關鍵基礎設施的定義與清單,然而在美國公共政策在「關鍵基礎設施」(critical infrastructure)名詞的定義上,一直都是在演變,而且常常也一直都含糊不清。

約1980年代,美國尚無恐怖攻擊之威脅,「基礎設施」的定義主要是在辯論是否有足夠的全國公共事業(public works),國務委員會規劃機構(the Council of State Planning Agencies)的報告(Vaughan & Pollard, 1984: 1-2),當時定義「基礎設施(infrastructure)」為:

 

廣泛的公共設施和設備之需要以提供社會服務和支持私部門的經濟活動。[1]

 

根據這份報告,基礎設施包括:道路、橋樑、供水和污水排放系統、機場、港口、和公共建築,也可能包括學校、衛生設施、監獄、娛樂設施、電力生產、消防安全、廢物處理和通訊服務等公共設施,主要是作為社會正常運作、社會服務及經濟成長的主要支撐。

1983年,國會預算辦公室(Congressional Budget Office, CBO)定義「基礎設施」為公共設施(facilities):

 

有共同的特徵,在各級政府中,資本密集型和高度公共投資。而且,這些設施對全國經濟有著關鍵重要的影響。[2]

 

國會預算辦公室認定這些包括:公路、公共運輸系統、污水處理、水資源、空中航運管制、機場和城市供水等;國會預算辦公室還指出,基礎設施的概念可更廣義延伸至:「廣泛適用於包括諸如社會設施如學校、醫院、監獄、及包括工業生產能力等」(U.S. Congressional Budget Office, 1983: 1),國會預算辦公室在1988年的報告中,針對私人營運之設施,縮限「基礎設施」這個名詞的定義:

 

一些設施通常被認為是基礎設施,如公共建築、政府大樓、私營鐵路服務、學校和一些環保設施(如有害或有毒廢物的場站),在初步責任認定上,是屬於私人個體」。[3]( U.S. Congressional Budget Office, 1988: xi-xii)

 

國際恐怖主義在90年代中期日益增加的威脅,是聯邦政府重新思索及定義基礎設施,與前80年代時期,側重於基礎設施是否足夠,聯邦機構在90年代日益關注基礎設施保護,這方面的關注,進而導致決策者們重新定義「基礎設施」是否在安全的範圍內。關鍵基礎設施防護(CIP)成為重要議題,主要是克林頓總統在1996年7月15日,簽署一項EO13010總統行政命令(Executive Order),並成立關鍵基礎設施保護總統委員會(the President’s Commission on Critical Infrastructure Protection, PCCIP)(Executive Order 13010, 1996: 37347),委員會主席是由Robert Marsh擔任,因此,此法案也被稱為馬殊報告(Marsh Report),行政命令重新定義「基礎設施」為:

 

相互依存的網絡和系統之框架,包括可識別之產業、機構(包括人民和程序)、配銷能力等,對於美國的防衛、經濟安全、政府社會各項功能之全面性順利運作不受到影響,提供產品和服務可靠的流通。[4]

 

另一份報告則定義「基礎設施」為:

 

一獨立網絡系統,大部份是由私人企業所擁有、或人為控制,該系統以合作及協調方式,連續性地生產及配給重要物資及服務。(The Report of the President’s Commission on Critical Infrastructure Protection, 1997)[5][6]

 

「關鍵基礎設施」(Critical Infrastructure)一詞在馬殊報告(Marsh Report),及1996年EO-13010執行命令報告中首次出現及被定義,並對特殊之產業部門(Sectors)作出優先重要性的排序。在EO-13010執行中定義出8項關鍵基礎設施:

1.          通訊系統(telecommunications)

2.          電力系統(electrical power systems)

3.          天然氣及石油儲存與運輸(gas and oil storage and transportation)

4.          銀行與金融系統(banking and finance)

5.          運輸系統(transportation)

6.          給水系統(water supply systems)

7.          緊急救護系統(emergency services)-包含醫療、警察、消防、及救難

8.          政府持續運作(continuity of government)

馬殊報告(Marsh Report)對「關鍵基礎設施」又譯為「重要基礎設施」(Vital Infrastructure),可予另一定義:[7]

 

「一重要基礎設施失去功能或遭受破壞時,將使防衛能力及國家安全有嚴重受損的衝擊。」[8]

 

雖然馬殊報告提及「重要基礎設施」對整體國家安全有重大影響,但報告並未僅提及有關「重要基礎設施」的內容,但對「重要」(vital)一詞卻無明確的定義,而事實上,如何定義出那些資產(assets)是所謂的「重要」之「基礎設施」?而需要加以保護,而那些不是「重要」?如何排序其重要性及並且加以分類?各自「基礎設施」之間又是如何相互影響?是一項非常大的挑戰。

為響應關鍵基礎設施保護總統委員會的報告,1998年5月22日克林頓總統再簽署一份總統決行指令63(Presidential Decision Directive 63, PPD-63)( White Paper, 1998),該指令的目標是建立一個國家的防衛能力,在五年內,以保護「關鍵」性基礎設施不被人為有意地破壞中斷。依據PPD-63法案,「關鍵」性基礎設施指的是:

 

「實體和網絡基礎的系統,必需最低限度地影響經濟和政府功能。」

 

此一定義些微擴大了EO-13010法案,值得注意的是其具體地提及「電腦網絡」(Cyber)的「基礎設施」。為實際實踐PPD-63法案的目標,美國政府定義每項產業及領導代理部門(Lead Agency),針對某些產業相對應之聯邦機構作為主導政府安全計劃擬定,並確立私部門的聯絡平台。此時美國對關鍵基礎設施防護已有意建立公、私部門之合作平台之法源機制,包含聯邦機構、國家防衛、外國事務、情報及執法機關等。

美國第一版的「國家關鍵基礎設施計劃」(The first version of a National Plan for Critical Infrastructure)是出現在2001年的愛國法案(Patriot Act),[9]法案對關鍵基礎設施定義為:

 

「關鍵基礎設施係指那些實體或非實體之資產,或潛在系統遭受損毀或失效時,會使得國家安全、經濟安全、國民健康或任何形式的安全保護受到重大衝擊。」[10]

 

學者Branscomb在2006年發表永續都市(Sustainable Cities)一文之中(Branscomb, 2006),引用美國國土安全部「國土安全國家策略」(National Strategy for Homeland Security, NSHS)報告,認為關鍵基礎設施涵蓋以下13項主要系統。[11]學者Lewis將關鍵基礎設施之關聯性繪製成圖1,圖中分為三個層級,Lewis認為第一層級(Level 1)最為重要,一旦發生破壞或中斷,將影響國家安全、國家經濟或區域性生活機能最為嚴重,包含電力/能源供應系統、資訊與通訊系統、給水系統,其次為第二層級,包含銀行與金融系統、人及物品之運輸系統、化工產業,最後影響較不嚴重者為第三層級,Lewis雖提出此三層級重要層級圖,但在其書中並無實證數據或方法,說明其分出此層級圖之作法。

1.          農業系統(agriculture)

2.          食品供應系統(food)

3.          給水系統(water)

4.          公共醫療系統(public health)

5.          緊急救護系統(emergency services)

6.          政府運轉體系(government)

7.          國防工業基地(defense industrial base)

8.          資訊與通訊系統(information and telecommunications)

9.          能源供應系統(energy)

10.      人及物品之運輸系統(transportation, people and product)

11.      銀行與金融系統(banking and finance)

12.      化工產業(chemical industry)

13.      郵政船務(postal and shipping)

 

圖1 關鍵基礎設施相互依存層次與關係示意圖

 (資料來源:Lewis, T. G., 2006: 57)

2009年,美國國土安全部再公佈最新NIPP報告(Department of Homeland Security, 2009),針對尚未列入重要設施或是原有的關鍵基礎設施中分離出5個項目,因此,目前美國所定義的關鍵基礎設施共有18項,分別為:[12]

1.      農業與食品系統(Agriculture and Food)

2.      銀行與金融系統(Banking and Finance)

3.      化工產業(Chemical)

4.      商業設施(Commercial Facilities)

5.      通訊系統(Communications)

6.      關鍵工業設施(Critical Manufacturing)

7.      水壩(Dams)

8.      國防工業基礎(Defense Industrial Base)

9.      緊急救護系統(Emergency Services)

10.  能源供應系統(Energy)

11.  政府運轉體系(Government Facilities)

12.  公共醫療系統(Healthcare and Public Health)

13.  資訊科技系統(Information Technology)

14.  國家級象徵物(National Monuments and Icons)

15.  核能反應、材料、廢棄物系統(Nuclear Reactors, Materials and Waste)

16.  郵政船務(Postal and Shipping)

17.  運輸系統(Transportation Systems)

18.  水資源系統(Water)

美國經歷很長一段時間在定義CI之意義,而整個演變過程也跟著國家的需求(如90代後期重視反恐)不停在變動,表1整理歷年美國不同法案及國家政策對CI的定義。美國總統令第七號(HSPD-7)中大致提到六個定義有關CI/KR(Critical Infrastructure/Key Resources)認定上的一項指導性政策綱領,作為判斷依據。但須特別留意的是,美國HSPD-7的CI認定,主要思維是以恐怖主義攻擊為主(90代後期),這六項指導性政策綱領(或指導方針)概述如下(Homeland Security Presidential Directive-7, 2003):

1.                  當受到大規模殺傷性武器攻擊會造成災難性的健康影響或造成大規模傷亡;

2.                  損害聯邦部門和機構執行基本任務以確保公眾健康和安全的能力;

3.                  損害國家和地方政府維持秩序和提供最低限度的基本公共服務的能力;

4.                  損害私營部門確保經濟有秩序運作和提供基本服務的能力;

5.                  透過對經濟影響的關聯性造成其他重要基礎設施和關鍵資源的負面影響;

6.                  削弱公眾對國家經濟和政治機構的士氣和信心。

然而,這六項指導性政策綱領認定遭受George Mason大學關鍵基礎設施防護計畫研究中心CIPP(Critical Infrastructure Protection Program)學者Michael E.Ebert針對第18項關鍵製造業(Critical Manufacturing)提出質疑與探討,他提出五點關於美國當前所面臨CI/KR(Critical Infrastructure/Key Resources)認定標準上的發現與評論如下(Michael, 2008):

 

 

表1美國的關鍵基礎設施和重要資產之沿革

基礎設施

美國政府報告與執行命令

CBO (1983)

NCPWI (1988)

E.O. 13010 (1996)

PDD-63 (1998)

E.O. 13228 (2001)

NSHS (2002)

NSPP (2003)

HSPD-7 (2003)

NIPP 2009

運輸系統(Transportation)

V

V

V

V

V

V

V

V

V

水資源與廢水處理(Water supply /waste water treatment)

V

V

V

V

V

V

V

V

V

教育(Education)

V

 

 

 

 

 

 

 

 

公共衛生(Public health)

V

 

 

V

 

V

V

V

V

獄政系統(Prisons)

V

 

 

 

 

 

 

 

 

工業能量Industrial capacity

V

 

 

 

 

 

 

 

 

廢棄物處理系統(Waste services)

 

V

 

 

 

 

 

 

 

電信、電訊(Telecommunications)

 

 

V

V

V

V

V

V

V

電力系統(Energy )

 

 

V

V

V

V

V

V

V

銀行與金融系統(Banking and finance )

 

 

V

V

 

V

V

V

V

緊急救護系統(Emergency services)

 

 

V

V

 

V

V

V

V

政府運轉(Government continuity)

 

 

V

V

 

V

V

 

V

資訊系統(Information systems )

 

 

 

V

V

V

V

V

V

核能設施(Nuclear facilities)

 

 

 

 

V

 

 

 

V

特殊事件(Special events )

 

 

 

 

V

 

 

 

 

農業與食品系統(Agriculture/food supply )

 

 

 

 

V

V

V

V

V

國防工業(Defense industrial)

 

 

 

 

 

V

V

V

V

化學工業(Chemical industry)

 

 

 

 

 

V

V

V

V

郵政船務(Postal / shipping services )

 

 

 

 

 

V

V

V

V

古蹟和象徵物(Monuments and icons )

 

 

 

 

 

 

V

V

V

重點行業/技術/結點(key industry / tech. sites )

 

 

 

 

 

 

V

 

 

大型集會場所(Large gathering sites)

 

 

 

 

 

 

V

 

 

水壩(Dams)

 

 

 

 

 

 

 

 

V

資料來源:(CRS Report for Congress, 2004) 本文整理

 

1.      美國政府缺乏明確的判斷標準依據,以認定CI/KR之客觀性,而且並非每一項產業中的業務都具有「關鍵」的角色;

2.                  美國各級政府與機關已蒐集了大量的資料(例如勞工局等),這些數據可以提供分析與認定CI/KR,這些數據也可用於關鍵基礎設施和關鍵資源中宣傳和促進更完善的經濟研究和政策分析的功能;

3.                  建立業務和行業分類標準,如北美工業分類系統(North American Industry Classification System, NAICS),包括就業和職業人口統計NAICS的類別標準在內,皆是很好的分析工具;

4.                  除少數例外,大多數的CI/KR幾乎沒有一致的認定準則,甚至沒有NAICS之類的數據或其他聯邦統計數據,也沒有相關辦法(法律)與方法論;

5.                  被採用的分析方法是可以讓CI/KR更加緊密結合,也包括縱向(時間序列)的研究。為此,應該有專門的單位與聯邦統計單位還有各種具體的部門進行協調,將可以開發、消除或合理化與其他部門在認定CI/KR上之立場關係。

參、關鍵基礎設施保護之策略與行動計畫

上述所提關鍵基礎設施被認為是與國家安全、國家經濟及國民日常生活有關之基本要件與基礎,一旦當中任何一項受到破壞或威脅,則影響程度將是全面性、連鎖性及加倍性地毀損。Branscomb(2006)認為有三種災難形成之類型,分為大自然形成之自然災害(natural disasters)、技術性問題所形成之技術性災害(technogenic disasters)及恐怖組織或個人所形會的恐怖攻擊破壞(terroirsm);近年自然災害所造成國家威脅或區域性破壞,是各國愈來愈重視的課題,例如近期之日本東北大地震、[13]海地大地震、[14]幾年之中國四川強震、[15]緬甸風災、[16]及之前臺灣及土耳其大地震、南亞大海嘯、美國卡催那(Katrina)颶風等等,都成為研究災害治理的重要實證課題,在技術性上形成之災害,較有名的例好,例如美國與加拿大2003年東北大斷電,[17]而臺灣也曾經產生電塔傾倒造成大斷電;最後為人為形成之恐怖破壞,最名顯的例子,就是2001年發生在紐約的世貿大樓及五角大廈等恐怖攻擊[18]。

關鍵基礎設施彼此間存在高度相互依賴關聯性,是一項相當新的觀念,依據學者Paula認為關鍵基礎設施的相互關聯性可以劃分成四個主要形式,分別為(Paula, 2004):

(一)實體上的相互依存(physical interdependencies)

一項基礎設施所產生的產品或服務為其他項基礎設施所運用或使用的關聯性,例如道路橋梁等運輸系統就提供給農業食物或郵政業務或化工產品等項目運送所需,甚至緊急救護也不可或缺產品與服務。

(二)網絡上的相互依存(cyber interdependencies)

各項基礎設施彼此間電子資訊的連結關係,亦即各項基礎設施均需要透過資訊科技或通訊系統傳達訊息來發揮運作的功能,特別是郵政船務或是銀行金融這類的基礎設施更是受資訊科技及通訊系統的連結所影響。

(三)地理上的相互依存(geographic interdependencies)

各項基礎設施共通性之陸、海、空連絡運輸系統,例如鐵路、捷運、高速公路、機場、海港等有地理位置相關之關聯性。

(四)其他關聯性(other interdependencies)

以上無法歸類者,如金融市場。

由此可見,關鍵基礎設施不但是一項影響國家安全、經濟安全與發展以及人民生活的重大基本條件,而其所形成的交互關聯複雜體系,更是提供國家長治久安所必須。一旦這個複雜體系遭受損害時,整個國土境內,或其他周邊國家區域必產生一發不可收拾的連鎖反應。因此,各國均相當重視關鍵基礎設施的防護工作,紛紛投入相當多的資源與努力來思考與積極進行其應有的管理策略與相關法律規範的修訂。文獻中亦提及在如此高度相互依賴關聯性的年代中,僅花大量的經費及時間在實體的防護上,無法滿足並解決易受損的公共安全及國家安全(Paula, S. & M. Morrison, 2003:95-101)(Theresa, B., Beyeler, W. and D. Barton, 2004:108-117)。

Lewis(2006)在其所著的「國土安全與關鍵基礎設施防護」一書中,針對美國之關鍵基礎設施的防護策略作出重要論述(Lewis, T. G., 2006:1-2):[19]

(一)針對網絡結構式之關鍵基礎設施(network-structured critical infrastructure):

其為最有效率保護的方式,即是了解這些重要的關鍵基礎設施的結點(hubs),分析方式即是利用關鍵結點分析法,來找出重要的關鍵基礎所在位置。

(二)保護重要關鍵基礎設施的最佳策略(optimal strategy):

是利用80-20%資源分配原理來進行,也就是80%之國家保護資源應放在20%之重要的關鍵基礎設施上面,問題是那些才是重要的20%關鍵基礎設施,要如何排序,其考量的因子與權重又是什麼,這是重要的思考軸度。

(三)了解如何學習私部門的雙重目的(dual-purpose)思考行為模式:

除了認識關鍵基礎設施之重要性之外,也應該了解如何學習私部門的雙重目的(dual-purpose)思考行為模式,以美國為例,有85%以上的關鍵基礎設施是掌握在私人公司或集團的手上,而這些私人公司或集團的思考行為模式,則是以創造利潤(profit-making)為主要導向。因此,在進行重要關鍵基礎設施防護的策略手段時,應該讓私部門了解其創造利潤的同時,有多少是花在安全的投資(investments in security)上面,借以強化公司在追求生產力及效率之外,所需投資在內、外部所可能帶來的風險,這也是關鍵基礎設施防護中,必須重視「公、私合作」(public-private partnership)的主要原因。

(四)非對稱思維(asymmetric thinking)的思考模式:

關鍵基礎設施過於龐大和複雜,有心攻擊者,可隨時隨地並使用任何武器來進行大規模破壞。作為政府及大型設施擁有者者,有責任保護一切可能性的攻擊發生,在有限的時間及無限預算。假設有無限的資源可以保護所有的設施,則可以不必思考資源及預算的有限性,但事實上是剛好相反,因此,唯一的選擇就是想像攻擊者將以不對稱性作為攻擊之可能性。非對稱思維(asymmetric thinking)方式思考新的方式來保護龐大而複雜的基礎設施免受攻擊。這意味著我們必須要更聰明地找出致命攻擊的要害可能所在位置。

(五)中央層級(federal level)承擔主要責任:

關鍵基礎設施的防護,主要責任應該是由中央層級(federal level)來承擔,而地方政府(local level)對抗全球性大型災害與破壞,是無法如中央層級比擬,因唯有中央層級有能力完全集中資源及智慧有效地分析災情與可能破壞的進一步情資。因此,過去認定由地方自治分權來對抗大型災害的作法,其實是無法達成其效益,亦非單一地方政府或社區的能力層級,足以對抗全球性大型災害與破壞。

另一份在2006年由日內瓦國際風險治理諮詢委員會(international risk governance council, IRGC)重要研究組織,針對歐洲主要國家,作出一份重要的白皮書報告,提及當今關鍵基礎所面臨的主要問題點(IRGC, 2006: 11-12):[20]

1.      關鍵基礎整合大量及不穩定之較小系統至大型系統時,從而增加整個系統更大之複雜度,並且造成跨系統間之干擾傳播。

2.      在相關經濟、環境、法律及法規條件之要求改變下(包含經營利潤減少之經濟壓力),關鍵基礎常將系統操作原有可能產生之鬆弛問題點,或應有冗餘備援系統給擠壓犧牲掉了。

3.      關鍵基礎常引進更新式及現有日益複雜系統(主要是被資通訊技術所助長)。

4.      關鍵基礎亦常引用現成技術(off-the-shelf technology),包括資訊技術與控制系統,以達成短期經濟效益之誘因,而造成系統整合問題或困難。

5.      關鍵基礎缺乏足夠脆弱性的警示(對系統達成可靠度之限制),或無法關注發生機率極低但後果相當嚴重性(low-probability but high-consequence failure modes)故障模式的局限性。

6.      在系統中斷時,所引起廣大社會衝擊影響,缺乏適當懲罰或成本轉嫁,特別是對關鍵基礎的業主或營運廠商。

7.      當問題延展發生時,備份系統不足下,關鍵基礎無法繼續持續操作。

 

美國歐巴馬總統上任之後,重新宣誓對關鍵基礎防護的重要性,將2013年11月份訂為「關鍵基礎設施安全性與韌性月份」(Critical Infrastructure Security and Resilience Month),[21]文中並再次強調,

「在過去的幾十年裡,我們的國家已經變得越來越依賴於關鍵的基礎設施,是我們國家和經濟安全的骨幹與命脈。美國的關鍵基礎設施的複雜和多樣化,結合網絡空間和實體系統,從電廠,橋樑和州際公路,聯邦建築和大量的電力電網散佈在我們國家的任何一處。在關鍵基礎設施安全性與韌性月份期間,我們決心對來自國、內外的威脅保持高度警惕,共同努力,進一步確保我們的重要資產,系統和網絡的安全…身為總統,我有將保護關鍵基礎設施的事情列為重要優先…今年早些時候,我簽署了總統政策行政命令(Presidential Policy Directive),以支撐我們的實體防禦和網絡事件強化的法令…」[22]

宣誓文當中亦再次強調政府與民間部門之間的夥伴關係,包括業主和經營者,相關有效資訊信息的共享,不僅在防範恐怖份子攻擊外,也包括對極端天氣和氣候變化的影響。宣誓文呼籲美國人民認識國家的關鍵設施與資源保護之重要性,並認知這個月所有適當相關活動和培訓,以強化國家安全和韌性。

美國從2001年發生911攻擊事件後,就陸續公佈有關國土安全國家策略與行動計劃(National Strategies and Implementation Plans),分述如下:

(一)國土安全國家策略(2002年7月)(The National Strategy for Homeland Security, July 2002):

這項策略確立了國家的國土安全戰略目標,並概述了六個關鍵任務領域要實現這些目標。該策略還提供了一個框架,以統籌全國資源及聯邦預算直接確保國土安全任務。該戰略規定了八項主要倡議(initiatives),以保護國家的CIKR,其中一項特別要求是發展出國家關鍵基礎設施防計畫(NIPP)。

(二)關鍵基礎設施實物保護和重要資產防護國家策略(2003年2月) (National Strategy for the Physical Protection of Critical Infrastructures and Key Assets, February 2003):

這項國家策略確立了美國國土安全政策(policy)、目標(goals)、目的宗旨(objectives)和原則(principles)的行動需求,以「確保凡對國家安全至關重要、政府治理、公共衛生和安全、經濟和民眾信心等基礎設施和資產之安全。」[23],提供了一個完整CIKR統籌組織架構,辨識重要具體保護措施CIKR,NIPP推動近期國家保護的優先事項,並告知資源分配程序。

(三)網路資訊安全國家策略(2003年2月)(National Strategy to Secure Cyberspace ,February 2003):

本策略提出了目標和具體行動,防止網路攻擊美國CIKR,減少網路攻擊的脆弱性,並盡量減少損失和復原網路攻擊之時間。本策略提供網絡安全的遠景,並對CIKR建構服務基礎網路安全的各項組成要件。

(四)國家海上安全策略(2005年9月)(The National Strategy for Maritime Security, September 2005):

本策略提供了整合及同步的框架,對現有部門層級,確保所有聯邦政府在海事安全計劃和倡議上,有效率和效果地整合執行,以成為一個綜合性和高度凝聚力的全國努力,包括相關聯邦、州、地方和私人部門等。

(五)美國國家情報戰略(2005年10月)(The National Intelligence Strategy of the United States of America (October 2005):

美國國家情報戰略提出了智能社區與企業社群(Intelligence Community)的主要要點、基本價值、重點和方向。以預測(predict)威脅、洞察滲透(penetrate)威脅、先發製(pre-empt)威脅等手段,對危害國家安全的具體任務與目標作出相關努力。為達此目標,透過政策、理論學說、及技術來整合不同的企業社群綜合情報,確保情報工作得到適當協調以達國土安全使命。

(六)打擊恐怖主義國家策略(2006年9月)(The National Strategy for Combating Terrorism, September 2006):

本策略提供恐怖威脅的全面性的觀點,確立具體目標和宗旨,以打擊這種威脅,包括以上採取措施:

1.      打擊恐怖分子及其組織(Defeat terrorists and their organizations)

2.      拒絕贊助、支持和庇護恐怖分子(Deny sponsorship, support, and sanctuary to terrorists)

3.      減少恐怖分子尋求發展的各項條件(Diminish the underlying conditions that terrorists seek to exploit)

4.      保護國內外美國公民及其利益(Defend U.S. citizens and interests at home and abroad)

(七)國土安全國家策略(2007年10月)(National Strategy for Homeland Security, October 2007):

這項2007年更新的國家策略,以指導、組織和統籌所有相關國土安全部門的能量為主要目標。並說明這是一項國家策略(而不是聯邦策略),闡明其確保美國國土未來年內的安全。此策略延續建立在第一次全國國土安全策略(2002年7月)的架構上,亦補充國家安全策略在2006年公佈的「打擊恐怖主義國家策略」(the National Strategy for Combating Terrorism)。反映了美國面臨威脅的進一步增進了解、納入實際經驗教訓和世界災難的現實並處理方法,以確保國土安全長期的成功。這項國家策略的施實,美國國土安全的基礎強化業已經形成。

美國2006年提出關鍵基礎設施防護計畫(National Infrastructure Protection Plan, NIPP)(Department of Homeland Security, 2006),認為關鍵基礎設施是整體國家基礎設施重要的一環,也是維繫社會經濟活動的重要設施。關鍵設施的防護情形更攸關該設施所處地方之經濟發展與社會安全。自從美國發生911攻擊事件後,供公眾使用的基礎設施,對於有意的恐怖攻擊或天然災害衝擊,更顯其脆弱度。

2009年美國再提出最新關鍵基礎設施防護計畫(Department of Homeland Security, 2009),為達到「確保凡對國家安全至關重要、政府治理、公共衛生和安全、經濟和民眾信心等基礎設施和資產之安全。」目標,採用「風險管理架構」(The risk management framework)來確實降低風險及發揮最佳防護功能確保資源投入之最大效益。

風險管理架構是整個美國國土安全關鍵基礎設施及重要資源防護系統的基礎架構。風險經常被視為發生頻率、脆弱度及特殊災害事故結果的組合,而於NIPP中風險定義為因恐怖攻擊、天然災害、或者其他意外發生機率與發生造成預期損失程度(包括死亡、受傷、經濟損失、大眾信心喪失或政府能力)。NIPP風險管理架構採用完整地、系統性及邏輯性地分析結構,探討綜合分析災害影響、脆弱度及威脅資訊之國家或產業風險,以輔助進行關鍵基礎設施及重要資源防護行動的決策。NIPP所規劃之風險管理架構不僅能針對一般威脅環境風險進行分析及輔助決策,亦能應用於特殊威脅環境或意外狀況。風險管理架構之應用對於國土安全是相當創新之改革,過去於天然災害及意外,此類型之災害管理,均已採用風險評估工具,如國家颶風中心所運作系統及NRC 所採用之故障樹(fault trees)。而類似系統皆未應用於恐怖攻擊上。因此,NIPP利用風險管理架構於分析恐怖份子相關之威脅分析上,將能更系統性及完整地進行關鍵基礎設施及重要資源之防護。

採用風險管理架構主要確保在各個關鍵基礎設施及重要資源產業界穩定的防護。國土安全部、各個產業主管機構,以及維安夥伴須共同承擔實施NIPP風險管理架構之責任。各個角色職責如下,個別產業主管機關須主導產業風險管理計畫,並確保風險管理架構應用於產業計畫之中,而國土安全部門須訂定準則、發展工具及執行系統性分析以援助各個產業主管機關以及維安夥伴進行關鍵基礎設施及重要資源之防護。另外國土安全部門需與其維安夥伴須共同將個別產業安全防護執行結果進一步進行跨產業之風險分析及管理作業,包括評估產業間關鍵基礎設施及重要資源之依存關係、交互關係及串接效應;產業之間關聯脆弱度之辨識;關聯災害模擬方案建立及分享;跨產業降低及管理風險措施發展及分享;及找出特殊研究發展的需求。對於資產差異性大且具有邏輯性資產之產業,例如通訊產業、資訊科技產業,風險管理之架構則採由上至下的商業方式或者任務導向(專注於網絡、系統及功能)方式將較為適當。各個產業需選擇一最符合產業特性,且遵循國土安全部門規範之風險管理架構,來實施產業之關鍵基礎設施及重要資源之防護,以確保相關風險分析流程依循NIPP準則。圖2為美國NIPP 所規範之風險管理架構。

圖2美國NIPP 規範之風險管理架構

資料來源:Department of Homeland Security, 2009

 

(八)基礎設施防護策略性計畫2012-2016(2012年8月)(Office of Infrastructure Protection Strategic Plan:2012-2016):

本計畫為歐巴馬新政府上台後新提出計畫,是由國土安全部基礎設施保護辦公室(Office of Infrastructure Protection, IP)所擬定之一份文件,旨在強調美國政府對關鍵基礎設施保護之各項法制與相關法令方面持續支持,並由基礎設施保護辦公室(IP) 利用風險管理評估方法來主導整合公私部門之CIP運作,該策略說明辦公室之任務(Mission)及遠景(Vision)及即定方向目標(objectives and goals),以達成國家CIP之相關策略與法案(如National Protection and Programs Directorate, 總統行政命令HSPD-7, HSPD-8, NIPP2009),屬於基礎設施保護辦公室之內部宣導文件。

肆、關鍵基礎設施保護之法制與相關法令

美國政府在關鍵基礎設施保護之法制與相關法令方面,主要來自國土安全法案(Homeland Security Act of 2002)、國土安全統統命令(Homeland Security Presidential Directive, HSPD)、相關關鍵基礎設施保護法令與執行規定(CIKR protection-related legislation, Executive Orders)與國家策略(national strategies)等,相關關鍵基礎設施保護之法制與相關法令相當多,以下將主要之法制與相關法令依照年代前後羅列分述如下:

一、Robert T. Stafford救災和緊急援助法(Robert T. Stafford Disaster Relief and Emergency Assistance Act (Stafford Act))

由美國政治家Robert T. Stafford所發起的法案,該法案主要是授權「聯邦救災總署(FEMA)」負責協調美國各層級政府的救災工作,包含28個聯邦政府機構及非政府組織(如紅十字會)等。[24]該法案確立聯邦在救災及緊急援助方面之法源基礎,這此緊急援助法案內容包括:

(1)   一般性聯邦資源之提供(The provision of Federal resources, in general)。

(2)   醫藥、食品和其他消費品(Medicine, food, and other consumables)。

(3)   提供救援生命的工作與服務及財產保護(Work and services to save lives and restore property),包括:

a.       (破壞物)破碎瓦片(石粒)之清除。

b.      搜索和救援、緊急醫療、緊急團隊醫療、緊急避難所、食物及水之提供,藥物及其他生活基本需求之提供,包含民生必需品及人的運送。

c.       道路清理和臨時橋樑之施工。

d.      提供學校和基本社會服務所需之臨時設施。

e.       拆除危害公眾健康之不安全結構物。

f.        警告進一步的風險和危害。

g.      傳播有關公共訊息和援助方面消息在健康和安全方面之相關量測。

h.      對全美國州政府及地方政府提供災害管理和控制之技術諮詢。

i.        減少直接威脅生命、財產、公共健康和安全等。

j.        危害減損(Hazard mitigation)。

k.      修理、更換和修復某些損壞的設施(Repair, replacement, and restoration of certain damaged facilities)。

l.        應急通訊、緊急運輸和消防管理救援(Emergency communications, emergency transportation, and fire management assistance)。

二、災害減損法(2000)Disaster Mitigation Act of 2000)

這法案是修正Stafford法案,廢除之前相關減災規劃的規定(第409條),重新更換一組新的要求(第322條)。更新的部分強調各州、各地方政府及部落密切協調減災規劃和實施工作。

三、美國愛國者法案(2001)(Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (USA PATRIOT Act))

此方案由美國總統喬治·布希2001年10月26日簽署頒佈的國會法案(Act of Congress)。正式名稱為「Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001」,其中文意義為「使用適當之手段來阻止或避免恐怖主義以團結並強化美國的法律」,取英文原名的首字縮寫成為「USA PATRIOT Act」。這個法案以防止恐怖主義為目的,相對的,擴張了美國警察機關的權限,根據此法案,警察機關有權力搜索電話、電子郵件通訊、醫療、財務和其他種類的記錄,擴張美國財政部長的權限以控制、管理金融方面的流通活動,特別是針對與外國人士或政治體有關的金融活動;並加強警察和移民管理單位對於居留、驅逐被懷疑與恐怖主義有關的外籍人士的權力。方案中亦說明美國政策對關鍵基礎設施及重要資產(CIKR)之保護。並且提供維持國家競爭力所需要建立之CIKR保護。該法並概述了聯邦政府的承諾、認知和保護關鍵基礎設施之間的相互依存關係。

四、國土安全法案(2002) (Homeland Security Act of 2002)

成立國土安全部(Department of Homeland Security,DHS),此法案明確指出「國土安全部」為執行美國國土安全的正式法定內閣層級之機構。[25]包含聯邦緊急事務管理總署(FEMA)等六個單位的任務、人事、資源及權限均移轉至應急整備與反應司(Emergency Preparedness and Response Directorate)。國土安全法第507條特別對聯邦緊急應變管理總署委以重任來「藉著帶領並支托國家執行其以全面性風險管理基礎的緊急應變管理計畫來減少生命及財產喪失並且保護國家免於所有的危險威脅的任務」。2003年進行國土安全部組織重整計畫(Department of Homeland Security Reorganization Plan),國土安全法案施行之後,聯邦緊急事務管理總署的任務在2003年3月1日移轉至國土安全部。國土安全法案明定指出國土安全之四項主要任務(missisons):

(一)防止美國本土內之恐怖攻擊(prevent terrorist attacks within the United States)

(二)減少在美國恐怖攻擊之脆弱度(reduce the vulnerability of the United States to terrorism)

(三)恐怖攻擊若真發生美國,可盡量減少損失,並能協助復原(minimize the damage, and assist in the recovery, from terrorist attacks that do occur within the United States)

(四)確保美國整體經濟安全,各項努力、活動、計劃等目標不受到影響而減損經濟(Ensure that the overall economic security of the United States is not diminished by efforts, activities, and programs aimed at securing the homeland)

五、關鍵基礎設施資訊法案(2002)(Critical Infrastructure Information Act of 2002)

此法案規範相關使用和披露資訊,在各單位(特別是私部門)提交給國土安全部(DHS)有關對關鍵基礎設施資訊方面分享時之易損性(漏洞)和威脅性。

六、國家防為衛生產法案(1950年)和國家防衛生產授權法案(2003年)(The Defense Production Act of 1950 and the Defense Production Reauthorization Act of 2003)

此法案確立國家防衛(national defense)與民防緊急應變(civil emergency preparedness)時可確保及時供應各項防救災資源之主要法源權力。在所有其他總統權力當中,此法案授權總統,可要求任何公司接受和優先之合約,在總統「認為必要或適當以促進國家防衛」,可分配各項物資、服務與設施、以促進國家防衛能力。法案並授權貸款擔保、直接貸款、直接購買及購買任何物資商品,以確何國家防衛之需要。法案亦規定了審查外資收購美國企業之查明和解決權力,以確保任何損及國家之安全風險。此法案亦說明關鍵基礎設施的保護和復原,與Stafford法案中針對天然災害緊急應變授權總統權力之法案一致。根據該法和相關總統命令,國土安全部部長有權經地方申請,授權州和各級地方政府優先與產業簽訂合同動用資源支持聯邦、州和地方政府進行緊急準備的各項活動。國家防衛生產法案與NIPP之間有國家安全聯繫之關連性。

七、911委員會法案執行建議(2007)(Implementing Recommendations of the 9/11 Commission Act of 2007)

此法案主要是授權給相關執法機關,可百分之百檢查所有空中和海上貨物進入美國之權利,並重新分配資金在新的方法及反恐策略上。[26]

八、相關總統命令

(一)國土安全第一號總統命令(2001年10月)(Homeland Security Presidential Directives, HSPD -1: Organization and Operation of the Homeland Security Council, October 2001))

該總統令成立國土安全咨詢委員會(Homeland Security Council)和各發展委員會的結構、協調和審視國土安全行政部門及機關之間的各項政策。該總統令提供國土安全咨詢委員會之任務:確保所有國土安全相關活動之協調、促進各行政部門和機構有效發展和執行所有國土安全政策。美國國土安全咨詢委員會亦負責不同部門和機構(所有包括NIPP)可能出現各項問題之仲裁和協調。

(二)國土安全第五號總統命令(2003年2月)(Homeland Security Presidential Directives, HSPD -5: Management of Domestic Incidents, February 2003)

此法案規範全新美國國內政府災害事故管理(domestic incident management)組織架構與策略性計畫,該命令指出「作好對恐怖攻擊、重大災害以及其他緊急情況的預防、整備、應變和重建,美國政府應制定一項全面性的國內事故管理方法。美國政府應將危機管理和後果管理作為一項整合性的功能,而不是兩個獨立的功能。國土安全部部長是負責國內事故管理首席聯邦官員,按照2002 國土安全法,國土安全部部長負責協調美國關於恐怖攻擊、重大災害和其他緊急情況的整備、進行應變和重建的聯邦行動。」

(三)國土安全第七號總統命令(2003年12月)(Homeland Security Presidential Directives, HSPD -7: Critical Infrastructure Identification, Prioritization, and Protection (December 2003))

此法案為關建基礎設施保護之重要法案,主要是建立聯邦部門和相關機構作為辨識(identify)、排序(prioritize)、及保護(protect)CIKR免受恐怖攻擊所造成災難性人生命健康影響和大量人員傷亡之框架,此法案指出NIPP之創立與執行,為要指明美國國土安全部(DHS)、各別產業(SSAs)、其他聯邦部門和機構、州、地方、部落、領土、私部門和其他CIKR夥伴關係等在國土安全上之角色和職責。

九、美國國防部DCIP政策

美國國防部於今(2010)年1月發佈國防部命令(DoD Directive 編號3020.40),說明國防部對關鍵基礎設施防護之政策與責任(DoD Policy and Responsibilities for Critical Infrastructure)[27],該命令主要目的是因應總統第7號命令而設立,以下針對美國國軍對DCIP政策分述說明:美國國防部針對關鍵基礎設施防護之政策(Policy)有以下幾點:

(一)   有關重要關鍵基礎設施防禦(Defense Critical Infrastructure, DCI)之風險管理事務,與其他聯邦部門和機構,包含州、地方、區域、地區和部落,及私部門和其他外國國家,應完成適當的協調工作。

(二)   重要關鍵基礎設施防禦(Defense Critical Infrastructure)風險管理事務應包含下列:

1.             加以與(CI)負責當局協調和完成的應有防禦事務。

2.             支援偶發事件管理(Incident Management)。

3.             重要關鍵基礎設施防禦(DCI)等有關敏感資訊的保護。

(三)   該重要關鍵基礎設施防禦計畫(Defense Critical Infrastructure Program, DCIP)應視為與其他國防部計畫之同等地位,而不是國防部之次要計劃,所有軍事功能和作業,必需藉由風險管理而達成任務保證(mission assurance)。

(四)   重要關鍵基礎設施防禦計畫(DCIP)應包含下列事項:

1.             決定重要關鍵基礎設施防禦(DCI)之風險。

2.             導入美國國防部全面性(DoD-wide)程序,以應對重要關鍵基礎設施防禦(DCI)之各項風險,為並與其他聯邦部門和機構,包含州、地方、區域、地區和部落,及私部門和其他外國國家等,一起合作完成本項工作要務。

3.             支持和提倡應對各項風險關鍵基礎設施防護之倡議(initiatives),並適用於國防部各法律權責機關(legal authorities)。

(五)   與國防基礎工業(Defense Industrial Base, DIB)相關DCIP之各項活動,應與所提要項3之目標一致。

(六)   與DCIP相關計劃、方案與資產等資訊保護,應與美國國防部所公佈之資訊與業務安全等作法一致。亦針對第5項說明,可與國土安全部(DHS)一致適用。

伍、結論與建議-對我國之省思

美國自從2002、2003年總統命令公佈實施之後,由國土安全部主導,開始對關鍵基礎設施保護(CIP)投入大量精力,並持續擴充關鍵基礎之項目與內容,當中有許多是其他國家所沒有的,例如國家級象徵物、商業設施、水壩、化學工業等,也因此在如何定義所謂的「關鍵」(critical),產生很多不同的意見與聲音,以下針對美國CIP實踐及對我國之省思與啟示分述說明。

一、關鍵(critical)定義不同

美國由於911事件,對恐怖攻擊依然心有餘悸,而政府在面臨民眾之期待上,對定義何謂「關鍵」的課題上,比其他國家還要繁複與謹慎,多數國家定義上「關鍵」指的是基礎設施對於經濟、社會福利、公眾安全和政府的關鍵功能提供支持,比較重視平安(safety)或天然災害防阻之議題,如加拿大、德國、瑞士、我國等,等經濟價值,大部份國家在定義CI上,較為重視國民收入(national income)和就業狀況(employment);反觀美國,則把恐佈主義攻擊網絡放入全面性防阻,較重視反恐安全(security)的議題。從美國定義CI,可以看出美國政府相當強調國家安全的議題,較為重視整體國家安全、人命傷亡等議題,在安危(security)上著力較深。在後911時代,從重組國土安全部及聯邦緊急事務管理總署(FEMA)之降編,並多項美國法案之公佈,可以窺見美國政府非常強調反恐的概念,然而相對的,也需要花更多的成本與協調機制在管控不同的CI,但如何定義所謂的「關鍵」?及從美國這幾年CI的演變看來,美國至今尚無統一的答案。卡翠娜颶風也突顯過渡強調反恐的國土安全部,與處理天然災害的聯邦緊急事務管理總署之間指揮與救災資源的嚴重衝突。

二、相依性與重要性(interdependency and importance)

各國關鍵基礎設施項目之決定,一般經由幾次圓桌會議而確認,各國大致相同,但決定關鍵基礎之重要次序與其相依程度,就相當不容易,如前所述,Lewis學者認定電力/能源供應系統、資訊與通訊系統及給水系統等三項,為一個國家最重要的關鍵基礎設施,但並未提出任何方法或研究數據證實其架構。日內瓦國際風險治理諮詢委員會(international risk governance council, IRGC)所出的白皮書報告,利用訪談重要關鍵基礎設施經營者,提出電力供應與輸配(electric power supply and disruptions)及資通訊服務(ICT services)為歐洲最重要之關鍵基礎設施,認為這兩項設施最為脆弱並危及整個社會國家,並有必要改進其管理與治理的空間(IRGC, 2006: 12)。黃俊能、劉建浩等(Huang C.N. et al., 2013),針對台灣四項主系統關鍵基礎設施(能源、資通訊、交通、供水)及十三項次系統關鍵基礎設施等進行研究,結合決策實驗室分析方法(the Decision Making Trial and Evaluation Laboratory, DEMATEL)及網路層級分析法(ANP),研究成果顯示,能源(Energy)及資通訊系統(Information and Telecommunication)為台灣最重要之兩大關鍵基礎設施(主系統),被其他系統所依賴之程度最高(interdependency),在次系統中,以資訊系統(Information)、通訊系統(Telecommunication)、石油(Oil)及天然氣(Gas)等四項,為台灣最重要之關鍵基礎設施,其影響網絡關係圖如下圖所示。

圖3台灣關鍵基礎設施影響網絡關係圖(Influence network relationship map)

 

三、基礎設施(infrastructure)包含更廣

基礎設施的描述通常是很廣泛的,大多數國家是指有形的基礎設施,例如,澳大利亞的基礎設施包含「有形實體設施」(physical facilities)、「供應鏈」(supply chains)、「信息技術」(information technologies)和「通信網絡」(communications networks);加拿大則是定義為「實體的和信息技術的設施、網絡、服務和資產。」;英國指「資產」(assets)、「服務」和「系統」,因此,在各國清單中,其內容包括被視為「傳統」基礎設施部門,像是運輸和電信,而較不會像美國政府包括通常不會被視為基礎設施部門「非傳統」的CI,像是食品、衛生、政府、應變體系和金融等;但如前所述,美國與其他國家比起來,不論實體及無形虛擬的關鍵基礎設施,因反恐的思維皆視所有CI為重要,也因此CI高達18項,例如美國將「政府運轉體系」(Government)認為是重要CI,比起他國而言則更加重視。另外,由於電子化網路的發達,美國許多CI皆由私人企業擁有,且利用電子化網路管理這些CI,例如資通訊網絡(information technologies and communications networks)、電力(power)等,因此,由網路攻擊之可能性大為增加,美國非常重視電腦虛擬環境之網絡攻擊的防範,國土安全部特別設立網路安全與通信辦公室(Office of Cyber security and Communications)負責保護機制之管控。

四、公私合作之複雜與困難

連結關鍵基礎建設是相當複雜的網路系統,以美國為例,有高達85%關鍵基礎建設是屬於私部門所擁有,或者是由私部門所營運、操作與使用(Orszag, 2003),因此在針對關鍵基礎建設的防護工作上,私人部門無法置身事外,美國政府部門在規劃國土安全的計畫或政策上,其實面臨了極大的挑戰,也就是如何去建構起公私部門在基礎建設防護上的橋樑,或是如何建立公私部門在國土安全議題上的合作夥伴關係,都是一項相當複雜且綜合性與整合性不易的工作,但即使這項工作具有相當的難度,但為了國家安全與健全發展,許多先進國家均針對這項作業,皆進行積極的規劃與政策的制定以及逐步執行相關的作業或系統的建置,不論是學術界進行研究有關公私部門在關鍵基礎建設防護上之合作模式,或是政府相關部門訂定有關法案來規範或鼓勵公私部門在關鍵基礎建設安全保護上的應有作為。

例如美國成立關鍵基礎建設擔保辦公室(Critical Infrastructure Assurance Office, CIAO)以及國家基礎建設防護中心(National Infrastructure Protection Center, NIPC)等新部門,藉由公私部門各階層代表組成協調會來協助建立聯邦的基礎建設防護政策架構,並於2002年成立「國土安全部(Department of Homeland Security, DHS)」,主要負責綜合分析各部門收集的情報、組織保衛關鍵基礎建設、協調統籌預防和應付核武與生化武器攻擊、協調統籌應對緊急救援工作與善後處理等工作,並鼓勵政府單位與民間產業積極合作對關鍵基礎建設的保護而努力,顯示公私部門的協調合作在關鍵基礎建設的保護上是一件相當重要的工作。然而公私部門合作對於關鍵基礎建設防護是有許多亟待克服的問題,比如私人企業為了獲取使用這些基礎建設的效率性,以增加其商業上的競爭能力,往往降低其對營運業務之風險控制能力,許多企業為了增進其營運效率或便利性,許多營運程序均加以電腦化以及大量運用通訊系統作為主要業務的服務方式,可能減免許多關鍵設施使用的繁雜度而降低「防火牆」的保護深度,像金融服務業就有這類情形,許多金融服務業為了擴增其對客戶的服務層面而增加所謂網路銀行的服務,雖然提高其競爭與效率也有降低成本的效果,但是為了客戶的方便操作,允許透過網路等電子通訊系統進行金融交易,若是其電腦系統或通訊系統一但遭受入侵或破壞,其影響的層面就會相當廣泛,甚至會危害國家經濟運行,因此如何提昇公私部門在基礎建設防護合作的效能,達到提昇國家安全防護治理的功效,這的確是一個國家應該積極思考與規劃的問題。

雖然國內之關鍵基礎私有化或民營化百分比不像美國如此的高,但國內之重大關鍵基礎設施由民間介入市場之操作趨勢也愈來愈明顯,不管石油市場(如台塑石油)、天然氣、交通系統(高鐵、捷運、航運、公車)、資通訊系統(如中華電信、遠傳電信)等等,例如近日如何訂出一套國家關鍵基礎安全運作體系,將是重要課題。

五、風險策略管理的導入

美國過去幾年中,針對關鍵基礎建設之防護,以從原先被動回應計畫思維(Re-action planning and Response Paradigm),轉向成為整全主動性之策略(Comprehensive Pro-active Strategies),不單只是災難發生時所需要進行之救災回應,更進一步建構完整及有效之預防預警措施,這種思維已改變了原先傳統之被動式緊急救災管理法則(Paula, 2004)。從NIPP的架構看來,美國主導各中央部會、地方政府、及私部門產業,皆是利用風險策略管理的手段來進行各項風險的控管,包含風險辨識(Risk Identification)、風險評估(Risk Assessment)、風險分析決策(Risk Analysis and Decision)、風險執行與控制(Risk Implementation and Control)、資源分配(Resources Allocation)等,有一套較為量化及邏輯科學的方式,較能說服公、私部門對於政府的作為認同,這可以成為國內參考的依據。

四、美國其他部門(如國防部)全力投入

美國各公私部門對國土安全部所推行之策略與法案,皆全力支持,以美國國防部為例,國防部完全支持同為聯邦部門之國土安全部CIP各項倡導,而提出國防部命令(DoD Directive 編號3020.40),說明國防部對關鍵基礎設施防護之重大責任(DoD Policy and Responsibilities for Critical Infrastructure),不但完全投入,並要求三軍編擬經費在研發與教育訓練方面,達到全方位風險管理主動防護之思維,另在立法政策上,也配合與其他聯邦部門和機構,包含州、地方、區域、地區和部落,及私部門及其他外國國家等,一起合作完成CIP工作要務,反觀國內國軍部隊,除近年積極投入第一線防救災任務外,對於如何防衛各駐紮要地之重要關鍵基礎設施,或導入風險量化CI之作法,或平時與中央政府、地方政府、或私人單位展開聯防合作,較少有任何發展與合作作為,此點可能與國內尚未有任何關鍵基礎設施立法法案通過有關,國防部隊亦無任何法源或策略指導可供參考,國內其他部門亦無橫向合作,或與私部門整合之契機。

陸、結語

美國自1983年開始對民生「基礎設施」產生重視,近年由於911恐怖攻擊事件,造成美國對關鍵基礎設施和關鍵資產(CI and Key Resources)更加重視,並由國家公佈「實體保護關鍵基礎設施和關鍵資產的國家戰略」(The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets, NSPP)及2009年「國家關鍵基礎設施防護計畫」(NIPP)勾勒出美國政府對整體國土安全戰略的重要組成細節。而實施這項戰略,需要明確定義出「關鍵基礎設施」和「關鍵資產」,雖然戰略業已提供了定義框架,但其實質涵義,在公共政策方面一直演變了幾十年,至成仍然值得商榷。

如前所述,從定義上,可以看出美國政府相當強調國家安全的議題,及反恐的思維,重視整體國家安全、人命傷亡等議題,在安危(security)上著力較深。在後911時代,由於重組國土安全部及聯邦緊急事務管理總署(FEMA)之降編,窺見美國政府強調反恐的概念,也從美國定義CI可看出其繁感與謹慎的態度,然而相對的,也需要花更多的成本與協調機制在管控不同的CI,但如何定義「關鍵」? 及從美國這幾年CI的演變看來,美國至今尚無統一的答案。卡翠娜颶風也突顯過渡強調反恐的國土安全部,與處理天然災害的聯邦緊急事務管理總署之間指揮與救災資源的嚴重衝突。

80年代,「基礎設施」被定義為是否有足夠之公共設施服務。到了在90年代中期,日益嚴重的國際恐怖主義威脅,導致美國政策制定者在國土安全方面的重新定義「基礎設施」並成立了有史以來最大的安全部會「國土安全部」。歷年聯邦政府報告、法律和行政命令的演進,普遍擴大了基礎設施部門的數量和類型。近年911事件,美國愛國者法案定義最新的「關鍵基礎設施」為13項,2009NIPP再重新定義為18項關鍵基礎設施和重要資產的重要性。關鍵基礎設施和重要資產勢必因各國之國土安全政策、不同天然人為威脅、經濟安全的變化、及地緣政治發展等因素繼續發展下去。

近年各國災害頻傳,如日本311日超級大地震,不但對日本造成嚴重人命傷亡、財產損失,其關鍵基礎設施福島核電廠毀損,更將引發全世界恐慌效應及全球供應鏈經濟衝擊,亦影響日本整體經濟發展。國內亦有多次關鍵基礎毀損,而造成相當影響,例如2010年4月25日,因順向坡走山意外,造成北部第二條國道高速公路(或稱國道三號)有史以來最嚴重土石山崩,掩埋正通過高速公路的3輛車,造成4條人命死亡。導致北二高基隆到五堵間雙向封閉,間接影響台北市與基隆市兩城市之間往返交通,基隆城市對外聯外交通陷入交通黑暗期,每天上下班與假日期間都寸步難行,貨櫃車業者必須從其他交流道切換使用道路,嚴重造成交通成本及經濟損失,也造成民眾對政府信心之喪失。今年11月2日,因電力跳電,導致高鐵電力系統突然中斷,造成南下北上共卅七列次班車停駛,三萬兩千名旅客受影響,政府與高鐵公司被受民眾指責。

「關鍵基礎設施防護」(Critical Infrastructure Protection, CIP)過去被視為非傳統安全(Non-Traditional Security)之探討範圍,如今,其重要程度實在不容小覷,而國內在法案之立法程序上,甚至尚未訂定,實落後先進國家相當大的距離,而國內各公私部門對於「關鍵基礎設施防護」之概念亦非常薄弱,美國積極投入CIP多年,在總統行政命令、政策、策略、法案上作出多項宣示及完成立法,要求所屬部門(如國防部)皆需積極投入各項重要關鍵基礎設施防禦計畫,為與其他聯邦部門和機構,包含州、地方、區域、地區和部落,及私部門和其他外國國家等,一起合作完成CIP工作要務,國內在重要關鍵基礎設施法案立法程序上,尚處空白,以美國作法,實值得借鏡參考。

柒、致謝

本文作者(黃俊能)感謝行政院國土安全辦公室,委託執三年期「國家關鍵基礎設施安全防護計畫」,並感謝計畫主持人周源卿博士、張中勇博士等之協助,本文部份內容摘錄「國家關鍵基礎設施安全防護計畫(2010~2012)」等報告。

 

參考文獻

(一)專書與政府、研究單位報告

CRS Report for Congress. 2004. Critical Infrastructure and Key Assets: Definition and Identification, October 1, 2004.

Department of Homeland Security. 2009. National Infrastructure Protection Plan: Partnering to enhance protection and resiliency.

Department of Homeland Security. 2006. National Infrastructure Protection Plan : Partnering to enhance protection and resiliency.

Executive Order 13010. 1996. Critical Infrastructure Protection. Federal Register, July 17, 1996. Vol. 61, No. 138. pp 37347-37350. Reference is on page 37347.

Homeland Security Presidential Directive-7. 2003. December 17. https://www.dhs.gov/homeland-security-presidential-directive-7

IRGC. 2006. White paper on managing and reducing social vulnerabilities from coupled critical infrastructures, Geneva.

Michael Ebert, Principal Research Associate. 2008. The 18th CI/KR Sector: Defining “Critical Manufacturing” by the Numbers.15 May, George Mason University.

Office of the President. 2003. The National Strategy for the Physical Protection of Critical Infrastructure and Key Assets. February, 2003.

Orszag .P. 2003.Critical Infrastructure Protection and the Private Sector: The Crucial Role of Incentives. House Select Committee on Homeland Security, Subcommittee on Cyber Security.

The Report of the President’s Commission on Critical Infrastructure Protection. 1997. Critical Foundations: Protecting America’s Infrastructures. October 1997.

U.S. Congressional Budget Office. 1983. Public Works Infrastructure: Policy Considerations for the 1980s. April 1983. p 1.

U.S. Congressional Budget Office. 1988. New Directions for the Nation’s Public Works. September 1988. pp xi-xii.

Vaughan, R. & Pollard, R. 1984. Rebuilding America, Vol. I, Planning and Managing Public Works in the 1980s. Council of State Planning Agencies. Washington, DC. pp 1-2.

White Paper. 1998. The Clinton Administration’s Policy on Critical Infrastructure Protection: Presidential Decision Directive No. 63, May 22, 1998.

(二)期刊論文

Branscomb, L. M. 2006.Sustainable cities: Safety and Security, Technology in Society 28: p225-234.

Huang C. N. et al., 2013. A method for exploring the interdependencies and importance of critical infrastructures, Knowl. Based Syst. (2013), http://dx.doi.org/10.1016/j.knosys.2013.10.010

Paula, S. & M. Morrison. 2003. Power to the People, Security Management, Dec.: 95-101.

Paula, S. 2004. Regional public-private partnerships – Addressing Critical Infrastructure Interdependencies and Homeland Security Preparedness, Presentation at the 2004 PNWER Annual Summit, Victoria BC. July 14.

Theresa, B., Beyeler, W. & D. Barton. 2004. Assessing Infrastructure Interdependencies: The Challenge of Risk Analysis for Complex Adaptive Systems, International Journal of Critical Infrastructure. Vol. 1, No. 1: 108- 117.

(三)專書論文

Lewis, T. G. 2006. Critical Infrastructure Protection in Homeland Security: Defending a Networked Nation, John Wiley & Sons, Inc, 57.

(四)研討會論文

Paula, S. 2004. Regional public-private partnerships – Addressing Critical Infrastructure Interdependencies and Homeland Security Preparedness, Presentation at the 2004 PNWER Annual Summit, Victoria BC. July 14, 2004.



[1]原文:a wide array of public facilities and equipment required to provide social services and support private sector economic activity.

[2]原文: the common characteristics of capital intensiveness and high public investment at all levels of government. They are, moreover, directly critical to activity in the nation’s economy.

[3]原文:some facilities often thought of as infrastructure–such as public housing, government buildings, private rail service, and schools–and some environmental facilities (such as hazardous or toxic waste sites) where the initial onus of responsibility is on private individuals

[4]原文:The framework of interdependent networks and systems comprising identifiable industries, institutions (including people and procedures), and distribution capabilities that provide a reliable flow of products and services essential to the defense and economic security of the United States, the smooth functioning of government at all levels, and society as a whole.

[5]

[6]原文:a network of independent, mostly privately-owned, man-made systems that function collaboratively and synergistically to produce and distribute a continuous flow of essential goods and services.

[7]「關鍵基礎設施」或「重要基礎設施」,從美國國家安全部(DHS)的定義上看來,並非僅僅只是一些實體的建築物或土木構造物而已,而是指所有支撐維繫一個國家或都市區域賴以生存和發展的重要體系(frameworks)或供應鏈網絡(supply-chain networks),因此,如政府體系、銀行金融體系、食品供應鏈系統等,也視為重要基礎設施。

[8]原文:an infrastructure so vital that is its incapacity or destruction would have a debilitating impact on our defense and national security.

[9]USA Patriot Act of 2001, Sec. 1016 (e), 美國愛國者法案(USA PATRIOT Act)是2001年10月26日由美國總統喬治·布希簽署頒佈的國會法案(Act of Congress)。正式的名稱為「Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001」,中文意義為「使用適當之手段來阻止或避免恐怖主義以團結並強化美國的法律」。

[10]原文:Those systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters.

[11]學者Branscomb認為每一大型的都市,都需要具備這些主要關鍵基礎設施之功能性系統(functional System),作為生活及工作基本運轉之基礎,並且系統與系統間之相互依賴性非常高,且形成網絡鏈結(mesh network),缺一不可。之後,國土安全部又重新定義關鍵基礎設施至18項,內容增加商業大樓(Commercial Facilities)、國家重要地標與紀念碑(National Monuments and Icons)、水壩(Dams)、核電廠及核廢料(Nuclear Reactors, Materials and Waste)。

[12]目前我國經行政院國土安全辦公室研討,初步擬訂我國之關鍵基礎設施共有八個主要系統(sector),包括:能源、水資源、資通訊、銀行與金融、中央政府與主要都會、緊急救援與醫院、運輸、高科技園區。

 

[13]東北地方太平洋近海地震(日本語:東北地方太平洋沖地震/とうほくちほうたいへいようおきじしん)是指2011年3月11日14時46分(當地時間)發生於日本東北地方外海三陸沖的矩震級規模9.0級大型逆衝區地震。震央位於宮城縣首府仙台市以東的太平洋海域,震源深度測得數據為24.4公里(15.2英里),並引發最高40.1公尺的海嘯。此次地震是日本有觀測紀錄以來規模最大的地震,引起的海嘯也是最為嚴重的,加上其引發的火災和核洩漏事故,導致大規模的地方機能癱瘓和經濟活動停止,東北地方部份城市更遭受毀滅性破壞。

[14]海地地震於UTC2010年1月12日21時53分9秒(海地當地時間12日下午16時53分9秒)左右發生,地震規模為芮氏7.0 。震央位於海地首都太子港以西大約16公里處,震源距離地表6.2英里(10.0公里)左右。國際紅十字會估計,受到地震影響的人口大約為300萬,保守估計死亡人數有45,000-50,000人(維基百科http://zh.wikipedia.org/)。

[15]中國四川汶川大地震發生於2008年5月12日,四川省省會成都市西北偏西方向90千米處。根據中國地震局的數據,此次地震震級8.0Ms,地震造成了大量的人員傷亡與財產損失,截至5月25日,中國官方已確認因地震直接造成的死亡人數已超過62,664人。這是中國自1976年7月28日唐山大地震以來,傷亡最為惨重的一次(BBC中國網新聞)。

[16]強烈熱帶氣旋「納基斯」2008年5月2日重創緬甸,造成巨大災難,納基斯造成被譽為緬甸糧倉的伊洛瓦底江三角洲地帶數千平方公里地區被淹沒,緬甸政府公佈有22464人死亡,41054人失蹤,聯合國官員證實死亡人數將超過10萬人,上百萬人目前失去家園(BBC News)。

[17]美國Ohio 及Michigan 內,傳輸系統將電力從發電站輸送到load centers,反動電力是電力中穩定正常電壓的構成要素,當輸送線之載量愈重,就會消耗愈多反動電力才能保持適當的電壓。不足的電壓、不對的頻率,威脅到安全的運作或電廠時,被威脅時的設備會自動從系統關閉,保護自己不受到實質的傷害,進一步節省維修支出,但也因此產生大斷電,影響更鉅。

[18]九一一恐怖攻擊,簡稱「九一一」或「911」,是2001年9月11日發生在美國本土,通過劫持多架民航飛機衝撞摩天高樓的自殺式恐怖攻擊。在事件中共有2,998人死亡,包括美國紐約地標性建築世界貿易中心雙塔在內的6座建築被完全摧毀,其它23座高層建築遭到破壞,美國國防部總部所在地五角大樓也受到襲擊,美國經濟同樣遭到嚴重打擊。該事件也導致了此後國際範圍內的反恐行動,包括了阿富汗戰爭和伊拉克戰爭以及針對恐怖組織及相關國家越來越大的壓力(維基百科http://zh.wikipedia.org/)。

[19]Lewis學者共提出9大要點,本文僅針對我國國情相關部份,進行重要論述整理。

[20]此報告主要提及之內容,雖是以歐洲之主要關鍵基礎經營者作為訪談對象,但其產出重要結論,亦適用於所有大量依賴關鍵基礎的社會及國家,此份報告經常被大量期刊及研討會論文引用,主要是探討關鍵基礎設施問題點。

[21]http://www.whitehouse.gov/the-press-office/2013/10/31/presidential-proclamation-critical-infrastructure-security-and-resilienc

[22]原文:Over the last few decades, our Nation has grown increasingly dependent on critical infrastructure, the backbone of our national and economic security. America's critical infrastructure is complex and diverse, combining systems in both cyberspace and the physical world -- from power plants, bridges, and interstates to Federal buildings and the massive electrical grids that power our Nation. During Critical Infrastructure Security and Resilience Month, we resolve to remain vigilant against foreign and domestic threats, and work together to further secure our vital assets, systems, and networks…. As President, I have made protecting critical infrastructure a top priority. Earlier this year, I signed a Presidential Policy Directive to shore up our defenses against physical and cyber incidents. (全文請參考註20之網頁)

[23]原文:secure the infrastructures and assets vital to national security, governance, public health and safety, economy, and public confidence

[24]The Act gives FEMA the responsibility for coordinating government-wide relief efforts. The Federal Response Plan it implements includes the contributions of 28 federal agencies and non-governmental organizations, such as the American Red Cross.

[25]Title I - Department of Homeland Security, Sec. 101. Executive Department; Mission – “Establishment. - "There is established a Department of Homeland Security, as an executive department of the United States within the meaning of title 5, United States Code.”

[26]The Act implements some of the recommendations of the 9/11 Commission including mandating 100% inspection of all air and sea cargo entering the United States, and a new method of redistributing antiterrorism funding.

[27]請參考http://www.dtic.mil/whs/directives/corres/pdf/302040p.pdf