文│国家计算机网络应急技术处理协调中心 严寒冰 张宇鹏
关键基础设施防御是国家网络安全工作的焦点问题之一,在国家安全中扮演着越来越重要的角色。美国是最早体系化开展关键基础设施网络安全防御的国家,其关键基础设施防御思想一直引领全球,并不断发展、演变。对于美国在关键基础设施网络防御方面的经验和做法,国内学者做过大量研究和分析。本文重点关注美国关键基础设施网络防御能力中的缺陷和不足,以及 2013 年以来美国关键基础设施防御思想和技术路线发生的重大调整。这种变化至今仍在持续发展,值得关注。
一、美国早期关键基础设施网络防御路线
美国是关键基础设施网络安全理念的最早提出者和实践者,防御能力一直走在世界前列。美国善于通过顶层设计规划强化关键基础设施网络安全防御。
(一)美国关键基础设施对象
1996 年,美国首先提出了关键基础设施网络安全保护的概念,克林顿总统签发的总统行政令《关键基础设施保护》定义了 8 类重要系统为关键基础设施;2003 和 2008 年,美国两次调整国家关键基础设施的定义范围。2013 年第 21 号总统令重新确定了 16 类关键基础设施部门,即:化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆/材料和废弃物、运输系统、水及污水处理系统。自此,美国对关键基础设施分类逐渐稳定。
(二)美国早期关键基础设施网络防御技术模式
美国关键基础设施网络防御的技术体系,主要可分为联邦政府模式和私营企业模式。
1. 联邦政府模式
美国对联邦政府拥有的关键基础设施统一开展网络防御,建设了从网络层到端点层的体系化防御手段,其中“爱因斯坦计划”最具代表性。该项目 2003 年开始建设,先后实施了三期,于 2010 年并入美国国家网络安全保护系统(NCPS),但习惯上仍称为“爱因斯坦计划”。“爱因斯坦计划”对美联邦政府汇聚后的互联网流量进行监测和防御,实现了入侵检测、入侵防御、安全分析和信息共享四大功能。目前总体上该计划处于 3A 期水平(E3A),是美国网络安全态势感知的核心系统,成为各国纷纷仿效的对象。
除“爱因斯坦计划”外,美国联邦政府还建设了可信互联网接入系统(TIC),实现了联邦政府网络的集中统一接入,为“爱因斯坦计划”的实施奠定了条件;建设了持续诊断与缓解系统(CDM),实现了对终端和服务器软硬件资产/账号状况、漏洞情况及修补情况的全面管理,在漏洞风险爆发时,可在第一时间协助消除联邦网络内存在的风险因素。TIC、NCPS、CDM 等技术平台的建设,实现了联邦政府信息系统从端点到网络、从漏洞检测到攻击监测,从威胁感知到攻击阻断的一体化、全方位的网络安全防御能力。
2. 私营企业模式
美国关键基础设施中大约有 85% 由私营企业管理和运行。美国政府无法像对联邦资产那样对私营企业关键基础设施进行监测和防御,因此私营企业关键基础设施网络防御能力由私营企业负责建设。美国政府主要通过信息共享掌握私营关键基础设施网络安全状况,参与私营关键基础设施网络防御。
1998 年克林顿政府批准的总统令“关键基础设施防御”(PDD63)中,要求建立信息共享和分析中心(ISACs),负责收集、分析和共享其成员间的安全事件信息和应对信息,促成政府和私营行业的信息交换。2002 年《国土安全法》确立了关键基础设施信息共享程序,明确国土安全部承担联邦网络安全威胁信息共享中心的地位,定义了不基于行业建立的“信息共享和分析组织”(ISAOs),为政府与私营企业之间共享网络威胁信息创造了更多方式。2009 年,美国建立国家网络安全和通讯整合中心(NCCIC),7×24 小时负责在公共和私营部门之间共享有关漏洞、入侵、事件、风险减轻措施和恢复活动信息。
早期美国私营关键基础设施的网络防御水平主要取决于私营企业的重视程度和自身技术能力。联邦政府通过信息共享赋能私营关键基础设施,是联邦政府参与私营关键基础设施防御的主要手段。联邦政府和私营企业间采用自愿原则开展信息共享,网络防御协同程度较为松散。
3. 早期美国关键基础设施保护效果
据公开材料披露,美国联邦和私营关键基础设施历史上都发生过重大网络安全事件。
2015 年美联邦人事管理局爆发重大网络失窃密事件(“OPM”事件),2000 多万份人事档案被盗。联邦审计署对事件复盘后认为,美联邦人事局未完成“E3A”系统部署是事件发生的重要原因之一。此事件推动联邦政府各部门大大加快了 NCPS 系统的部署速度。2014 年,只有20% 的联邦机构完成了“E3A”系统部署,到2016 年 1 月已有 88% 联邦机构完成部署。此后,联邦政府再未曝光过类似重大网络安全事件。
在私营关键基础设施方面,重大关键基础设施,网络安全事件较为频发,2013 年 Advocate医疗集团因隐私数据泄漏事件被罚款 550 万美元;2015 年美国健康保险公司 Anthem 泄露了7800 万用户的姓名、社会保险号、身份证号等信 息;2017 年信用评价公司 Equifax 遭受攻击被窃近 1.5 亿条个人和财务数据。2020 年,网络管理软件公司 SolarWinds(太阳风)的产品Orion 被入侵、篡改,导致微软、美国能源部等大量使用该产品的下游用户被攻击。2021 年,美国重要石油运输公司科洛尼尔遭受勒索病毒攻击,18 个州因此进入紧急状态。
从以上情况看,美国较早建立了关键基础设施防御制度和较为完整的信息共享组织体系;联邦关键基础设施具有较强的网络防御能力;私营关键基础设施的网络防御主要由企业自身承担,联邦和私营企业之间的防护能力基本独立。早期关键基础设施网络防御效果不尽如人意。
二、美国早期关键基础设施网络防御能力的缺陷
美国早期关键基础设施防御能力不足主要体现在四个方面。
(一)网络安全监测存在法律障碍
美国关键基础设施企业在开展网络安全监测这一必要工作环节上面临法律障碍。1791 年通过的美国宪法第四修正案规定,政府部门及私营公司在未得到司法授权情况下没有检查个人通信的权力。将此要求向网络空间延伸,则关键基础设施企业也不能对其管理公众数据的系统开展网络安全分析,否则存在法律风险。
(二)缺乏网络防御能力建设要求规范
美国关键基础设施网络防御能力建设要求、规范和标准体系未建立,导致关键基础设施防御能力建设水平参差不齐,进而直接影响联邦和关键基础设施发挥信息共享能力。同时因缺乏明确要求和约束,私营关键基础设施网络防御投入意愿亦存在不足。美国布鲁金斯大学学者杰克·戈德史密斯(Jack L. Goldsmith)曾在 2010 年指出,美国“很多企业没有安装类似爱因斯坦的系统,在国家网络系统中政府和私营系统之间,留下大量监管空白地带,这些空白地带充满了恶意软件”。
(三)缺乏统一的网络安全监测视野
因网络防御技术体系建设不足,部分美国私营企业难以自主发现网络安全事件,形成网络安全威胁信息,造成国家整体网络监测能力存在大面积缺失。同时,美国长期实施的信息共享自愿原则,使得网络安全威胁信息流动方向主要是从联邦政府单向流到私营企业,联邦、私营企业的数据信息未能形成合力,信息共享“一点及时发现,全网协同防御”的目标难以达到。网络安全监测窗口呈现切割、分散的局面,没有任何一个组织或机构掌握所有关键基础设施的全量网络安全信息,国家整体网络防御能力难以高质量提升。
(四)重大网络安全事件应急响应能力不足
在针对关键基础设施的网络攻击中,大量攻击来源于国家级黑客组织。这些组织攻击技术水平高、攻击意图明确、攻击持续性强,为了一个攻击目标往往会不惜投入。大多数私营企业的应急响应能力无法与这些黑客组织抗衡,一旦关键基础设施防御系统被攻破,如果无国家级防御和应急响应力量介入,那么网络攻击事件可能会持续快速发酵,造成严重社会影响。
三、美国关键基础设施网络防御技术思路的重要变化
2010 年前后,美国对非联邦关键基础设施网络防御薄弱点进行了深入讨论,尝试提出解决思路,从 2013 年开始系统化推出政策方案。
(一)调整网络防御思路
2010 年,美国学者杰克·戈德史密斯提出“在全美范围内将国家入侵防御系统的运营范围扩展到私营通信系统中”,希望通过在私营企业直接部署国家网络安全保护系统,提升私营关键基础设施防御能力,并从政府责任、政府地位、有效性等方面提出了具体理由。
2013 年,奥巴马签署发布总统政策令《关键基础设施安全与恢复力》(PPD21),分析了美国关键基础设施网络防御能力不足的原因,认为“关键基础设施所有者和运营者一直被置于独自应对网络安全威胁,独自决定保证关键基础设施安全和恢复策略的位置”。因此该政策令提出“在防御、保护、缓解、响应和恢复的各个阶段要集成国家体系能力”,要求“重新定义联邦政府在国家增强关键基础设施安全与恢复性方面的职责”。由此可见,美国认为信息共享虽已实施多年,但现有实施方式对关键基础设施网络防御能力提升非常有限,因此要求大幅深化各级政府对关键基础设施网络防御的参与程度。
美国提出的解决方案路线图包括:“国土安全部运营两个负责关键基础设施安全的集成技术中心,一个负责物理基础设施安全,一个负责网络基础设施安全”,“情报机构、国防部、司法部和其他政府部门应向集成技术中心提供涉及国家关键信息基础设施的信息和情报”,“这两个中心还可以从关键基础设施合作伙伴,包括国家、州、地方(SLTT)和私营企业获取数据”。总统政策令 PPD21 反思了美国在关键基础设施防御中的不足,认为仅靠关键基础设施运营者无法完成对抗高级别网络攻击的任务,全面阐述了防御各个环节集成国家能力的战略思路,制定了解决问题路线图,是美国关键基础设施网络防御发展中极为重要的一份文件。其后出台的《网络安全法》(2015 版)以及一系列政策、标准,都与 PPD21 指导思想一脉相承,或者说是具体落实了 PPD21 的既定战略方向。
(二)推动网络监测合法化
2011 年,美国参众两院就网络安全立法问题开始了马拉松式讨论,焦点是宪法第四修正案的限制能否突破。经过 5 年艰难辩论,2015 年底参众两院终于突破宪法第四修正案,通过了《网络安全法》(2015 版),允许运营者因为网络安全原因,监测自己运营的公共服务网络,也允许其他机构得到运营者授权后监测其运营的网络,相关行为不会被追究法律责任。根据该法,NCCIC 等机构可以和非联邦机构签订信息共享相关协议,也可以协助其他机构开展对私营企业的网络安全监测。
该法案坚持私营企业自愿参与信息共享的原则,未参与企业无需承担任何法律责任,一直存在很大争议。美国人权组织认为法案导致政府部门监听权力再次扩大,有可能使网络安全信息共享演变为后门监听方式,甚至认为该法“应当被称为《爱国者法案 2.0 版》”。但从网络安全角度看,此法突破了宪法第四修正案的传统理念,消除了运营者对关键基础设施网络安全监测的法律障碍。
(三)制定网络防御技术规范
美国通过制定标准、推荐框架等方式,规范化关键基础设施网络防御能力建设,为联邦、企业之间信息共享铺平道路,提升联邦干预关键基础设施网络防御能力建设。
2014 美国国家标准技术研究院(NIST)发布《提升关键基础设施网络安全的框架》,2018 年修订后再次发布。该框架力图推出适用于各类关键基础设施网络安全的通用标准体系,提出了推荐管理框架和技术体系标准,为规范关键基础设施网络防御能力建设奠定了基础。
2016 年 10 月,NIST 发布《网络威胁信息共享指南》。规范了网络威胁信息共享范畴(指示器,威胁策略、技术和流程,安全警报,威胁情报,工具配置等),信息共享的参与机构、共享流程和交换标准,打通了联邦和私营企业双向共享信息的标准障碍。
2022 年 3 月,美国国家安全局(NSA)发布了《网络基础设施安全指南》,向信息系统运营者提供保护网络基础设施、应对网络攻击的最新标准化建议,用于指导网络架构师和管理员建立网络最佳实践。该指南通用性强,涵盖网络设计、设备密码和密码管理、远程登录、安全更新、密钥交换算法等多个环节,较《提升关键基础设施网络安全的框架》更贴近实用。
(四)扩大信息共享范畴
美国在《网络安全法》(2015 版)中将信息共享概念的内涵和外延进行了较大调整,远远突破了“网络威胁指标”和“防御性措施”共享的范畴。该法使得国家主体和国家商业代理机构可通过信息共享的名义,参与关键基础设施网络防御能力的建设和运行,从而落实 PPD21 路线图中部分内容的核心目标。此项突破为提升联邦和私营企业网络安全双向协同水平扫清了基础性障碍。
为推动信息共享,美国国土安全部建立了自动指标共享系统(AIS),并依托此系统实施网络信息共享与合作计划(CISCP)。国土安全部通过 CISCP 项目与企业免费、双向、实时共享非分级的网络威胁、事件和漏洞的信息。美国还开展了增强网络安全服务计划(ECS),通过 ECS将敏感信息和分级信息有偿提供给服务提供商,并由服务提供商向客户系统提供“域名黑洞”“邮件过滤”和“网络流量分析”三种类型的入侵检测和防御阻断服务。ECS 是突破宪法第四修正案,并推动国家能力深度参与私营企业网络防御的具体实施形式。与戈德史密斯方案相比,ECS 不直接在私营企业中推广国家网络防御技术,而是通过服务提供商将国家能力赋予私营企业。ECS 是戈德史密斯提出的将国家网络防御系统部署在私营企业这一防御思路的变形实现形式。
但同时,根据《网络安全法》(2015 版),联邦和企业的信息共享行为,包括 CISCP 和ECS 计划,一直采用自愿原则,美国仍缺乏一个机构可完全掌握全国网络安全态势,美国国家网络态势监测视野依然不全,联邦和企业间形成合力的问题仍未完全解决,《网络安全法》(2015版)是多方妥协的产物。
2021 年,美国接连发生“太阳风”“Hafnium”和“科洛尼尔”等涉及关键基础设施及其供应链的严重网络攻击事件。美国国家安全局局长保罗·中曾根在国会听证会上表示“美国政府机构在应对境外黑客攻击上存在视觉盲区”,很多专家学者也认为“私营行业和政府部门的信息共享存在障碍,政府部门难以获得这些入侵的全部情况”。在此背景下,经过参众两院讨论,2022 年 3 月,拜登签署了《关键基础设施网络事件报告法》,规定关键基础设施运营者有义务向国土安全部网络安全与关键基础设施安全局(CISA)报告所发生的网络安全事件,CISA建立事件审核办公室。该法案是对美国实行多年信息共享自愿原则的重大改变,美国国家机构获取数据能力进一步提升,网络安全态势观测窗口显著扩大,并将进一步推动信息共享和网络防御能力的发展。2022 年 4 月,CISA 发布情况说明书(fact sheet),对关键信息基础设施运营者在发现遭受未授权访问、拒绝服务攻击、恶意代码感染、网络钓鱼、网络扫描、网络勒索等类型的网络活动时,开展信息共享的步骤和流程进行指导,并明确了 10 项共享信息的具体内容要素。
(五)完善网络安全应急响应流程
美国从计划、组织、标准规范等方面进一步完善国家网络安全应急体系,增强关键基础设施网络安全应急响应能力。
2016 年 12 月,美国国土安全部发布新版《国家网络应急响应计划》,其中保障基础设施系统安全是其 14 项核心应急能力之一,司法部、联邦调查局、国家情报总监办公室等均纳入应急响应体系。
2018 年 3 月,美国通过《国土安全部网络事件响应小组法》,授权国土安全部所属的网络事件响应小组(HIRT)帮助关键基础设施的所有者和运营者对网络攻击进行响应,识别发现网络安全风险、恢复系统服务、提供缓解网络安全风险策略,加大国家力量对关键基础设施保护的直接干预能力。
2021 年 11 月,美国国土安全部发布了《联邦政府网络安全事件和漏洞影响响应指南》,进一步对重大网络安全事件和漏洞事件的应急响应流程进行了规范。
总体来说,2013 年以后,美国关键基础设施防御思想发生重要变化。国家主导的一体化联合防御更加明显,国家网络安全能力向企业深度渗透,政府和企业网络安全能力的融合显著加强。通过制定标准和技术规范,规范了关键基础设施网络防御技术能力建设,解决了联邦和企业信息共享的标准障碍;通过立法,解决了关键基础设施开展网络安全监测的法律障碍,扩大了信息共享的含义,使得联邦能力事实上进入关键基础设施防御体系。
四、总结与启示
早期阶段,美国关键基础设施网络防御能力在实施效果上存在明显缺陷。尽管美国为联邦资产统一建设了能力较强的网络层和端点层体系化防御手段,联邦向私营企业共享网络安全威胁信息在理论上连接了双方的防御技术体系,但联邦和私营企业间界限清晰、泾渭分明,私营关基企业主要依靠自身技术体系进行防御,联邦和私营企业在技术体系上未能形成合力。早期美国关键基础设施网络防御部分理念与我国“谁主管谁负责,谁运营谁负责”提法较为接近。
2013 年以后,美国反思了在关键基础设施防御中的不足,形成了关键基础设施防御由多方共同完成、政府应充分参与关基网络防御的共识,尤其强调联邦在防御中的地位和作用,发布了纲领性文件 PPD21,美国关键基础设施防御理念发生重大变化。《网络安全法》(2015 版)允许运营者对关基设施进行网络安全监测,拓宽了信息共享的含义;《关键基础设施网络事件报告法》强制要求报送网络安全事件信息,扩展了国家网络安全监测窗口;《提升关键基础设施网络安全的框架》《网络基础设施安全指南》等,为完成联邦、企业网络协同防御奠定了技术基础;《国家网络应急响应计划》《国土安全部网络事件响应小组法》,进一步明确了联邦参与私营关基企业网络安全应急响应的形式。通过这一系列举措,美国关基网络防御政策的国家因素大幅增强,国家主导的一体化联合防御趋势凸显,纠正了以往网络防御中主要靠企业防御能力应对国家级网络攻击的错位情况,一定程度实现了以国家防御能力对抗国家攻击能力的目标。
当前,美国推动国家、行业、地区、企业一体化承担关键基础设施网络防御的任务尚未完成,全国一体化的网络安全态势观测视野还未形成,相关法律、政策还在进一步演进。可以预见美国国家技术体系还将继续与私营企业能力融合,政府、企业数据融合的全视野网络安全态势观测能力还将继续加强,各类标准、规范还会进一步出台。
美国关键基础设施网络安全防护经验显示,面对愈演愈烈的网络威胁,关键基础设施运营者难以独自应对国家级网络攻击,应建立国家一体化的网络安全防御体系,打造国家级的防御资源至关重要。将单一信息系统的网络安全防护问题汇总起来,从国家视野考虑解决办法,是整体提升网络安全防御能力的有效途径。相比而言,我国在构建国家、行业、地区、企业一体化网络防御能力方面比美国更具体制优势。我国出台的《关键信息基础设施安全保护条例》,进一步明确了我国在关键信息基础设施保护中“运营者-保护工作部门-国家网信部门、国家职能部门”的“三层责任体系”。但我国在国家、部门深入参与关基设施网络防御并承担相应职责方面与美国相比仍有差距,美国在规范和标准化建设、信息共享、体系化防御能力建设等方面的经验和做法,值得我们借鉴和学习。
(本文刊登于《中国信息安全》杂志2022年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。