美国政府问责局紧急呼吁！建立《国家网络安全战略》否则政府能力将严重受限

2019学术大礼包丨加入学术plus丨2018学术大礼包丨2017不可以错过的重磅报告们

2021年12月2日，美国政府问责局（GAO）发布报告《网络安全：更好保护国家关键基础设施迫切所需的国家行动》（Cybersecurity: Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure）。报告指出，联邦政府机构急需采取措施来更好地保护国家基础设施网络安全。本文对该报告中所列举的网络安全挑战与相关措施建议进行译介。

GAO：加强关键基础设施安全

编译：学术plus观察员 张涛

1.背景：美国关键信息系统危机重重，安全管理难度较大；近期美国基础设施网络安全事件频发（涉及燃油燃气管道，水处理厂工控系统，网络管理软件供应链等）

2.美国面临四大网络安全挑战：建立综合型国家战略；保护联邦系统信息安全；保护网络安全基础设施；保护隐私和敏感数据

3.关键基础设施网络安全要求：相关联邦法律和政策

4.迫切要办：建立和执行综合的国家网络安全战略；联邦政府需要加强其在保护关键基础设施安全中的作用

5.结语：呼吁政府对国家关键基础设施的网络安全威胁进行紧急回应，并采纳相关建议，否则将导致政府能力受限

1.事件频发

报告指出，包括交通系统、通信、教育、能源和金融服务等在内的信息系统正处于危险中，这些信息系统支撑着联邦机构和国家基础设施，十分重要，同时也具有高度复杂、技术多元、地理分散的特点。此外，联邦机构和国家基础设施使用的系统和网络常与其他内部和外部系统和网络互联，包括互联网。以上这些复杂性都会增加识别、管理和保护大量操作系统、应用、系统和网络中设备安全的难度。

近期，美国发生了多起基础设施网络安全事件，包括：

• 2021年5月，美国主要燃油、燃气管道运营商Colonial Pipeline运输公司遭遇勒索软件攻击；
• 2021年2月，CISA发布预警信息称攻击者获取美国水处理厂工控系统的非授权访问，并尝试在水处理过程中增加更多的化学物质；
• 2020年12月，CISA发布预警信息称APT攻击者成功入侵了网络管理软件套件的供应链，并成功植入了后门恶意软件。然后，攻击者使用植入的后门来发起针对美国政府机构、关键基础设施实体、私营结构的网络攻击活动。

2.网络安全挑战

如今，美国政府面临的四大网络安全挑战包括：

• 为国家网络安全和全球网络空间制定和执行更加综合性的国家战略
• 缓解全球供应链风险，比如恶意软硬件的安装
• 解决网络安全人才管理的挑战
• 确保如人工智能、物联网等新兴技术的安全性

• 改善政府范围内网络安全规划的实现
• 解决联邦机构信息安全项目的弱点

• 增强在关键基础设施安全保护中的联合角色

• 合理限制对个人信息的收集和使用，确保信息的收集和使用得到用户同意

3.安全要求

关键基础设施网络安全要求

联邦法律和政策中对关键基础设施网络安全保护的要求：

13636号行政命令：2013年2月，白宫发布增强关键基础设施网络安全的13636号行政命令。其中要求关键基础设施的所有者和运营者协作，以增强网络安全相关的信息共享。行政命令还指示美国国土安全局（DHS）识别、定期检查、更新关键基础设施单元清单。

主席政策指令21：2013年2月，白宫发布21号总统政策指令《关键基础设施安全和弹性》以进一步明确关键基础设施的保护的责任。指令要求DHS与牵头机构合作开发与关键基础设施安全和弹性相关的联邦政府的功能关系描述。

NIST网络安全框架：13636号行政命令要求NIST牵头开发一个灵活的基于性能的网络安全框架，其中包括标准、流程和过程集。

网络安全与基础设施安全机构（CISA）法案（2018）：2018年11月在DHS内成立CISA来增加保护联邦机构网络安全的使命，增强国家基础设施安全以更好应对所面临的物理和网络威胁。

2021财年国防授权法案：该法案确定了保护16个关键基础设施机构的牵头机构的角色和职责。根据该法案，牵头机构要：配合DHS与关键基础设施所有者和运营者、监管机构和其他机构协作；与CISA协作支持行业风险管理；与CISA协作进行行业风险评估；支持安全事件应急管理。

4.迫切要办

急需采取措施保护关键基础设施

过去几十年，GAO一直强调联邦政府急需采取措施来保护关键基础设施免受威胁。为应对主要的网络安全挑战，建议美国政府需要：制定和执行综合的国家网络安全战略，并增强保护关键基础设施网络安全的联合角色。

GAO曾建议国家安全委员会与相关的联邦实体协作来更新网络安全战略文件。但是，国家安全委员会对该建议没有表示同意或者不同意，也没有解决相关的网络威胁。

成立机构：直到2021年1月，《2021财年国防授权法案》中提出在总统办公室下设国家网络总监办公室。规定该机构职责为：白宫网络安全政策和战略的首席顾问，具体就包括国家网络政策和战略的协调和实施。2021年6月，参议院确认了这一部门。国家网络安全总监办公室的成立是联邦政府更好应对国家网络安全威胁和挑战以及执行监管的重要一步。

4.2 联邦政府需要加强其在保护关键基础设施安全中的作用

结 语

总的来看，联邦政府需要对国家和关键基础设施所面临的严重网络安全威胁进行更紧急的回应。其中包括制定和执行综合的国家战略和加强在保护关键基础设施网络安全方面的联合角色。在实现相关建议前，联邦政府为国家关键基础设施提供网络安全有效支撑的能力将受到限制。

张涛，学术plus高级观察员，专注研究人工智能产业技术与网络信息安全。

美国发布《网络安全指南》规范网络事件响应“全流程标准” 丨AI助力作战网络，美智库提出JADC2顶层架构建议丨2022财年美国军力预算与战略要点丨美陆军发布“统一网络计划”，备战多域战丨 美国《六大新兴军事技术》2021更新版！丨美国发布“后量子密码过渡”路线图 丨2019-2022财年美军电子战最新投资趋势丨紧急！拜登whole of nation网络安全计划 | 美国防部2022财年预算：将中国作为首要挑战，网络安全与作战预算超百亿美元 | 美国防部报告《国防导航能力》研究PNT 技术以弥补 GPS 的不足 | 5年，10亿，12个研究中心！美国最新数字发展战略汇总丨白宫消息！美国未来5大重点研发领域（全文）丨【Gartner】人工智能成熟度模型丨令美国闻风丧胆的5G网络究竟有哪些威胁？最新最全的“5G威胁图谱”来了！丨人工智能在国防领域的七大应用丨美国最新发布《国防部人工智能原则》看懂了吗？这就是军用AI的前期部署啊！丨美国国防部2019年消费账单出炉，竟频频打脸！丨欧盟发布《5G网络安全风险评估报告》，并未将中国列入威胁丨美国最新《2019空军人工智能战略》解析丨5G失利，美国想引领6G？丨美发布《5G市场份额和风险分析》简报丨【CNAS】美国战法转型丨欧盟AI发展不起来的原因丨我国的三艘航母丨特朗普签署《网络安全人才行政令》我国网络安全人才缺口超100万丨俄罗斯断网进行时，战斗种族也怕美国？丨欧盟最新《AI网络安全政策发展框架》丨中美AI竞赛，中国惜败？丨两会热点：人工智能立法丨美新一轮技术出口管制，或得不偿失丨美国国会发布《美国未来四大战略威胁》丨人工智能监管指南丨关于区块链你必须知道的：10个行业案例+核心问题与解决方案丨中美贸易战下，日本被这4个困境团团围住丨【Nature】如果AI可以预测和限制战争？丨【麦肯锡】政策制定者必读的AI报告：人工智能时代应解决这三件事丨美国发布《武器系统网络安全报告》丨欧盟发布国家网络安全战略评估工具，涵盖15个目标142个问题丨美国发布AI白皮书《机器崛起：人工智能及对美国政策不断增长的影响》丨网络战，没有规则！丨美国《国家网络安全应急措施》四大挑战与十项措施丨Deepfakes变脸术 竟成为美国国家安全的新威胁丨【布鲁金斯】2020-2040年军事技术变化预测丨【五眼情报联盟】最新发布：加密数据三原则丨机器学习的偏见丨牛津大学在思考：如何让AI成为一个好人？丨无人驾驶，法律你准备好了吗？

（全文完）

 来了快看：2019学术大礼包 

 点击领取：2018学术大礼包

来吧！加入学术plus

    声明：版权归原作者所有。文章观点不代表本机构立场。图片均来自于网络。

• 《中国电子科学研究院学报》欢迎各位专家、学者赐稿！

• 投稿链接 http://kjpl.cbpt.cnki.net
  

• 邮箱：dkyxuebao@vip.126.com