劉一帆 葉戰(zhàn)備

[內(nèi)容提要]網(wǎng)絡(luò)安全在當(dāng)下已成為國家安全的重要組成部分。美國作為網(wǎng)絡(luò)強(qiáng)國對其網(wǎng)絡(luò)安全投入了大量的人力、物力和財力，為考核績效，美國政府問責(zé)局曾對國土安全部建立的國家網(wǎng)絡(luò)安全和通信整合中心進(jìn)行了一次績效審計，以確定其履行其與法定的11個網(wǎng)絡(luò)安全相關(guān)職能的程度。在此過程中，政府問責(zé)局發(fā)現(xiàn)中心面臨有效履行網(wǎng)絡(luò)安全職能的障礙以及為履行職能而制定的原則也不確定是否得到有效實施。與此同時，美國政府問責(zé)局針對發(fā)現(xiàn)的問題提出了九項執(zhí)行建議。筆者認(rèn)為，美國網(wǎng)絡(luò)安全績效審計的這些做法對我國開展網(wǎng)絡(luò)安全績效審計提供了啟示。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 績效審計 美國

一、美國網(wǎng)絡(luò)安全績效審計的背景

近年來，通過網(wǎng)絡(luò)對美國重要基礎(chǔ)設(shè)施的聯(lián)邦系統(tǒng)的攻擊已變得更多、更具破壞性。美國政府問責(zé)局（GAO）在1997年首次將信息安全指定為政府范圍內(nèi)的高風(fēng)險領(lǐng)域。這個范圍在2003年擴(kuò)大到包含關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)，在2015年又加入了個人身份信息隱私的保護(hù)。2009年，美國國土安全部（DHS）建立了一個集成中心，即國家網(wǎng)絡(luò)安全和通信整合中心（NCCIC），為各個聯(lián)邦和私營部門提供一個中心平臺以協(xié)調(diào)、應(yīng)對和解決網(wǎng)絡(luò)威脅。2014年《國家網(wǎng)絡(luò)安全保護(hù)法》和2015年《網(wǎng)絡(luò)安全法》要求NCCIC按9項原則來執(zhí)行11項網(wǎng)絡(luò)安全相關(guān)職能以解決聯(lián)邦和非聯(lián)邦實體的網(wǎng)絡(luò)安全風(fēng)險和事件。

根據(jù)公認(rèn)的政府審計標(biāo)準(zhǔn)，GA0于2016年1月至2017年2月進(jìn)行了一次績效審計，目標(biāo)為確定NCCIC履行其與法定的11個網(wǎng)絡(luò)安全相關(guān)職能的程度。這些標(biāo)準(zhǔn)要求計劃和實施審計工作以獲取足夠的適當(dāng)證據(jù)，在審計目標(biāo)的基礎(chǔ)上為調(diào)查結(jié)果和結(jié)論提供合理的依據(jù)。

二、美國網(wǎng)絡(luò)安全績效審計的過程

GAO分析了NCCIC的計劃描述、操作概念以及記錄每個中心組成部分如何運(yùn)作的政策和程序以確定NCCIC的11個網(wǎng)絡(luò)安全職能的范圍。分析了美國計算機(jī)應(yīng)急準(zhǔn)備小組戰(zhàn)略行動計劃，工業(yè)控制系統(tǒng)—一網(wǎng)絡(luò)應(yīng)急響應(yīng)小組五年計劃（2015-2019）和國家協(xié)調(diào)中心2015年信息指南，以及描述其運(yùn)營的NCCIC觀察樓的運(yùn)營概念。

根據(jù)對這些信息的分析，初步制定了產(chǎn)品和服務(wù)清單并與官員進(jìn)行了面談，從而確認(rèn)了全部清單，進(jìn)而確定該中心開發(fā)和傳播43種產(chǎn)品和服務(wù)。然后，收集并分析了每種產(chǎn)品和服務(wù)的實例以確定它們?nèi)绾温男袃刹糠纱_定的11項網(wǎng)絡(luò)安全職能。為制定問卷會見了NCCIC官員，確定了為客戶開展的包括發(fā)布和傳播43種產(chǎn)品和服務(wù)在內(nèi)的活動并宣傳。

GAO將調(diào)查的目標(biāo)人群定義為截至2016年6月8日，NCCIC確定的所有組織聯(lián)絡(luò)點或其他接觸過這些產(chǎn)品或服務(wù)、參與中心活動的個人。在刪除缺失、不完整、錯誤或重復(fù)的電子郵件地址的記錄后，樣本定為19293條記錄。于2016年8月2日至9月8日進(jìn)行調(diào)查。

三、美國網(wǎng)絡(luò)安全績效審計的結(jié)論

雖然NCCIC已經(jīng)采取措施履行網(wǎng)絡(luò)安全職能，但并未一直根據(jù)9項原則評估其執(zhí)行情況。NCCIC并沒有充分保證原則完全符合法定要求并有效履行其網(wǎng)絡(luò)安全職能，因為它既沒有根據(jù)原則完全評估其職能履行情況，也沒有解決障礙。

1.NCCIC堅持貫徹落實網(wǎng)絡(luò)安全職能的原則尚不明確。NCCIC官員承認(rèn)，他們沒有完全確定這些原則是否適用于所有功能。官員表示正在制定20項指標(biāo)以衡量其組織各個組成部分的及時性、相關(guān)性和可操作性，但有很大困難。

2.NCCIC面臨阻礙其更有效地履行其網(wǎng)絡(luò)安全職能的障礙?！秶揖W(wǎng)絡(luò)安全保護(hù)法》要求NCCIC協(xié)調(diào)整個政府的信息共享并進(jìn)行跨部門的協(xié)調(diào)以解決網(wǎng)絡(luò)安全風(fēng)險和事件?！毒W(wǎng)絡(luò)安全法》要求NCCIC與其他相關(guān)機(jī)構(gòu)協(xié)商，與國際合作伙伴進(jìn)行接觸并合作，同時提高全球網(wǎng)絡(luò)安全的安全性。一是NCCIC官員無法完全跟蹤和整合向中心報告的網(wǎng)絡(luò)事件，阻礙了其協(xié)調(diào)整個政府信息共享的能力。在確定如何有效分享與整個政府網(wǎng)絡(luò)威脅指標(biāo)、防御措施以及網(wǎng)絡(luò)安全風(fēng)險和事件相關(guān)的信息方面均面臨挑戰(zhàn)。二是NCCIC的客戶聯(lián)系信息不都是最新的，因此影響了其運(yùn)作能力。NCCIC官員無法證明他們有維持客戶聯(lián)系信息的正式流程，并承認(rèn)捕捉這些數(shù)據(jù)的變化是一個挑戰(zhàn)。三是擁有關(guān)鍵網(wǎng)絡(luò)資產(chǎn)的聯(lián)邦和非聯(lián)邦機(jī)構(gòu)的代表如果受到網(wǎng)絡(luò)攻擊，可能對國家造成災(zāi)難性影響，但在NCCIC客戶日志中沒有充分表現(xiàn)。NCCIC官員無法證明他們有維持客戶聯(lián)系信息的正式內(nèi)部流程。四是NCCIC分析師必須在多個網(wǎng)絡(luò)上進(jìn)行操作，通常會手動將數(shù)據(jù)輸入到每個網(wǎng)絡(luò)，這會降低協(xié)調(diào)事件信息共享給客戶的響應(yīng)速度并增加風(fēng)險。NCCIC官員說正在努力解決這個障礙，但尚未制定實施計劃。

3.對該中心活動進(jìn)行非普遍性調(diào)查的受訪者表示，他們在不同程度上使用了其產(chǎn)品和服務(wù)，有普遍正面的看法。他們有興趣但不確定如何獲得更多的NCCIC產(chǎn)品和服務(wù)。NCCIC未提供識別這些產(chǎn)品和服務(wù)的信息。NCCIC官員承認(rèn)，客戶可能不知道某些產(chǎn)品和服務(wù)，因為并非所有的產(chǎn)品和服務(wù)都是針對每個客戶的。

總之，在NCCIC采取措施克服這些障礙之前，可能無法有效執(zhí)行其網(wǎng)絡(luò)安全職能并協(xié)助聯(lián)邦和非聯(lián)邦實體識別基于網(wǎng)絡(luò)的威脅、減輕漏洞和管理網(wǎng)絡(luò)風(fēng)險。

四、美國網(wǎng)絡(luò)安全績效審計的執(zhí)行建議

為更充分地滿足2014年《國家網(wǎng)絡(luò)安全保護(hù)法》和2015年《網(wǎng)絡(luò)安全法》的要求，GAO建議國土安全部秘書采取以下九項行動。

一是確定法定要求的實施原則在多大程度上適用于NCCIC的網(wǎng)絡(luò)安全職能。二是制定評估遵守適用原則的指標(biāo)，以便履行法定的職能。三是建立持續(xù)監(jiān)督網(wǎng)絡(luò)安全職能實施的方法。四是整合有關(guān)安全事件的信息，為管理層提供有關(guān)NCCIC運(yùn)營更完整的信息。五是確定減少、合并或修改用于與NCCIC交流的入口點的必要性，以便更好地確保正確記錄所有事故故障單。六是制定和實施程序?qū)蛻粜畔⑦M(jìn)行定期審查，以確保其是最新且可靠。七是采取措施確保國家最重要的依賴網(wǎng)絡(luò)的基礎(chǔ)設(shè)施資產(chǎn)的所有者和運(yùn)營商的充分代表性。八是確定整合NCCIC分析師使用的傳統(tǒng)網(wǎng)絡(luò)的計劃和時間框架，從而減少對手動數(shù)據(jù)輸入的需求。九是確定與國際合作伙伴合作的替代方法，同時確保系統(tǒng)的安全要求。

之后GAO收到了美國國土安全部的書面評論。該部門在評論中同意所有九項建議，還詳細(xì)說明了計劃采取哪些行動。如果這些建議得到有效實施，應(yīng)該能提高NCCIC履行法定要求的效率效果。

五、美國網(wǎng)絡(luò)安全績效審計對我國的啟示

近年來，我國也面臨著越來越多的網(wǎng)絡(luò)安全問題，由于我國缺乏有效的網(wǎng)絡(luò)監(jiān)管手段，受到的損失相當(dāng)大，隱患也不容忽視。然而，我國對網(wǎng)絡(luò)安全這一方面缺乏合理有效的審計手段和方法，特別是績效審計很不健全。相對的，美國在績效審計方面卓有成效，工作范圍廣泛，有許多經(jīng)驗可以借鑒，對我國網(wǎng)絡(luò)安全績效審計的開展可以有良好的推進(jìn)作用。

一是可以參考美國績效審計的指標(biāo)，主要包括及時性、品質(zhì)、數(shù)量、效率等4個方面，通過綜合查核可有效協(xié)助審計人員進(jìn)行完整深入的績效審計工作，GAO審計人員迅速展開行動，包括采訪工作人員、制定調(diào)查問卷、分析數(shù)據(jù)、得出結(jié)論并提出建議，兼具效率效果，節(jié)省審計資源。二是要遵守相關(guān)法律的規(guī)定，GAO審計人員在分析每種情況時都有《國家網(wǎng)絡(luò)安全保護(hù)法》和《網(wǎng)絡(luò)安全法》作為法律依據(jù)，這就意味著我國進(jìn)行績效審計要建立在法律法規(guī)的基礎(chǔ)上，特別是《網(wǎng)絡(luò)安全法》。三是要提高審計人員素質(zhì)，網(wǎng)絡(luò)安全用傳統(tǒng)的財務(wù)收支審計很難行得通，案例中并沒有涉及到財務(wù)收支審計而是用了績效審計，這對審計人員素質(zhì)要求更高，而我國審計人員明顯缺乏相關(guān)能力。