美國(guó)政府問(wèn)責(zé)局

胡凱春 譯

（中國(guó)電子科技集團(tuán)公司第二十九研究所，四川 成都 610036）

0 引 言

2021年，美國(guó)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻發(fā)，包括燃油燃?xì)夤艿?、水處理廠工控系統(tǒng)、網(wǎng)絡(luò)管理軟件供應(yīng)鏈等，表明美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施和聯(lián)邦政府的IT系統(tǒng)仍然面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅。關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全一直是聯(lián)邦政府面臨的一個(gè)長(zhǎng)期挑戰(zhàn)，聯(lián)邦機(jī)構(gòu)需要改善自身的網(wǎng)絡(luò)安全態(tài)勢(shì)，加強(qiáng)對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全支持。為此，2021年12月2日，美國(guó)政府問(wèn)責(zé)局（Government Accountability Office，GAO）發(fā)布《聯(lián)邦政府迫切需要采取行動(dòng)，更好地保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施》報(bào)告，指出聯(lián)邦政府機(jī)構(gòu)急需采取措施以更好地保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。

1 背景

1.1 美國(guó)關(guān)鍵信息系統(tǒng)危機(jī)重重，安全管理難度較大

美國(guó)聯(lián)邦機(jī)構(gòu)和國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)作高度依賴(lài)信息技術(shù)系統(tǒng)，這些系統(tǒng)及其使用數(shù)據(jù)的安全性對(duì)公眾信心、國(guó)家安全等至關(guān)重要。這也使支撐著聯(lián)邦機(jī)構(gòu)和國(guó)家基礎(chǔ)設(shè)施的信息系統(tǒng)（如交通系統(tǒng)、通信、教育、能源和金融服務(wù)等）時(shí)常處于危險(xiǎn)之中。信息系統(tǒng)具有高度復(fù)雜性和動(dòng)態(tài)性，技術(shù)多樣且位置分散。這種復(fù)雜性增加了識(shí)別、管理和保護(hù)構(gòu)成系統(tǒng)及網(wǎng)絡(luò)的眾多操作系統(tǒng)、應(yīng)用程序和設(shè)備的難度。此外，聯(lián)邦機(jī)構(gòu)和國(guó)家關(guān)鍵基礎(chǔ)設(shè)施使用的系統(tǒng)和網(wǎng)絡(luò)也經(jīng)常與包括互聯(lián)網(wǎng)在內(nèi)的其他內(nèi)部和外部系統(tǒng)及網(wǎng)絡(luò)相互關(guān)聯(lián)，這也加劇了安全風(fēng)險(xiǎn)。

隨著這種更大范圍的連通性，威脅行為者越來(lái)越愿意并有能力對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞性網(wǎng)絡(luò)攻擊。美國(guó)國(guó)家情報(bào)總監(jiān)辦公室（Office of the Director of National Intelligence，ODNI）發(fā)布的《2021年度威脅評(píng)估》和美國(guó)國(guó)土安全部（U.S. Department of Homeland Security，DHS）2020年發(fā)布的《國(guó)土安全威脅評(píng)估》報(bào)告指出，犯罪集團(tuán)及國(guó)家網(wǎng)絡(luò)行為者對(duì)美國(guó)構(gòu)成了最大的網(wǎng)絡(luò)攻擊威脅。評(píng)估報(bào)告顯示，出于利潤(rùn)、間諜活動(dòng)或破壞的動(dòng)機(jī)，一些犯罪集團(tuán)和國(guó)家網(wǎng)絡(luò)行為者，在新冠肺炎疫情全球肆虐之際，以美國(guó)醫(yī)療和公共衛(wèi)生部門(mén)、政府實(shí)體和更廣泛的應(yīng)急服務(wù)部門(mén)為目標(biāo)展開(kāi)攻擊活動(dòng)。

1.2 美國(guó)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻發(fā)

最近的網(wǎng)絡(luò)攻擊事件突顯了美國(guó)面臨重大的網(wǎng)絡(luò)威脅。例如，2021年5月，美國(guó)主要燃油、燃?xì)夤艿肋\(yùn)營(yíng)商科洛尼爾管道運(yùn)輸公司（Colonial Pipeline）的IT網(wǎng)絡(luò)遭遇勒索軟件攻擊。為了確保管道的安全，該公司斷開(kāi)了某些監(jiān)控管道物理功能的工業(yè)控制系統(tǒng)，以免受到攻擊者的危害。根據(jù)美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastucture Security Agency，CISA）和美國(guó)聯(lián)邦調(diào)查局（Federal Bureau of Investigation，F(xiàn)BI）的調(diào)查數(shù)據(jù)顯示，截至2021年5月11日，沒(méi)有跡象表明攻擊者破壞了工業(yè)控制系統(tǒng)。然而，斷開(kāi)這些系統(tǒng)導(dǎo)致部分主要管道暫時(shí)停止，使整個(gè)美國(guó)東南部出現(xiàn)汽油短缺現(xiàn)象。2021年2月，CISA發(fā)布預(yù)警信息稱(chēng)攻擊者獲取美國(guó)某水處理廠工控系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)權(quán)限，并嘗試在水處理過(guò)程中增加更多的化學(xué)物質(zhì)。據(jù)CISA稱(chēng)，攻擊者可能是利用網(wǎng)絡(luò)安全漏洞訪(fǎng)問(wèn)系統(tǒng)的，這些漏洞包括密碼安全性差和操作系統(tǒng)過(guò)時(shí)等。2020年12月，CISA發(fā)布預(yù)警稱(chēng)高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊者成功入侵了網(wǎng)絡(luò)管理軟件套件的供應(yīng)鏈，并成功植入了后門(mén)惡意軟件，可能讓攻擊者遠(yuǎn)程訪(fǎng)問(wèn)受感染的計(jì)算機(jī)，并將其植入到該正版軟件產(chǎn)品中。然后，攻擊者使用植入的后門(mén)以及其他技術(shù)，發(fā)起針對(duì)美國(guó)政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施實(shí)體、私營(yíng)機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動(dòng)。

2 網(wǎng)絡(luò)安全挑戰(zhàn)

GAO自1997年起將信息安全列為政府范圍內(nèi)的高風(fēng)險(xiǎn)領(lǐng)域，并在2003年和2015年先后將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、個(gè)人身份信息隱私保護(hù)添加到信息安全高風(fēng)險(xiǎn)領(lǐng)域。在2018年9月和2021年3月的高風(fēng)險(xiǎn)領(lǐng)域更新中，GAO強(qiáng)調(diào)聯(lián)邦政府需要采取10項(xiàng)具體行動(dòng)來(lái)解決聯(lián)邦政府面臨的四大網(wǎng)絡(luò)安全挑戰(zhàn)。

（1）制定全面的網(wǎng)絡(luò)安全戰(zhàn)略并實(shí)施有效監(jiān)督。為國(guó)家網(wǎng)絡(luò)安全和全球網(wǎng)絡(luò)空間制定并執(zhí)行更全面的聯(lián)邦戰(zhàn)略；警惕全球供應(yīng)鏈風(fēng)險(xiǎn)（例如安裝惡意軟件或硬件）；應(yīng)對(duì)網(wǎng)絡(luò)安全員工管理的挑戰(zhàn)；確保如人工智能、物聯(lián)網(wǎng)等新興技術(shù)的安全性。

（2）保護(hù)聯(lián)邦系統(tǒng)信息安全。改善政府范圍內(nèi)網(wǎng)絡(luò)安全倡議的實(shí)施；解決聯(lián)邦機(jī)構(gòu)信息安全項(xiàng)目的弱點(diǎn)；加強(qiáng)聯(lián)邦政府對(duì)網(wǎng)絡(luò)事件的反應(yīng)。

（3）保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施。加強(qiáng)聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施（例如電網(wǎng)和電信網(wǎng)絡(luò)）網(wǎng)絡(luò)安全方面的作用。

（4）保護(hù)隱私和敏感數(shù)據(jù)。改進(jìn)聯(lián)邦政府保護(hù)隱私和敏感數(shù)據(jù)的工作；合理限制對(duì)個(gè)人信息的收集和使用，確保信息的收集和使用得到用戶(hù)同意。

自2010年以來(lái)，GAO在高風(fēng)險(xiǎn)領(lǐng)域提出了約3700項(xiàng)建議，重點(diǎn)是加強(qiáng)美國(guó)的網(wǎng)絡(luò)安全工作。截至2021年11月，這些建議中仍有約900項(xiàng)尚未實(shí)施。這些建議包括但也遠(yuǎn)遠(yuǎn)超出了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)的主題范圍，呼吁采取緊急行動(dòng)來(lái)幫助解決所有高風(fēng)險(xiǎn)領(lǐng)域的問(wèn)題。

（1）網(wǎng)絡(luò)安全工作人員管理。2020年12月，GAO報(bào)道稱(chēng)，美國(guó)交通部（U.S. Department of Transportation，DOT）的工作人員面臨監(jiān)管自動(dòng)化技術(shù)安全相關(guān)的挑戰(zhàn)，例如，那些在無(wú)須人工干預(yù)的情況下控制飛機(jī)、火車(chē)或車(chē)輛的功能或任務(wù)的技術(shù)。這些技術(shù)需要監(jiān)管專(zhuān)業(yè)知識(shí)，以及工程、數(shù)據(jù)分析和網(wǎng)絡(luò)安全技能。盡管交通部已經(jīng)確定了監(jiān)管自動(dòng)化技術(shù)所需的大部分技能，但它尚未全面評(píng)估其員工是否具備這些技能。因此，GAO建議交通部，評(píng)估與自動(dòng)化技術(shù)監(jiān)管相關(guān)的關(guān)鍵職業(yè)的技能差距；定期衡量為彌補(bǔ)技能差距而實(shí)施的戰(zhàn)略進(jìn)展。截至2021年11月，這些建議尚未完全實(shí)施，但計(jì)劃在2022年6月前實(shí)施完成。

（2）政府層面的網(wǎng)絡(luò)安全舉措。聯(lián)邦機(jī)構(gòu)面臨的網(wǎng)絡(luò)威脅在數(shù)量和復(fù)雜性上都在不斷增加。建立持續(xù)診斷和緩解（Continuous Diagnostics and Mitigation，CDM）計(jì)劃是為了向聯(lián)邦機(jī)構(gòu)提供工具和服務(wù)，這些工具和服務(wù)具有自動(dòng)化網(wǎng)絡(luò)監(jiān)控、關(guān)聯(lián)和分析安全相關(guān)信息，以及增強(qiáng)政府和機(jī)構(gòu)基于風(fēng)險(xiǎn)決策的預(yù)期能力。2020年8月，據(jù)GAO報(bào)道稱(chēng)，美國(guó)聯(lián)邦航空管理局、印度衛(wèi)生服務(wù)局和美國(guó)小企業(yè)管理局等機(jī)構(gòu)普遍使用這些工具和服務(wù)提供網(wǎng)絡(luò)安全數(shù)據(jù)，并支持DHS的CDM計(jì)劃。然而，盡管各機(jī)構(gòu)報(bào)告稱(chēng)，該計(jì)劃提高了他們的網(wǎng)絡(luò)意識(shí)，但這3個(gè)機(jī)構(gòu)都沒(méi)有有效地實(shí)施所有關(guān)鍵的CDM計(jì)劃要求。根據(jù)審查結(jié)果，GAO向國(guó)土安全部提出了6項(xiàng)建議，并向3個(gè)選定的機(jī)構(gòu)提出了9項(xiàng)建議。

（3）聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。2019年7月，據(jù)GAO報(bào)道稱(chēng)，建立一個(gè)全機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理項(xiàng)目的關(guān)鍵實(shí)踐，包括指定1名網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主管，制定風(fēng)險(xiǎn)管理戰(zhàn)略和政策以促進(jìn)基于風(fēng)險(xiǎn)的決策，評(píng)估機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)并與該機(jī)構(gòu)的企業(yè)風(fēng)險(xiǎn)管理項(xiàng)目建立協(xié)調(diào)。盡管GAO審查的23個(gè)機(jī)構(gòu)幾乎都指定了1名網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主管，但他們往往沒(méi)有在其計(jì)劃中充分納入其他關(guān)鍵做法，例如，制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略，為基于風(fēng)險(xiǎn)的決策劃定界限；建立評(píng)估全機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的程序；建立網(wǎng)絡(luò)安全和企業(yè)風(fēng)險(xiǎn)管理計(jì)劃之間的協(xié)調(diào)流程，以管理所有重大風(fēng)險(xiǎn)。

3 關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要求

聯(lián)邦法律和政策規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的要求，具體如下文所述。

（1）第13636號(hào)行政命令。2013年2月，白宮發(fā)布了第13636號(hào)行政命令《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，要求與關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)商建立伙伴關(guān)系，以改善網(wǎng)絡(luò)安全相關(guān)的信息共享。為此，該行政命令建立了促進(jìn)聯(lián)邦政府和私營(yíng)組織之間的合作機(jī)制。除其他事項(xiàng)外，該行政命令還指定了9個(gè)聯(lián)邦機(jī)構(gòu)，在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施方面發(fā)揮主導(dǎo)作用。此外，該命令指示DHS在牽頭機(jī)構(gòu)的幫助下，每年都要確定、審查和更新網(wǎng)絡(luò)安全事件可能對(duì)公共健康或安全、經(jīng)濟(jì)安全或國(guó)家安全造成災(zāi)難性影響的關(guān)鍵基礎(chǔ)設(shè)施部門(mén)清單。

（2）第21號(hào)總統(tǒng)政策指令。2013年2月，白宮發(fā)布第21號(hào)總統(tǒng)政策指令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》，進(jìn)一步明確了關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)責(zé)任。除此之外，該政策還指示DHS與領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)，制定一份與關(guān)鍵基礎(chǔ)設(shè)施安全和彈性相關(guān)的聯(lián)邦政府職能關(guān)系描述，對(duì)提高公私伙伴關(guān)系效率進(jìn)行分析并提出建議。

（3）美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）網(wǎng)絡(luò)安全框架。第13636號(hào)行政命令《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》指示由NIST牽頭開(kāi)發(fā)一個(gè)靈活的基于性能的網(wǎng)絡(luò)安全框架，其中包括一套標(biāo)準(zhǔn)、程序和流程。此外，該命令指示牽頭機(jī)構(gòu)與DHS和其他相關(guān)機(jī)構(gòu)協(xié)商，與關(guān)鍵基礎(chǔ)設(shè)施合作伙伴協(xié)調(diào)，以審查網(wǎng)絡(luò)安全框架。如有必要，各機(jī)構(gòu)應(yīng)制定實(shí)施指南或補(bǔ)充材料，以應(yīng)對(duì)特定行業(yè)的風(fēng)險(xiǎn)和運(yùn)營(yíng)環(huán)境。為響應(yīng)該命令，NIST于2014年2月首次公布自愿、靈活、基于性能的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序框架。該框架于2018年4月更新，概述了一種基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法，由核心框架、配置文件和實(shí)施層3部分組成。

（4）2018年網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）法案。2018年11月，法案指示在DHS內(nèi)設(shè)立了CISA，旨在保護(hù)聯(lián)邦民用機(jī)構(gòu)網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅，并在面臨物理和網(wǎng)絡(luò)威脅時(shí)加強(qiáng)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全。為了實(shí)施這項(xiàng)立法，CISA采取了一項(xiàng)3個(gè)階段的組織轉(zhuǎn)型舉措，旨在統(tǒng)一機(jī)構(gòu)，提高任務(wù)效率，增強(qiáng)CISA員工的工作經(jīng)驗(yàn)。

（5）2021財(cái)年國(guó)防授權(quán)法案。該法案確立了部門(mén)風(fēng)險(xiǎn)管理機(jī)構(gòu)在保護(hù)16個(gè)關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)方面的領(lǐng)導(dǎo)作用和責(zé)任。根據(jù)該法案，牽頭機(jī)構(gòu)要有以下職責(zé)：配合DHS與關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者、監(jiān)管機(jī)構(gòu)及其他機(jī)構(gòu)協(xié)作；與CISA協(xié)作支持行業(yè)風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)評(píng)估；擔(dān)任聯(lián)邦政府的日常中間人，確定部門(mén)活動(dòng)的次序和協(xié)調(diào)；支持安全事件應(yīng)急管理，包括支持CISA在事件響應(yīng)的要求。

4 聯(lián)邦政府迫切需要采取行動(dòng)，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅

在過(guò)去的幾十年里，GAO一直強(qiáng)調(diào)聯(lián)邦政府迫切需要提高其能力，以保護(hù)國(guó)家的基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅。在最近的高風(fēng)險(xiǎn)領(lǐng)域更新中，GAO強(qiáng)調(diào)了聯(lián)邦政府應(yīng)對(duì)重大網(wǎng)絡(luò)安全挑戰(zhàn)迫切需要采取的關(guān)鍵行動(dòng)。

4.1 制定和執(zhí)行全面的國(guó)家網(wǎng)絡(luò)戰(zhàn)略

GAO和其他部門(mén)曾建議應(yīng)該建立一個(gè)全面的國(guó)家戰(zhàn)略以指導(dǎo)美國(guó)政府如何應(yīng)對(duì)國(guó)內(nèi)和國(guó)際網(wǎng)絡(luò)安全相關(guān)事務(wù)的挑戰(zhàn)。2020年9月，GAO報(bào)道稱(chēng)，上屆政府在2018年發(fā)布的《美國(guó)國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中詳細(xì)說(shuō)明了行政部門(mén)管理國(guó)家網(wǎng)絡(luò)安全的方法。然而，這些文件只涉及國(guó)家戰(zhàn)略層面的一些可獲取的信息，如目標(biāo)和所需資源，而不是全面的戰(zhàn)略文件。因此，建議國(guó)家安全委員會(huì)與相關(guān)聯(lián)邦實(shí)體合作，更新網(wǎng)絡(luò)安全戰(zhàn)略文件。但是，國(guó)家安全委員會(huì)對(duì)該建議沒(méi)有表示同意或者不同意，也沒(méi)有解決相關(guān)的網(wǎng)絡(luò)威脅。

（1）成立機(jī)構(gòu)。GAO強(qiáng)調(diào)了明確界定中央領(lǐng)導(dǎo)角色的緊迫性和必要性，以便幫助政府克服與國(guó)家網(wǎng)絡(luò)有關(guān)的威脅和挑戰(zhàn)。2020年9月，GAO曾報(bào)道稱(chēng)，鑒于2018年5月白宮取消網(wǎng)絡(luò)安全協(xié)調(diào)員職位，尚不清楚最終由行政部門(mén)的哪位官員負(fù)責(zé)協(xié)調(diào)國(guó)家網(wǎng)絡(luò)戰(zhàn)略和相關(guān)實(shí)施計(jì)劃的執(zhí)行。因此，建議國(guó)會(huì)考慮立法，在白宮指定1名職位負(fù)責(zé)領(lǐng)導(dǎo)執(zhí)行國(guó)家網(wǎng)絡(luò)戰(zhàn)略。2021年1月，《2021財(cái)年國(guó)防授權(quán)法案》中提出在總統(tǒng)辦公室下設(shè)國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室。除其他職責(zé)外，該負(fù)責(zé)人將擔(dān)任白宮網(wǎng)絡(luò)安全政策和戰(zhàn)略的首席顧問(wèn)，包括協(xié)調(diào)實(shí)施國(guó)家網(wǎng)絡(luò)政策和戰(zhàn)略。2021年6月，由參議院批準(zhǔn)，國(guó)家網(wǎng)絡(luò)安全總監(jiān)辦公室的成立是聯(lián)邦政府更好應(yīng)對(duì)國(guó)家網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，以及執(zhí)行監(jiān)管的重要舉措。

（2）發(fā)布藍(lán)圖。2021年10月，國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室發(fā)布了一份戰(zhàn)略意圖聲明，概述了總監(jiān)辦公室的愿景及高水平的工作計(jì)劃，包括國(guó)家和聯(lián)邦網(wǎng)絡(luò)安全、預(yù)算審查和評(píng)估、規(guī)劃和事故響應(yīng)等。盡管如此，全面制定和執(zhí)行全面的國(guó)家網(wǎng)絡(luò)戰(zhàn)略的建議仍然比以往任何時(shí)候都緊迫，確保一個(gè)明確的路線(xiàn)圖才能克服包括關(guān)鍵基礎(chǔ)設(shè)施安全威脅在內(nèi)的國(guó)家網(wǎng)絡(luò)挑戰(zhàn)。

4.2 聯(lián)邦政府需要加強(qiáng)其在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的作用

聯(lián)邦政府在與私營(yíng)機(jī)構(gòu)合作開(kāi)展網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面仍具挑戰(zhàn)。為了加強(qiáng)聯(lián)邦政府在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全中的作用，GAO提出了兩個(gè)建議：一是加強(qiáng)DHS下屬機(jī)構(gòu)CISA的能力和服務(wù)；二是確保擔(dān)任特定部門(mén)職責(zé)的聯(lián)邦機(jī)構(gòu)為其部門(mén)合作伙伴提供有效的指導(dǎo)和支持。

（1）DHS需要完成CISA機(jī)構(gòu)改革過(guò)渡期事項(xiàng)，以更好地支持關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)地位的重要性不僅體現(xiàn)在白宮，還體現(xiàn)在包括DHS在內(nèi)的其他關(guān)鍵行政部門(mén)。2018年11月，美國(guó)時(shí)任總統(tǒng)特朗普簽署了《網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局法案》，批準(zhǔn)在DHS內(nèi)設(shè)立CISA，旨在保護(hù)聯(lián)邦政府非軍事機(jī)構(gòu)網(wǎng)絡(luò)安全，以應(yīng)對(duì)網(wǎng)絡(luò)威脅和加強(qiáng)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全。該法案將CISA提升為代理機(jī)構(gòu)，對(duì)其結(jié)構(gòu)進(jìn)行規(guī)定性調(diào)整，包括要求在網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全和應(yīng)急通信方面設(shè)立獨(dú)立的部門(mén)，并給該機(jī)構(gòu)分配了具體的職責(zé)。

為實(shí)現(xiàn)其法定職責(zé)，CISA領(lǐng)導(dǎo)層開(kāi)展了機(jī)構(gòu)改革。2021年3月，GAO報(bào)告CISA已經(jīng)完成了組織機(jī)構(gòu)改革3大階段的前2個(gè)階段。具體而言，GAO注意到DHS尚未全面實(shí)施其第三階段轉(zhuǎn)型，其中包括最終確定該機(jī)構(gòu)的基本任務(wù)職能和完成勞動(dòng)力規(guī)劃活動(dòng)，該階段原計(jì)劃于2020年12月完成。

（2）行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)需要確保指導(dǎo)并支持關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)者。自2010年以來(lái)，GAO為各聯(lián)邦機(jī)構(gòu)提出了大約80項(xiàng)建議，以加強(qiáng)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全建設(shè)。例如，2020年2月，GAO建議相關(guān)機(jī)構(gòu)對(duì)NIST提出的網(wǎng)絡(luò)安全框架標(biāo)準(zhǔn)進(jìn)行進(jìn)一步評(píng)估并予以采用。GAO報(bào)告稱(chēng)，由于是跨部門(mén)使用該框架，大多數(shù)部門(mén)牽頭機(jī)構(gòu)（即部門(mén)風(fēng)險(xiǎn)管理機(jī)構(gòu)）并未收集和報(bào)告過(guò)有關(guān)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的改進(jìn)情況。

為解決這些問(wèn)題，GAO共提出了10條建議，其中1條建議NIST為完成指定項(xiàng)目建立時(shí)間框架，9條建議是向牽頭機(jī)構(gòu)提出，以收集并報(bào)告使用該框架所取得的改進(jìn)。共有8個(gè)機(jī)構(gòu)同意這些建議，一個(gè)機(jī)構(gòu)采取中立態(tài)度，既不同意也不反對(duì)，還有一個(gè)機(jī)構(gòu)只部分同意。然而，截至2021年11月，這些建議均未得到實(shí)施。在牽頭機(jī)構(gòu)收集并報(bào)告采用該框架所取得的改進(jìn)之前，16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)在很大程度上并不清楚如何保護(hù)其關(guān)鍵基礎(chǔ)設(shè)施免受威脅。

此外，GAO還經(jīng)常強(qiáng)調(diào)，牽頭機(jī)構(gòu)需要加強(qiáng)其相關(guān)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)以及分部門(mén)的網(wǎng)絡(luò)安全建設(shè)。

（1）航空方面。FAA負(fù)責(zé)監(jiān)督包括航空電子系統(tǒng)在內(nèi)的商業(yè)航空安全。隨著商用飛機(jī)與系統(tǒng)間的連接越來(lái)越緊密，可能會(huì)給商用飛機(jī)帶來(lái)越來(lái)越多的網(wǎng)絡(luò)攻擊機(jī)會(huì)。2020年10月，GAO報(bào)道稱(chēng)，F(xiàn)AA建立了一套針對(duì)美國(guó)商用飛機(jī)（包括其運(yùn)營(yíng)在內(nèi)）進(jìn)行認(rèn)證和監(jiān)督的程序。然而，F(xiàn)AA既沒(méi)有優(yōu)先考慮基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全監(jiān)管，又沒(méi)有將定期測(cè)試作為其監(jiān)控過(guò)程的一部分。為了解決相關(guān)問(wèn)題，GAO向FAA提出了6項(xiàng)建議，截至2021年11月，該機(jī)構(gòu)尚未實(shí)施這些建議。

（2）公共交通和客運(yùn)鐵路方面。最近，美國(guó)和其他國(guó)家的城市鐵路系統(tǒng)遭到物理和網(wǎng)絡(luò)攻擊，這凸顯了加強(qiáng)和保護(hù)全球鐵路客運(yùn)系統(tǒng)的重要性。美國(guó)聯(lián)邦運(yùn)輸安全管理局（U.S.Transportation Security Administration，TSA）是負(fù)責(zé)交通運(yùn)輸安全的主要聯(lián)邦機(jī)構(gòu)。為了評(píng)估鐵路客運(yùn)系統(tǒng)物理和網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素，TSA利用了包括安全增強(qiáng)基線(xiàn)評(píng)估在內(nèi)的各種風(fēng)險(xiǎn)評(píng)估方式來(lái)評(píng)估跨各種傳輸模式的攻擊場(chǎng)景的威脅、漏洞和后果。2020年4月，GAO報(bào)道稱(chēng)，盡管TSA已采取初步措施，與鐵路客運(yùn)系統(tǒng)利益相關(guān)者共享網(wǎng)絡(luò)安全關(guān)鍵實(shí)踐和其他信息，但是安全增強(qiáng)基線(xiàn)評(píng)估未能充分反映NIST網(wǎng)絡(luò)安全框架中提出的最新網(wǎng)絡(luò)安全關(guān)鍵實(shí)踐，也沒(méi)有把框架包含在可用的網(wǎng)絡(luò)資源列表中。GAO向TSA提出了2項(xiàng)建議，包括該機(jī)構(gòu)更新安全增強(qiáng)基線(xiàn)評(píng)估網(wǎng)絡(luò)安全問(wèn)題，以確保其反映關(guān)鍵實(shí)踐。DHS同意GAO的建議。截至2021年11月，仍有1項(xiàng)建議尚未實(shí)施。

（3）管道系統(tǒng)方面。美國(guó)依靠州際管道系統(tǒng)來(lái)輸送石油和天然氣等關(guān)鍵資源。這種日益計(jì)算機(jī)化的系統(tǒng)是黑客組織和恐怖分子的攻擊目標(biāo)。2018年12月，GAO發(fā)現(xiàn)TSA在管道安全管理方面存在弱點(diǎn)，并針對(duì)問(wèn)題發(fā)布了修訂版管道安全指南，然而，在修訂版中并沒(méi)有涵蓋NIST網(wǎng)絡(luò)安全框架的所有要素，也沒(méi)有明確相關(guān)定義，以確保管道運(yùn)營(yíng)商識(shí)別關(guān)鍵設(shè)施。據(jù)GAO報(bào)道稱(chēng)，該機(jī)構(gòu)進(jìn)行了管道安全審查，以評(píng)估管道系統(tǒng)的漏洞，然而，TSA對(duì)企業(yè)和關(guān)鍵設(shè)施安全的審查數(shù)量相差很大。為了解決相關(guān)問(wèn)題，GAO向TSA提出了10條建議，同時(shí)代理機(jī)構(gòu)也同意了GAO的所有建議。

（4）通信方面。通信部門(mén)是美國(guó)經(jīng)濟(jì)不可或缺的組成部分，面臨著嚴(yán)重的網(wǎng)絡(luò)威脅，其結(jié)果會(huì)影響到地方、區(qū)域和國(guó)家各級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)。2021年11月，GAO報(bào)道了CISA在協(xié)調(diào)聯(lián)邦政府幫助通信部門(mén)恢復(fù)在彈性方面發(fā)揮的領(lǐng)導(dǎo)作用。該機(jī)構(gòu)通過(guò)各種項(xiàng)目和服務(wù)，包括事件管理和信息共享，履行其對(duì)私營(yíng)機(jī)構(gòu)所有者和運(yùn)營(yíng)商的責(zé)任。盡管DHS建議每四年更新一次評(píng)估，但CISA并未對(duì)活動(dòng)的有效性進(jìn)行評(píng)估，也沒(méi)有更新戰(zhàn)略行業(yè)指導(dǎo)文件。具體而言，從2015年開(kāi)始的計(jì)劃缺乏關(guān)于通信行業(yè)新出現(xiàn)威脅的信息，例如通信技術(shù)供應(yīng)鏈的安全威脅。制定和發(fā)布更新的指南將使CISA能夠制定目標(biāo)、目的和優(yōu)先事項(xiàng)，以應(yīng)對(duì)行業(yè)面臨的威脅和風(fēng)險(xiǎn)，并幫助履行行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)的職責(zé)。因此，GAO向CISA提出了3項(xiàng)建議，包括該機(jī)構(gòu)評(píng)估向該行業(yè)提供的支持的有效性，并修訂行業(yè)計(jì)劃，以應(yīng)對(duì)現(xiàn)在和未來(lái)的威脅和風(fēng)險(xiǎn)。

（5）能源方面。美國(guó)電網(wǎng)的配電系統(tǒng)主要由各州監(jiān)管，將電力從輸電系統(tǒng)輸送到消費(fèi)者手中，目前正面臨越來(lái)越大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。2019年8月，GAO報(bào)道稱(chēng)，電網(wǎng)面臨各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。其注意到美國(guó)能源部（U.S. Department of Energy，DOE）制定了應(yīng)對(duì)這些風(fēng)險(xiǎn)的計(jì)劃和評(píng)估，但沒(méi)有充分涉及國(guó)家戰(zhàn)略的所有關(guān)鍵特征。隨后，2021年3月，GAO報(bào)道稱(chēng)，電網(wǎng)的配電系統(tǒng)仍然面臨各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，DOE所制定的計(jì)劃和評(píng)估并沒(méi)有完全解決電網(wǎng)配電系統(tǒng)的風(fēng)險(xiǎn)。為了緩解以上問(wèn)題，GAO建議DOE在實(shí)施國(guó)家電網(wǎng)網(wǎng)絡(luò)安全戰(zhàn)略的計(jì)劃中，應(yīng)更全面地解決電網(wǎng)配電系統(tǒng)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。DOE同意GAO的建議，然而，截至2021年11月，該部并未實(shí)施GAO的建議。

總的來(lái)看，聯(lián)邦政府尚未解決GAO關(guān)于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的大部分建議。自2010年以來(lái)，GAO提出的相關(guān)建議共80條，截至2021年11月，還有50條建議沒(méi)能具體落實(shí)，在其中14條優(yōu)先建議中，11條未實(shí)現(xiàn)。GAO進(jìn)而提出，在相關(guān)建議未被全部實(shí)現(xiàn)以前，聯(lián)邦機(jī)構(gòu)將無(wú)法有效確保關(guān)鍵基礎(chǔ)設(shè)施的安全。

5 結(jié) 語(yǔ)

總之，聯(lián)邦政府需要以更大的緊迫感來(lái)應(yīng)對(duì)國(guó)家及其關(guān)鍵基礎(chǔ)設(shè)施面臨的嚴(yán)重網(wǎng)絡(luò)安全威脅。這將包括制定和執(zhí)行一項(xiàng)全面的國(guó)家戰(zhàn)略，并加強(qiáng)聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的作用。在實(shí)現(xiàn)相關(guān)建議前，聯(lián)邦政府為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施提供網(wǎng)絡(luò)安全有效支撐的能力將受到限制。