美國關鍵基礎設施網絡防御路線發展與調整
關鍵基礎設施防御是國家網絡安全工作的焦點問題之一,在國家安全中扮演著越來越重要的角色。美國是最早體系化開展關鍵基礎設施網絡安全防御的國家,其關鍵基礎設施防御思想一直引領全球,并不斷發展、演變。對于美國在關鍵基礎設施網絡防御方面的經驗和做法,國內學者做過大量研究和分析。本文重點關注美國關鍵基礎設施網絡防御能力中的缺陷和不足,以及 2013 年以來美國關鍵基礎設施防御思想和技術路線發生的重大調整。這種變化至今仍在持續發展,值得關注。
一、美國早期關鍵基礎設施網絡防御路線
美國是關鍵基礎設施網絡安全理念的最早提出者和實踐者,防御能力一直走在世界前列。美國善于通過頂層設計規劃強化關鍵基礎設施網絡安全防御。
(一)美國關鍵基礎設施對象
1996 年,美國首先提出了關鍵基礎設施網絡安全保護的概念,克林頓總統簽發的總統行政令《關鍵基礎設施保護》定義了 8 類重要系統為關鍵基礎設施;2003 和 2008 年,美國兩次調整國家關鍵基礎設施的定義范圍。2013 年第 21 號總統令重新確定了 16 類關鍵基礎設施部門,即:化學、商業設施、通信、關鍵制造、水利、國防工業基地、應急服務、能源、金融服務、食品和農業、政府設施、醫療保健和公共衛生、信息技術、核反應堆/材料和廢棄物、運輸系統、水及污水處理系統。自此,美國對關鍵基礎設施分類逐漸穩定。
(二)美國早期關鍵基礎設施網絡防御技術模式
美國關鍵基礎設施網絡防御的技術體系,主要可分為聯邦政府模式和私營企業模式。
1. 聯邦政府模式
美國對聯邦政府擁有的關鍵基礎設施統一開展網絡防御,建設了從網絡層到端點層的體系化防御手段,其中“愛因斯坦計劃”最具代表性。該項目 2003 年開始建設,先后實施了三期,于 2010 年并入美國國家網絡安全保護系統(NCPS),但習慣上仍稱為“愛因斯坦計劃”。“愛因斯坦計劃”對美聯邦政府匯聚后的互聯網流量進行監測和防御,實現了入侵檢測、入侵防御、安全分析和信息共享四大功能。目前總體上該計劃處于 3A 期水平(E3A),是美國網絡安全態勢感知的核心系統,成為各國紛紛仿效的對象。
除“愛因斯坦計劃”外,美國聯邦政府還建設了可信互聯網接入系統(TIC),實現了聯邦政府網絡的集中統一接入,為“愛因斯坦計劃”的實施奠定了條件;建設了持續診斷與緩解系統(CDM),實現了對終端和服務器軟硬件資產/賬號狀況、漏洞情況及修補情況的全面管理,在漏洞風險爆發時,可在第一時間協助消除聯邦網絡內存在的風險因素。TIC、NCPS、CDM 等技術平臺的建設,實現了聯邦政府信息系統從端點到網絡、從漏洞檢測到攻擊監測,從威脅感知到攻擊阻斷的一體化、全方位的網絡安全防御能力。
2. 私營企業模式
美國關鍵基礎設施中大約有 85% 由私營企業管理和運行。美國政府無法像對聯邦資產那樣對私營企業關鍵基礎設施進行監測和防御,因此私營企業關鍵基礎設施網絡防御能力由私營企業負責建設。美國政府主要通過信息共享掌握私營關鍵基礎設施網絡安全狀況,參與私營關鍵基礎設施網絡防御。
1998 年克林頓政府批準的總統令“關鍵基礎設施防御”(PDD63)中,要求建立信息共享和分析中心(ISACs),負責收集、分析和共享其成員間的安全事件信息和應對信息,促成政府和私營行業的信息交換。2002 年《國土安全法》確立了關鍵基礎設施信息共享程序,明確國土安全部承擔聯邦網絡安全威脅信息共享中心的地位,定義了不基于行業建立的“信息共享和分析組織”(ISAOs),為政府與私營企業之間共享網絡威脅信息創造了更多方式。2009 年,美國建立國家網絡安全和通訊整合中心(NCCIC),7×24 小時負責在公共和私營部門之間共享有關漏洞、入侵、事件、風險減輕措施和恢復活動信息。
早期美國私營關鍵基礎設施的網絡防御水平主要取決于私營企業的重視程度和自身技術能力。聯邦政府通過信息共享賦能私營關鍵基礎設施,是聯邦政府參與私營關鍵基礎設施防御的主要手段。聯邦政府和私營企業間采用自愿原則開展信息共享,網絡防御協同程度較為松散。
3. 早期美國關鍵基礎設施保護效果
據公開材料披露,美國聯邦和私營關鍵基礎設施歷史上都發生過重大網絡安全事件。
2015 年美聯邦人事管理局爆發重大網絡失竊密事件(“OPM”事件),2000 多萬份人事檔案被盜。聯邦審計署對事件復盤后認為,美聯邦人事局未完成“E3A”系統部署是事件發生的重要原因之一。此事件推動聯邦政府各部門大大加快了 NCPS 系統的部署速度。2014 年,只有20% 的聯邦機構完成了“E3A”系統部署,到2016 年 1 月已有 88% 聯邦機構完成部署。此后,聯邦政府再未曝光過類似重大網絡安全事件。
在私營關鍵基礎設施方面,重大關鍵基礎設施,網絡安全事件較為頻發,2013 年 Advocate醫療集團因隱私數據泄漏事件被罰款 550 萬美元;2015 年美國健康保險公司 Anthem 泄露了7800 萬用戶的姓名、社會保險號、身份證號等信 息;2017 年信用評價公司 Equifax 遭受攻擊被竊近 1.5 億條個人和財務數據。2020 年,網絡管理軟件公司 SolarWinds(太陽風)的產品Orion 被入侵、篡改,導致微軟、美國能源部等大量使用該產品的下游用戶被攻擊。2021 年,美國重要石油運輸公司科洛尼爾遭受勒索病毒攻擊,18 個州因此進入緊急狀態。
從以上情況看,美國較早建立了關鍵基礎設施防御制度和較為完整的信息共享組織體系;聯邦關鍵基礎設施具有較強的網絡防御能力;私營關鍵基礎設施的網絡防御主要由企業自身承擔,聯邦和私營企業之間的防護能力基本獨立。早期關鍵基礎設施網絡防御效果不盡如人意。
二、美國早期關鍵基礎設施網絡防御能力的缺陷
美國早期關鍵基礎設施防御能力不足主要體現在四個方面。
(一)網絡安全監測存在法律障礙
美國關鍵基礎設施企業在開展網絡安全監測這一必要工作環節上面臨法律障礙。1791 年通過的美國憲法第四修正案規定,政府部門及私營公司在未得到司法授權情況下沒有檢查個人通信的權力。將此要求向網絡空間延伸,則關鍵基礎設施企業也不能對其管理公眾數據的系統開展網絡安全分析,否則存在法律風險。
(二)缺乏網絡防御能力建設要求規范
美國關鍵基礎設施網絡防御能力建設要求、規范和標準體系未建立,導致關鍵基礎設施防御能力建設水平參差不齊,進而直接影響聯邦和關鍵基礎設施發揮信息共享能力。同時因缺乏明確要求和約束,私營關鍵基礎設施網絡防御投入意愿亦存在不足。美國布魯金斯大學學者杰克·戈德史密斯(Jack L. Goldsmith)曾在 2010 年指出,美國“很多企業沒有安裝類似愛因斯坦的系統,在國家網絡系統中政府和私營系統之間,留下大量監管空白地帶,這些空白地帶充滿了惡意軟件”。
(三)缺乏統一的網絡安全監測視野
因網絡防御技術體系建設不足,部分美國私營企業難以自主發現網絡安全事件,形成網絡安全威脅信息,造成國家整體網絡監測能力存在大面積缺失。同時,美國長期實施的信息共享自愿原則,使得網絡安全威脅信息流動方向主要是從聯邦政府單向流到私營企業,聯邦、私營企業的數據信息未能形成合力,信息共享“一點及時發現,全網協同防御”的目標難以達到。網絡安全監測窗口呈現切割、分散的局面,沒有任何一個組織或機構掌握所有關鍵基礎設施的全量網絡安全信息,國家整體網絡防御能力難以高質量提升。
(四)重大網絡安全事件應急響應能力不足
在針對關鍵基礎設施的網絡攻擊中,大量攻擊來源于國家級黑客組織。這些組織攻擊技術水平高、攻擊意圖明確、攻擊持續性強,為了一個攻擊目標往往會不惜投入。大多數私營企業的應急響應能力無法與這些黑客組織抗衡,一旦關鍵基礎設施防御系統被攻破,如果無國家級防御和應急響應力量介入,那么網絡攻擊事件可能會持續快速發酵,造成嚴重社會影響。
三、美國關鍵基礎設施網絡防御技術思路的重要變化
2010 年前后,美國對非聯邦關鍵基礎設施網絡防御薄弱點進行了深入討論,嘗試提出解決思路,從 2013 年開始系統化推出政策方案。
(一)調整網絡防御思路
2010 年,美國學者杰克·戈德史密斯提出“在全美范圍內將國家入侵防御系統的運營范圍擴展到私營通信系統中”,希望通過在私營企業直接部署國家網絡安全保護系統,提升私營關鍵基礎設施防御能力,并從政府責任、政府地位、有效性等方面提出了具體理由。
2013 年,奧巴馬簽署發布總統政策令《關鍵基礎設施安全與恢復力》(PPD21),分析了美國關鍵基礎設施網絡防御能力不足的原因,認為“關鍵基礎設施所有者和運營者一直被置于獨自應對網絡安全威脅,獨自決定保證關鍵基礎設施安全和恢復策略的位置”。因此該政策令提出“在防御、保護、緩解、響應和恢復的各個階段要集成國家體系能力”,要求“重新定義聯邦政府在國家增強關鍵基礎設施安全與恢復性方面的職責”。由此可見,美國認為信息共享雖已實施多年,但現有實施方式對關鍵基礎設施網絡防御能力提升非常有限,因此要求大幅深化各級政府對關鍵基礎設施網絡防御的參與程度。
美國提出的解決方案路線圖包括:“國土安全部運營兩個負責關鍵基礎設施安全的集成技術中心,一個負責物理基礎設施安全,一個負責網絡基礎設施安全”,“情報機構、國防部、司法部和其他政府部門應向集成技術中心提供涉及國家關鍵信息基礎設施的信息和情報”,“這兩個中心還可以從關鍵基礎設施合作伙伴,包括國家、州、地方(SLTT)和私營企業獲取數據”。總統政策令 PPD21 反思了美國在關鍵基礎設施防御中的不足,認為僅靠關鍵基礎設施運營者無法完成對抗高級別網絡攻擊的任務,全面闡述了防御各個環節集成國家能力的戰略思路,制定了解決問題路線圖,是美國關鍵基礎設施網絡防御發展中極為重要的一份文件。其后出臺的《網絡安全法》(2015 版)以及一系列政策、標準,都與 PPD21 指導思想一脈相承,或者說是具體落實了 PPD21 的既定戰略方向。
(二)推動網絡監測合法化
2011 年,美國參眾兩院就網絡安全立法問題開始了馬拉松式討論,焦點是憲法第四修正案的限制能否突破。經過 5 年艱難辯論,2015 年底參眾兩院終于突破憲法第四修正案,通過了《網絡安全法》(2015 版),允許運營者因為網絡安全原因,監測自己運營的公共服務網絡,也允許其他機構得到運營者授權后監測其運營的網絡,相關行為不會被追究法律責任。根據該法,NCCIC 等機構可以和非聯邦機構簽訂信息共享相關協議,也可以協助其他機構開展對私營企業的網絡安全監測。
該法案堅持私營企業自愿參與信息共享的原則,未參與企業無需承擔任何法律責任,一直存在很大爭議。美國人權組織認為法案導致政府部門監聽權力再次擴大,有可能使網絡安全信息共享演變為后門監聽方式,甚至認為該法“應當被稱為《愛國者法案 2.0 版》”。但從網絡安全角度看,此法突破了憲法第四修正案的傳統理念,消除了運營者對關鍵基礎設施網絡安全監測的法律障礙。
(三)制定網絡防御技術規范
美國通過制定標準、推薦框架等方式,規范化關鍵基礎設施網絡防御能力建設,為聯邦、企業之間信息共享鋪平道路,提升聯邦干預關鍵基礎設施網絡防御能力建設。
2014 美國國家標準技術研究院(NIST)發布《提升關鍵基礎設施網絡安全的框架》,2018 年修訂后再次發布。該框架力圖推出適用于各類關鍵基礎設施網絡安全的通用標準體系,提出了推薦管理框架和技術體系標準,為規范關鍵基礎設施網絡防御能力建設奠定了基礎。
2016 年 10 月,NIST 發布《網絡威脅信息共享指南》。規范了網絡威脅信息共享范疇(指示器,威脅策略、技術和流程,安全警報,威脅情報,工具配置等),信息共享的參與機構、共享流程和交換標準,打通了聯邦和私營企業雙向共享信息的標準障礙。
2022 年 3 月,美國國家安全局(NSA)發布了《網絡基礎設施安全指南》,向信息系統運營者提供保護網絡基礎設施、應對網絡攻擊的最新標準化建議,用于指導網絡架構師和管理員建立網絡最佳實踐。該指南通用性強,涵蓋網絡設計、設備密碼和密碼管理、遠程登錄、安全更新、密鑰交換算法等多個環節,較《提升關鍵基礎設施網絡安全的框架》更貼近實用。
(四)擴大信息共享范疇
美國在《網絡安全法》(2015 版)中將信息共享概念的內涵和外延進行了較大調整,遠遠突破了“網絡威脅指標”和“防御性措施”共享的范疇。該法使得國家主體和國家商業代理機構可通過信息共享的名義,參與關鍵基礎設施網絡防御能力的建設和運行,從而落實 PPD21 路線圖中部分內容的核心目標。此項突破為提升聯邦和私營企業網絡安全雙向協同水平掃清了基礎性障礙。
為推動信息共享,美國國土安全部建立了自動指標共享系統(AIS),并依托此系統實施網絡信息共享與合作計劃(CISCP)。國土安全部通過 CISCP 項目與企業免費、雙向、實時共享非分級的網絡威脅、事件和漏洞的信息。美國還開展了增強網絡安全服務計劃(ECS),通過 ECS將敏感信息和分級信息有償提供給服務提供商,并由服務提供商向客戶系統提供“域名黑洞”“郵件過濾”和“網絡流量分析”三種類型的入侵檢測和防御阻斷服務。ECS 是突破憲法第四修正案,并推動國家能力深度參與私營企業網絡防御的具體實施形式。與戈德史密斯方案相比,ECS 不直接在私營企業中推廣國家網絡防御技術,而是通過服務提供商將國家能力賦予私營企業。ECS 是戈德史密斯提出的將國家網絡防御系統部署在私營企業這一防御思路的變形實現形式。
但同時,根據《網絡安全法》(2015 版),聯邦和企業的信息共享行為,包括 CISCP 和ECS 計劃,一直采用自愿原則,美國仍缺乏一個機構可完全掌握全國網絡安全態勢,美國國家網絡態勢監測視野依然不全,聯邦和企業間形成合力的問題仍未完全解決,《網絡安全法》(2015版)是多方妥協的產物。
2021 年,美國接連發生“太陽風”“Hafnium”和“科洛尼爾”等涉及關鍵基礎設施及其供應鏈的嚴重網絡攻擊事件。美國國家安全局局長保羅·中曾根在國會聽證會上表示“美國政府機構在應對境外黑客攻擊上存在視覺盲區”,很多專家學者也認為“私營行業和政府部門的信息共享存在障礙,政府部門難以獲得這些入侵的全部情況”。在此背景下,經過參眾兩院討論,2022 年 3 月,拜登簽署了《關鍵基礎設施網絡事件報告法》,規定關鍵基礎設施運營者有義務向國土安全部網絡安全與關鍵基礎設施安全局(CISA)報告所發生的網絡安全事件,CISA建立事件審核辦公室。該法案是對美國實行多年信息共享自愿原則的重大改變,美國國家機構獲取數據能力進一步提升,網絡安全態勢觀測窗口顯著擴大,并將進一步推動信息共享和網絡防御能力的發展。2022 年 4 月,CISA 發布情況說明書(fact sheet),對關鍵信息基礎設施運營者在發現遭受未授權訪問、拒絕服務攻擊、惡意代碼感染、網絡釣魚、網絡掃描、網絡勒索等類型的網絡活動時,開展信息共享的步驟和流程進行指導,并明確了 10 項共享信息的具體內容要素。
(五)完善網絡安全應急響應流程
美國從計劃、組織、標準規范等方面進一步完善國家網絡安全應急體系,增強關鍵基礎設施網絡安全應急響應能力。
2016 年 12 月,美國國土安全部發布新版《國家網絡應急響應計劃》,其中保障基礎設施系統安全是其 14 項核心應急能力之一,司法部、聯邦調查局、國家情報總監辦公室等均納入應急響應體系。
2018 年 3 月,美國通過《國土安全部網絡事件響應小組法》,授權國土安全部所屬的網絡事件響應小組(HIRT)幫助關鍵基礎設施的所有者和運營者對網絡攻擊進行響應,識別發現網絡安全風險、恢復系統服務、提供緩解網絡安全風險策略,加大國家力量對關鍵基礎設施保護的直接干預能力。
2021 年 11 月,美國國土安全部發布了《聯邦政府網絡安全事件和漏洞影響響應指南》,進一步對重大網絡安全事件和漏洞事件的應急響應流程進行了規范。
總體來說,2013 年以后,美國關鍵基礎設施防御思想發生重要變化。國家主導的一體化聯合防御更加明顯,國家網絡安全能力向企業深度滲透,政府和企業網絡安全能力的融合顯著加強。通過制定標準和技術規范,規范了關鍵基礎設施網絡防御技術能力建設,解決了聯邦和企業信息共享的標準障礙;通過立法,解決了關鍵基礎設施開展網絡安全監測的法律障礙,擴大了信息共享的含義,使得聯邦能力事實上進入關鍵基礎設施防御體系。
四、總結與啟示
早期階段,美國關鍵基礎設施網絡防御能力在實施效果上存在明顯缺陷。盡管美國為聯邦資產統一建設了能力較強的網絡層和端點層體系化防御手段,聯邦向私營企業共享網絡安全威脅信息在理論上連接了雙方的防御技術體系,但聯邦和私營企業間界限清晰、涇渭分明,私營關基企業主要依靠自身技術體系進行防御,聯邦和私營企業在技術體系上未能形成合力。早期美國關鍵基礎設施網絡防御部分理念與我國“誰主管誰負責,誰運營誰負責”提法較為接近。
2013 年以后,美國反思了在關鍵基礎設施防御中的不足,形成了關鍵基礎設施防御由多方共同完成、政府應充分參與關基網絡防御的共識,尤其強調聯邦在防御中的地位和作用,發布了綱領性文件 PPD21,美國關鍵基礎設施防御理念發生重大變化。《網絡安全法》(2015 版)允許運營者對關基設施進行網絡安全監測,拓寬了信息共享的含義;《關鍵基礎設施網絡事件報告法》強制要求報送網絡安全事件信息,擴展了國家網絡安全監測窗口;《提升關鍵基礎設施網絡安全的框架》《網絡基礎設施安全指南》等,為完成聯邦、企業網絡協同防御奠定了技術基礎;《國家網絡應急響應計劃》《國土安全部網絡事件響應小組法》,進一步明確了聯邦參與私營關基企業網絡安全應急響應的形式。通過這一系列舉措,美國關基網絡防御政策的國家因素大幅增強,國家主導的一體化聯合防御趨勢凸顯,糾正了以往網絡防御中主要靠企業防御能力應對國家級網絡攻擊的錯位情況,一定程度實現了以國家防御能力對抗國家攻擊能力的目標。
當前,美國推動國家、行業、地區、企業一體化承擔關鍵基礎設施網絡防御的任務尚未完成,全國一體化的網絡安全態勢觀測視野還未形成,相關法律、政策還在進一步演進。可以預見美國國家技術體系還將繼續與私營企業能力融合,政府、企業數據融合的全視野網絡安全態勢觀測能力還將繼續加強,各類標準、規范還會進一步出臺。
美國關鍵基礎設施網絡安全防護經驗顯示,面對愈演愈烈的網絡威脅,關鍵基礎設施運營者難以獨自應對國家級網絡攻擊,應建立國家一體化的網絡安全防御體系,打造國家級的防御資源至關重要。將單一信息系統的網絡安全防護問題匯總起來,從國家視野考慮解決辦法,是整體提升網絡安全防御能力的有效途徑。相比而言,我國在構建國家、行業、地區、企業一體化網絡防御能力方面比美國更具體制優勢。我國出臺的《關鍵信息基礎設施安全保護條例》,進一步明確了我國在關鍵信息基礎設施保護中“運營者-保護工作部門-國家網信部門、國家職能部門”的“三層責任體系”。但我國在國家、部門深入參與關基設施網絡防御并承擔相應職責方面與美國相比仍有差距,美國在規范和標準化建設、信息共享、體系化防御能力建設等方面的經驗和做法,值得我們借鑒和學習。
