美國網絡安全績效審計及其對我國的啟示

劉一帆 葉戰備

[內容提要]網絡安全在當下已成為國家安全的重要組成部分。美國作為網絡強國對其網絡安全投入了大量的人力、物力和財力，為考核績效，美國政府問責局曾對國土安全部建立的國家網絡安全和通信整合中心進行了一次績效審計，以確定其履行其與法定的11個網絡安全相關職能的程度。在此過程中，政府問責局發現中心面臨有效履行網絡安全職能的障礙以及為履行職能而制定的原則也不確定是否得到有效實施。與此同時，美國政府問責局針對發現的問題提出了九項執行建議。筆者認為，美國網絡安全績效審計的這些做法對我國開展網絡安全績效審計提供了啟示。

[關鍵詞] 網絡安全 績效審計 美國

一、美國網絡安全績效審計的背景

近年來，通過網絡對美國重要基礎設施的聯邦系統的攻擊已變得更多、更具破壞性。美國政府問責局（GAO）在1997年首次將信息安全指定為政府范圍內的高風險領域。這個范圍在2003年擴大到包含關鍵網絡基礎設施的保護，在2015年又加入了個人身份信息隱私的保護。2009年，美國國土安全部（DHS）建立了一個集成中心，即國家網絡安全和通信整合中心（NCCIC），為各個聯邦和私營部門提供一個中心平臺以協調、應對和解決網絡威脅。2014年《國家網絡安全保護法》和2015年《網絡安全法》要求NCCIC按9項原則來執行11項網絡安全相關職能以解決聯邦和非聯邦實體的網絡安全風險和事件。

根據公認的政府審計標準，GA0于2016年1月至2017年2月進行了一次績效審計，目標為確定NCCIC履行其與法定的11個網絡安全相關職能的程度。這些標準要求計劃和實施審計工作以獲取足夠的適當證據，在審計目標的基礎上為調查結果和結論提供合理的依據。

二、美國網絡安全績效審計的過程

GAO分析了NCCIC的計劃描述、操作概念以及記錄每個中心組成部分如何運作的政策和程序以確定NCCIC的11個網絡安全職能的范圍。分析了美國計算機應急準備小組戰略行動計劃，工業控制系統—一網絡應急響應小組五年計劃（2015-2019）和國家協調中心2015年信息指南，以及描述其運營的NCCIC觀察樓的運營概念。

根據對這些信息的分析，初步制定了產品和服務清單并與官員進行了面談，從而確認了全部清單，進而確定該中心開發和傳播43種產品和服務。然后，收集并分析了每種產品和服務的實例以確定它們如何履行兩部法律確定的11項網絡安全職能。為制定問卷會見了NCCIC官員，確定了為客戶開展的包括發布和傳播43種產品和服務在內的活動并宣傳。

GAO將調查的目標人群定義為截至2016年6月8日，NCCIC確定的所有組織聯絡點或其他接觸過這些產品或服務、參與中心活動的個人。在刪除缺失、不完整、錯誤或重復的電子郵件地址的記錄后，樣本定為19293條記錄。于2016年8月2日至9月8日進行調查。

三、美國網絡安全績效審計的結論

雖然NCCIC已經采取措施履行網絡安全職能，但并未一直根據9項原則評估其執行情況。NCCIC并沒有充分保證原則完全符合法定要求并有效履行其網絡安全職能，因為它既沒有根據原則完全評估其職能履行情況，也沒有解決障礙。

1.NCCIC堅持貫徹落實網絡安全職能的原則尚不明確。NCCIC官員承認，他們沒有完全確定這些原則是否適用于所有功能。官員表示正在制定20項指標以衡量其組織各個組成部分的及時性、相關性和可操作性，但有很大困難。

2.NCCIC面臨阻礙其更有效地履行其網絡安全職能的障礙。《國家網絡安全保護法》要求NCCIC協調整個政府的信息共享并進行跨部門的協調以解決網絡安全風險和事件。《網絡安全法》要求NCCIC與其他相關機構協商，與國際合作伙伴進行接觸并合作，同時提高全球網絡安全的安全性。一是NCCIC官員無法完全跟蹤和整合向中心報告的網絡事件，阻礙了其協調整個政府信息共享的能力。在確定如何有效分享與整個政府網絡威脅指標、防御措施以及網絡安全風險和事件相關的信息方面均面臨挑戰。二是NCCIC的客戶聯系信息不都是最新的，因此影響了其運作能力。NCCIC官員無法證明他們有維持客戶聯系信息的正式流程，并承認捕捉這些數據的變化是一個挑戰。三是擁有關鍵網絡資產的聯邦和非聯邦機構的代表如果受到網絡攻擊，可能對國家造成災難性影響，但在NCCIC客戶日志中沒有充分表現。NCCIC官員無法證明他們有維持客戶聯系信息的正式內部流程。四是NCCIC分析師必須在多個網絡上進行操作，通常會手動將數據輸入到每個網絡，這會降低協調事件信息共享給客戶的響應速度并增加風險。NCCIC官員說正在努力解決這個障礙，但尚未制定實施計劃。

3.對該中心活動進行非普遍性調查的受訪者表示，他們在不同程度上使用了其產品和服務，有普遍正面的看法。他們有興趣但不確定如何獲得更多的NCCIC產品和服務。NCCIC未提供識別這些產品和服務的信息。NCCIC官員承認，客戶可能不知道某些產品和服務，因為并非所有的產品和服務都是針對每個客戶的。

總之，在NCCIC采取措施克服這些障礙之前，可能無法有效執行其網絡安全職能并協助聯邦和非聯邦實體識別基于網絡的威脅、減輕漏洞和管理網絡風險。

四、美國網絡安全績效審計的執行建議

為更充分地滿足2014年《國家網絡安全保護法》和2015年《網絡安全法》的要求，GAO建議國土安全部秘書采取以下九項行動。

一是確定法定要求的實施原則在多大程度上適用于NCCIC的網絡安全職能。二是制定評估遵守適用原則的指標，以便履行法定的職能。三是建立持續監督網絡安全職能實施的方法。四是整合有關安全事件的信息，為管理層提供有關NCCIC運營更完整的信息。五是確定減少、合并或修改用于與NCCIC交流的入口點的必要性，以便更好地確保正確記錄所有事故故障單。六是制定和實施程序對客戶信息進行定期審查，以確保其是最新且可靠。七是采取措施確保國家最重要的依賴網絡的基礎設施資產的所有者和運營商的充分代表性。八是確定整合NCCIC分析師使用的傳統網絡的計劃和時間框架，從而減少對手動數據輸入的需求。九是確定與國際合作伙伴合作的替代方法，同時確保系統的安全要求。

之后GAO收到了美國國土安全部的書面評論。該部門在評論中同意所有九項建議，還詳細說明了計劃采取哪些行動。如果這些建議得到有效實施，應該能提高NCCIC履行法定要求的效率效果。

五、美國網絡安全績效審計對我國的啟示

近年來，我國也面臨著越來越多的網絡安全問題，由于我國缺乏有效的網絡監管手段，受到的損失相當大，隱患也不容忽視。然而，我國對網絡安全這一方面缺乏合理有效的審計手段和方法，特別是績效審計很不健全。相對的，美國在績效審計方面卓有成效，工作范圍廣泛，有許多經驗可以借鑒，對我國網絡安全績效審計的開展可以有良好的推進作用。

一是可以參考美國績效審計的指標，主要包括及時性、品質、數量、效率等4個方面，通過綜合查核可有效協助審計人員進行完整深入的績效審計工作，GAO審計人員迅速展開行動，包括采訪工作人員、制定調查問卷、分析數據、得出結論并提出建議，兼具效率效果，節省審計資源。二是要遵守相關法律的規定，GAO審計人員在分析每種情況時都有《國家網絡安全保護法》和《網絡安全法》作為法律依據，這就意味著我國進行績效審計要建立在法律法規的基礎上，特別是《網絡安全法》。三是要提高審計人員素質，網絡安全用傳統的財務收支審計很難行得通，案例中并沒有涉及到財務收支審計而是用了績效審計，這對審計人員素質要求更高，而我國審計人員明顯缺乏相關能力。