附录B 预算趋势
概述
2000年预算为政府范围内的基础设施保护提供了17.37亿美元。这比1999年增长了3亿美元,增幅为20%。下图(单位:百万美元)显示了这几年的预算增长情况。这些预算一部分用于新项目的开发,以解决主要的脆弱性问题,还有一些用于正在开展着的互联基础设施,如电信、银行与金融、能源、运输和关键的政府服务的保护工作(具体的数据可见后文的“对关键基础设施确定并拨款的跨机构过程”小节):
各联邦机构在基础设施上的花销
几乎所有的行政部门的CIP(关键基础设施保护)花销在1998—1999年之间都有增长。2000年预算仍显示了这种趋势。这可以从下表(单位:百万美元)中看出:
下图显示了政府各机构的关键基础设施保护拨款所占的比例:
项目运转和研发所占的关键基础设施花销比例
项目运转指关键基础设施保护中的常规基本措施。下图显示了项目运转(国家安全以及其他的联邦项目)和研发各自占的拨款比例:
由上图可见,CIP花费可以分为项目运转(国家安全和其他联邦项目)和研发两部分。其中项目运转可以分为如下领域:
脆弱性评估;
风险管理;
保护和减缓措施;
入侵检测;
事件响应和事后重建;
教育和意识培养。
并非所有的机构都具有充足的数据来供我们对这些项目运转的预算数据进行特征化。但从今年开始,我们将认真收集数据并对其做出详细分析。
各行业部门的关键基础设施花销
下表列出了各行业部门关键基础设施保护的拨款情况,同时还列出了各部门间互依赖性的研究和相关活动所占用的拨款以及建立信息共享和分析中心(ISAC)所花费的拨款:
下面将描述这些拨款在各关键基础设施部门、互操作性活动、ISAC的运行情况。
政府服务和应急服务:超过了上一年预算的20%,其中大部分都用于对国家国防机构的关键基础设施保护工作进行支持。
信息与通信:3300万美元提供给了相关的7个机构,用于计算机安全研究和制定有关提议。
运输:针对联邦航空管理局的设施和信息系统,并为了减少国家空间系统和地面运输系统中的脆弱性,该部门的预算从3200万美元激增到了5700万美元。
电力、石油和天然气生产和储存、供水:该部门在2000年的预算为3000万美元,用于支持能源部、内务部、环境保护局的那些现行项目,使能源公司和大城市的供水机构能制定CIP计划。另外,这3000万美元拨款的其中一部分还将用于基础研究。所有这些工作均使我们朝公共-私营合作联盟的目标迈进了很多,使公共-私营合作关系能够满足公共的CIP要求。
银行与金融:财政部被划拨给了1600万美元的预算,用于协调银行与金融部门关键设施、关键设备以及操作的保护。根据总统令指示,财政部要积极领导该关键基础设施部门的CIP工作,同时还要成为其他关键基础设施部门的典范。
互依赖性:联邦预算向国防部、商务部和国家科学基金会提供了500万美元拨款,供它们研究关键基础设施间的相互关系,使我们能够有能力确保这些互联的信息系统基础设施的可靠性和安全性。
信息共享和分析中心:在2000年预算中,部门联络官所在的各行业部门领导机构获得了800万美元的拨款,用来协助信息共享和分析中心(ISAC)的建立。ISAC旨在促进私营部门的发展,共享各种操作建议和标准。
新的和现行的关键基础设施活动
本小节讨论那些努力实现总统令中关键基础设施保护目标的具体活动。所列的活动有可能支持多个基础设施部门。这些活动仅仅代表了总额为17.37亿美元的CIP项目的一部分。
计算机安全研究和发展活动:研发活动获得了8000万美元的拨款,以研究网络和数据库的保护以及异常行为、陷门、特洛依木马和其他恶意代码的检测。
信息共享和分析中心:正如前面所言,ISAC的设计是为了促进私营部门的发展并使私营部门共享操作建议和标准。为了帮助ISAC的建立,预算中为其划拨了800万美元。
除此之外,总统还将继续支持下列现行项目。
国家国防基础设施:联邦预算为保护国家安全所依赖的关键基础设施而增加了基金资源,使这部分的预算超过了1.4亿美元。
联邦航空管理和国家空间系统:为了更好地保护FAA设施和信息系统,并减少国家空间系统中的脆弱性,CIP的FAA拨款翻了一番,从2300万美元增加到5000万美元。
打击计算机犯罪:联邦预算提供了4600万美元用于加强FBI、美国律师机关和司法部刑事处的调查及起诉工作。
关键基础设施保障办公室(CIAO):CIAO获得了300万美元用于支持国家基础设施保障计划的开发,这些拨款还将用于协调国家教育和意识培养项目。
对关键基础设施确定并拨款的跨机构过程
自从1998年PDD63签署后,管理和预算办公室(OMB)就开始应其要求收集关键基础设施保护中的预算数据。虽然本附录中的预算数据显示了总统令发布后对关键基础设施保护工作的影响,并且这些数据的准确性达到了一定的程度,但在很多情况下,这些数据的质量还不能满足OMB的期望。
CIP是一个较新的总统要求,机构的预算系统还不能及时支持CIP数据收集。因此,在对这些预算系统做出修改之前,CIP项目和预算信息的收集只能是手工式的,且很不准确。CIP的新兴性还意味着政府仍处在“逆水行舟,不进则退”的学习和适应过程中,各机构仍需要对内紧抓其内部问题、对外积极参与跨机构活动。比如,对CIP的不甚熟悉影响到了各机构的设想的一致性,也造成他们所制定的相对优先级之间无法得到统一。上一年,OMB第一次发布了CIP预算数据请求(BDR),以图搜集行动级信息。但因为各机构的行动描述不太充分以及数据表示方面的问题,OMB无法融合这些数据,使我们难以确定项目中的重复和疏漏。这些重复和疏漏导致了不一致性的出现,从而不得不分析矫正。所有这些都减弱了数据的可信度。
为了解决这些问题,OMB和国家安全委员会在去年春天开展了一项新的横跨各机构的优先国家安全项目评审活动。这些被评审的项目包括关键基础设施以及其他横向项目(即打击恐怖主义、大规模杀伤武器战备和运营连续性等)。横向性确保了这些项目的建议是在政府范围内做出的,而不是由一个个机构分别做出。评审活动涉及4个阶段。
项目评审:由国家安全委员会或科技政策办公室领导的各个跨机构工作组将在政府范围内评审各种与横向性有关的事项。各工作组将确定国家工作中出现的重复或空白,制定详细的项目活动,从而使我们能更加有效地对付非常规威胁。
预算评审:针对每一具体的横向领域,由各机构项目工作人员、各机构预算人员以及OMB检查官组成的预算子工作组将对项目活动的预算消耗进行估计。该阶段不会对各活动进行基金支持,而是要提供准确、公正的消耗估计。
各机构响应基金拨款建议:各工作组随后将对各个项目活动制定优先级,做出各项目的基金建议并提供给联邦各机构。联邦机构将在综合考虑优先级的情况下研究这些基金建议,同时解决将向OMB提交的秋季预算中的有关财政问题。
机构响应行动的评审:OMB将评审各机构对基金建议的响应行动,并基于工作组的信息、其他机构的优先级以及其他可用资源对其做出必要的改动。
这些旨在促进CIP数据收集和分析的工作在2001年总统预算提议中得到了明显的体现。该预算制定是在一个加速时间表下完成的(见下表),且2002年横向项目预算的制定也将依照该表。
CIP IWG(跨机构工作组)2001年工作时间表
这一时间表确保了各参与方都能有充足的时间确定其合理需求并确保各机构间没有出现项目断层或冗余。除了这一时间表之外,OMB还要求项目和预算建议要符合一致的格式并提供足够多的细节,以便于预算分析。下面对项目评审样板做了描述。
项目描述:项目的内容,项目要买哪些东西或要做什么事情?
执行:哪个(些)机构将执行这些活动?
哪个(些)机构将为活动提供资金?解释这些选择的原因和基础。
背景:简述项目的历史,如果有的话,简述其他的类似项目。
基本原理:提供项目的理论推理。
同现有项目的关系:这是一个新的项目还是现行项目的增强?对于解决问题它是否采取了与以前不同的途径?
同多个相关总统令以及其他管理方针的关系:该项目是否是国家政策所要求的?它怎样支持了国家政策的要求?
同领导机构方针的关系:它怎样支持了领导机构对该类活动的指导方针?领导机构对其有需求吗?
同项目实施机构方针的关系:它和项目实施机构的机构任务以及战略性计划有什么样的关系?对该机构来说,它从事这一项目是否理智?该项目是否支持机构的脆弱性研究和威胁评估?
同私营部门的关系:这一项目为什么要由政府而不是私营部门实施?哪些数据显示政府有从事该项目的需求?相关的工业界是怎样看待政府在其中的角色的?
项目有效性:准备用哪种性能检验或评估方法对该项目的表现和有效性进行衡量?如何衡量?
预算评审样板如下所述:
项目描述:项目的内容,项目要买哪些东西或要做什么事情?
基金定位:注明将接受基金的机构/组织以及预算账户、预算账户明细表、项目管理办公室。
基金趋势
●项目的花费将为多少?是一次性花费还是连续性花费?
●对于那些现行项目,上一年度的基金投入是多少?注明所期望的国会对该项目上年度预算请求的反应。
FTE(专职人员)趋势
●该项目还需要其他的专职人员(FTE)吗?需要多少?何种级别?
●对于那些现行项目来说,上一年度的FTE级别是怎样的?
基金资源提议
●上一年度的基础基金能否继续?
●能否对冲销或其他新的花费予以支持?
关键基础设施拨款和项目信息的数据呼叫
跨机构评审的一个关键组成部分就是针对非常规威胁的年度OMB数据呼叫(data call)。数据呼叫中的信息将通知给跨机构工作组的项目和预算评审过程以及OMB的预算评审工作。为了完成数据呼叫,OMB发布了预算数据请求(称为《对非常规威胁的国家安全剖析》),用于收集政府级的项目和预算信息。这些项目包括关键基础设施保护、反恐怖主义、大规模杀伤武器防御以及运营连续性等。收集来的数据用以判断各项目的资金需求是否得到了恰当的满足、确定政府各项目间存在的可能的断层、重叠和协同效果、监督白宫和国会感兴趣的特定项目的进展情况等。
现在数据呼叫可以利用数据库来收集行动级上的有关资金水平、注释描述和特征化等方面的信息。对预算中的每个有关活动来说,各机构应报告该活动在以前和当年的实际或预计资金花费以及未来年份中的基金请求。另外,各机构还要报告由NSC(国家安全委员会)领导并负责评审这些项目的跨机构工作组所推荐的任何活动的基金情况。