2021年12月2日,美国政府问责局(GAO)发布报告《网络安全:更好保护国家关键基础设施迫切所需的国家行动》(Cybersecurity: Federal Actions Urgently Needed to Better Protect the Nation"s Critical Infrastructure)。报告指出,联邦政府机构急需采取措施来更好地保护国家基础设施网络安全。本文对该报告中所列举的网络安全挑战与相关措施建议进行译介。

GAO:加强关键基础设施安全

编译:学术plus观察员 张涛

本文主要内容和关键词

1.背景:美国关键信息系统危机重重,安全管理难度较大;近期美国基础设施网络安全事件频发(涉及燃油燃气管道,水处理厂工控系统,网络管理软件供应链等)

2.美国面临四大网络安全挑战:建立综合型国家战略;保护联邦系统信息安全;保护网络安全基础设施;保护隐私和敏感数据

3.关键基础设施网络安全要求:相关联邦法律和政策

4.迫切要办:建立和执行综合的国家网络安全战略;联邦政府需要加强其在保护关键基础设施安全中的作用

5.结语:呼吁政府对国家关键基础设施的网络安全威胁进行紧急回应,并采纳相关建议,否则将导致政府能力受限

内容主要整理自外文网站相关资料

仅供学习参考,欢迎交流指正!

文章观点不代表本机构立场

1.事件频发

1.1 关键信息系统危机重重,安全管理难度较大

报告指出,包括交通系统、通信、教育、能源和金融服务等在内的信息系统正处于危险中,这些信息系统支撑着联邦机构和国家基础设施,十分重要,同时也具有高度复杂、技术多元、地理分散的特点。此外,联邦机构和国家基础设施使用的系统和网络常与其他内部和外部系统和网络互联,包括互联网。以上这些复杂性都会增加识别、管理和保护大量操作系统、应用、系统和网络中设备安全的难度。

1.2 近期美国基础设施网络安全事件频发

近期,美国发生了多起基础设施网络安全事件,包括:

  • 2021年5月,美国主要燃油、燃气管道运营商Colonial Pipeline运输公司遭遇勒索软件攻击;

  • 2021年2月,CISA发布预警信息称攻击者获取美国水处理厂工控系统的非授权访问,并尝试在水处理过程中增加更多的化学物质;

  • 2020年12月,CISA发布预警信息称APT攻击者成功入侵了网络管理软件套件的供应链,并成功植入了后门恶意软件。然后,攻击者使用植入的后门来发起针对美国政府机构、关键基础设施实体、私营结构的网络攻击活动。

2.网络安全挑战

如今,美国政府面临的四大网络安全挑战包括:

【挑战一】建立综合性的网络安全战略,并执行有效的监管

  • 为国家网络安全和全球网络空间制定和执行更加综合性的国家战略

  • 缓解全球供应链风险,比如恶意软硬件的安装

  • 解决网络安全人才管理的挑战

  • 确保如人工智能、物联网等新兴技术的安全性

【挑战二】保护联邦系统信息安全

  • 改善政府范围内网络安全规划的实现

  • 解决联邦机构信息安全项目的弱点

【挑战三】保护网络安全基础设施

  • 增强在关键基础设施安全保护中的联合角色

【挑战四】保护隐私和敏感数据

  • 加强隐私和敏感数据的保护

  • 合理限制对个人信息的收集和使用,确保信息的收集和使用得到用户同意

3.安全要求

关键基础设施网络安全要求

联邦法律和政策中对关键基础设施网络安全保护的要求:

13636号行政命令:2013年2月,白宫发布增强关键基础设施网络安全的13636号行政命令。其中要求关键基础设施的所有者和运营者协作,以增强网络安全相关的信息共享。行政命令还指示美国国土安全局(DHS)识别、定期检查、更新关键基础设施单元清单。

主席政策指令21:2013年2月,白宫发布21号总统政策指令《关键基础设施安全和弹性》以进一步明确关键基础设施的保护的责任。指令要求DHS与牵头机构合作开发与关键基础设施安全和弹性相关的联邦政府的功能关系描述。

NIST网络安全框架:13636号行政命令要求NIST牵头开发一个灵活的基于性能的网络安全框架,其中包括标准、流程和过程集。

网络安全与基础设施安全机构(CISA)法案(2018):2018年11月在DHS内成立CISA来增加保护联邦机构网络安全的使命,增强国家基础设施安全以更好应对所面临的物理和网络威胁。

2021财年国防授权法案该法案确定了保护16个关键基础设施机构的牵头机构的角色和职责。根据该法案,牵头机构要:配合DHS与关键基础设施所有者和运营者、监管机构和其他机构协作;与CISA协作支持行业风险管理;与CISA协作进行行业风险评估;支持安全事件应急管理。

4.迫切要办

急需采取措施保护关键基础设施

过去几十年,GAO一直强调联邦政府急需采取措施来保护关键基础设施免受威胁。为应对主要的网络安全挑战,建议美国政府需要:制定和执行综合的国家网络安全战略,并增强保护关键基础设施网络安全的联合角色。

4.1 建立和执行综合的国家网络安全战略

GAO曾建议国家安全委员会与相关的联邦实体协作来更新网络安全战略文件。但是,国家安全委员会对该建议没有表示同意或者不同意,也没有解决相关的网络威胁。

成立机构:直到2021年1月,《2021财年国防授权法案》中提出在总统办公室下设国家网络总监办公室。规定该机构职责为:白宫网络安全政策和战略的首席顾问,具体就包括国家网络政策和战略的协调和实施。2021年6月,参议院确认了这一部门。国家网络安全总监办公室的成立是联邦政府更好应对国家网络安全威胁和挑战以及执行监管的重要一步。

发布蓝图:2021年10月,国家网络总监办公室发布了办公室的蓝图文件,其中的关注点就包括国家和联邦网络安全、预算检查和评估、规划和安全事件响应等。

4.2 联邦政府需要加强其在保护关键基础设施安全中的作用

联邦政府在与私营部门合作开展网络关键基础设施保护方面仍具挑战。为了加强政府在关键基础设施网络安全中的作用,GAO提出以下两个建议:

(1)DHS需要完成CISA机构改革过渡活动,以更好地支持关键基础设施所有者和运营者

2018年11月,联邦立法在DHS下成立CISA负责保护联邦政府非军事机构网络安全,以应对网络威胁和加强国家关键基础设施的安全。为实现法定职责,CISA领导层开展了机构改革。截至2021年3月,CISA已经完成了组织机构改革的前2个阶段。

(2)行业风险管理机构需要确保指导并支持关键基础设施的所有者和运营者

从2010年开始,GAO在增强关键基础设施网络安全方面对不同联邦机构提出了约80条建议。比如,2020年2月,GAO建议相关机构更好地评估和采用NIST提出的网络安全框架标准。但大多数行业风险管理机构并没有收集和报告在使用网络安全框架来保护关键基础设施方面的改进。

为应对这些问题,GAO共提出了10条建议,其中1条建议NIST为完成指定项目建立时间轴,9条针对其他行业机构建议收集和报告使用该框架的好处。共有8个机构采纳了建议,1个机构部分同意,1个机构未反馈。截止2021年11月,没有建议被具体实现。

总的来看,联邦政府尚未解决GAO针对保护关键基础设施的建议。

自2010年以来,GAO相关建议共80条,截至2021年11月,还有50条没能具体落实;其中14条优先建议中,11条未实现。GAO进而提出,在相关建议未被全部实现以前,联邦机构将无法有效确保关键基础设施的安全。

结 语

总的来看,联邦政府需要对国家和关键基础设施所面临的严重网络安全威胁进行更紧急的回应。其中包括制定和执行综合的国家战略和加强在保护关键基础设施网络安全方面的联合角色。在实现相关建议前,联邦政府为国家关键基础设施提供网络安全有效支撑的能力将受到限制。

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。