美國關鍵基礎設施網絡安全審計啟示

◆李璨融 崔竹/審計署審計科研所

2021年5月7日，全美最大成品油輸送管道運營商科洛尼爾管道公司網絡系統遭黑客勒索軟件攻擊，被迫全面暫停運營。這一事件導致為美國東海岸供應45%的汽油、柴油、航空燃料的輸油主干線中斷，美國東南部各州迅速出現大規模油料短缺。5月9日晚，美國能源部宣布17個受影響的州及華盛頓特區進入緊急狀態，解除多項對公路運油的限制，以緩解燃油短缺狀況。5月13日，該公司最終支付了近500萬美元的贖金以恢復被攻擊的系統，但缺油的狀況仍未立即得到解決。這一事件凸顯了關鍵基礎設施的重要性與脆弱性。

本文以“關鍵基礎設施保護”為關鍵詞對美國審計署的審計報告及證詞進行檢索，選擇較有代表性的關鍵領域如石油、電力、金融和港口等開展的防范網絡攻擊能力專項審計情況，以及整體防護能力建設，如戰略制定，威脅識別確認，分析、預警及應對能力建設，信息共享，信息系統可靠性等方面審計報告及證詞18篇進行梳理，以期對我國開展相關審計工作提供參考借鑒。

一、美國關鍵基礎設施網絡安全法律體系及監管要求

美國政府通過制定出臺一系列的法律建立了網絡安全法律體系并明確監管要求。1998年，第63號總統令要求在聯邦調查局內部建立國家關鍵基礎設施保護中心（NIPC），負責協調聯邦政府應急響應、調查威脅和監督恢復等工作；同時要求私營企業建立信息共享和分析中心（ISAC），負責收集、分析和共享其成員間的安全事件信息和應對信息，促成政府和私營企業之間在關鍵基礎設施保護方面的信息共享。

2002年，美國政府出臺《國土安全法》，組建國土安全部，并規定由國土安全部負責保護國家關鍵基礎設施，確立了國土安全部牽頭，各相關機構和部門負責本領域關鍵基礎設施保護的格局，并要求各行業設立信息共享和分析的專職機構，負責整合、分析和披露關鍵基礎設施信息。但是隨著信息系統運用的普及，關鍵基礎設施的信息系統遭受網絡攻擊的可能性也大大增加。同年《聯邦信息安全管理法》(FISMA)明確了聯邦政府網絡安全保護的角色和職責，并要求各聯邦機構制定、記錄和實施信息安全計劃。

2014年，美國政府出臺《聯邦信息安全現代化法》（FISMA2014），明確并更新管理與預算辦公室、國土安全部對聯邦機構信息安全的管理職責和權限。同年出臺的《聯邦網絡安全增強法》要求美國標準和技術協會(NIST)確定和開發關鍵基礎設施所有者和運營商自愿使用的網絡安全風險框架。2014年2月，NIST為響應國會有關加強聯邦網絡和關鍵基礎設施網絡安全的13636號行政命令以及相關法律要求，發布了《關鍵基礎設施網絡安全框架》(FICIC)。雖然該框架被定義為網絡安全標準和行業自愿采用的框架，但2014年出臺的《聯邦網絡安全加強法》要求美國審計署對各關鍵基礎設施采用FICIC的網絡安全標準和程序情況開展審計。2017年，國會更明確要求各聯邦機構使用FICIC來管理聯邦機構的網絡安全風險。

二、美國審計署對主要關鍵基礎設施領域網絡安全審計情況

美國審計署長期以來持續關注關鍵基礎設施保護情況。自1998年第63號總統令要求政府機構和私營企業建立專職機構收集、分析和共享關鍵基礎設施網絡安全的信息以來，美國審計署持續20余年開展了針對關鍵基礎設施網絡安全相關的審計。本文對有代表性的石油、電力、金融和港口等領域關鍵基礎設施網絡安全審計情況進行介紹。

（一）針對石油領域關鍵基礎設施網絡安全的審計。

美國審計署于2019年發布3篇審計報告及證詞（GAO-19-426，GAO-19-542T，GAO-19-48），對負責能源領域關鍵基礎設施安全保護的運輸安全管理局（TSA）開展審計，主要聚焦可能發生的針對油氣管線的網絡襲擊。審計發現，雖然TSA發布了管道安全準則，將一部分管線定義為“關鍵設施”，需要額外進行保護,但該準則缺乏明確的指向，如未明確“關鍵設施”的定義。這導致了美國境內油氣運輸量排名前100的管道系統中，至少有34個受攻擊風險較高的管道系統未被確定為關鍵設施。

TSA于2010年3月發布的《管道安全和事故恢復協議計劃》明確了聯邦機構和私營部門與管道安全事件相關的角色和責任。例如，針對管道安全事件，TSA協調聯邦和管道運營商之間的信息共享，管道和危險物質安全管理局(PHMSA)與管道運營商確定雙方職責及事后的修復工作。但是，該計劃未包含管道管理網絡安全威脅應對、安全事件應對標準流程和接入國土安全部的恐怖主義警報系統等3個關鍵領域。截至2019年接受審計時，該計劃自2010年發布之后從未進行過更新，無法跟上管道安全保護的新形勢。

美國審計署向TSA提出了更新管道風險評估方法、修訂TSA的管道安全準則等10項建議，國土安全部表示同意。但從開篇提到的科洛尼爾公司因勒索軟件攻擊導致全面暫停運營事件看，審計發現的問題仍未整改到位。

（二）針對電力領域關鍵基礎設施網絡安全的審計。

美國審計署就電力基礎設施網絡安全開展過3次專項審計，重點關注電力基礎設施存在的風險隱患以及相關標準要求的落實兩個方面。其中風險隱患方面，美國審計署發現以下6方面的問題。一是網絡安全標準的實施情況不佳。聯邦能源管理委員會沒有與其他監管機構協調制定制度來監測電力行業遵守智能電網標準以及網絡安全標準等非強制標準的情況。二是監管責任不明確。智能電網技術的普及可能會模糊聯邦或州傳統監管范圍之間的界限。此外，監管機構在不斷變化的網絡安全形勢下無法應對可能的網絡攻擊威脅。三是對網絡安全缺乏全面的控制措施。電力行業（如公用事業）的實體往往側重于僅僅遵守法律規定的最低要求，沒有按照更高標準采取全面有效的控制措施。四是智能電網系統內置的安全功能欠缺。一部分智能電網設備（例如儀表）并不具備記錄系統數據或網絡活動等對檢測和分析攻擊非常重要的關鍵安全功能。五是沒能有效共享網絡安全信息。電力行業沒有有效共享網絡安全漏洞、事件、威脅和最佳實踐信息的途徑。六是未建立網絡安全指標。電力行業缺乏足夠的指標來確定網絡安全投資在多大程度上改善了智能電網系統的安全性。

審計還發現，雖然能源部制定了計劃并對電網基礎設施的網絡安全風險進行了評估，但并沒有完全滿足相關國家戰略的要求。具體來說，雖然能源部開展了風險評估，但評估方法存在重大限制，僅覆蓋了1980年前后已經存在的電力基礎設施，致使評估結果對防范網絡攻擊的指導意義存在缺陷；作為州際輸電設施監管機構，聯邦能源管理委員會已經批準執行強制性的電網網絡安全標準，但未能確保這些標準完全滿足聯邦對關鍵基礎設施網絡安全要求，特別是NIST出臺的網絡安全框架。此外，聯邦能源管理委員會要求電網運營實體遵守全套網絡安全標準，但這一要求沒有評估對電網基礎設施跨地域進行組合網絡攻擊的風險。應對這種攻擊可能比應對局部攻擊更加困難，聯邦能源管理委員會無法保證其批準的強制性合規要求能夠充分應對這一風險。

（三）針對金融領域關鍵基礎設施網絡安全的審計。

美國審計署就金融領域關鍵基礎設施網絡安全開展過2次審計。2020年，美國審計署就金融領域應對關鍵基礎設施主要網絡風險采取的主要措施，財政部關于加強金融領域網絡安全水平和恢復能力采取的行動等目標開展了審計。審計確定了金融行業關鍵基礎設施面臨的主要網絡風險包括：數據可能通過信息技術服務提供商和供應鏈合作伙伴渠道失竊；通過制作、傳播惡意軟件造成破壞；公共或私營基礎設施可能通過網絡、云和移動應用設備存在的漏洞遭到攻擊。

一些行業團體和公司已經采取行動，包括通過成立理事會對接金融系統分析和復原中心等職能機構在部門間進行協調，開展全行業攻擊應對演習，分享威脅和薄弱環節信息，制定和提供風險評估指導，以及提供與網絡安全有關的培訓等一系列網絡安全保障工作，加強美國金融服務部門的安全性和遭受攻擊后的恢復能力。

國土安全部、財政部和聯邦金融監管機構也采取多種措施，提升網絡安全和復原能力水平。如普及網絡安全專業知識，并開展與網絡事件響應和恢復相關的模擬演習。財政部作為金融部門指定的基礎設施保護牽頭機構，在加強金融領域網絡安全和復原能力方面發揮著關鍵作用。

審計發現，財政部沒有根據該部門為加強網絡安全和復原能力制定的目標進行跟蹤或確定不同目標之間的優先順序；也沒有充分執行美國審計署在先前的審計中提出的確定風險防范重要性和工作成果指標體系的審計建議。此外，財政部于2016年制定的工作計劃已經不能滿足2019年國家網絡戰略實施計劃中對基礎設施保護牽頭部門的要求，導致該部門無法防范可能發生的網絡攻擊等潛在風險。

針對審計發現，美國審計署向財政部提出了確定網絡風險應對措施的優先級順序，明確指標體系，根據《國家網絡戰略實施計劃》提出的目標和要求更新工作計劃等審計建議。

（四）針對港口等運輸系統關鍵基礎設施網絡安全的審計。

美國審計署于2014年和2016年2次關注了港口等運輸基礎設施的網絡安全。審計發現，海岸警衛隊作為主要負責機構，并沒有對港口可能受到的網絡攻擊威脅、系統中存在的安全漏洞以及網絡攻擊可能帶來的后果進行充分評估，因而無法適當規劃和分配用來保護港口及其他海事設施的資源；各相關機構在信息共享方面并不通暢，無法協調各方力量防范網絡攻擊威脅；2013年起，聯邦緊急事務管理局加大了港口等海事運輸基礎設施網絡安全方面的投入，但由于缺乏完整的風險評估，難以確保資金運用到最有效的領域及方向。

美國審計署向海岸警衛隊提出了將網絡安全風險納入風險評估體系和安全指導規劃、建立部門協調委員會等審計建議，并建議聯邦緊急事務管理局在撥款時充分參考相關專業人士意見并全面評估安全風險。在2015年就同一事項再次開展審計時，美國審計署發現，上述部門已經部分落實了相關審計建議。

三、幾點啟示

隨著大數據時代的到來，各行各業紛紛投入數字化轉型，信息化、數字化程度越來越高。與此同時，極具價值的海量信息也吸引了越來越多的攻擊者。以比特幣為代表的匿名支付手段和匿名通信網絡被黑客用于搭建勒索服務器和收取贖金，讓追蹤溯源的難度不斷增加。

（一）關注是否及時依法認定關鍵基礎設施。

在對重要行業和領域的主管、監管部門開展審計時，應重點關注是否根據本行業、領域特點制定關鍵基礎設施認定規則，是否及時、準確根據規則認定本行業、本領域關鍵信息基礎設施并報公安部備案；并應重點關注是否建立關鍵基礎設施清單動態調整機制，在有關設施、信息系統發生足以影響認定結果的重大變化時，及時重新認定。

（二）加強重要數據和個人信息保護。

重點關鍵基礎設施運營者是否建立并落實重要數據和個人信息安全保護制度，是否對關鍵基礎設施中的重要網絡和數據進行容災備份，并采取各種技術措施切實保護重要數據全生命周期安全。還應重點關注運營者在境內運營中收集和產生的個人信息和重要數據是否在境內存儲，向境外提供時是否遵守相關規定并進行安全評估。

（三）關注預防、應對和處置網絡攻擊能力建設。

在審計中，應關注各有關單位、部門的網絡監測水平，落實各項常態化措施，切實提升預防、應對和處置網絡攻擊的能力。一是關注網絡安全監測，對關鍵信息基礎設施、重要網絡等開展實時監測，及時發現網絡攻擊和安全威脅。二是關注各行業主管部門、網絡運營者依托國家網絡與信息安全信息通報機制，加強本行業、本領域網絡安全信息通報預警力量建設，及時收集、匯總、分析各方網絡安全信息，加強威脅情報收集工作，組織開展網絡安全威脅分析和態勢研判，及時通報預警和處置。三是關注各有關單位、部門是否按照國家有關要求制定網絡安全應急預案，加強網絡安全應急力量建設和應急資源儲備，能否與公安機關密切配合，建立網絡安全事件報告制度和應急處置機制，有效處置網絡安全事件，并針對應急演練中發現的突出問題和漏洞隱患，及時整改加固，完善保護措施。