美國政府問責(zé)局

胡凱春 譯

（中國電子科技集團(tuán)公司第二十九研究所，四川 成都 610036）

0 引 言

2021年，美國基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻發(fā)，包括燃油燃?xì)夤艿?、水處理廠工控系統(tǒng)、網(wǎng)絡(luò)管理軟件供應(yīng)鏈等，表明美國的關(guān)鍵基礎(chǔ)設(shè)施和聯(lián)邦政府的IT系統(tǒng)仍然面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅。關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全一直是聯(lián)邦政府面臨的一個長期挑戰(zhàn)，聯(lián)邦機(jī)構(gòu)需要改善自身的網(wǎng)絡(luò)安全態(tài)勢，加強(qiáng)對國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全支持。為此，2021年12月2日，美國政府問責(zé)局（Government Accountability Office，GAO）發(fā)布《聯(lián)邦政府迫切需要采取行動，更好地保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施》報(bào)告，指出聯(lián)邦政府機(jī)構(gòu)急需采取措施以更好地保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。

1 背景

1.1 美國關(guān)鍵信息系統(tǒng)危機(jī)重重，安全管理難度較大

美國聯(lián)邦機(jī)構(gòu)和國家關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)作高度依賴信息技術(shù)系統(tǒng)，這些系統(tǒng)及其使用數(shù)據(jù)的安全性對公眾信心、國家安全等至關(guān)重要。這也使支撐著聯(lián)邦機(jī)構(gòu)和國家基礎(chǔ)設(shè)施的信息系統(tǒng)（如交通系統(tǒng)、通信、教育、能源和金融服務(wù)等）時常處于危險之中。信息系統(tǒng)具有高度復(fù)雜性和動態(tài)性，技術(shù)多樣且位置分散。這種復(fù)雜性增加了識別、管理和保護(hù)構(gòu)成系統(tǒng)及網(wǎng)絡(luò)的眾多操作系統(tǒng)、應(yīng)用程序和設(shè)備的難度。此外，聯(lián)邦機(jī)構(gòu)和國家關(guān)鍵基礎(chǔ)設(shè)施使用的系統(tǒng)和網(wǎng)絡(luò)也經(jīng)常與包括互聯(lián)網(wǎng)在內(nèi)的其他內(nèi)部和外部系統(tǒng)及網(wǎng)絡(luò)相互關(guān)聯(lián)，這也加劇了安全風(fēng)險。

隨著這種更大范圍的連通性，威脅行為者越來越愿意并有能力對國家關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞性網(wǎng)絡(luò)攻擊。美國國家情報(bào)總監(jiān)辦公室（Office of the Director of National Intelligence，ODNI）發(fā)布的《2021年度威脅評估》和美國國土安全部（U.S. Department of Homeland Security，DHS）2020年發(fā)布的《國土安全威脅評估》報(bào)告指出，犯罪集團(tuán)及國家網(wǎng)絡(luò)行為者對美國構(gòu)成了最大的網(wǎng)絡(luò)攻擊威脅。評估報(bào)告顯示，出于利潤、間諜活動或破壞的動機(jī)，一些犯罪集團(tuán)和國家網(wǎng)絡(luò)行為者，在新冠肺炎疫情全球肆虐之際，以美國醫(yī)療和公共衛(wèi)生部門、政府實(shí)體和更廣泛的應(yīng)急服務(wù)部門為目標(biāo)展開攻擊活動。

1.2 美國基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻發(fā)

最近的網(wǎng)絡(luò)攻擊事件突顯了美國面臨重大的網(wǎng)絡(luò)威脅。例如，2021年5月，美國主要燃油、燃?xì)夤艿肋\(yùn)營商科洛尼爾管道運(yùn)輸公司（Colonial Pipeline）的IT網(wǎng)絡(luò)遭遇勒索軟件攻擊。為了確保管道的安全，該公司斷開了某些監(jiān)控管道物理功能的工業(yè)控制系統(tǒng)，以免受到攻擊者的危害。根據(jù)美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastucture Security Agency，CISA）和美國聯(lián)邦調(diào)查局（Federal Bureau of Investigation，F(xiàn)BI）的調(diào)查數(shù)據(jù)顯示，截至2021年5月11日，沒有跡象表明攻擊者破壞了工業(yè)控制系統(tǒng)。然而，斷開這些系統(tǒng)導(dǎo)致部分主要管道暫時停止，使整個美國東南部出現(xiàn)汽油短缺現(xiàn)象。2021年2月，CISA發(fā)布預(yù)警信息稱攻擊者獲取美國某水處理廠工控系統(tǒng)的非授權(quán)訪問權(quán)限，并嘗試在水處理過程中增加更多的化學(xué)物質(zhì)。據(jù)CISA稱，攻擊者可能是利用網(wǎng)絡(luò)安全漏洞訪問系統(tǒng)的，這些漏洞包括密碼安全性差和操作系統(tǒng)過時等。2020年12月，CISA發(fā)布預(yù)警稱高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊者成功入侵了網(wǎng)絡(luò)管理軟件套件的供應(yīng)鏈，并成功植入了后門惡意軟件，可能讓攻擊者遠(yuǎn)程訪問受感染的計(jì)算機(jī)，并將其植入到該正版軟件產(chǎn)品中。然后，攻擊者使用植入的后門以及其他技術(shù)，發(fā)起針對美國政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施實(shí)體、私營機(jī)構(gòu)的網(wǎng)絡(luò)攻擊活動。

2 網(wǎng)絡(luò)安全挑戰(zhàn)

GAO自1997年起將信息安全列為政府范圍內(nèi)的高風(fēng)險領(lǐng)域，并在2003年和2015年先后將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、個人身份信息隱私保護(hù)添加到信息安全高風(fēng)險領(lǐng)域。在2018年9月和2021年3月的高風(fēng)險領(lǐng)域更新中，GAO強(qiáng)調(diào)聯(lián)邦政府需要采取10項(xiàng)具體行動來解決聯(lián)邦政府面臨的四大網(wǎng)絡(luò)安全挑戰(zhàn)。

（1）制定全面的網(wǎng)絡(luò)安全戰(zhàn)略并實(shí)施有效監(jiān)督。為國家網(wǎng)絡(luò)安全和全球網(wǎng)絡(luò)空間制定并執(zhí)行更全面的聯(lián)邦戰(zhàn)略；警惕全球供應(yīng)鏈風(fēng)險（例如安裝惡意軟件或硬件）；應(yīng)對網(wǎng)絡(luò)安全員工管理的挑戰(zhàn)；確保如人工智能、物聯(lián)網(wǎng)等新興技術(shù)的安全性。

（2）保護(hù)聯(lián)邦系統(tǒng)信息安全。改善政府范圍內(nèi)網(wǎng)絡(luò)安全倡議的實(shí)施；解決聯(lián)邦機(jī)構(gòu)信息安全項(xiàng)目的弱點(diǎn)；加強(qiáng)聯(lián)邦政府對網(wǎng)絡(luò)事件的反應(yīng)。

（3）保護(hù)網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施。加強(qiáng)聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施（例如電網(wǎng)和電信網(wǎng)絡(luò)）網(wǎng)絡(luò)安全方面的作用。

（4）保護(hù)隱私和敏感數(shù)據(jù)。改進(jìn)聯(lián)邦政府保護(hù)隱私和敏感數(shù)據(jù)的工作；合理限制對個人信息的收集和使用，確保信息的收集和使用得到用戶同意。

自2010年以來，GAO在高風(fēng)險領(lǐng)域提出了約3700項(xiàng)建議，重點(diǎn)是加強(qiáng)美國的網(wǎng)絡(luò)安全工作。截至2021年11月，這些建議中仍有約900項(xiàng)尚未實(shí)施。這些建議包括但也遠(yuǎn)遠(yuǎn)超出了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)的主題范圍，呼吁采取緊急行動來幫助解決所有高風(fēng)險領(lǐng)域的問題。

（1）網(wǎng)絡(luò)安全工作人員管理。2020年12月，GAO報(bào)道稱，美國交通部（U.S. Department of Transportation，DOT）的工作人員面臨監(jiān)管自動化技術(shù)安全相關(guān)的挑戰(zhàn)，例如，那些在無須人工干預(yù)的情況下控制飛機(jī)、火車或車輛的功能或任務(wù)的技術(shù)。這些技術(shù)需要監(jiān)管專業(yè)知識，以及工程、數(shù)據(jù)分析和網(wǎng)絡(luò)安全技能。盡管交通部已經(jīng)確定了監(jiān)管自動化技術(shù)所需的大部分技能，但它尚未全面評估其員工是否具備這些技能。因此，GAO建議交通部，評估與自動化技術(shù)監(jiān)管相關(guān)的關(guān)鍵職業(yè)的技能差距；定期衡量為彌補(bǔ)技能差距而實(shí)施的戰(zhàn)略進(jìn)展。截至2021年11月，這些建議尚未完全實(shí)施，但計(jì)劃在2022年6月前實(shí)施完成。

（2）政府層面的網(wǎng)絡(luò)安全舉措。聯(lián)邦機(jī)構(gòu)面臨的網(wǎng)絡(luò)威脅在數(shù)量和復(fù)雜性上都在不斷增加。建立持續(xù)診斷和緩解（Continuous Diagnostics and Mitigation，CDM）計(jì)劃是為了向聯(lián)邦機(jī)構(gòu)提供工具和服務(wù)，這些工具和服務(wù)具有自動化網(wǎng)絡(luò)監(jiān)控、關(guān)聯(lián)和分析安全相關(guān)信息，以及增強(qiáng)政府和機(jī)構(gòu)基于風(fēng)險決策的預(yù)期能力。2020年8月，據(jù)GAO報(bào)道稱，美國聯(lián)邦航空管理局、印度衛(wèi)生服務(wù)局和美國小企業(yè)管理局等機(jī)構(gòu)普遍使用這些工具和服務(wù)提供網(wǎng)絡(luò)安全數(shù)據(jù)，并支持DHS的CDM計(jì)劃。然而，盡管各機(jī)構(gòu)報(bào)告稱，該計(jì)劃提高了他們的網(wǎng)絡(luò)意識，但這3個機(jī)構(gòu)都沒有有效地實(shí)施所有關(guān)鍵的CDM計(jì)劃要求。根據(jù)審查結(jié)果，GAO向國土安全部提出了6項(xiàng)建議，并向3個選定的機(jī)構(gòu)提出了9項(xiàng)建議。

（3）聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險管理。2019年7月，據(jù)GAO報(bào)道稱，建立一個全機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險管理項(xiàng)目的關(guān)鍵實(shí)踐，包括指定1名網(wǎng)絡(luò)安全風(fēng)險主管，制定風(fēng)險管理戰(zhàn)略和政策以促進(jìn)基于風(fēng)險的決策，評估機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險并與該機(jī)構(gòu)的企業(yè)風(fēng)險管理項(xiàng)目建立協(xié)調(diào)。盡管GAO審查的23個機(jī)構(gòu)幾乎都指定了1名網(wǎng)絡(luò)安全風(fēng)險主管，但他們往往沒有在其計(jì)劃中充分納入其他關(guān)鍵做法，例如，制定網(wǎng)絡(luò)安全風(fēng)險管理戰(zhàn)略，為基于風(fēng)險的決策劃定界限；建立評估全機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險的程序；建立網(wǎng)絡(luò)安全和企業(yè)風(fēng)險管理計(jì)劃之間的協(xié)調(diào)流程，以管理所有重大風(fēng)險。

3 關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要求

聯(lián)邦法律和政策規(guī)定了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的要求，具體如下文所述。

（1）第13636號行政命令。2013年2月，白宮發(fā)布了第13636號行政命令《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，要求與關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營商建立伙伴關(guān)系，以改善網(wǎng)絡(luò)安全相關(guān)的信息共享。為此，該行政命令建立了促進(jìn)聯(lián)邦政府和私營組織之間的合作機(jī)制。除其他事項(xiàng)外，該行政命令還指定了9個聯(lián)邦機(jī)構(gòu)，在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施方面發(fā)揮主導(dǎo)作用。此外，該命令指示DHS在牽頭機(jī)構(gòu)的幫助下，每年都要確定、審查和更新網(wǎng)絡(luò)安全事件可能對公共健康或安全、經(jīng)濟(jì)安全或國家安全造成災(zāi)難性影響的關(guān)鍵基礎(chǔ)設(shè)施部門清單。

（2）第21號總統(tǒng)政策指令。2013年2月，白宮發(fā)布第21號總統(tǒng)政策指令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》，進(jìn)一步明確了關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)責(zé)任。除此之外，該政策還指示DHS與領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)，制定一份與關(guān)鍵基礎(chǔ)設(shè)施安全和彈性相關(guān)的聯(lián)邦政府職能關(guān)系描述，對提高公私伙伴關(guān)系效率進(jìn)行分析并提出建議。

（3）美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）網(wǎng)絡(luò)安全框架。第13636號行政命令《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》指示由NIST牽頭開發(fā)一個靈活的基于性能的網(wǎng)絡(luò)安全框架，其中包括一套標(biāo)準(zhǔn)、程序和流程。此外，該命令指示牽頭機(jī)構(gòu)與DHS和其他相關(guān)機(jī)構(gòu)協(xié)商，與關(guān)鍵基礎(chǔ)設(shè)施合作伙伴協(xié)調(diào)，以審查網(wǎng)絡(luò)安全框架。如有必要，各機(jī)構(gòu)應(yīng)制定實(shí)施指南或補(bǔ)充材料，以應(yīng)對特定行業(yè)的風(fēng)險和運(yùn)營環(huán)境。為響應(yīng)該命令，NIST于2014年2月首次公布自愿、靈活、基于性能的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序框架。該框架于2018年4月更新，概述了一種基于風(fēng)險的網(wǎng)絡(luò)安全管理方法，由核心框架、配置文件和實(shí)施層3部分組成。

（4）2018年網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）法案。2018年11月，法案指示在DHS內(nèi)設(shè)立了CISA，旨在保護(hù)聯(lián)邦民用機(jī)構(gòu)網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅，并在面臨物理和網(wǎng)絡(luò)威脅時加強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施的安全。為了實(shí)施這項(xiàng)立法，CISA采取了一項(xiàng)3個階段的組織轉(zhuǎn)型舉措，旨在統(tǒng)一機(jī)構(gòu)，提高任務(wù)效率，增強(qiáng)CISA員工的工作經(jīng)驗(yàn)。

（5）2021財(cái)年國防授權(quán)法案。該法案確立了部門風(fēng)險管理機(jī)構(gòu)在保護(hù)16個關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)方面的領(lǐng)導(dǎo)作用和責(zé)任。根據(jù)該法案，牽頭機(jī)構(gòu)要有以下職責(zé)：配合DHS與關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者、監(jiān)管機(jī)構(gòu)及其他機(jī)構(gòu)協(xié)作；與CISA協(xié)作支持行業(yè)風(fēng)險管理與風(fēng)險評估；擔(dān)任聯(lián)邦政府的日常中間人，確定部門活動的次序和協(xié)調(diào)；支持安全事件應(yīng)急管理，包括支持CISA在事件響應(yīng)的要求。

4 聯(lián)邦政府迫切需要采取行動，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅

在過去的幾十年里，GAO一直強(qiáng)調(diào)聯(lián)邦政府迫切需要提高其能力，以保護(hù)國家的基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)威脅。在最近的高風(fēng)險領(lǐng)域更新中，GAO強(qiáng)調(diào)了聯(lián)邦政府應(yīng)對重大網(wǎng)絡(luò)安全挑戰(zhàn)迫切需要采取的關(guān)鍵行動。

4.1 制定和執(zhí)行全面的國家網(wǎng)絡(luò)戰(zhàn)略

GAO和其他部門曾建議應(yīng)該建立一個全面的國家戰(zhàn)略以指導(dǎo)美國政府如何應(yīng)對國內(nèi)和國際網(wǎng)絡(luò)安全相關(guān)事務(wù)的挑戰(zhàn)。2020年9月，GAO報(bào)道稱，上屆政府在2018年發(fā)布的《美國國家網(wǎng)絡(luò)戰(zhàn)略》中詳細(xì)說明了行政部門管理國家網(wǎng)絡(luò)安全的方法。然而，這些文件只涉及國家戰(zhàn)略層面的一些可獲取的信息，如目標(biāo)和所需資源，而不是全面的戰(zhàn)略文件。因此，建議國家安全委員會與相關(guān)聯(lián)邦實(shí)體合作，更新網(wǎng)絡(luò)安全戰(zhàn)略文件。但是，國家安全委員會對該建議沒有表示同意或者不同意，也沒有解決相關(guān)的網(wǎng)絡(luò)威脅。

（1）成立機(jī)構(gòu)。GAO強(qiáng)調(diào)了明確界定中央領(lǐng)導(dǎo)角色的緊迫性和必要性，以便幫助政府克服與國家網(wǎng)絡(luò)有關(guān)的威脅和挑戰(zhàn)。2020年9月，GAO曾報(bào)道稱，鑒于2018年5月白宮取消網(wǎng)絡(luò)安全協(xié)調(diào)員職位，尚不清楚最終由行政部門的哪位官員負(fù)責(zé)協(xié)調(diào)國家網(wǎng)絡(luò)戰(zhàn)略和相關(guān)實(shí)施計(jì)劃的執(zhí)行。因此，建議國會考慮立法，在白宮指定1名職位負(fù)責(zé)領(lǐng)導(dǎo)執(zhí)行國家網(wǎng)絡(luò)戰(zhàn)略。2021年1月，《2021財(cái)年國防授權(quán)法案》中提出在總統(tǒng)辦公室下設(shè)國家網(wǎng)絡(luò)總監(jiān)辦公室。除其他職責(zé)外，該負(fù)責(zé)人將擔(dān)任白宮網(wǎng)絡(luò)安全政策和戰(zhàn)略的首席顧問，包括協(xié)調(diào)實(shí)施國家網(wǎng)絡(luò)政策和戰(zhàn)略。2021年6月，由參議院批準(zhǔn)，國家網(wǎng)絡(luò)安全總監(jiān)辦公室的成立是聯(lián)邦政府更好應(yīng)對國家網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，以及執(zhí)行監(jiān)管的重要舉措。

（2）發(fā)布藍(lán)圖。2021年10月，國家網(wǎng)絡(luò)總監(jiān)辦公室發(fā)布了一份戰(zhàn)略意圖聲明，概述了總監(jiān)辦公室的愿景及高水平的工作計(jì)劃，包括國家和聯(lián)邦網(wǎng)絡(luò)安全、預(yù)算審查和評估、規(guī)劃和事故響應(yīng)等。盡管如此，全面制定和執(zhí)行全面的國家網(wǎng)絡(luò)戰(zhàn)略的建議仍然比以往任何時候都緊迫，確保一個明確的路線圖才能克服包括關(guān)鍵基礎(chǔ)設(shè)施安全威脅在內(nèi)的國家網(wǎng)絡(luò)挑戰(zhàn)。

4.2 聯(lián)邦政府需要加強(qiáng)其在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的作用

聯(lián)邦政府在與私營機(jī)構(gòu)合作開展網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面仍具挑戰(zhàn)。為了加強(qiáng)聯(lián)邦政府在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全中的作用，GAO提出了兩個建議：一是加強(qiáng)DHS下屬機(jī)構(gòu)CISA的能力和服務(wù)；二是確保擔(dān)任特定部門職責(zé)的聯(lián)邦機(jī)構(gòu)為其部門合作伙伴提供有效的指導(dǎo)和支持。

（1）DHS需要完成CISA機(jī)構(gòu)改革過渡期事項(xiàng)，以更好地支持關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)地位的重要性不僅體現(xiàn)在白宮，還體現(xiàn)在包括DHS在內(nèi)的其他關(guān)鍵行政部門。2018年11月，美國時任總統(tǒng)特朗普簽署了《網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局法案》，批準(zhǔn)在DHS內(nèi)設(shè)立CISA，旨在保護(hù)聯(lián)邦政府非軍事機(jī)構(gòu)網(wǎng)絡(luò)安全，以應(yīng)對網(wǎng)絡(luò)威脅和加強(qiáng)國家關(guān)鍵基礎(chǔ)設(shè)施的安全。該法案將CISA提升為代理機(jī)構(gòu)，對其結(jié)構(gòu)進(jìn)行規(guī)定性調(diào)整，包括要求在網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全和應(yīng)急通信方面設(shè)立獨(dú)立的部門，并給該機(jī)構(gòu)分配了具體的職責(zé)。

為實(shí)現(xiàn)其法定職責(zé)，CISA領(lǐng)導(dǎo)層開展了機(jī)構(gòu)改革。2021年3月，GAO報(bào)告CISA已經(jīng)完成了組織機(jī)構(gòu)改革3大階段的前2個階段。具體而言，GAO注意到DHS尚未全面實(shí)施其第三階段轉(zhuǎn)型，其中包括最終確定該機(jī)構(gòu)的基本任務(wù)職能和完成勞動力規(guī)劃活動，該階段原計(jì)劃于2020年12月完成。

（2）行業(yè)風(fēng)險管理機(jī)構(gòu)需要確保指導(dǎo)并支持關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營者。自2010年以來，GAO為各聯(lián)邦機(jī)構(gòu)提出了大約80項(xiàng)建議，以加強(qiáng)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全建設(shè)。例如，2020年2月，GAO建議相關(guān)機(jī)構(gòu)對NIST提出的網(wǎng)絡(luò)安全框架標(biāo)準(zhǔn)進(jìn)行進(jìn)一步評估并予以采用。GAO報(bào)告稱，由于是跨部門使用該框架，大多數(shù)部門牽頭機(jī)構(gòu)（即部門風(fēng)險管理機(jī)構(gòu)）并未收集和報(bào)告過有關(guān)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的改進(jìn)情況。

為解決這些問題，GAO共提出了10條建議，其中1條建議NIST為完成指定項(xiàng)目建立時間框架，9條建議是向牽頭機(jī)構(gòu)提出，以收集并報(bào)告使用該框架所取得的改進(jìn)。共有8個機(jī)構(gòu)同意這些建議，一個機(jī)構(gòu)采取中立態(tài)度，既不同意也不反對，還有一個機(jī)構(gòu)只部分同意。然而，截至2021年11月，這些建議均未得到實(shí)施。在牽頭機(jī)構(gòu)收集并報(bào)告采用該框架所取得的改進(jìn)之前，16個關(guān)鍵基礎(chǔ)設(shè)施部門在很大程度上并不清楚如何保護(hù)其關(guān)鍵基礎(chǔ)設(shè)施免受威脅。

此外，GAO還經(jīng)常強(qiáng)調(diào)，牽頭機(jī)構(gòu)需要加強(qiáng)其相關(guān)關(guān)鍵基礎(chǔ)設(shè)施部門以及分部門的網(wǎng)絡(luò)安全建設(shè)。

（1）航空方面。FAA負(fù)責(zé)監(jiān)督包括航空電子系統(tǒng)在內(nèi)的商業(yè)航空安全。隨著商用飛機(jī)與系統(tǒng)間的連接越來越緊密，可能會給商用飛機(jī)帶來越來越多的網(wǎng)絡(luò)攻擊機(jī)會。2020年10月，GAO報(bào)道稱，F(xiàn)AA建立了一套針對美國商用飛機(jī)（包括其運(yùn)營在內(nèi)）進(jìn)行認(rèn)證和監(jiān)督的程序。然而，F(xiàn)AA既沒有優(yōu)先考慮基于風(fēng)險的網(wǎng)絡(luò)安全監(jiān)管，又沒有將定期測試作為其監(jiān)控過程的一部分。為了解決相關(guān)問題，GAO向FAA提出了6項(xiàng)建議，截至2021年11月，該機(jī)構(gòu)尚未實(shí)施這些建議。

（2）公共交通和客運(yùn)鐵路方面。最近，美國和其他國家的城市鐵路系統(tǒng)遭到物理和網(wǎng)絡(luò)攻擊，這凸顯了加強(qiáng)和保護(hù)全球鐵路客運(yùn)系統(tǒng)的重要性。美國聯(lián)邦運(yùn)輸安全管理局（U.S.Transportation Security Administration，TSA）是負(fù)責(zé)交通運(yùn)輸安全的主要聯(lián)邦機(jī)構(gòu)。為了評估鐵路客運(yùn)系統(tǒng)物理和網(wǎng)絡(luò)安全的風(fēng)險因素，TSA利用了包括安全增強(qiáng)基線評估在內(nèi)的各種風(fēng)險評估方式來評估跨各種傳輸模式的攻擊場景的威脅、漏洞和后果。2020年4月，GAO報(bào)道稱，盡管TSA已采取初步措施，與鐵路客運(yùn)系統(tǒng)利益相關(guān)者共享網(wǎng)絡(luò)安全關(guān)鍵實(shí)踐和其他信息，但是安全增強(qiáng)基線評估未能充分反映NIST網(wǎng)絡(luò)安全框架中提出的最新網(wǎng)絡(luò)安全關(guān)鍵實(shí)踐，也沒有把框架包含在可用的網(wǎng)絡(luò)資源列表中。GAO向TSA提出了2項(xiàng)建議，包括該機(jī)構(gòu)更新安全增強(qiáng)基線評估網(wǎng)絡(luò)安全問題，以確保其反映關(guān)鍵實(shí)踐。DHS同意GAO的建議。截至2021年11月，仍有1項(xiàng)建議尚未實(shí)施。

（3）管道系統(tǒng)方面。美國依靠州際管道系統(tǒng)來輸送石油和天然氣等關(guān)鍵資源。這種日益計(jì)算機(jī)化的系統(tǒng)是黑客組織和恐怖分子的攻擊目標(biāo)。2018年12月，GAO發(fā)現(xiàn)TSA在管道安全管理方面存在弱點(diǎn)，并針對問題發(fā)布了修訂版管道安全指南，然而，在修訂版中并沒有涵蓋NIST網(wǎng)絡(luò)安全框架的所有要素，也沒有明確相關(guān)定義，以確保管道運(yùn)營商識別關(guān)鍵設(shè)施。據(jù)GAO報(bào)道稱，該機(jī)構(gòu)進(jìn)行了管道安全審查，以評估管道系統(tǒng)的漏洞，然而，TSA對企業(yè)和關(guān)鍵設(shè)施安全的審查數(shù)量相差很大。為了解決相關(guān)問題，GAO向TSA提出了10條建議，同時代理機(jī)構(gòu)也同意了GAO的所有建議。

（4）通信方面。通信部門是美國經(jīng)濟(jì)不可或缺的組成部分，面臨著嚴(yán)重的網(wǎng)絡(luò)威脅，其結(jié)果會影響到地方、區(qū)域和國家各級網(wǎng)絡(luò)的運(yùn)營。2021年11月，GAO報(bào)道了CISA在協(xié)調(diào)聯(lián)邦政府幫助通信部門恢復(fù)在彈性方面發(fā)揮的領(lǐng)導(dǎo)作用。該機(jī)構(gòu)通過各種項(xiàng)目和服務(wù)，包括事件管理和信息共享，履行其對私營機(jī)構(gòu)所有者和運(yùn)營商的責(zé)任。盡管DHS建議每四年更新一次評估，但CISA并未對活動的有效性進(jìn)行評估，也沒有更新戰(zhàn)略行業(yè)指導(dǎo)文件。具體而言，從2015年開始的計(jì)劃缺乏關(guān)于通信行業(yè)新出現(xiàn)威脅的信息，例如通信技術(shù)供應(yīng)鏈的安全威脅。制定和發(fā)布更新的指南將使CISA能夠制定目標(biāo)、目的和優(yōu)先事項(xiàng)，以應(yīng)對行業(yè)面臨的威脅和風(fēng)險，并幫助履行行業(yè)風(fēng)險管理機(jī)構(gòu)的職責(zé)。因此，GAO向CISA提出了3項(xiàng)建議，包括該機(jī)構(gòu)評估向該行業(yè)提供的支持的有效性，并修訂行業(yè)計(jì)劃，以應(yīng)對現(xiàn)在和未來的威脅和風(fēng)險。

（5）能源方面。美國電網(wǎng)的配電系統(tǒng)主要由各州監(jiān)管，將電力從輸電系統(tǒng)輸送到消費(fèi)者手中，目前正面臨越來越大的網(wǎng)絡(luò)攻擊風(fēng)險。2019年8月，GAO報(bào)道稱，電網(wǎng)面臨各種網(wǎng)絡(luò)安全風(fēng)險。其注意到美國能源部（U.S. Department of Energy，DOE）制定了應(yīng)對這些風(fēng)險的計(jì)劃和評估，但沒有充分涉及國家戰(zhàn)略的所有關(guān)鍵特征。隨后，2021年3月，GAO報(bào)道稱，電網(wǎng)的配電系統(tǒng)仍然面臨各種網(wǎng)絡(luò)安全風(fēng)險，DOE所制定的計(jì)劃和評估并沒有完全解決電網(wǎng)配電系統(tǒng)的風(fēng)險。為了緩解以上問題，GAO建議DOE在實(shí)施國家電網(wǎng)網(wǎng)絡(luò)安全戰(zhàn)略的計(jì)劃中，應(yīng)更全面地解決電網(wǎng)配電系統(tǒng)面臨的網(wǎng)絡(luò)風(fēng)險。DOE同意GAO的建議，然而，截至2021年11月，該部并未實(shí)施GAO的建議。

總的來看，聯(lián)邦政府尚未解決GAO關(guān)于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的大部分建議。自2010年以來，GAO提出的相關(guān)建議共80條，截至2021年11月，還有50條建議沒能具體落實(shí)，在其中14條優(yōu)先建議中，11條未實(shí)現(xiàn)。GAO進(jìn)而提出，在相關(guān)建議未被全部實(shí)現(xiàn)以前，聯(lián)邦機(jī)構(gòu)將無法有效確保關(guān)鍵基礎(chǔ)設(shè)施的安全。

5 結(jié) 語

總之，聯(lián)邦政府需要以更大的緊迫感來應(yīng)對國家及其關(guān)鍵基礎(chǔ)設(shè)施面臨的嚴(yán)重網(wǎng)絡(luò)安全威脅。這將包括制定和執(zhí)行一項(xiàng)全面的國家戰(zhàn)略，并加強(qiáng)聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面的作用。在實(shí)現(xiàn)相關(guān)建議前，聯(lián)邦政府為國家關(guān)鍵基礎(chǔ)設(shè)施提供網(wǎng)絡(luò)安全有效支撐的能力將受到限制。