《美国国家关键基础设施的保护.docx》由会员分享,可在线阅读,更多相关《美国国家关键基础设施的保护.docx(14页珍藏版)》请在第一文库网上搜索。
1、1、背景1.1 美国关键信息系统危机重重,安全管理难度较大。美国联邦机构和国家关键基础设施的运作高度依赖信息技术系统,这些系统及其使用数据的安全性对公众信心、国家安全等至关重要。这也使支撑着联邦机构和国家基础设施的信息系统(如交通系统、通信、教育、能源和金融服务等)时常处于危险之中。信息系统具有高度复杂性和动态性,技术多样且位置分散。这种复杂性增加了识别、管理和保护构成系统及网络的众多操作系统、应用程序和设备的难度。此外,联邦机构和国家关键基础设施使用的系统和网络也经常与包括互联网在内的其他内部和外部系统及网络相互关联,这也加剧了安全风险。随着这种更大范围的连通性,威胁行为者越来越愿意并有能力
2、对国家关键基础设施进行破坏性网络攻击。美国国家情报总监办公室(Office of theDirector of National Intelligence, ODNI) 发布的2021 年度威胁评估和美国国土安全部(U.S. Department of HomelandSecurity, DHS) 2020年发布的国土安全威胁评估报告指出,犯罪集团及国家网络行为者对美国构成了最大的网络攻击威胁。评估报告显示,出于利润、间谍活动或破坏的动机,一些犯罪集团和国家网络行为者,在新冠肺炎疫情全球肆虐之际,以美国医疗和公共卫生部门、政府实体和更广泛的应急服务部门为目标展开攻击活动。1.2 美国基础设施网
3、络安全事件频发最近的网络攻击事件突显了美国面临重大的网络威胁。例如,2021年5月,美国主要燃油、燃气管道运营商科洛尼尔管道运输公司(Colonial Pipeline)的IT网络遭遇勒索软件攻击。为了确保管道的安全,该公司断开了某些监控管道物理功能的工业控制系统,以免受到攻击者的危害。根据美国网络安全与基础设施安全局(Cybersecurity and和美国联邦调查Infrastucture Security Agency, CISA)局(Federal Bureau of Investigation, FBI)的调查数据显示,截至2021年5月11日,没有迹象表明攻击者破坏了工业控制系统。
4、然而,断开这些系统导致部分主要管道暂时停止,使整个美国东南部出现汽油短缺现象。2021年2月,QSA发布预警信息称攻击者获取美国某水处理厂工控系统的非授权访问权限,并尝试在水处理过程中增加更多的化学物质。据CISA称,攻击者可能是利用网络安全漏洞访问系统的,这些漏洞包括密码安全性差和操作系统过时等。2020年12月,CISA发布预警称高级持续性威胁(Advanced PersistentThreat, APT)攻击者成功入侵了网络管理软件套件的供应链,并成功植入了后门恶意软件,可能让攻击者远程访问受感染的计算机,并将其植入到该正版软件产品中。然后,攻击者使用植入的后门以及其他技术,发起针对美国
5、政府机构、关键基础设施实体、私营机构的网络攻击活动。2、网络安全挑战GAO自1997年起将信息安全列为政府范围内的高风险领域,并在2003年和2015年先后将关键基础设施保护、个人身份信息隐私保护添加到信息安全高风险领域。在2018年9月和2021年3月的高风险领域更新中,GAO强调联邦政府需要采取10项具体行动来解决联邦政府面临的四大网络安全挑战。(1)制定全面的网络安全战略并实施有效监督。为国家网络安全和全球网络空间制定并执行更全面的联邦战略;警惕全球供应链风险(例如安装恶意软件或硬件);应对网络安全员工管理的挑战;确保如人工智能、物联网等新兴技术的安全性。(2)保护联邦系统信息安全。改善
6、政府范围内网络安全倡议的实施;解决联邦机构信息安全项目的弱点;加强联邦政府对网络事件的反应。(3)保护网络关键基础设施。加强联邦政府在保护关键基础设施(例如电网和电信网络)网络安全方面的作用。(4)保护隐私和敏感数据。改进联邦政府保护隐私和敏感数据的工作;合理限制对个人信息的收集和使用,确保信息的收集和使用得到用户同意。自2010年以来,GAO在高风险领域提出了约3700项建议,重点是加强美国的网络安全工作。截至2021年11月,这些建议中仍有约900项尚未实施。这些建议包括但也远远超出了关键基础设施网络安全相关的主题范围,呼吁采取紧急行动来帮助解决所有高风险领域的问题。(1)网络安全工作人员
7、管理。2020年12月,GAO报道称,美国交通 pP (U.S. Department of Transportation,DOT)的工作人员面临监管自动化技术安全相关的挑战,例如,那些在无须人工干预的情况下控制飞机、火车或车辆的功能或任务的技术。这些技术需要监管专业知识,以及工程、数据分析和网络安全技能。尽管交通部已经确定了监管自动化技术所需的大部分技能,但它尚未全面评估其员工是否具备这些技能。因此,GAO建议交通部,评估与自动化技术监管相关的关键职业的技能差距;定期衡量为弥补技能差距而实施的战略进展。截至2021年11月,这些建议尚未完全实施,但计划在2022年6月前实施完成。(2)政府层
8、面的网络安全举措。联邦机构面临的网络威胁在数量和复杂性上都在不断增力口。建立持续诊断和缓解(Continuous Diagnostics andMitigation, CDM)计划是为了向联邦机构提供工具和服务,这些工具和服务具有自动化网络监控、关联和分析安全相关信息,以及增强政府和机构基于风险决策的预期能力。2020年8月,据GAO报道称,美国联邦航空管理局、印度卫生服务局和美国小企业管理局等机构普遍使用这些工具和服务提供网络安全数据,并支持DHS的CDM计划。然而,尽管各机构报告称,该计划提高了他们的网络意识,但这3个机构都没有有效地实施所有关键的CDM计划要求。根据审查结果,GAO向国土
9、安全部提出了 6项建议,并向3个选定的机构提出了 9项建议。(3)联邦机构网络安全风险管理。2019年7月,据GAO报道称,建立一个全机构网络安全风险管理项目的关键实践,包括指定1名网络安全风险主管,制定风险管理战略和政策以促进基于风险的决策,评估机构网络风险并与该机构的企业风险管理项目建立协调。尽管GAO审查的23个机构几乎都指定了 1名网络安全风险主管,但他们往往没有在其计划中充分纳入其他关键做法,例如,制定网络安全风险管理战略,为基于风险的决策划定界限;建立评估全机构网络安全风险的程序;建立网络安全和企业风险管理计划之间的协调流程,以管理所有重大风险。3、关键基础设施网络安全要求联邦法律
10、和政策规定了关键基础设施网络安全的要求,具体如下文所述。(1)第13636号行政命令。2013年2月,白宫发布了第13636号行政命令改善关键基础设施网络安全,要求与关键基础设施的所有者和运营商建立伙伴关系,以改善网络安全相关的信息共享。为此,该行政命令建立了促进联邦政府和私营组织之间的合作机制。除其他事项外,该行政命令还指定了 9个联邦机构,在保护关键基础设施方面发挥主导作用。此外,该命令指示DHS在牵头机构的帮助下,每年都要确定、审查和更新网络安全事件可能对公共健康或安全、经济安全或国家安全造成灾难性影响的关键基础设施部门清单。(2)第21号总统政策指令。2013年2月,白宫发布第21号总
11、统政策指令关键基础设施安全和弹性,进一步明确了关键基础设施的保护责任。除此之外,该政策还指示DHS与领导机构协调,制定一份与关键基础设施安全和弹性相关的联邦政府职能关系描述,对提高公私伙伴关系效率进行分析并提出建议。(3)美国国家标准与技术研究所(National Institute ofStandards and Technology, NIST)网络安全框架。第 13636 号行政命令改善关键基础设施网络安全指示由NIST牵头开发一个灵活的基于性能的网络安全框架,其中包括一套标准、程序和流程。止匕外,该命令指示牵头机构与DHS和其他相关机构协商,与关键基础设施合作伙伴协调,以审查网络安全框
12、架。如有必要,各机构应制定实施指南或补充材料,以应对特定行业的风险和运营环境。为响应该命令,NIST于2014年2月首次公布自愿、灵活、基于性能的网络安全标准和程序框架。该框架于2018年4月更新,概述了一种基于风险的网络安全管理方法,由核心框架、配置文件和实施层3部分组成。(4) 2018年网络安全和基础设施安全局(CISA)法案。2018年11月,法案指示在DHS内设立了 CISA,旨在保护联邦民用机构网络免受网络威胁、,并在面临物理和网络威胁时加强国家关键基础设施的安全。为了实施这项立法,QSA采取了一项3个阶段的组织转型举措,旨在统一机构,提高任务效率,增强CISA员工的工作经验。(5
13、) 2021财年国防授权法案。该法案确立了部门风险管理机构在保护16个关键基础设施机构方面的领导作用和责任。根据该法案,牵头机构要有以下职责:配合DHS与关键基础设施所有者和运营者、监管机构及其他机构协作;与CISA协作支持行业风险管理与风险评估;担任联邦政府的日常中间人,确定部门活动的次序和协调;支持安全事件应急管理,包括支持CISA在事件响应的要求。4、联邦政府迫切需要采取行动,保护关键基础设施免受网络威胁在过去的几十年里,GAO 一直强调联邦政府迫切需要提高其能力,以保护国家的基础设施免受网络威胁。在最近的高风险领域更新中,GAO强调了联邦政府应对重大网络安全挑战迫切需要采取的关键行动。
14、4.1 制定和执行全面的国家网络战略GAO和其他部门曾建议应该建立一个全面的国家战略以指导美国政府如何应对国内和国际网络安全相关事务的挑战。2020年9月,GAO报道称,上届政府在2018年发布的美国国家网络战略中详细说明了行政部门管理国家网络安全的方法。然而,这些文件只涉及国家战略层面的一些可获取的信息,如目标和所需资源,而不是全面的战略文件。因此,建议国家安全委员会与相关联邦实体合作,更新网络安全战略文件。但是,国家安全委员会对该建议没有表示同意或者不同意,也没有解决相关的网络威胁。(1)成立机构。GAO强调了明确界定中央领导角色的紧迫性和必要性,以便帮助政府克服与国家网络有关的威胁和挑战
15、。2020年9月,GAO曾报道称,鉴于2018年5月白宫取消网络安全协调员职位,尚不清楚最终由行政部门的哪位官员负责协调国家网络战略和相关实施计划的执行。因此,建议国会考虑立法,在白宫指定1名职位负责领导执行国家网络战略。2021年1月,2021财年国防授权法案中提出在总统办公室下设国家网络总监办公室。除其他职责外,该负责人将担任白宫网络安全政策和战略的首席顾问,包括协调实施国家网络政策和战略。2021年6月,由参议院批准,国家网络安全总监办公室的成立是联邦政府更好应对国家网络安全威胁和挑战,以及执行监管的重要举措。(2)发布蓝图。2021年10月,国家网络总监办公室发布了一份战略意图声明,概述了总监办公室的愿景及高水平的工作计划,包括国家和联邦网络安全、预算审查和评估、规划和事故响应等。尽管如此,全面制定和执行全面的国家网络战略的建议仍然比以往任何时候都紧迫,确保一个明确的路线图才能克服包括关键基础设施安全威胁在内的国家网络挑战。