◆李璨融 崔竹/審計署審計科研所

2021年5月7日，全美最大成品油輸送管道運營商科洛尼爾管道公司網(wǎng)絡(luò)系統(tǒng)遭黑客勒索軟件攻擊，被迫全面暫停運營。這一事件導(dǎo)致為美國東海岸供應(yīng)45%的汽油、柴油、航空燃料的輸油主干線中斷，美國東南部各州迅速出現(xiàn)大規(guī)模油料短缺。5月9日晚，美國能源部宣布17個受影響的州及華盛頓特區(qū)進(jìn)入緊急狀態(tài)，解除多項對公路運油的限制，以緩解燃油短缺狀況。5月13日，該公司最終支付了近500萬美元的贖金以恢復(fù)被攻擊的系統(tǒng)，但缺油的狀況仍未立即得到解決。這一事件凸顯了關(guān)鍵基礎(chǔ)設(shè)施的重要性與脆弱性。

本文以“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)”為關(guān)鍵詞對美國審計署的審計報告及證詞進(jìn)行檢索，選擇較有代表性的關(guān)鍵領(lǐng)域如石油、電力、金融和港口等開展的防范網(wǎng)絡(luò)攻擊能力專項審計情況，以及整體防護(hù)能力建設(shè)，如戰(zhàn)略制定，威脅識別確認(rèn)，分析、預(yù)警及應(yīng)對能力建設(shè)，信息共享，信息系統(tǒng)可靠性等方面審計報告及證詞18篇進(jìn)行梳理，以期對我國開展相關(guān)審計工作提供參考借鑒。

一、美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法律體系及監(jiān)管要求

美國政府通過制定出臺一系列的法律建立了網(wǎng)絡(luò)安全法律體系并明確監(jiān)管要求。1998年，第63號總統(tǒng)令要求在聯(lián)邦調(diào)查局內(nèi)部建立國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心（NIPC），負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府應(yīng)急響應(yīng)、調(diào)查威脅和監(jiān)督恢復(fù)等工作；同時要求私營企業(yè)建立信息共享和分析中心（ISAC），負(fù)責(zé)收集、分析和共享其成員間的安全事件信息和應(yīng)對信息，促成政府和私營企業(yè)之間在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的信息共享。

2002年，美國政府出臺《國土安全法》，組建國土安全部，并規(guī)定由國土安全部負(fù)責(zé)保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施，確立了國土安全部牽頭，各相關(guān)機(jī)構(gòu)和部門負(fù)責(zé)本領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的格局，并要求各行業(yè)設(shè)立信息共享和分析的專職機(jī)構(gòu)，負(fù)責(zé)整合、分析和披露關(guān)鍵基礎(chǔ)設(shè)施信息。但是隨著信息系統(tǒng)運用的普及，關(guān)鍵基礎(chǔ)設(shè)施的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊的可能性也大大增加。同年《聯(lián)邦信息安全管理法》(FISMA)明確了聯(lián)邦政府網(wǎng)絡(luò)安全保護(hù)的角色和職責(zé)，并要求各聯(lián)邦機(jī)構(gòu)制定、記錄和實施信息安全計劃。

2014年，美國政府出臺《聯(lián)邦信息安全現(xiàn)代化法》（FISMA2014），明確并更新管理與預(yù)算辦公室、國土安全部對聯(lián)邦機(jī)構(gòu)信息安全的管理職責(zé)和權(quán)限。同年出臺的《聯(lián)邦網(wǎng)絡(luò)安全增強(qiáng)法》要求美國標(biāo)準(zhǔn)和技術(shù)協(xié)會(NIST)確定和開發(fā)關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商自愿使用的網(wǎng)絡(luò)安全風(fēng)險框架。2014年2月，NIST為響應(yīng)國會有關(guān)加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的13636號行政命令以及相關(guān)法律要求，發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》(FICIC)。雖然該框架被定義為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和行業(yè)自愿采用的框架，但2014年出臺的《聯(lián)邦網(wǎng)絡(luò)安全加強(qiáng)法》要求美國審計署對各關(guān)鍵基礎(chǔ)設(shè)施采用FICIC的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序情況開展審計。2017年，國會更明確要求各聯(lián)邦機(jī)構(gòu)使用FICIC來管理聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全風(fēng)險。

二、美國審計署對主要關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)安全審計情況

美國審計署長期以來持續(xù)關(guān)注關(guān)鍵基礎(chǔ)設(shè)施保護(hù)情況。自1998年第63號總統(tǒng)令要求政府機(jī)構(gòu)和私營企業(yè)建立專職機(jī)構(gòu)收集、分析和共享關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的信息以來，美國審計署持續(xù)20余年開展了針對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)的審計。本文對有代表性的石油、電力、金融和港口等領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全審計情況進(jìn)行介紹。

（一）針對石油領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的審計。

美國審計署于2019年發(fā)布3篇審計報告及證詞（GAO-19-426，GAO-19-542T，GAO-19-48），對負(fù)責(zé)能源領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的運輸安全管理局（TSA）開展審計，主要聚焦可能發(fā)生的針對油氣管線的網(wǎng)絡(luò)襲擊。審計發(fā)現(xiàn)，雖然TSA發(fā)布了管道安全準(zhǔn)則，將一部分管線定義為“關(guān)鍵設(shè)施”，需要額外進(jìn)行保護(hù),但該準(zhǔn)則缺乏明確的指向，如未明確“關(guān)鍵設(shè)施”的定義。這導(dǎo)致了美國境內(nèi)油氣運輸量排名前100的管道系統(tǒng)中，至少有34個受攻擊風(fēng)險較高的管道系統(tǒng)未被確定為關(guān)鍵設(shè)施。

TSA于2010年3月發(fā)布的《管道安全和事故恢復(fù)協(xié)議計劃》明確了聯(lián)邦機(jī)構(gòu)和私營部門與管道安全事件相關(guān)的角色和責(zé)任。例如，針對管道安全事件，TSA協(xié)調(diào)聯(lián)邦和管道運營商之間的信息共享，管道和危險物質(zhì)安全管理局(PHMSA)與管道運營商確定雙方職責(zé)及事后的修復(fù)工作。但是，該計劃未包含管道管理網(wǎng)絡(luò)安全威脅應(yīng)對、安全事件應(yīng)對標(biāo)準(zhǔn)流程和接入國土安全部的恐怖主義警報系統(tǒng)等3個關(guān)鍵領(lǐng)域。截至2019年接受審計時，該計劃自2010年發(fā)布之后從未進(jìn)行過更新，無法跟上管道安全保護(hù)的新形勢。

美國審計署向TSA提出了更新管道風(fēng)險評估方法、修訂TSA的管道安全準(zhǔn)則等10項建議，國土安全部表示同意。但從開篇提到的科洛尼爾公司因勒索軟件攻擊導(dǎo)致全面暫停運營事件看，審計發(fā)現(xiàn)的問題仍未整改到位。

（二）針對電力領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的審計。

美國審計署就電力基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全開展過3次專項審計，重點關(guān)注電力基礎(chǔ)設(shè)施存在的風(fēng)險隱患以及相關(guān)標(biāo)準(zhǔn)要求的落實兩個方面。其中風(fēng)險隱患方面，美國審計署發(fā)現(xiàn)以下6方面的問題。一是網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的實施情況不佳。聯(lián)邦能源管理委員會沒有與其他監(jiān)管機(jī)構(gòu)協(xié)調(diào)制定制度來監(jiān)測電力行業(yè)遵守智能電網(wǎng)標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)等非強(qiáng)制標(biāo)準(zhǔn)的情況。二是監(jiān)管責(zé)任不明確。智能電網(wǎng)技術(shù)的普及可能會模糊聯(lián)邦或州傳統(tǒng)監(jiān)管范圍之間的界限。此外，監(jiān)管機(jī)構(gòu)在不斷變化的網(wǎng)絡(luò)安全形勢下無法應(yīng)對可能的網(wǎng)絡(luò)攻擊威脅。三是對網(wǎng)絡(luò)安全缺乏全面的控制措施。電力行業(yè)（如公用事業(yè)）的實體往往側(cè)重于僅僅遵守法律規(guī)定的最低要求，沒有按照更高標(biāo)準(zhǔn)采取全面有效的控制措施。四是智能電網(wǎng)系統(tǒng)內(nèi)置的安全功能欠缺。一部分智能電網(wǎng)設(shè)備（例如儀表）并不具備記錄系統(tǒng)數(shù)據(jù)或網(wǎng)絡(luò)活動等對檢測和分析攻擊非常重要的關(guān)鍵安全功能。五是沒能有效共享網(wǎng)絡(luò)安全信息。電力行業(yè)沒有有效共享網(wǎng)絡(luò)安全漏洞、事件、威脅和最佳實踐信息的途徑。六是未建立網(wǎng)絡(luò)安全指標(biāo)。電力行業(yè)缺乏足夠的指標(biāo)來確定網(wǎng)絡(luò)安全投資在多大程度上改善了智能電網(wǎng)系統(tǒng)的安全性。

審計還發(fā)現(xiàn)，雖然能源部制定了計劃并對電網(wǎng)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行了評估，但并沒有完全滿足相關(guān)國家戰(zhàn)略的要求。具體來說，雖然能源部開展了風(fēng)險評估，但評估方法存在重大限制，僅覆蓋了1980年前后已經(jīng)存在的電力基礎(chǔ)設(shè)施，致使評估結(jié)果對防范網(wǎng)絡(luò)攻擊的指導(dǎo)意義存在缺陷；作為州際輸電設(shè)施監(jiān)管機(jī)構(gòu)，聯(lián)邦能源管理委員會已經(jīng)批準(zhǔn)執(zhí)行強(qiáng)制性的電網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但未能確保這些標(biāo)準(zhǔn)完全滿足聯(lián)邦對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要求，特別是NIST出臺的網(wǎng)絡(luò)安全框架。此外，聯(lián)邦能源管理委員會要求電網(wǎng)運營實體遵守全套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但這一要求沒有評估對電網(wǎng)基礎(chǔ)設(shè)施跨地域進(jìn)行組合網(wǎng)絡(luò)攻擊的風(fēng)險。應(yīng)對這種攻擊可能比應(yīng)對局部攻擊更加困難，聯(lián)邦能源管理委員會無法保證其批準(zhǔn)的強(qiáng)制性合規(guī)要求能夠充分應(yīng)對這一風(fēng)險。

（三）針對金融領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的審計。

美國審計署就金融領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全開展過2次審計。2020年，美國審計署就金融領(lǐng)域應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施主要網(wǎng)絡(luò)風(fēng)險采取的主要措施，財政部關(guān)于加強(qiáng)金融領(lǐng)域網(wǎng)絡(luò)安全水平和恢復(fù)能力采取的行動等目標(biāo)開展了審計。審計確定了金融行業(yè)關(guān)鍵基礎(chǔ)設(shè)施面臨的主要網(wǎng)絡(luò)風(fēng)險包括：數(shù)據(jù)可能通過信息技術(shù)服務(wù)提供商和供應(yīng)鏈合作伙伴渠道失竊；通過制作、傳播惡意軟件造成破壞；公共或私營基礎(chǔ)設(shè)施可能通過網(wǎng)絡(luò)、云和移動應(yīng)用設(shè)備存在的漏洞遭到攻擊。

一些行業(yè)團(tuán)體和公司已經(jīng)采取行動，包括通過成立理事會對接金融系統(tǒng)分析和復(fù)原中心等職能機(jī)構(gòu)在部門間進(jìn)行協(xié)調(diào)，開展全行業(yè)攻擊應(yīng)對演習(xí)，分享威脅和薄弱環(huán)節(jié)信息，制定和提供風(fēng)險評估指導(dǎo)，以及提供與網(wǎng)絡(luò)安全有關(guān)的培訓(xùn)等一系列網(wǎng)絡(luò)安全保障工作，加強(qiáng)美國金融服務(wù)部門的安全性和遭受攻擊后的恢復(fù)能力。

國土安全部、財政部和聯(lián)邦金融監(jiān)管機(jī)構(gòu)也采取多種措施，提升網(wǎng)絡(luò)安全和復(fù)原能力水平。如普及網(wǎng)絡(luò)安全專業(yè)知識，并開展與網(wǎng)絡(luò)事件響應(yīng)和恢復(fù)相關(guān)的模擬演習(xí)。財政部作為金融部門指定的基礎(chǔ)設(shè)施保護(hù)牽頭機(jī)構(gòu)，在加強(qiáng)金融領(lǐng)域網(wǎng)絡(luò)安全和復(fù)原能力方面發(fā)揮著關(guān)鍵作用。

審計發(fā)現(xiàn)，財政部沒有根據(jù)該部門為加強(qiáng)網(wǎng)絡(luò)安全和復(fù)原能力制定的目標(biāo)進(jìn)行跟蹤或確定不同目標(biāo)之間的優(yōu)先順序；也沒有充分執(zhí)行美國審計署在先前的審計中提出的確定風(fēng)險防范重要性和工作成果指標(biāo)體系的審計建議。此外，財政部于2016年制定的工作計劃已經(jīng)不能滿足2019年國家網(wǎng)絡(luò)戰(zhàn)略實施計劃中對基礎(chǔ)設(shè)施保護(hù)牽頭部門的要求，導(dǎo)致該部門無法防范可能發(fā)生的網(wǎng)絡(luò)攻擊等潛在風(fēng)險。

針對審計發(fā)現(xiàn)，美國審計署向財政部提出了確定網(wǎng)絡(luò)風(fēng)險應(yīng)對措施的優(yōu)先級順序，明確指標(biāo)體系，根據(jù)《國家網(wǎng)絡(luò)戰(zhàn)略實施計劃》提出的目標(biāo)和要求更新工作計劃等審計建議。

（四）針對港口等運輸系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的審計。

美國審計署于2014年和2016年2次關(guān)注了港口等運輸基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。審計發(fā)現(xiàn)，海岸警衛(wèi)隊作為主要負(fù)責(zé)機(jī)構(gòu)，并沒有對港口可能受到的網(wǎng)絡(luò)攻擊威脅、系統(tǒng)中存在的安全漏洞以及網(wǎng)絡(luò)攻擊可能帶來的后果進(jìn)行充分評估，因而無法適當(dāng)規(guī)劃和分配用來保護(hù)港口及其他海事設(shè)施的資源；各相關(guān)機(jī)構(gòu)在信息共享方面并不通暢，無法協(xié)調(diào)各方力量防范網(wǎng)絡(luò)攻擊威脅；2013年起，聯(lián)邦緊急事務(wù)管理局加大了港口等海事運輸基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的投入，但由于缺乏完整的風(fēng)險評估，難以確保資金運用到最有效的領(lǐng)域及方向。

美國審計署向海岸警衛(wèi)隊提出了將網(wǎng)絡(luò)安全風(fēng)險納入風(fēng)險評估體系和安全指導(dǎo)規(guī)劃、建立部門協(xié)調(diào)委員會等審計建議，并建議聯(lián)邦緊急事務(wù)管理局在撥款時充分參考相關(guān)專業(yè)人士意見并全面評估安全風(fēng)險。在2015年就同一事項再次開展審計時，美國審計署發(fā)現(xiàn)，上述部門已經(jīng)部分落實了相關(guān)審計建議。

三、幾點啟示

隨著大數(shù)據(jù)時代的到來，各行各業(yè)紛紛投入數(shù)字化轉(zhuǎn)型，信息化、數(shù)字化程度越來越高。與此同時，極具價值的海量信息也吸引了越來越多的攻擊者。以比特幣為代表的匿名支付手段和匿名通信網(wǎng)絡(luò)被黑客用于搭建勒索服務(wù)器和收取贖金，讓追蹤溯源的難度不斷增加。

（一）關(guān)注是否及時依法認(rèn)定關(guān)鍵基礎(chǔ)設(shè)施。

在對重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門開展審計時，應(yīng)重點關(guān)注是否根據(jù)本行業(yè)、領(lǐng)域特點制定關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定規(guī)則，是否及時、準(zhǔn)確根據(jù)規(guī)則認(rèn)定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施并報公安部備案；并應(yīng)重點關(guān)注是否建立關(guān)鍵基礎(chǔ)設(shè)施清單動態(tài)調(diào)整機(jī)制，在有關(guān)設(shè)施、信息系統(tǒng)發(fā)生足以影響認(rèn)定結(jié)果的重大變化時，及時重新認(rèn)定。

（二）加強(qiáng)重要數(shù)據(jù)和個人信息保護(hù)。

重點關(guān)鍵基礎(chǔ)設(shè)施運營者是否建立并落實重要數(shù)據(jù)和個人信息安全保護(hù)制度，是否對關(guān)鍵基礎(chǔ)設(shè)施中的重要網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行容災(zāi)備份，并采取各種技術(shù)措施切實保護(hù)重要數(shù)據(jù)全生命周期安全。還應(yīng)重點關(guān)注運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)是否在境內(nèi)存儲，向境外提供時是否遵守相關(guān)規(guī)定并進(jìn)行安全評估。

（三）關(guān)注預(yù)防、應(yīng)對和處置網(wǎng)絡(luò)攻擊能力建設(shè)。

在審計中，應(yīng)關(guān)注各有關(guān)單位、部門的網(wǎng)絡(luò)監(jiān)測水平，落實各項常態(tài)化措施，切實提升預(yù)防、應(yīng)對和處置網(wǎng)絡(luò)攻擊的能力。一是關(guān)注網(wǎng)絡(luò)安全監(jiān)測，對關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)等開展實時監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和安全威脅。二是關(guān)注各行業(yè)主管部門、網(wǎng)絡(luò)運營者依托國家網(wǎng)絡(luò)與信息安全信息通報機(jī)制，加強(qiáng)本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全信息通報預(yù)警力量建設(shè)，及時收集、匯總、分析各方網(wǎng)絡(luò)安全信息，加強(qiáng)威脅情報收集工作，組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢研判，及時通報預(yù)警和處置。三是關(guān)注各有關(guān)單位、部門是否按照國家有關(guān)要求制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急力量建設(shè)和應(yīng)急資源儲備，能否與公安機(jī)關(guān)密切配合，建立網(wǎng)絡(luò)安全事件報告制度和應(yīng)急處置機(jī)制，有效處置網(wǎng)絡(luò)安全事件，并針對應(yīng)急演練中發(fā)現(xiàn)的突出問題和漏洞隱患，及時整改加固，完善保護(hù)措施。