美国关键基础设施网络安全审计启示

◆李璨融 崔竹/审计署审计科研所

2021年5月7日，全美最大成品油输送管道运营商科洛尼尔管道公司网络系统遭黑客勒索软件攻击，被迫全面暂停运营。这一事件导致为美国东海岸供应45%的汽油、柴油、航空燃料的输油主干线中断，美国东南部各州迅速出现大规模油料短缺。5月9日晚，美国能源部宣布17个受影响的州及华盛顿特区进入紧急状态，解除多项对公路运油的限制，以缓解燃油短缺状况。5月13日，该公司最终支付了近500万美元的赎金以恢复被攻击的系统，但缺油的状况仍未立即得到解决。这一事件凸显了关键基础设施的重要性与脆弱性。

本文以“关键基础设施保护”为关键词对美国审计署的审计报告及证词进行检索，选择较有代表性的关键领域如石油、电力、金融和港口等开展的防范网络攻击能力专项审计情况，以及整体防护能力建设，如战略制定，威胁识别确认，分析、预警及应对能力建设，信息共享，信息系统可靠性等方面审计报告及证词18篇进行梳理，以期对我国开展相关审计工作提供参考借鉴。

一、美国关键基础设施网络安全法律体系及监管要求

美国政府通过制定出台一系列的法律建立了网络安全法律体系并明确监管要求。1998年，第63号总统令要求在联邦调查局内部建立国家关键基础设施保护中心（NIPC），负责协调联邦政府应急响应、调查威胁和监督恢复等工作；同时要求私营企业建立信息共享和分析中心（ISAC），负责收集、分析和共享其成员间的安全事件信息和应对信息，促成政府和私营企业之间在关键基础设施保护方面的信息共享。

2002年，美国政府出台《国土安全法》，组建国土安全部，并规定由国土安全部负责保护国家关键基础设施，确立了国土安全部牵头，各相关机构和部门负责本领域关键基础设施保护的格局，并要求各行业设立信息共享和分析的专职机构，负责整合、分析和披露关键基础设施信息。但是随着信息系统运用的普及，关键基础设施的信息系统遭受网络攻击的可能性也大大增加。同年《联邦信息安全管理法》(FISMA)明确了联邦政府网络安全保护的角色和职责，并要求各联邦机构制定、记录和实施信息安全计划。

2014年，美国政府出台《联邦信息安全现代化法》（FISMA2014），明确并更新管理与预算办公室、国土安全部对联邦机构信息安全的管理职责和权限。同年出台的《联邦网络安全增强法》要求美国标准和技术协会(NIST)确定和开发关键基础设施所有者和运营商自愿使用的网络安全风险框架。2014年2月，NIST为响应国会有关加强联邦网络和关键基础设施网络安全的13636号行政命令以及相关法律要求，发布了《关键基础设施网络安全框架》(FICIC)。虽然该框架被定义为网络安全标准和行业自愿采用的框架，但2014年出台的《联邦网络安全加强法》要求美国审计署对各关键基础设施采用FICIC的网络安全标准和程序情况开展审计。2017年，国会更明确要求各联邦机构使用FICIC来管理联邦机构的网络安全风险。

二、美国审计署对主要关键基础设施领域网络安全审计情况

美国审计署长期以来持续关注关键基础设施保护情况。自1998年第63号总统令要求政府机构和私营企业建立专职机构收集、分析和共享关键基础设施网络安全的信息以来，美国审计署持续20余年开展了针对关键基础设施网络安全相关的审计。本文对有代表性的石油、电力、金融和港口等领域关键基础设施网络安全审计情况进行介绍。

（一）针对石油领域关键基础设施网络安全的审计。

美国审计署于2019年发布3篇审计报告及证词（GAO-19-426，GAO-19-542T，GAO-19-48），对负责能源领域关键基础设施安全保护的运输安全管理局（TSA）开展审计，主要聚焦可能发生的针对油气管线的网络袭击。审计发现，虽然TSA发布了管道安全准则，将一部分管线定义为“关键设施”，需要额外进行保护,但该准则缺乏明确的指向，如未明确“关键设施”的定义。这导致了美国境内油气运输量排名前100的管道系统中，至少有34个受攻击风险较高的管道系统未被确定为关键设施。

TSA于2010年3月发布的《管道安全和事故恢复协议计划》明确了联邦机构和私营部门与管道安全事件相关的角色和责任。例如，针对管道安全事件，TSA协调联邦和管道运营商之间的信息共享，管道和危险物质安全管理局(PHMSA)与管道运营商确定双方职责及事后的修复工作。但是，该计划未包含管道管理网络安全威胁应对、安全事件应对标准流程和接入国土安全部的恐怖主义警报系统等3个关键领域。截至2019年接受审计时，该计划自2010年发布之后从未进行过更新，无法跟上管道安全保护的新形势。

美国审计署向TSA提出了更新管道风险评估方法、修订TSA的管道安全准则等10项建议，国土安全部表示同意。但从开篇提到的科洛尼尔公司因勒索软件攻击导致全面暂停运营事件看，审计发现的问题仍未整改到位。

（二）针对电力领域关键基础设施网络安全的审计。

美国审计署就电力基础设施网络安全开展过3次专项审计，重点关注电力基础设施存在的风险隐患以及相关标准要求的落实两个方面。其中风险隐患方面，美国审计署发现以下6方面的问题。一是网络安全标准的实施情况不佳。联邦能源管理委员会没有与其他监管机构协调制定制度来监测电力行业遵守智能电网标准以及网络安全标准等非强制标准的情况。二是监管责任不明确。智能电网技术的普及可能会模糊联邦或州传统监管范围之间的界限。此外，监管机构在不断变化的网络安全形势下无法应对可能的网络攻击威胁。三是对网络安全缺乏全面的控制措施。电力行业（如公用事业）的实体往往侧重于仅仅遵守法律规定的最低要求，没有按照更高标准采取全面有效的控制措施。四是智能电网系统内置的安全功能欠缺。一部分智能电网设备（例如仪表）并不具备记录系统数据或网络活动等对检测和分析攻击非常重要的关键安全功能。五是没能有效共享网络安全信息。电力行业没有有效共享网络安全漏洞、事件、威胁和最佳实践信息的途径。六是未建立网络安全指标。电力行业缺乏足够的指标来确定网络安全投资在多大程度上改善了智能电网系统的安全性。

审计还发现，虽然能源部制定了计划并对电网基础设施的网络安全风险进行了评估，但并没有完全满足相关国家战略的要求。具体来说，虽然能源部开展了风险评估，但评估方法存在重大限制，仅覆盖了1980年前后已经存在的电力基础设施，致使评估结果对防范网络攻击的指导意义存在缺陷；作为州际输电设施监管机构，联邦能源管理委员会已经批准执行强制性的电网网络安全标准，但未能确保这些标准完全满足联邦对关键基础设施网络安全要求，特别是NIST出台的网络安全框架。此外，联邦能源管理委员会要求电网运营实体遵守全套网络安全标准，但这一要求没有评估对电网基础设施跨地域进行组合网络攻击的风险。应对这种攻击可能比应对局部攻击更加困难，联邦能源管理委员会无法保证其批准的强制性合规要求能够充分应对这一风险。

（三）针对金融领域关键基础设施网络安全的审计。

美国审计署就金融领域关键基础设施网络安全开展过2次审计。2020年，美国审计署就金融领域应对关键基础设施主要网络风险采取的主要措施，财政部关于加强金融领域网络安全水平和恢复能力采取的行动等目标开展了审计。审计确定了金融行业关键基础设施面临的主要网络风险包括：数据可能通过信息技术服务提供商和供应链合作伙伴渠道失窃；通过制作、传播恶意软件造成破坏；公共或私营基础设施可能通过网络、云和移动应用设备存在的漏洞遭到攻击。

一些行业团体和公司已经采取行动，包括通过成立理事会对接金融系统分析和复原中心等职能机构在部门间进行协调，开展全行业攻击应对演习，分享威胁和薄弱环节信息，制定和提供风险评估指导，以及提供与网络安全有关的培训等一系列网络安全保障工作，加强美国金融服务部门的安全性和遭受攻击后的恢复能力。

国土安全部、财政部和联邦金融监管机构也采取多种措施，提升网络安全和复原能力水平。如普及网络安全专业知识，并开展与网络事件响应和恢复相关的模拟演习。财政部作为金融部门指定的基础设施保护牵头机构，在加强金融领域网络安全和复原能力方面发挥着关键作用。

审计发现，财政部没有根据该部门为加强网络安全和复原能力制定的目标进行跟踪或确定不同目标之间的优先顺序；也没有充分执行美国审计署在先前的审计中提出的确定风险防范重要性和工作成果指标体系的审计建议。此外，财政部于2016年制定的工作计划已经不能满足2019年国家网络战略实施计划中对基础设施保护牵头部门的要求，导致该部门无法防范可能发生的网络攻击等潜在风险。

针对审计发现，美国审计署向财政部提出了确定网络风险应对措施的优先级顺序，明确指标体系，根据《国家网络战略实施计划》提出的目标和要求更新工作计划等审计建议。

（四）针对港口等运输系统关键基础设施网络安全的审计。

美国审计署于2014年和2016年2次关注了港口等运输基础设施的网络安全。审计发现，海岸警卫队作为主要负责机构，并没有对港口可能受到的网络攻击威胁、系统中存在的安全漏洞以及网络攻击可能带来的后果进行充分评估，因而无法适当规划和分配用来保护港口及其他海事设施的资源；各相关机构在信息共享方面并不通畅，无法协调各方力量防范网络攻击威胁；2013年起，联邦紧急事务管理局加大了港口等海事运输基础设施网络安全方面的投入，但由于缺乏完整的风险评估，难以确保资金运用到最有效的领域及方向。

美国审计署向海岸警卫队提出了将网络安全风险纳入风险评估体系和安全指导规划、建立部门协调委员会等审计建议，并建议联邦紧急事务管理局在拨款时充分参考相关专业人士意见并全面评估安全风险。在2015年就同一事项再次开展审计时，美国审计署发现，上述部门已经部分落实了相关审计建议。

三、几点启示

随着大数据时代的到来，各行各业纷纷投入数字化转型，信息化、数字化程度越来越高。与此同时，极具价值的海量信息也吸引了越来越多的攻击者。以比特币为代表的匿名支付手段和匿名通信网络被黑客用于搭建勒索服务器和收取赎金，让追踪溯源的难度不断增加。

（一）关注是否及时依法认定关键基础设施。

在对重要行业和领域的主管、监管部门开展审计时，应重点关注是否根据本行业、领域特点制定关键基础设施认定规则，是否及时、准确根据规则认定本行业、本领域关键信息基础设施并报公安部备案；并应重点关注是否建立关键基础设施清单动态调整机制，在有关设施、信息系统发生足以影响认定结果的重大变化时，及时重新认定。

（二）加强重要数据和个人信息保护。

重点关键基础设施运营者是否建立并落实重要数据和个人信息安全保护制度，是否对关键基础设施中的重要网络和数据进行容灾备份，并采取各种技术措施切实保护重要数据全生命周期安全。还应重点关注运营者在境内运营中收集和产生的个人信息和重要数据是否在境内存储，向境外提供时是否遵守相关规定并进行安全评估。

（三）关注预防、应对和处置网络攻击能力建设。

在审计中，应关注各有关单位、部门的网络监测水平，落实各项常态化措施，切实提升预防、应对和处置网络攻击的能力。一是关注网络安全监测，对关键信息基础设施、重要网络等开展实时监测，及时发现网络攻击和安全威胁。二是关注各行业主管部门、网络运营者依托国家网络与信息安全信息通报机制，加强本行业、本领域网络安全信息通报预警力量建设，及时收集、汇总、分析各方网络安全信息，加强威胁情报收集工作，组织开展网络安全威胁分析和态势研判，及时通报预警和处置。三是关注各有关单位、部门是否按照国家有关要求制定网络安全应急预案，加强网络安全应急力量建设和应急资源储备，能否与公安机关密切配合，建立网络安全事件报告制度和应急处置机制，有效处置网络安全事件，并针对应急演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。