特朗普第一任期执政即将过半,在网络安全上可谓“毁誉参半”,指责其忽视网络安全的声音此起彼伏,肯定其在网络安全上“做实事”?“动真格”的也大有人在。如何审视特朗普这两年的网络安全政绩?美国政府问责局(GAO)的审计报告可作为重要参考。GAO是美国国会的下属机构,负责调查、监督联邦政府的规划和支出,其前身是美国总审计局。作为一个独立的审计机构,GAO于2018年9月6日发布审计报告“美国应对网安挑战的当务之急”,梳理了2017年2月特朗普执政以来的网络安全工作,评估了媒体与网络安全厂商报道的网络安全事件,认为网络安全仍然是美国政府面临的高风险威胁,并提出从四大方面、十条行动加以应对。
一、全面提升网络安全战略并有效监管其实施
1、制定并实施一项更为全面的国家网络安全与国际网络空间的联邦战略。
美国既有的网安战略往往缺乏可执行的措施与目标,以及实施所需的资源与可衡量的结果,再加上大多数战略文件没有明确规定责任机构,使得这些战略未有效帮助决策者分配资源、制定政策以及实施问责。因此GAO建议实施一项更为明确、协调和全面的战略,包括可操作的举措,足够的资源与明确的职能部门。
2、消减全球供应链风险。
美国政府的 IT供应链存在被外国政府控制的风险,如部分设备制造商、软件生产者、服务提供商的总部设置在对美存在网络威胁的国家(如中俄)。复杂的全球IT供应链存在多重风险,直接危及美国联邦政府信息系统以及数据的机密性、完整性和可用性,对联邦机构的运营、资产和雇员产生严重不利影响。美国政府已采取措施消减供应链安全,包括设立标准、采购限制、实施禁令等,但是供应链安全仍是恶意行为者攻击美国的潜在威胁源,这也凸显了联邦机构采取措施进行评估、管理和监控IT供应链风险的重要性和紧迫性。
3、解决网络安全人才管理挑战。
虽然已采取若干举措,但美国联邦政府仍面临着网络安全人才技能缺陷的问题,一是各机构还未对其网络安全人才进行有效的评估;二是国土安全部与国防部还未达到联邦法规制定的人才管理要求;三是部分机构还未采取措施弥补网络安全技能差距;四是在招聘和留住合格员工方面遇到了挑战;五是在改革联邦招聘进程中也存在困难。对此,GAO建议在实施国家网络安全教育计划中将教育培训与需求相结合,建立网络安全职业模范路径,成立信息共享中心等。
4、确保新兴技术的安全可控。
过去几年来,新兴技术的网络安全问题愈演愈烈,如物联网设备的漏洞对于联邦机构信息安全与个人隐私的威胁;人工智能对于网络安全的未知影响;以及加密货币与区块链技术的发展。GAO对于新兴技术的网安风险共提出过50条建议,包括解决与特定机构网络安全人员挑战相关的弱点,加强应对自动驾驶网络攻击的机构责任。
二、着力强化联邦政府系统与信息安全5、改进全政府的网络安全倡议的实施。
为解决联邦政府的网络安全问题,国土安全部成立了国家网络安全和通讯整合中心(NCCIC),作为24/7网络监控、事件响应以及管理中心,其下属的互联网应急响应小组(US-CERT)负责实施国家网络安全保护系统(NCPS,俗称“爱因斯坦计划”),但是整个联邦政府的网络安全保障仍存在一些问题:一是国土安全部并不能确保NCPS能够覆盖所有的联邦设备,其入侵检测与信息共享技术存在缺陷;二是国土安全部没有制定措施来评估NCCIC的工作绩效。针对审计发现的问题,GAO提出如下建议:提高有效识别网络威胁的能力;建立强有力的配置标准;实施可持续监控流程;升级有漏洞的系统并淘汰不支持的软件;制定全面的安全检测和评估程序;定期进行检查等。
6、解决联邦政府机构信息安全项目中的不足和短板。
过去两年来,GAO发现由于信息安全政策与实践的低效实施,各机构在保护信息与信息设备保护上面临挑战,如《首席财务官法》涉及的24家机构在信息系统控制的五大类中(即访问控制、配置管理控制、职责划分、应急计划和整个机构的安全管理)存在不足,美国证券交易委员会、美国联邦存款保险公司和美国食品和药物管理局等机构没有有效地实施信息安全规定;国防部对于其网络战略实施的监督不足;各机构没有按照“联邦信息安全现代化法案”(FISMA)的要求设置或定义首席信息安全官员的角色。
7、加强联邦政府应对网络事件的反应能力。
根据2016年7月26日第41号总统行政令(美国网络事件协调)中,联邦政府应承担应对网络突发事件的主要责任,但是GAO在审视联邦政府的工作时,仍发现以下问题:人事管理办公室(OPM)未完全履行网络突发事件应急响应措施;国防部还未正式确定国民警卫队的网络能力(如计算机网络防御小组),也未确立和实施其应急响应项目;国土安全部的国家网络安全保护系统(NCPS)在监测入侵软件、共享信息上存在缺陷。
三、持续加强对网络关键基础设施的保护8、加强联邦政府在保护关键基础设施网络安全上的责任。
美联邦政府一直以来都在呼吁联合私营企业共同保护关键基础设施的安全,美国国家标准与技术研究院(NIST)也制定了网络安全框架,但仍存在一系列问题:一是国土安全部未能有效衡量高风险化学部门减少网络风险的举措的影响;各机构未有效处理其系统和它们所维护的信息所面临的风险;保护电网免受网络威胁方面存在重大挑战;国土安全部和其他机构需要加强海上环境的网络安全;特定行业的机构缺乏衡量其网络安全进展的指标。
四、高度重视个人隐私和敏感数据的保护9、改进联邦政府在保护个人隐私和敏感数据方面的工作。
GAO观察到各机构在保护个人隐私和敏感数据方面存在问题,如美国医保与医助服务中心(CMS)面临着损害医疗保险受益人数据的风险;教育部联邦学生援助办公室缺乏监督其学校合作伙伴的记录或信息安全项目;卫生与公众服务部在其关于保护电子健康信息的安全和隐私的指导方针中没有有效处理一些关键的安全因素。这主要是因为无序的规划和无效的监测导致了联邦数据保护举措的低效实施。
10、对个人信息的收集与利用加以适当的限制,确保数据主体的知情权与同意权。
对个人信息的收集与利用问题主要存在于:物联网设备极易在缺乏数据主体知情权与同意权的情况下收集个人信息;联邦法律对于智能手机跟踪应用程序的规定未很好地执行;联邦调查局在使用面部识别技术时未保护个人隐私。对此,GAO建议国会修改法律,如隐私法和《电子政务法》,以及加强消费者隐私框架。
针对上述四方面网络安全挑战, GAO呼吁采取紧急行动来应对持续的网络安全和隐私挑战。具体来说,联邦政府需要实施更全面的网络安全战略并有效监管其实施,包括留住合格的网络安全人才;解决联邦系统和信息中的安全弱点,加强网络事件应对工作;提升对网络关键基础设施的保护;优先保护个人隐私。
从这份88页的报告我们也可以看出,美国十分重视网络安全方面的审计监督工作,围绕网络关键基础设施建设、相关政策落实、项目绩效、信息系统控制等方面,给美国联邦政府网络安全工作“把脉开方”,具有十分完备的网络安全审计监督体系,相关经验值得我国借鉴。在报告中,GAO表示自2010年以来已经向相应机构提出了超过3000条建议,但截至2018年8月,有近1000条建议没有得到实施,也间接反映了国会对于行政机构网络安全工作进展的不满。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。