美國國家關鍵基礎設施的保護
摘要:當前美國基礎設施網絡安全事件頻發,面臨日益嚴重的網絡威脅。美國政府問責局認為聯邦政府急需采取措施以更好地保護國家基礎設施網絡安全,一方面,需要制定和執行全面的國家網絡戰略;另一方面,加強聯邦政府在保護關鍵基礎設施網絡安全方面的作用,包括美國國土安全部需要完成美國網絡安全和基礎設施安全局機構改革過渡期事項,以更好地支持關鍵基礎設施所有者和運營者;行業風險管理機構需要指導并支持關鍵基礎設施的所有者和運營者。
2021 年,美國基礎設施網絡安全事件頻發,包括燃油燃氣管道、水處理廠工控系統、網絡管理軟件供應鏈等,表明美國的關鍵基礎設施和聯邦政府的 IT 系統仍然面臨日益嚴重的網絡威脅。關鍵基礎設施的網絡安全一直是聯邦政府面臨的一個長期挑戰,聯邦機構需要改善自身的網絡安全態勢,加強對國家關鍵基礎設施的網絡安全支持。為此,2021年12 月 2 日,美國政府問責局(Government Accountability Office,GAO)發布《聯邦政府迫切需要采取行動,更好地保護國家關鍵基礎設施》報告,指出聯邦政府機構急需采取措施以更好地保護國家關鍵基礎設施的網絡安全。
1、背景
1.1 美國關鍵信息系統危機重重,安全管理難度較大
美國聯邦機構和國家關鍵基礎設施的運作高度依賴信息技術系統,這些系統及其使用數據的安全性對公眾信心、國家安全等至關重要。這也使支撐著聯邦機構和國家基礎設施的信息系統(如交通系統、通信、教育、能源和金融服務等)時常處于危險之中。信息系統具有高度復雜性和動態性,技術多樣且位置分散。這種復雜性增加了識別、管理和保護構成系統及網絡的眾多操作系統、應用程序和設備的難度。此外,聯邦機構和國家關鍵基礎設施使用的系統和網絡也經常與包括互聯網在內的其他內部和外部系統及網絡相互關聯,這也加劇了安全風險。
隨著這種更大范圍的連通性,威脅行為者越來越愿意并有能力對國家關鍵基礎設施進行破壞性網絡攻擊。美國國家情報總監辦公室(Office of the Director of National Intelligence,ODNI)發布的《2021 年度威脅評估》和美國國土安全部(U.S. Department of Homeland Security,DHS)2020 年發布的《國土安全威脅評估》報告指出,犯罪集團及國家網絡行為者對美國構成了最大的網絡攻擊威脅。評估報告顯示,出于利潤、間諜活動或破壞的動機,一些犯罪集團和國家網絡行為者,在新冠肺炎疫情全球肆虐之際,以美國醫療和公共衛生部門、政府實體和更廣泛的應急服務部門為目標展開攻擊活動。
1.2 美國基礎設施網絡安全事件頻發
最近的網絡攻擊事件突顯了美國面臨重大的網絡威脅。例如,2021 年 5 月,美國主要燃油、燃氣管道運營商科洛尼爾管道運輸公司(Colonial Pipeline)的 IT 網絡遭遇勒索軟件攻擊。為了確保管道的安全,該公司斷開了某些監控管道物理功能的工業控制系統,以免受到攻擊者的危害。根據美國網絡安全與基礎設施安全局(Cybersecurity and Infrastucture Security Agency,CISA)和美國聯邦調查局(Federal Bureau of Investigation,FBI)的調查數據顯示,截至 2021 年5 月 11 日,沒有跡象表明攻擊者破壞了工業控制系統。然而,斷開這些系統導致部分主要管道暫時停止,使整個美國東南部出現汽油短缺現象。2021 年 2 月,CISA 發布預警信息稱攻擊者獲取美國某水處理廠工控系統的非授權訪問權限,并嘗試在水處理過程中增加更多的化學物質。據 CISA 稱,攻擊者可能是利用網絡安全漏洞訪問系統的,這些漏洞包括密碼安全性差和操作系統過時等。2020 年 12 月,CISA 發布預警稱高級持續性威脅(Advanced Persistent Threat,APT)攻擊者成功入侵了網絡管理軟件套件的供應鏈,并成功植入了后門惡意軟件,可能讓攻擊者遠程訪問受感染的計算機,并將其植入到該正版軟件產品中。然后,攻擊者使用植入的后門以及其他技術,發起針對美國政府機構、關鍵基礎設施實體、私營機構的網絡攻擊活動。
2、網絡安全挑戰
GAO 自 1997 年起將信息安全列為政府范圍內的高風險領域,并在 2003 年和 2015 年先后將關鍵基礎設施保護、個人身份信息隱私保護添加到信息安全高風險領域。在 2018 年 9 月和2021 年 3 月的高風險領域更新中,GAO 強調聯邦政府需要采取 10 項具體行動來解決聯邦政府面臨的四大網絡安全挑戰。
(1)制定全面的網絡安全戰略并實施有效監督。為國家網絡安全和全球網絡空間制定并執行更全面的聯邦戰略;警惕全球供應鏈風險(例如安裝惡意軟件或硬件);應對網絡安全員工管理的挑戰;確保如人工智能、物聯網等新興技術的安全性。
(2)保護聯邦系統信息安全。改善政府范圍內網絡安全倡議的實施;解決聯邦機構信息安全項目的弱點;加強聯邦政府對網絡事件的反應。
(3)保護網絡關鍵基礎設施。加強聯邦政府在保護關鍵基礎設施(例如電網和電信網絡)網絡安全方面的作用。
(4)保護隱私和敏感數據。改進聯邦政府保護隱私和敏感數據的工作;合理限制對個人信息的收集和使用,確保信息的收集和使用得到用戶同意。
自 2010 年以來,GAO 在高風險領域提出了約 3700 項建議,重點是加強美國的網絡安全工作。截至 2021 年 11 月,這些建議中仍有約 900 項尚未實施。這些建議包括但也遠遠超出了關鍵基礎設施網絡安全相關的主題范圍,呼吁采取緊急行動來幫助解決所有高風險領域的問題。
(1)網絡安全工作人員管理。2020 年 12 月,GAO 報道稱,美國交通部(U.S. Department of Transportation,DOT)的工作人員面臨監管自動化技術安全相關的挑戰,例如,那些在無須人工干預的情況下控制飛機、火車或車輛的功能或任務的技術。這些技術需要監管專業知識,以及工程、數據分析和網絡安全技能。盡管交通部已經確定了監管自動化技術所需的大部分技能,但它尚未全面評估其員工是否具備這些技能。因此,GAO 建議交通部,評估與自動化技術監管相關的關鍵職業的技能差距;定期衡量為彌補技能差距而實施的戰略進展。截至 2021 年 11 月,這些建議尚未完全實施,但計劃在 2022 年 6 月前實施完成。
(2)政府層面的網絡安全舉措。聯邦機構面臨的網絡威脅在數量和復雜性上都在不 斷 增加。建立持續診斷和緩解(Continuous Diagnostics and Mitigation,CDM)計劃是為了向聯邦機構提供工具和服務,這些工具和服務具有自動化網絡監控、關聯和分析安全相關信息,以及增強政府和機構基于風險決策的預期能力。2020 年 8 月,據 GAO 報道稱,美國聯邦航空管理局、印度衛生服務局和美國小企業管理局等機構普遍使用這些工具和服務提供網絡安全數據,并支持 DHS 的 CDM 計劃。然而,盡管各機構報告稱,該計劃提高了他們的網絡意識,但這 3個機構都沒有有效地實施所有關鍵的 CDM 計劃要求。根據審查結果,GAO 向國土安全部提出了 6 項建議,并向 3 個選定的機構提出了 9 項建議。
(3)聯邦機構網絡安全風險管理。2019 年7 月,據 GAO 報道稱,建立一個全機構網絡安全風險管理項目的關鍵實踐,包括指定 1 名網絡安全風險主管,制定風險管理戰略和政策以促進基于風險的決策,評估機構網絡風險并與該機構的企業風險管理項目建立協調。盡管 GAO審查的 23 個機構幾乎都指定了 1 名網絡安全風險主管,但他們往往沒有在其計劃中充分納入其他關鍵做法,例如,制定網絡安全風險管理戰略,為基于風險的決策劃定界限;建立評估全機構網絡安全風險的程序;建立網絡安全和企業風險管理計劃之間的協調流程,以管理所有重大風險。
3、關鍵基礎設施網絡安全要求
聯邦法律和政策規定了關鍵基礎設施網絡安全的要求,具體如下文所述。
(1)第 13636 號行政命令。2013 年 2 月,白宮發布了第 13636 號行政命令《改善關鍵基礎設施網絡安全》,要求與關鍵基礎設施的所有者和運營商建立伙伴關系,以改善網絡安全相關的信息共享。為此,該行政命令建立了促進聯邦政府和私營組織之間的合作機制。除其他事項外,該行政命令還指定了 9 個聯邦機構,在保護關鍵基礎設施方面發揮主導作用。此外,該命令指示 DHS 在牽頭機構的幫助下,每年都要確定、審查和更新網絡安全事件可能對公共健康或安全、經濟安全或國家安全造成災難性影響的關鍵基礎設施部門清單。
(2)第 21 號總統政策指令。2013 年 2 月,白宮發布第 21 號總統政策指令《關鍵基礎設施安全和彈性》,進一步明確了關鍵基礎設施的保護責任。除此之外,該政策還指示 DHS 與領導機構協調,制定一份與關鍵基礎設施安全和彈性相關的聯邦政府職能關系描述,對提高公私伙伴關系效率進行分析并提出建議。
(3)美國國家標準與技術研究所(National Institute of Standards and Technology,NIST)網絡安全框架。第 13636 號行政命令《改善關鍵基礎設施網絡安全》指示由 NIST 牽頭開發一個靈活的基于性能的網絡安全框架,其中包括一套標準、程序和流程。此外,該命令指示牽頭機構與 DHS 和其他相關機構協商,與關鍵基礎設施合作伙伴協調,以審查網絡安全框架。如有必要,各機構應制定實施指南或補充材料,以應對特定行業的風險和運營環境。為響應該命令,NIST 于 2014 年 2 月首次公布自愿、靈活、基于性能的網絡安全標準和程序框架。該框架于 2018 年 4 月更新,概述了一種基于風險的網絡安全管理方法,由核心框架、配置文件和實施層 3 部分組成。
(4)2018 年網絡安全和基礎設施安全局(CISA)法案。2018 年 11 月,法案指示在 DHS內設立了 CISA,旨在保護聯邦民用機構網絡免受網絡威脅,并在面臨物理和網絡威脅時加強國家關鍵基礎設施的安全。為了實施這項立法,CISA 采取了一項 3 個階段的組織轉型舉措,旨在統一機構,提高任務效率,增強 CISA 員工的工作經驗。
(5)2021 財年國防授權法案。該法案確立了部門風險管理機構在保護 16 個關鍵基礎設施機構方面的領導作用和責任。根據該法案,牽頭機構要有以下職責:配合 DHS 與關鍵基礎設施所有者和運營者、監管機構及其他機構協作;與 CISA 協作支持行業風險管理與風險評估;擔任聯邦政府的日常中間人,確定部門活動的次序和協調;支持安全事件應急管理,包括支持CISA 在事件響應的要求。
4、聯邦政府迫切需要采取行動,保護關鍵基礎設施免受網絡威脅
在過去的幾十年里,GAO 一直強調聯邦政府迫切需要提高其能力,以保護國家的基礎設施免受網絡威脅。在最近的高風險領域更新中,GAO 強調了聯邦政府應對重大網絡安全挑戰迫切需要采取的關鍵行動。
4.1 制定和執行全面的國家網絡戰略
GAO 和其他部門曾建議應該建立一個全面的國家戰略以指導美國政府如何應對國內和國際網絡安全相關事務的挑戰。2020 年 9 月,GAO 報道稱,上屆政府在 2018 年發布的《美國國家網絡戰略》中詳細說明了行政部門管理國家網絡安全的方法。然而,這些文件只涉及國家戰略層面的一些可獲取的信息,如目標和所需資源,而不是全面的戰略文件。因此,建議國家安全委員會與相關聯邦實體合作,更新網絡安全戰略文件。但是,國家安全委員會對該建議沒有表示同意或者不同意,也沒有解決相關的網絡威脅。
(1)成立機構。GAO 強調了明確界定中央領導角色的緊迫性和必要性,以便幫助政府克服與國家網絡有關的威脅和挑戰。2020 年 9 月,GAO 曾報道稱,鑒于 2018 年 5 月白宮取消網絡安全協調員職位,尚不清楚最終由行政部門的哪位官員負責協調國家網絡戰略和相關實施計劃的執行。因此,建議國會考慮立法,在白宮指定 1 名職位負責領導執行國家網絡戰略。2021 年 1 月,《2021 財年國防授權法案》中提出在總統辦公室下設國家網絡總監辦公室。除其他職責外,該負責人將擔任白宮網絡安全政策和戰略的首席顧問,包括協調實施國家網絡政策和戰略。2021 年6 月,由參議院批準,國家網絡安全總監辦公室的成立是聯邦政府更好應對國家網絡安全威脅和挑戰,以及執行監管的重要舉措。
(2)發布藍圖。2021 年 10 月,國家網絡總監辦公室發布了一份戰略意圖聲明,概述了總監辦公室的愿景及高水平的工作計劃,包括國家和聯邦網絡安全、預算審查和評估、規劃和事故響應等。盡管如此,全面制定和執行全面的國家網絡戰略的建議仍然比以往任何時候都緊迫,確保一個明確的路線圖才能克服包括關鍵基礎設施安全威脅在內的國家網絡挑戰。
4.2 聯邦政府需要加強其在保護關鍵基礎設施網絡安全方面的作用
聯邦政府在與私營機構合作開展網絡關鍵基礎設施保護方面仍具挑戰。為了加強聯邦政府在關鍵基礎設施網絡安全中的作用,GAO提出了兩個建議:一是加強 DHS 下屬機構CISA 的能力和服務;二是確保擔任特定部門職責的聯邦機構為其部門合作伙伴提供有效的指導和支持。
(1)DHS 需要完成 CISA 機構改革過渡期事項,以更好地支持關鍵基礎設施所有者和運營者。網絡安全領導地位的重要性不僅體現在白宮,還體現在包括 DHS 在內的其他關鍵行政部門。2018 年 11 月,美國時任總統特朗普簽署了《網絡安全和基礎設施安全局法案》,批準在 DHS 內設立 CISA,旨在保護聯邦政府非軍事機構網絡安全,以應對網絡威脅和加強國家關鍵基礎設施的安全。該法案將 CISA 提升為代理機構,對其結構進行規定性調整,包括要求在網絡安全、基礎設施安全和應急通信方面設立獨立的部門,并給該機構分配了具體的職責。為實現其法定職責,CISA 領導層開展了機構 改 革。2021 年 3 月,GAO 報 告 CISA 已 經 完成了組織機構改革 3 大階段的前 2 個階段。具體而言,GAO 注意到 DHS 尚未全面實施其第三階段轉型,其中包括最終確定該機構的基本任務職能和完成勞動力規劃活動,該階段原計劃于 2020 年 12 月完成。
(2)行業風險管理機構需要確保指導并支持關鍵基礎設施的所有者和運營者。自 2010 年以來,GAO 為各聯邦機構提出了大約 80 項建議,以加強基礎設施的網絡安全建設。例如,2020 年2 月,GAO 建議相關機構對 NIST 提出的網絡安全框架標準進行進一步評估并予以采用。GAO報告稱,由于是跨部門使用該框架,大多數部門牽頭機構(即部門風險管理機構)并未收集和報告過有關關鍵基礎設施保護方面的改進情況。為解決這些問題,GAO 共提出了 10 條建議,其中 1 條建議 NIST 為完成指定項目建立時間框架,9 條建議是向牽頭機構提出,以收集并報告使用該框架所取得的改進。共有 8 個機構同意這些建議,一個機構采取中立態度,既不同意也不反對,還有一個機構只部分同意。然而,截至 2021 年 11 月,這些建議均未得到實施。在牽頭機構收集并報告采用該框架所取得的改進之前,16 個關鍵基礎設施部門在很大程度上并不清楚如何保護其關鍵基礎設施免受威脅。
此外,GAO 還經常強調,牽頭機構需要加強其相關關鍵基礎設施部門以及分部門的網絡安全建設。
(1)航空方面。FAA 負責監督包括航空電子系統在內的商業航空安全。隨著商用飛機與系統間的連接越來越緊密,可能會給商用飛機帶來越來越多的網絡攻擊機會。2020 年 10 月,GAO 報道稱,FAA 建立了一套針對美國商用飛機(包括其運營在內)進行認證和監督的程序。然而,FAA 既沒有優先考慮基于風險的網絡安全監管,又沒有將定期測試作為其監控過程的一部分。為了解決相關問題,GAO 向 FAA 提出了 6 項建議,截至 2021 年 11 月,該機構尚未實施這些建議。
(2)公共交通和客運鐵路方面。最近,美國和其他國家的城市鐵路系統遭到物理和網絡攻擊,這凸顯了加強和保護全球鐵路客運系統的重要性。美國聯邦運輸安全管理局(U.S. Transportation Security Administration,TSA)是負責交通運輸安全的主要聯邦機構。為了評估鐵路客運系統物理和網絡安全的風險因素,TSA 利用了包括安全增強基線評估在內的各種風險評估方式來評估跨各種傳輸模式的攻擊場景的威脅、漏洞和后果。2020 年 4 月,GAO 報道稱,盡管TSA 已采取初步措施,與鐵路客運系統利益相關者共享網絡安全關鍵實踐和其他信息,但是安全增強基線評估未能充分反映 NIST 網絡安全框架中提出的最新網絡安全關鍵實踐,也沒有把框架包含在可用的網絡資源列表中。GAO 向TSA 提出了 2 項建議,包括該機構更新安全增強基線評估網絡安全問題,以確保其反映關鍵實踐。DHS 同意 GAO 的建議。截至 2021 年 11 月,仍有 1 項建議尚未實施。
(3)管道系統方面。美國依靠州際管道系統來輸送石油和天然氣等關鍵資源。這種日益計算機化的系統是黑客組織和恐怖分子的攻擊目標。2018 年 12 月,GAO 發現 TSA 在管道安全管理方面存在弱點,并針對問題發布了修訂版管道安全指南,然而,在修訂版中并沒有涵蓋 NIST 網絡安全框架的所有要素,也沒有明確相關定義,以確保管道運營商識別關鍵設施。據 GAO 報道稱,該機構進行了管道安全審查,以評估管道系統的漏洞,然而,TSA 對企業和關鍵設施安全的審查數量相差很大。為了解決相關問題,GAO 向 TSA 提出了 10 條建議,同時代理機構也同意了 GAO 的所有建議。
(4)通信方面。通信部門是美國經濟不可或缺的組成部分,面臨著嚴重的網絡威脅,其結果會影響到地方、區域和國家各級網絡的運營。2021 年 11 月,GAO 報道了 CISA 在協調聯邦政府幫助通信部門恢復在彈性方面發揮的領導作用。該機構通過各種項目和服務,包括事件管理和信息共享,履行其對私營機構所有者和運營商的責任。盡管 DHS 建議每四年更新一次評估,但 CISA 并未對活動的有效性進行評估,也沒有更新戰略行業指導文件。具體而言,從 2015 年開始的計劃缺乏關于通信行業新出現威脅的信息,例如通信技術供應鏈的安全威脅。制定和發布更新的指南將使CISA 能夠制定目標、目的和優先事項,以應對行業面臨的威脅和風險,并幫助履行行業風險管理機構的職責。因此,GAO 向 CISA 提出了 3 項建議,包括該機構評估向該行業提供的支持的有效性,并修訂行業計劃,以應對現在和未來的威脅和風險。
(5)能源方面。美國電網的配電系統主要由各州監管,將電力從輸電系統輸送到消費者手中,目前正面臨越來越大的網絡攻擊風險。2019 年 8 月,GAO 報道稱,電網面臨各種網絡安全風險。其注意到美國能源部(U.S. Departmentof Energy,DOE)制定了應對這些風險的計劃和評估,但沒有充分涉及國家戰略的所有關鍵特征。隨后,2021 年 3 月,GAO 報道稱,電網的配電系統仍然面臨各種網絡安全風險,DOE 所制定的計劃和評估并沒有完全解決電網配電系統的風險。為了緩解以上問題,GAO 建議 DOE在實施國家電網網絡安全戰略的計劃中,應更全面地解決電網配電系統面臨的網絡風險。DOE同意 GAO 的建議,然而,截至 2021 年 11 月,該部并未實施 GAO 的建議。
總的來看,聯邦政府尚未解決 GAO 關于保護關鍵基礎設施的大部分建議。自 2010 年以來,GAO 提出的相關建議共 80 條,截至 2021 年 11 月,還有 50 條建議沒能具體落實,在其中 14 條優先建議中,11 條未實現。GAO 進而提出,在相關建議未被全部實現以前,聯邦機構將無法有效確保關鍵基礎設施的安全。
5、結語
總之,聯邦政府需要以更大的緊迫感來應對國家及其關鍵基礎設施面臨的嚴重網絡安全威脅。這將包括制定和執行一項全面的國家戰略,并加強聯邦政府在保護關鍵基礎設施網絡安全方面的作用。在實現相關建議前,聯邦政府為國家關鍵基礎設施提供網絡安全有效支撐的能力將受到限制。
