美国国家关键基础设施的保护

2021 年，美国基础设施网络安全事件频发，包括燃油燃气管道、水处理厂工控系统、网络管理软件供应链等，表明美国的关键基础设施和联邦政府的 IT 系统仍然面临日益严重的网络威胁。关键基础设施的网络安全一直是联邦政府面临的一个长期挑战，联邦机构需要改善自身的网络安全态势，加强对国家关键基础设施的网络安全支持。为此，2021 年 12 月 2 日，美国政府问责局（Government Accountability Office，GAO）发布《联邦政府迫切需要采取行动，更好地保护国家关键基础设施》报告，指出联邦政府机构急需采取措施以更好地保护国家关键基础设施的网络安全。

1、背景

1.1　美国关键信息系统危机重重，安全管理难度较大

美国联邦机构和国家关键基础设施的运作高度依赖信息技术系统，这些系统及其使用数据的安全性对公众信心、国家安全等至关重要。这也使支撑着联邦机构和国家基础设施的信息系统（如交通系统、通信、教育、能源和金融服务等）时常处于危险之中。信息系统具有高度复杂性和动态性，技术多样且位置分散。这种复杂性增加了识别、管理和保护构成系统及网络的众多操作系统、应用程序和设备的难度。此外，联邦机构和国家关键基础设施使用的系统和网络也经常与包括互联网在内的其他内部和外部系统及网络相互关联，这也加剧了安全风险。

随着这种更大范围的连通性，威胁行为者越来越愿意并有能力对国家关键基础设施进行破坏性网络攻击。美国国家情报总监办公室（Office of the Director of National Intelligence，ODNI） 发布的《2021 年度威胁评估》和美国国土安全部（U.S. Department of Homeland Security，DHS）2020 年发布的《国土安全威胁评估》报告指出，犯罪集团及国家网络行为者对美国构成了最大的网络攻击威胁。评估报告显示，出于利润、间谍活动或破坏的动机，一些犯罪集团和国家网络行为者，在新冠肺炎疫情全球肆虐之际，以美国医疗和公共卫生部门、政府实体和更广泛的应急服务部门为目标展开攻击活动。

1.2　美国基础设施网络安全事件频发

最近的网络攻击事件突显了美国面临重大的网络威胁。例如，2021 年 5 月，美国主要燃油、燃气管道运营商科洛尼尔管道运输公司（Colonial Pipeline）的 IT 网络遭遇勒索软件攻击。为了确保管道的安全，该公司断开了某些监控管道物理功能的工业控制系统，以免受到攻击者的危害。根据美国网络安全与基础设施安全局（Cybersecurity and Infrastucture Security Agency，CISA） 和 美 国 联 邦 调 查 局（Federal Bureau of Investigation，FBI）的调查数据显示，截至 2021 年5 月 11 日，没有迹象表明攻击者破坏了工业控制系统。然而，断开这些系统导致部分主要管道暂时停止，使整个美国东南部出现汽油短缺现象。2021 年 2 月，CISA 发布预警信息称攻击者获取美国某水处理厂工控系统的非授权访问权限，并尝试在水处理过程中增加更多的化学物质。据 CISA 称，攻击者可能是利用网络安全漏洞访问系统的，这些漏洞包括密码安全性差和操作系统过时等。2020 年 12 月，CISA 发布预警称高级持续性威胁（Advanced Persistent Threat，APT）攻击者成功入侵了网络管理软件套件的供应链，并成功植入了后门恶意软件，可能让攻击者远程访问受感染的计算机，并将其植入到该正版软件产品中。然后，攻击者使用植入的后门以及其他技术，发起针对美国政府机构、关键基础设施实体、私营机构的网络攻击活动。

2、网络安全挑战

GAO 自 1997 年起将信息安全列为政府范围内的高风险领域，并在 2003 年和 2015 年先后将关键基础设施保护、个人身份信息隐私保护添加到信息安全高风险领域。在 2018 年 9 月和2021 年 3 月的高风险领域更新中，GAO 强调联邦政府需要采取 10 项具体行动来解决联邦政府面临的四大网络安全挑战。

（1）制定全面的网络安全战略并实施有效监督。为国家网络安全和全球网络空间制定并执行更全面的联邦战略；警惕全球供应链风险（例如安装恶意软件或硬件）；应对网络安全员工管理的挑战；确保如人工智能、物联网等新兴技术的安全性。

（2）保护联邦系统信息安全。改善政府范围内网络安全倡议的实施；解决联邦机构信息安全项目的弱点；加强联邦政府对网络事件的反应。

（3）保护网络关键基础设施。加强联邦政府在保护关键基础设施（例如电网和电信网络）网络安全方面的作用。

（4）保护隐私和敏感数据。改进联邦政府保护隐私和敏感数据的工作；合理限制对个人信息的收集和使用，确保信息的收集和使用得到用户同意。

自 2010 年以来，GAO 在高风险领域提出了约 3700 项建议，重点是加强美国的网络安全工作。截至 2021 年 11 月，这些建议中仍有约 900 项尚未实施。这些建议包括但也远远超出了关键基础设施网络安全相关的主题范围，呼吁采取紧急行动来帮助解决所有高风险领域的问题。

（1）网络安全工作人员管理。2020 年 12 月，GAO 报 道 称， 美 国 交 通 部（U.S. Department of Transportation，DOT）的工作人员面临监管自动化技术安全相关的挑战，例如，那些在无须人工干预的情况下控制飞机、火车或车辆的功能或任务的技术。这些技术需要监管专业知识，以及工程、数据分析和网络安全技能。尽管交通部已经确定了监管自动化技术所需的大部分技能，但它尚未全面评估其员工是否具备这些技能。因此，GAO 建议交通部，评估与自动化技术监管相关的关键职业的技能差距；定期衡量为弥补技能差距而实施的战略进展。截至 2021 年 11 月，这些建议尚未完全实施，但计划在 2022 年 6 月前实施完成。

（2） 政 府 层 面 的 网 络 安 全 举 措。联 邦机构面临的网络威胁在数量和复杂性上都在不 断 增 加。建 立 持 续 诊 断 和 缓 解（Continuous Diagnostics and Mitigation，CDM）计划是为了向联邦机构提供工具和服务，这些工具和服务具有自动化网络监控、关联和分析安全相关信息，以及增强政府和机构基于风险决策的预期能力。2020 年 8 月，据 GAO 报道称，美国联邦航空管理局、印度卫生服务局和美国小企业管理局等机构普遍使用这些工具和服务提供网络安全数据，并支持 DHS 的 CDM 计划。然而，尽管各机构报告称，该计划提高了他们的网络意识，但这 3个机构都没有有效地实施所有关键的 CDM 计划要求。根据审查结果，GAO 向国土安全部提出了 6 项建议，并向 3 个选定的机构提出了 9 项建议。

（3）联邦机构网络安全风险管理。2019 年7 月，据 GAO 报道称，建立一个全机构网络安全风险管理项目的关键实践，包括指定 1 名网络安全风险主管，制定风险管理战略和政策以促进基于风险的决策，评估机构网络风险并与该机构的企业风险管理项目建立协调。尽管 GAO审查的 23 个机构几乎都指定了 1 名网络安全风险主管，但他们往往没有在其计划中充分纳入其他关键做法，例如，制定网络安全风险管理战略，为基于风险的决策划定界限；建立评估全机构网络安全风险的程序；建立网络安全和企业风险管理计划之间的协调流程，以管理所有重大风险。

3、关键基础设施网络安全要求

联邦法律和政策规定了关键基础设施网络安全的要求，具体如下文所述。

（1）第 13636 号行政命令。2013 年 2 月，白宫发布了第 13636 号行政命令《改善关键基础设施网络安全》，要求与关键基础设施的所有者和运营商建立伙伴关系，以改善网络安全相关的信息共享。为此，该行政命令建立了促进联邦政府和私营组织之间的合作机制。除其他事项外，该行政命令还指定了 9 个联邦机构，在保护关键基础设施方面发挥主导作用。此外，该命令指示 DHS 在牵头机构的帮助下，每年都要确定、审查和更新网络安全事件可能对公共健康或安全、经济安全或国家安全造成灾难性影响的关键基础设施部门清单。

（2）第 21 号总统政策指令。2013 年 2 月，白宫发布第 21 号总统政策指令《关键基础设施安全和弹性》，进一步明确了关键基础设施的保护责任。除此之外，该政策还指示 DHS 与领导机构协调，制定一份与关键基础设施安全和弹性相关的联邦政府职能关系描述，对提高公私伙伴关系效率进行分析并提出建议。

（3）美国国家标准与技术研究所（National Institute of Standards and Technology，NIST）网络安全框架。第 13636 号行政命令《改善关键基础设施网络安全》指示由 NIST 牵头开发一个灵活的基于性能的网络安全框架，其中包括一套标准、程序和流程。此外，该命令指示牵头机构与 DHS 和其他相关机构协商，与关键基础设施合作伙伴协调，以审查网络安全框架。如有必要，各机构应制定实施指南或补充材料，以应对特定行业的风险和运营环境。为响应该命令，NIST 于 2014 年 2 月首次公布自愿、灵活、基于性能的网络安全标准和程序框架。该框架于 2018 年 4 月更新，概述了一种基于风险的网络安全管理方法，由核心框架、配置文件和实施层 3 部分组成。

（4）2018 年网络安全和基础设施安全局（CISA）法案。2018 年 11 月，法案指示在 DHS内设立了 CISA，旨在保护联邦民用机构网络免受网络威胁，并在面临物理和网络威胁时加强国家关键基础设施的安全。为了实施这项立法，CISA 采取了一项 3 个阶段的组织转型举措，旨在统一机构，提高任务效率，增强 CISA 员工的工作经验。

（5）2021 财年国防授权法案。该法案确立了部门风险管理机构在保护 16 个关键基础设施机构方面的领导作用和责任。根据该法案，牵头机构要有以下职责：配合 DHS 与关键基础设施所有者和运营者、监管机构及其他机构协作；与 CISA 协作支持行业风险管理与风险评估；担任联邦政府的日常中间人，确定部门活动的次序和协调；支持安全事件应急管理，包括支持CISA 在事件响应的要求。

4、联邦政府迫切需要采取行动，保护关键基础设施免受网络威胁

在过去的几十年里，GAO 一直强调联邦政府迫切需要提高其能力，以保护国家的基础设施免受网络威胁。在最近的高风险领域更新中，GAO 强调了联邦政府应对重大网络安全挑战迫切需要采取的关键行动。

4.1　制定和执行全面的国家网络战略

GAO 和其他部门曾建议应该建立一个全面的国家战略以指导美国政府如何应对国内和国际网络安全相关事务的挑战。2020 年 9 月，GAO 报道称，上届政府在 2018 年发布的《美国国家网络战略》中详细说明了行政部门管理国家网络安全的方法。然而，这些文件只涉及国家战略层面的一些可获取的信息，如目标和所需资源，而不是全面的战略文件。因此，建议国家安全委员会与相关联邦实体合作，更新网络安全战略文件。但是，国家安全委员会对该建议没有表示同意或者不同意，也没有解决相关的网络威胁。

（1）成立机构。GAO 强调了明确界定中央领导角色的紧迫性和必要性，以便帮助政府克服与国家网络有关的威胁和挑战。2020 年 9 月，GAO 曾报道称，鉴于 2018 年 5 月白宫取消网络安全协调员职位，尚不清楚最终由行政部门的哪位官员负责协调国家网络战略和相关实施计划的执行。因此，建议国会考虑立法，在白宫指定 1 名职位负责领导执行国家网络战略。2021 年 1 月，《2021 财年国防授权法案》中提出在总统办公室下设国家网络总监办公室。除其他职责外，该负责人将担任白宫网络安全政策和战略的首席顾问，包括协调实施国家网络政策和战略。2021 年6 月，由参议院批准，国家网络安全总监办公室的成立是联邦政府更好应对国家网络安全威胁和挑战，以及执行监管的重要举措。

（2）发布蓝图。2021 年 10 月，国家网络总监办公室发布了一份战略意图声明，概述了总监办公室的愿景及高水平的工作计划，包括国家和联邦网络安全、预算审查和评估、规划和事故响应等。尽管如此，全面制定和执行全面的国家网络战略的建议仍然比以往任何时候都紧迫，确保一个明确的路线图才能克服包括关键基础设施安全威胁在内的国家网络挑战。

4.2　联邦政府需要加强其在保护关键基础设施网络安全方面的作用

联邦政府在与私营机构合作开展网络关键基础设施保护方面仍具挑战。为了加强联邦政府在关键基础设施网络安全中的作用，GAO提 出 了 两 个 建 议：一 是 加 强 DHS 下 属 机 构CISA 的能力和服务；二是确保担任特定部门职责的联邦机构为其部门合作伙伴提供有效的指导和支持。

（1）DHS 需要完成 CISA 机构改革过渡期事项，以更好地支持关键基础设施所有者和运营者。网络安全领导地位的重要性不仅体现在白宫，还体现在包括 DHS 在内的其他关键行政部门。2018 年 11 月，美国时任总统特朗普签署了《网络安全和基础设施安全局法案》，批准在 DHS 内设立 CISA，旨在保护联邦政府非军事机构网络安全，以应对网络威胁和加强国家关键基础设施的安全。该法案将 CISA 提升为代理机构，对其结构进行规定性调整，包括要求在网络安全、基础设施安全和应急通信方面设立独立的部门，并给该机构分配了具体的职责。为实现其法定职责，CISA 领导层开展了机构 改 革。2021 年 3 月，GAO 报 告 CISA 已 经 完成了组织机构改革 3 大阶段的前 2 个阶段。具体而言，GAO 注意到 DHS 尚未全面实施其第三阶段转型，其中包括最终确定该机构的基本任务职能和完成劳动力规划活动，该阶段原计划于 2020 年 12 月完成。

（2）行业风险管理机构需要确保指导并支持关键基础设施的所有者和运营者。自 2010 年以来，GAO 为各联邦机构提出了大约 80 项建议，以加强基础设施的网络安全建设。例如，2020 年2 月，GAO 建议相关机构对 NIST 提出的网络安全框架标准进行进一步评估并予以采用。GAO报告称，由于是跨部门使用该框架，大多数部门牵头机构（即部门风险管理机构）并未收集和报告过有关关键基础设施保护方面的改进情况。为解决这些问题，GAO 共提出了 10 条建议，其中 1 条建议 NIST 为完成指定项目建立时间框架，9 条建议是向牵头机构提出，以收集并报告使用该框架所取得的改进。共有 8 个机构同意这些建议，一个机构采取中立态度，既不同意也不反对，还有一个机构只部分同意。然而，截至 2021 年 11 月，这些建议均未得到实施。在牵头机构收集并报告采用该框架所取得的改进之前，16 个关键基础设施部门在很大程度上并不清楚如何保护其关键基础设施免受威胁。

此外，GAO 还经常强调，牵头机构需要加强其相关关键基础设施部门以及分部门的网络安全建设。

（1）航空方面。FAA 负责监督包括航空电子系统在内的商业航空安全。随着商用飞机与系统间的连接越来越紧密，可能会给商用飞机带来越来越多的网络攻击机会。2020 年 10 月，GAO 报道称，FAA 建立了一套针对美国商用飞机（包括其运营在内）进行认证和监督的程序。然而，FAA 既没有优先考虑基于风险的网络安全监管，又没有将定期测试作为其监控过程的一部分。为了解决相关问题，GAO 向 FAA 提出了 6 项建议，截至 2021 年 11 月，该机构尚未实施这些建议。

（2）公共交通和客运铁路方面。最近，美国和其他国家的城市铁路系统遭到物理和网络攻击，这凸显了加强和保护全球铁路客运系统的重要性。美国联邦运输安全管理局（U.S. Transportation Security Administration，TSA）是负责交通运输安全的主要联邦机构。为了评估铁路客运系统物理和网络安全的风险因素，TSA 利用了包括安全增强基线评估在内的各种风险评估方式来评估跨各种传输模式的攻击场景的威胁、漏洞和后果。2020 年 4 月，GAO 报道称，尽管TSA 已采取初步措施，与铁路客运系统利益相关者共享网络安全关键实践和其他信息，但是安全增强基线评估未能充分反映 NIST 网络安全框架中提出的最新网络安全关键实践，也没有把框架包含在可用的网络资源列表中。GAO 向TSA 提出了 2 项建议，包括该机构更新安全增强基线评估网络安全问题，以确保其反映关键实践。DHS 同意 GAO 的建议。截至 2021 年 11 月，仍有 1 项建议尚未实施。

（3）管道系统方面。美国依靠州际管道系统来输送石油和天然气等关键资源。这种日益计算机化的系统是黑客组织和恐怖分子的攻击目标。2018 年 12 月，GAO 发现 TSA 在管道安全管理方面存在弱点，并针对问题发布了修订版管道安全指南，然而，在修订版中并没有涵盖 NIST 网络安全框架的所有要素，也没有明确相关定义，以确保管道运营商识别关键设施。据 GAO 报道称，该机构进行了管道安全审查，以评估管道系统的漏洞，然而，TSA 对企业和关键设施安全的审查数量相差很大。为了解决相关问题，GAO 向 TSA 提出了 10 条建议，同时代理机构也同意了 GAO 的所有建议。

（4）通信方面。通信部门是美国经济不可或缺的组成部分，面临着严重的网络威胁，其结果会影响到地方、区域和国家各级网络的运营。2021 年 11 月，GAO 报道了 CISA 在协调联邦政府帮助通信部门恢复在弹性方面发挥的领导作用。该机构通过各种项目和服务，包括事件管理和信息共享，履行其对私营机构所有者和运营商的责任。尽管 DHS 建议每四年更新一次评估，但 CISA 并未对活动的有效性进行评估，也没有更新战略行业指导文件。具体而言，从 2015 年开始的计划缺乏关于通信行业新出现威胁的信息，例如通信技术供应链的安全威胁。制定和发布更新的指南将使CISA 能够制定目标、目的和优先事项，以应对行业面临的威胁和风险，并帮助履行行业风险管理机构的职责。因此，GAO 向 CISA 提出了 3 项建议，包括该机构评估向该行业提供的支持的有效性，并修订行业计划，以应对现在和未来的威胁和风险。

（5）能源方面。美国电网的配电系统主要由各州监管，将电力从输电系统输送到消费者手中，目前正面临越来越大的网络攻击风险。2019 年 8 月，GAO 报道称，电网面临各种网络安全风险。其注意到美国能源部（U.S. Departmentof Energy，DOE）制定了应对这些风险的计划和评估，但没有充分涉及国家战略的所有关键特征。随后，2021 年 3 月，GAO 报道称，电网的配电系统仍然面临各种网络安全风险，DOE 所制定的计划和评估并没有完全解决电网配电系统的风险。为了缓解以上问题，GAO 建议 DOE在实施国家电网网络安全战略的计划中，应更全面地解决电网配电系统面临的网络风险。DOE同意 GAO 的建议，然而，截至 2021 年 11 月，该部并未实施 GAO 的建议。

总的来看，联邦政府尚未解决 GAO 关于保护关键基础设施的大部分建议。自 2010 年以来，GAO 提出的相关建议共 80 条，截至 2021 年 11 月，还有 50 条建议没能具体落实，在其中 14 条优先建议中，11 条未实现。GAO 进而提出，在相关建议未被全部实现以前，联邦机构将无法有效确保关键基础设施的安全。

5、结　语

总之，联邦政府需要以更大的紧迫感来应对国家及其关键基础设施面临的严重网络安全威胁。这将包括制定和执行一项全面的国家战略，并加强联邦政府在保护关键基础设施网络安全方面的作用。在实现相关建议前，联邦政府为国家关键基础设施提供网络安全有效支撑的能力将受到限制。

作者简介 >>>

胡凯春，男，硕士，经济师，主要研究方向为公司资本运作、产业投资、上市公司三会治理、集团化运作等。（ 此 报 告 翻 译 方 式 为 摘 译， 原 文 链 接：https://www.gao.gov/products/gao-22-105530）