美國政府問責局緊急呼吁建立《國家網絡安全戰略》

2021年12月2日，美國政府問責局（GAO）發布報告《網絡安全：更好保護國家關鍵基礎設施迫切所需的國家行動》（Cybersecurity: Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure）。報告指出，聯邦政府機構急需采取措施來更好地保護國家基礎設施網絡安全。本文對該報告中所列舉的網絡安全挑戰與相關措施建議進行譯介。

GAO：加強關鍵基礎設施安全

編譯：學術plus觀察員 張濤

本文主要內容和關鍵詞     

1.背景：美國關鍵信息系統危機重重，安全管理難度較大；近期美國基礎設施網絡安全事件頻發（涉及燃油燃氣管道，水處理廠工控系統，網絡管理軟件供應鏈等）

2.美國面臨四大網絡安全挑戰：建立綜合型國家戰略；保護聯邦系統信息安全；保護網絡安全基礎設施；保護隱私和敏感數據

3.關鍵基礎設施網絡安全要求：相關聯邦法律和政策

4.迫切要辦：建立和執行綜合的國家網絡安全戰略；聯邦政府需要加強其在保護關鍵基礎設施安全中的作用

5.結語：呼吁政府對國家關鍵基礎設施的網絡安全威脅進行緊急回應，并采納相關建議，否則將導致政府能力受限

1.事件頻發

1.1 關鍵信息系統危機重重，安全管理難度較大

報告指出，包括交通系統、通信、教育、能源和金融服務等在內的信息系統正處于危險中，這些信息系統支撐著聯邦機構和國家基礎設施，十分重要，同時也具有高度復雜、技術多元、地理分散的特點。此外，聯邦機構和國家基礎設施使用的系統和網絡常與其他內部和外部系統和網絡互聯，包括互聯網。以上這些復雜性都會增加識別、管理和保護大量操作系統、應用、系統和網絡中設備安全的難度。

1.2 近期美國基礎設施網絡安全事件頻發

近期，美國發生了多起基礎設施網絡安全事件，包括：

2021年5月，美國主要燃油、燃氣管道運營商Colonial Pipeline運輸公司遭遇勒索軟件攻擊；

2021年2月，CISA發布預警信息稱攻擊者獲取美國水處理廠工控系統的非授權訪問，并嘗試在水處理過程中增加更多的化學物質；

2020年12月，CISA發布預警信息稱APT攻擊者成功入侵了網絡管理軟件套件的供應鏈，并成功植入了后門惡意軟件。然后，攻擊者使用植入的后門來發起針對美國政府機構、關鍵基礎設施實體、私營結構的網絡攻擊活動。

2.網絡安全挑戰

如今，美國政府面臨的四大網絡安全挑戰包括：

【挑戰一】建立綜合性的網絡安全戰略，并執行有效的監管

為國家網絡安全和全球網絡空間制定和執行更加綜合性的國家戰略

緩解全球供應鏈風險，比如惡意軟硬件的安裝

解決網絡安全人才管理的挑戰

確保如人工智能、物聯網等新興技術的安全性

【挑戰二】保護聯邦系統信息安全

改善政府范圍內網絡安全規劃的實現

解決聯邦機構信息安全項目的弱點

【挑戰三】保護網絡安全基礎設施

增強在關鍵基礎設施安全保護中的聯合角色

【挑戰四】保護隱私和敏感數據

加強隱私和敏感數據的保護

合理限制對個人信息的收集和使用，確保信息的收集和使用得到用戶同意

3.安全要求

關鍵基礎設施網絡安全要求

聯邦法律和政策中對關鍵基礎設施網絡安全保護的要求：

13636號行政命令：2013年2月，白宮發布增強關鍵基礎設施網絡安全的13636號行政命令。其中要求關鍵基礎設施的所有者和運營者協作，以增強網絡安全相關的信息共享。行政命令還指示美國國土安全局（DHS）識別、定期檢查、更新關鍵基礎設施單元清單。

主席政策指令21：2013年2月，白宮發布21號總統政策指令《關鍵基礎設施安全和彈性》以進一步明確關鍵基礎設施的保護的責任。指令要求DHS與牽頭機構合作開發與關鍵基礎設施安全和彈性相關的聯邦政府的功能關系描述。

NIST網絡安全框架：13636號行政命令要求NIST牽頭開發一個靈活的基于性能的網絡安全框架，其中包括標準、流程和過程集。網絡安全與基礎設施安全機構（CISA）法案（2018）：2018年11月在DHS內成立CISA來增加保護聯邦機構網絡安全的使命，增強國家基礎設施安全以更好應對所面臨的物理和網絡威脅。

2021財年國防授權法案：該法案確定了保護16個關鍵基礎設施機構的牽頭機構的角色和職責。根據該法案，牽頭機構要：配合DHS與關鍵基礎設施所有者和運營者、監管機構和其他機構協作；與CISA協作支持行業風險管理；與CISA協作進行行業風險評估；支持安全事件應急管理。

4.迫切要辦

急需采取措施保護關鍵基礎設施

過去幾十年，GAO一直強調聯邦政府急需采取措施來保護關鍵基礎設施免受威脅。為應對主要的網絡安全挑戰，建議美國政府需要：制定和執行綜合的國家網絡安全戰略，并增強保護關鍵基礎設施網絡安全的聯合角色。

4.1 建立和執行綜合的國家網絡安全戰略

GAO曾建議國家安全委員會與相關的聯邦實體協作來更新網絡安全戰略文件。但是，國家安全委員會對該建議沒有表示同意或者不同意，也沒有解決相關的網絡威脅。

成立機構：直到2021年1月，《2021財年國防授權法案》中提出在總統辦公室下設國家網絡總監辦公室。規定該機構職責為：白宮網絡安全政策和戰略的首席顧問，具體就包括國家網絡政策和戰略的協調和實施。2021年6月，參議院確認了這一部門。國家網絡安全總監辦公室的成立是聯邦政府更好應對國家網絡安全威脅和挑戰以及執行監管的重要一步。

發布藍圖：2021年10月，國家網絡總監辦公室發布了辦公室的藍圖文件，其中的關注點就包括國家和聯邦網絡安全、預算檢查和評估、規劃和安全事件響應等。

4.2 聯邦政府需要加強其在保護關鍵基礎設施安全中的作用

聯邦政府在與私營部門合作開展網絡關鍵基礎設施保護方面仍具挑戰。為了加強政府在關鍵基礎設施網絡安全中的作用，GAO提出以下兩個建議：

（1）DHS需要完成CISA機構改革過渡活動，以更好地支持關鍵基礎設施所有者和運營者

2018年11月，聯邦立法在DHS下成立CISA負責保護聯邦政府非軍事機構網絡安全，以應對網絡威脅和加強國家關鍵基礎設施的安全。為實現法定職責，CISA領導層開展了機構改革。截至2021年3月，CISA已經完成了組織機構改革的前2個階段。

（2）行業風險管理機構需要確保指導并支持關鍵基礎設施的所有者和運營者

從2010年開始，GAO在增強關鍵基礎設施網絡安全方面對不同聯邦機構提出了約80條建議。比如，2020年2月，GAO建議相關機構更好地評估和采用NIST提出的網絡安全框架標準。但大多數行業風險管理機構并沒有收集和報告在使用網絡安全框架來保護關鍵基礎設施方面的改進。

為應對這些問題，GAO共提出了10條建議，其中1條建議NIST為完成指定項目建立時間軸，9條針對其他行業機構建議收集和報告使用該框架的好處。共有8個機構采納了建議，1個機構部分同意，1個機構未反饋。截止2021年11月，沒有建議被具體實現。

總的來看，聯邦政府尚未解決GAO針對保護關鍵基礎設施的建議。

自2010年以來，GAO相關建議共80條，截至2021年11月，還有50條沒能具體落實；其中14條優先建議中，11條未實現。GAO進而提出，在相關建議未被全部實現以前，聯邦機構將無法有效確保關鍵基礎設施的安全。

結 語

總的來看，聯邦政府需要對國家和關鍵基礎設施所面臨的嚴重網絡安全威脅進行更緊急的回應。其中包括制定和執行綜合的國家戰略和加強在保護關鍵基礎設施網絡安全方面的聯合角色。在實現相關建議前，聯邦政府為國家關鍵基礎設施提供網絡安全有效支撐的能力將受到限制。