2021年12月2日,美国政府问责局(GAO)发布报告《网络安全:更好保护国家关键基础设施迫切所需的国家行动》(Cybersecurity: Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure)。报告指出,联邦政府机构急需采取措施来更好地保护国家基础设施网络安全。本文对该报告中所列举的网络安全挑战与相关措施建议进行译介。 GAO:加强关键基础设施安全 编译:学术plus观察员 张涛 1.背景:美国关键信息系统危机重重,安全管理难度较大;近期美国基础设施网络安全事件频发(涉及燃油燃气管道,水处理厂工控系统,网络管理软件供应链等) 2.美国面临四大网络安全挑战:建立综合型国家战略;保护联邦系统信息安全;保护网络安全基础设施;保护隐私和敏感数据 3.关键基础设施网络安全要求:相关联邦法律和政策 4.迫切要办:建立和执行综合的国家网络安全战略;联邦政府需要加强其在保护关键基础设施安全中的作用 5.结语:呼吁政府对国家关键基础设施的网络安全威胁进行紧急回应,并采纳相关建议,否则将导致政府能力受限 报告指出,包括交通系统、通信、教育、能源和金融服务等在内的信息系统正处于危险中,这些信息系统支撑着联邦机构和国家基础设施,十分重要,同时也具有高度复杂、技术多元、地理分散的特点。此外,联邦机构和国家基础设施使用的系统和网络常与其他内部和外部系统和网络互联,包括互联网。以上这些复杂性都会增加识别、管理和保护大量操作系统、应用、系统和网络中设备安全的难度。 近期,美国发生了多起基础设施网络安全事件,包括:
如今,美国政府面临的四大网络安全挑战包括:
关键基础设施网络安全要求 联邦法律和政策中对关键基础设施网络安全保护的要求: 13636号行政命令:2013年2月,白宫发布增强关键基础设施网络安全的13636号行政命令。其中要求关键基础设施的所有者和运营者协作,以增强网络安全相关的信息共享。行政命令还指示美国国土安全局(DHS)识别、定期检查、更新关键基础设施单元清单。 急需采取措施保护关键基础设施 过去几十年,GAO一直强调联邦政府急需采取措施来保护关键基础设施免受威胁。为应对主要的网络安全挑战,建议美国政府需要:制定和执行综合的国家网络安全战略,并增强保护关键基础设施网络安全的联合角色。 GAO曾建议国家安全委员会与相关的联邦实体协作来更新网络安全战略文件。但是,国家安全委员会对该建议没有表示同意或者不同意,也没有解决相关的网络威胁。 成立机构:直到2021年1月,《2021财年国防授权法案》中提出在总统办公室下设国家网络总监办公室。规定该机构职责为:白宫网络安全政策和战略的首席顾问,具体就包括国家网络政策和战略的协调和实施。2021年6月,参议院确认了这一部门。国家网络安全总监办公室的成立是联邦政府更好应对国家网络安全威胁和挑战以及执行监管的重要一步。 4.2 联邦政府需要加强其在保护关键基础设施安全中的作用 总的来看,联邦政府需要对国家和关键基础设施所面临的严重网络安全威胁进行更紧急的回应。其中包括制定和执行综合的国家战略和加强在保护关键基础设施网络安全方面的联合角色。在实现相关建议前,联邦政府为国家关键基础设施提供网络安全有效支撑的能力将受到限制。 |
|