美政府问责局：需要全面的网络安全战略来保护资产和关键基础设施

天极按

近日，美国问责局发布《网络安全高风险系列：建立全面的网络安全战略和进行有效监督方面的挑战》相关报告，表示联邦政府必须建立一个全面的网络安全战略，以保护资产和关键基础设施免受网络攻击。为了提高国家的网络防御能力，联邦政府还必须减轻全球供应链的风险，解决网络技能的差距，并确保新兴技术的安全。

联邦机构和国家的重要基础设施，如能源、运输系统、通信和金融服务都依赖于技术系统来进行基本操作，并处理、维护和报告重要信息。这些系统和数据的安全对于保护个人隐私和保护国家的安全、繁荣和福利也至关重要。然而，这些基本技术系统的风险正在增加，特别是，恶意攻击者进行网络攻击攻击意愿和能力逐步提升。攻击可能导致对人类安全、国家安全、环境和经济的严重损害。各机构和关键基础设施的所有者和经营者必须保护其系统的保密性、完整性和可用性，并有效应对网络攻击。自1997年以来，已将信息安全指定为整个政府的高风险领域。在2003年扩大了这一高风险领域的，包括保护关键的网络基础设施。2015年，再次将其扩大到包括保护个人身份信息的隐私。这是一系列四份报告中的第一份，阐述了联邦政府应迫切解决的主要网络安全领域，首先是需要一个全面的战略和有效的监督。截至2022年12月，这些建议中约有190项尚未实施。在这些建议得到充分落实之前，联邦机构在保护委托给他们的私人和敏感数据方面的能力将受到更大的限制。

如何执行更全面的联邦网络战略？

联邦政府需要解决国家网络战略和实施计划中缺失的内容

白宫2018年9月的国家网络战略和国家安全委员会（NSC）附带的2019年6月的实施计划详细说明了行政部门管理国家网络安全的方法。2020年9月，报告该战略和实施计划涉及国家战略的一些，但不是所有的理想特征。特别是，国家网络战略与实施计划相结合，解决了国家战略六个理想特点中的三个，但没有包括其他三个特点的关键因素（见图1）。并强调在未来，即将上任的政府需要更新现有的战略和计划，或者制定一个新的综合战略来解决这些特点。

图1：国家网络战略和实施计划符合国家战略理想特征程度

国会和政府采取行动，建立并填补一个关键的网络安全领导职位。具体而言，在2021年1月，2021财政年度国防授权法案在总统行政办公室内设立了国家网络主任办公室。2021年6月，参议院确认了第一位国家网络主任，领导该办公室并担任总统的网络安全政策和战略的主要顾问。该主任随后为该办公室发布了一份战略声明，总结了其改善国家网络安全的愿景、挑战、路径和紧迫性。然而，在联邦政府充分制定和实施一项全面的国家战略之前，它将没有一个明确的路线图来克服我们国家面临的网络挑战。

问责局建议国家安全委员会与相关联邦实体合作，更新网络安全战略文件，包括目标、绩效措施和资源信息等。截至2022年8月，根据国家网络主任办公室的说法，政府制定国家网络安全战略的工作正在进行。该办公室指出，它正在从包括国家安全委员会在内的许多其他联邦实体那里获得关于这项工作的反馈意见。

如何减轻全球供应链的风险？

联邦机构需要全面实施供应链风险管理的所有基本做法

联邦机构广泛依赖信息和通信技术（ICT）产品和服务来开展其业务。然而，各机构面临着许多ICT供应链风险，包括可能利用供应链漏洞的造假者带来的威胁。为帮助各机构有效地管理其ICT供应链风险，美国国家标准和技术研究所制定了包括基于风险的做法的指南。

2020年12月，通过对23个文职机构的审查发现，没有一个机构完全实施了供应链风险管理的七项基本做法，有14个机构没有实施任何做法（见图2）。在23个机构中，只有三个机构完全制定了组织程序，在部署前检测假冒和受损的ICT产品。此外，在这23个机构中，没有一个机构建立了对ICT供应链风险进行全机构评估的程序。实施信息和通信技术供应链风险管理的基本做法，对于各机构应对恶意行为者扰乱任务运作、窃取知识产权或伤害个人的风险至关重要。

图2：23家民间机构实施信息和通信技术的程度(ICT)供应链风险管理(SCRM)实践的程度

问责局建议这23个机构在其全组织范围内全面实施信息和通信技术供应链风险管理的基本做法。截至2022年12月，问责局的145项建议中有130项尚未实施；这23个机构中没有一个完全实施所有建议。

如何应对网络安全劳动力的挑战？

管理和预算办公室（OBM）应该制定一个全局性的计划来解决网络安全劳动力短缺的问题。

2020年4月，对OMB和牵头机构在多大程度上处理了有效实施选定的政府范围内的改革的关键做法进行了研究（见图3）。这些改革包括优先解决网络安全劳动力短缺的问题，确定和消除劳动力的技能差距，制定一个标准化的方法来雇用、培训和保留合格的网络安全专业人员。

图3：政府范围内解决网络安全劳动力短缺的计划在多大程度上涉及关键的改革做法

OMB和国土安全部（DHS）通过努力实施几个项目，部分解决了与有效改革相关的大多数关键做法，如培训员工以填补网络安全空缺职位和简化招聘流程。然而，OMB和DHS没有建立一个专门的实施团队或一个政府范围的实施计划，以及其他做法。如果没有这些做法，OMB和DHS将可能无法在解决网络安全劳动力短缺方面取得重大进展。

问责局建议采取行动，以解决持续的网络安全劳动力挑战。这些建议的重点是制定一个政府范围内的劳动力计划和相关的支持性做法，如建立一个领导团队和精心制定一个实施计划。2022年，整个政府对网络劳动力问题的领导责任从OMB和DHS过渡到国家网络主任办公室。自过渡以来，主任已承诺制定一项国家战略，以解决网络培训和教育、数字意识和网络劳动力的问题。这一承诺与本届政府的管理议程是一致的，该议程指出，政府必须确定并解决整个联邦信息技术和网络安全劳动力的关键技能差距。问责局将继续监测制定该战略的努力。

如何确保新兴技术的安全？

联邦机构需采取行动，更好地保护与网络连接设备的安全

国家的关键基础设施部门依赖于电子系统，包括物联网（IoT）和操作技术（OT）设备和系统（见图4）。2022年12月，报告显示经审查的关键基础设施部门的联邦领导机构，能源部、卫生与公众服务部、国土安全部和交通部，正在进行网络安全倡议，旨在帮助保护广泛使用物联网或OT设备和系统的三个关键基础设施部门。

然而，没有一个牵头机构制定了评估其工作成效的指标。此外，这些机构还没有进行物联网和OT网络安全风险评估。虽然机构官员指出，在依靠部门实体的自愿信息时，很难评估计划的有效性，但如果不试图衡量有效性和评估物联网和OT的风险，旨在减轻风险的举措的成功是未知的。

问责局建议能源部、卫生与公众服务部、国土安全部和交通部建立并使用衡量标准来评估部门物联网和OT网络安全工作的有效性，并评估部门物联网和OT网络安全风险。但截至2022年12月，这些建议仍未得到落实。

量子计算有可能造成重大网络安全风险

在2022年9月报告表示，量子技术建立在对最小的能量和物质粒子的研究上，以现有技术无法实现的方式收集、生成和处理信息。量子计算机可以极大地加速一些应用的计算，如机器学习和信息解密。此外，量子信息技术可以极大地提高超越经典技术所能达到的能力，例如在安全和密码学方面有高价值的应用。然而，量子计算也有可能造成重大的网络安全风险。例如，一个全面的量子计算机有可能打破标准的加密技术，创造一个重大的信息安全风险。因此，联邦政府的网络安全基础设施将需要发展以应对这一威胁。2021年3月，我们报告说，人工智能可能有一些相关的挑战和风险。例如，如果人工智能使用的数据有偏差或被黑客破坏，其结果可能有偏差或造成伤害。

随着AI技术的不断进步，联邦的监督考量也需不断发展

2021年3月，人工智能国家安全委员会发布了一份报告，其中委员会描述了与人工智能相关的其他网络安全风险和解决这些风险的建议。具体而言，委员会指出，人工智能将使恶意软件变异为成千上万种不同的形式，找到漏洞，并有选择地进行攻击。该委员会补充说，人工智能网络能力的扩大应用将使网络攻击更加精确和有针对性，进一步加速网络战争并使其自动化，使隐蔽性和持久性更强的网络武器成为可能，并使网络运动在更大范围内更加有效。联邦政府将需要采取适当的行动来应对这些威胁。

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。