一、美国审计署网络安全审计概况 网络安全问题对经济发展和社会稳定至关重要,美国拥有世界上最先进和最庞大的信息系统,对网络安全高度重视,网络安全是其国家安全战略的重要组成部分。 从审计依据来看,美国针对网络安全方面制定了多项法律和政策,如《计算机安全法》、《信息技术管理改革法案》、《国家网络基础设施保护法案》等,是GAO开展网络安全审计的重要依据。从审计内容来看,涵盖网络关键基础设施建设、网络安全漏洞监测、网络安全防护情况、财务、民生信息安全、个人隐私安全,以及信息技术采购与运营等诸多领域。从审计方法来看,除采用文档查阅、实地考察和访谈等常规方法外,通常还采用系统测试法、数据分析法、安全检测工具等计算机审计手段。从审计人员来看,GAO有一个专门的信息技术团队,负责对联邦一级的网络安全进行审计。从审计形式上看,GAO除了组织日常开展常态审计外,还进行高风险领域的审计。 二、美国审计署网络安全审计的主要经验做法 (一)美国审计署对国家关键网络基础设施保护的审计,有利于保证信息的保密性、完整性和可用性。美国审计署通过对国家网络安全和通信整合中心(NCCIC)执行网络安全任务情况的审计,保护能源、运输系统、通讯和金融服务等国家关键网络基础设施。2009年,美国国土安全部(DHS)成立了NCCIC,主要是为了协同联邦和私营部门解决网络威胁和应对网络攻击,减少事件(严重影响国家重要信息技术和通信网络的安全性和弹性)的可能性和严重性。随后,美国于2014年和2015年先后颁布了《国家网络安全保护法》和《网络安全法》,要求NCCIC执行11个网络安全相关职能和9项原则,包括共享信息、解决网络安全风险、促进跨部门协调等。同时,也规定了GAO将报告NCCIC对其网络安全任务的执行情况,以确保其系统和数据的保密性、完整性和可用性。 (二)美国审计署对网络入侵和网络安全漏洞检测工作的审计,有助于提高信息的安全性。美国国土安全部(DHS)在提高联邦政府的网络安全方面做了大量工作,发挥了关键作用。其中,国家网络空间安全保护系统(NCPS)提供了检测和防止恶意网络流量进入机构网络的能力。此外,DHS的Continuous Diagnostics and Mitigation(CDM)计划为机构提供了持续识别和解决网络漏洞的工具。美国审计署通过对国土安全部工作的审计,有助于检测和防止网络入侵,提高联邦制度和信息的安全性。美国审计署的审计建议包括:提高能力,有效识别网络威胁;建立强有力的配置标准,实施可持续监控流程,实现配置设置;加固有漏洞的系统并更换不受支持的软件;制定全面的安全检测和评估程序,定期进行检查。 (三)美国审计署对个人身份信息保护的审计,保障个人隐私的安全。1936年,美国社会保障局创建了9位数的社会保障号码(SSN),主要目的是追踪个人赋税资料,但近年来已经成为实际上的身份证。截至2016年9月,社会保障局(SSA)向符合条件的个人发放了约4.96亿个社会保障号码。2006年,美国总统发布了一项行政命令,设立身份盗用工作组,主要工作任务是防止个人身份信息被盗用。2007年4月,该工作组制定了一项战略计划,提出人事管理局(OPM)、预算管理局(OMB)和社会保障局(SSA)在限制不必要的社保号码使用方面发挥关键作用。美国审计署通过对OPM、OMB和SSA工作的审计发现,OPM发布指南和拟议规则、SSA建立在线共享净室等做法因规划不力或监督无效等原因,在保护个人隐私方面发挥的作用有限。 (四)美国审计署对联邦税务局、联邦储蓄保险公司等进行审计,保护财务信息的安全。美国联邦税务局(IRS)在征收税款、审核纳税申报和执行国家税收法律等方面担负着义不容辞的责任;美国联邦储蓄保险公司(FDIC)在实施银行法律、监管金融机构,以及保护存款者利益等方面肩负重任。审计署通过审查IRS的信息安全政策、计划和程序,评估IRS对重要财务和税务处理系统的控制能否确保财务和纳税人敏感信息的保密性、完整性和可用性。同样的,审计署通过审查FDIC的安全政策、程序、报告以及其他文件,测试控制措施在关键财务系统上的应用,评估公司控制措施在保护其财务系统和信息方面的保密性、完整性和可用性。 (五)美国审计署对现有的网络安全防护情况进行审计,以明确联邦信息技术的安全环境以及应对挑战。2014年8月,美国颁布《联邦信息安全修正法案》,旨在解决网络安全攻击日趋复杂的问题,促进使用连续监测和诊断联邦机构安全状态的自动化安全工具,并加强对联邦机构信息安全计划的监督。该法案规定了美国预算管理局、国土安全部和各个行政机构等部门的责任。其中,预算管理局负责制定联邦机构的信息安全政策、原则、标准与指南,并监督其实施情况。各联邦机构全面负责所在部门的信息安全保护,并制定、记录和实施全机构的信息安全计划。审计署通过对预算管理局、国土安全部和各个行政机构等部门工作的审计,对目前的网络安全防护情况进行了解。审计发现各联邦机构没有一贯、充分、有效地执行网络安全框架中的各项政策,在建立和实施信息安全计划,提高检测、响应和解决网络事件的能力,以及扩大网络从业人员的数量并加强培训等方面仍需努力。