美国网络安全绩效审计及其对我国的启示

刘一帆 叶战备

[内容提要]网络安全在当下已成为国家安全的重要组成部分。美国作为网络强国对其网络安全投入了大量的人力、物力和财力，为考核绩效，美国政府问责局曾对国土安全部建立的国家网络安全和通信整合中心进行了一次绩效审计，以确定其履行其与法定的11个网络安全相关职能的程度。在此過程中，政府问责局发现中心面临有效履行网络安全职能的障碍以及为履行职能而制定的原则也不确定是否得到有效实施。与此同时，美国政府问责局针对发现的问题提出了九项执行建议。笔者认为，美国网络安全绩效审计的这些做法对我国开展网络安全绩效审计提供了启示。

[关键词] 网络安全 绩效审计 美国

一、美国网络安全绩效审计的背景

近年来，通过网络对美国重要基础设施的联邦系统的攻击已变得更多、更具破坏性。美国政府问责局（GAO）在1997年首次将信息安全指定为政府范围内的高风险领域。这个范围在2003年扩大到包含关键网络基础设施的保护，在2015年又加入了个人身份信息隐私的保护。2009年，美国国土安全部（DHS）建立了一个集成中心，即国家网络安全和通信整合中心（NCCIC），为各个联邦和私营部门提供一个中心平台以协调、应对和解决网络威胁。2014年《国家网络安全保护法》和2015年《网络安全法》要求NCCIC按9项原则来执行11项网络安全相关职能以解决联邦和非联邦实体的网络安全风险和事件。

根据公认的政府审计标准，GA0于2016年1月至2017年2月进行了一次绩效审计，目标为确定NCCIC履行其与法定的11个网络安全相关职能的程度。这些标准要求计划和实施审计工作以获取足够的适当证据，在审计目标的基础上为调查结果和结论提供合理的依据。

二、美国网络安全绩效审计的过程

GAO分析了NCCIC的计划描述、操作概念以及记录每个中心组成部分如何运作的政策和程序以确定NCCIC的11个网络安全职能的范围。分析了美国计算机应急准备小组战略行动计划，工业控制系统—一网络应急响应小组五年计划（2015-2019）和国家协调中心2015年信息指南，以及描述其运营的NCCIC观察楼的运营概念。

根据对这些信息的分析，初步制定了产品和服务清单并与官员进行了面谈，从而确认了全部清单，进而确定该中心开发和传播43种产品和服务。然后，收集并分析了每种产品和服务的实例以确定它们如何履行两部法律确定的11项网络安全职能。为制定问卷会见了NCCIC官员，确定了为客户开展的包括发布和传播43种产品和服务在内的活动并宣传。

GAO将调查的目标人群定义为截至2016年6月8日，NCCIC确定的所有组织联络点或其他接触过这些产品或服务、参与中心活动的个人。在删除缺失、不完整、错误或重复的电子邮件地址的记录后，样本定为19293条记录。于2016年8月2日至9月8日进行调查。

三、美国网络安全绩效审计的结论

虽然NCCIC已经采取措施履行网络安全职能，但并未一直根据9项原则评估其执行情况。NCCIC并没有充分保证原则完全符合法定要求并有效履行其网络安全职能，因为它既没有根据原则完全评估其职能履行情况，也没有解决障碍。

1.NCCIC坚持贯彻落实网络安全职能的原则尚不明确。NCCIC官员承认，他们没有完全确定这些原则是否适用于所有功能。官员表示正在制定20项指标以衡量其组织各个组成部分的及时性、相关性和可操作性，但有很大困难。

2.NCCIC面临阻碍其更有效地履行其网络安全职能的障碍。《国家网络安全保护法》要求NCCIC协调整个政府的信息共享并进行跨部门的协调以解决网络安全风险和事件。《网络安全法》要求NCCIC与其他相关机构协商，与国际合作伙伴进行接触并合作，同时提高全球网络安全的安全性。一是NCCIC官员无法完全跟踪和整合向中心报告的网络事件，阻碍了其协调整个政府信息共享的能力。在确定如何有效分享与整个政府网络威胁指标、防御措施以及网络安全风险和事件相关的信息方面均面临挑战。二是NCCIC的客户联系信息不都是最新的，因此影响了其运作能力。NCCIC官员无法证明他们有维持客户联系信息的正式流程，并承认捕捉这些数据的变化是一个挑战。三是拥有关键网络资产的联邦和非联邦机构的代表如果受到网络攻击，可能对国家造成灾难性影响，但在NCCIC客户日志中没有充分表现。NCCIC官员无法证明他们有维持客户联系信息的正式内部流程。四是NCCIC分析师必须在多个网络上进行操作，通常会手动将数据输入到每个网络，这会降低协调事件信息共享给客户的响应速度并增加风险。NCCIC官员说正在努力解决这个障碍，但尚未制定实施计划。

3.对该中心活动进行非普遍性调查的受访者表示，他们在不同程度上使用了其产品和服务，有普遍正面的看法。他们有兴趣但不确定如何获得更多的NCCIC产品和服务。NCCIC未提供识别这些产品和服务的信息。NCCIC官员承认，客户可能不知道某些产品和服务，因为并非所有的产品和服务都是针对每个客户的。

总之，在NCCIC采取措施克服这些障碍之前，可能无法有效执行其网络安全职能并协助联邦和非联邦实体识别基于网络的威胁、减轻漏洞和管理网络风险。

四、美国网络安全绩效审计的执行建议

为更充分地满足2014年《国家网络安全保护法》和2015年《网络安全法》的要求，GAO建议国土安全部秘书采取以下九项行动。

一是确定法定要求的实施原则在多大程度上适用于NCCIC的网络安全职能。二是制定评估遵守适用原则的指标，以便履行法定的职能。三是建立持续监督网络安全职能实施的方法。四是整合有关安全事件的信息，为管理层提供有关NCCIC运营更完整的信息。五是确定减少、合并或修改用于与NCCIC交流的入口点的必要性，以便更好地确保正确记录所有事故故障单。六是制定和实施程序对客户信息进行定期审查，以确保其是最新且可靠。七是采取措施确保国家最重要的依赖网络的基础设施资产的所有者和运营商的充分代表性。八是确定整合NCCIC分析师使用的传统网络的计划和时间框架，从而减少对手动数据输入的需求。九是确定与国际合作伙伴合作的替代方法，同时确保系统的安全要求。

之后GAO收到了美国国土安全部的书面评论。该部门在评论中同意所有九项建议，还详细说明了计划采取哪些行动。如果这些建议得到有效实施，应该能提高NCCIC履行法定要求的效率效果。

五、美国网络安全绩效审计对我国的启示

近年来，我国也面临着越来越多的网络安全问题，由于我国缺乏有效的网络监管手段，受到的损失相当大，隐患也不容忽视。然而，我国对网络安全这一方面缺乏合理有效的审计手段和方法，特别是绩效审计很不健全。相对的，美国在绩效审计方面卓有成效，工作范围广泛，有许多经验可以借鉴，对我国网络安全绩效审计的开展可以有良好的推进作用。

一是可以参考美国绩效审计的指标，主要包括及时性、品质、数量、效率等4个方面，通过综合查核可有效协助审计人员进行完整深入的绩效审计工作，GAO审计人员迅速展开行动，包括采访工作人员、制定调查问卷、分析数据、得出结论并提出建议，兼具效率效果，节省审计资源。二是要遵守相关法律的规定，GAO审计人员在分析每种情况时都有《国家网络安全保护法》和《网络安全法》作为法律依据，这就意味着我国进行绩效审计要建立在法律法规的基础上，特别是《网络安全法》。三是要提高审计人员素质，网络安全用传统的财务收支审计很难行得通，案例中并没有涉及到财务收支审计而是用了绩效审计，这对审计人员素质要求更高，而我国审计人员明显缺乏相关能力。