美国关键基础设施网络安全审计

作 者:

作者简介:
李璨融,崔竹,审计署审计科研所

原文出处:
审计月刊

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2022 年 01 期

关 键 词:

字号:

      2021年5月7日,全美最大成品油输送管道运营商科洛尼尔管道公司网络系统遭黑客勒索软件攻击,被迫全面暂停运营。这一事件导致为美国东海岸供应45%的汽油、柴油、航空燃料的输油主干线中断,美国东南部各州迅速出现大规模油料短缺。5月9日晚,美国能源部宣布17个受影响的州及华盛顿特区进入紧急状态,解除多项对公路运油的限制,以缓解燃油短缺状况。5月13日,该公司最终支付了近500万美元的赎金以恢复被攻击的系统,但缺油的状况仍未立即得到解决。这一事件凸显了关键基础设施的重要性与脆弱性。

      本文以“关键基础设施保护”为关键词对美国审计署的审计报告及证词进行检索,选择较有代表性的关键领域如石油、电力、金融和港口等开展的防范网络攻击能力专项审计情况,以及整体防护能力建设,如战略制定,威胁识别确认,分析、预警及应对能力建设,信息共享,信息系统可靠性等方面审计报告及证词18篇进行梳理,以期对我国开展相关审计工作提供参考借鉴。

      一、美国关键基础设施网络安全法律体系及监管要求

      美国政府通过制定出台一系列的法律建立了网络安全法律体系并明确监管要求。1998年,第63号总统令要求在联邦调查局内部建立国家关键基础设施保护中心(NIPC),负责协调联邦政府应急响应、调查威胁和监督恢复等工作;同时要求私营企业建立信息共享和分析中心(ISAC),负责收集、分析和共享其成员间的安全事件信息和应对信息,促成政府和私营企业之间在关键基础设施保护方面的信息共享。

      2002年,美国政府出台《国土安全法》,组建国土安全部,并规定由国土安全部负责保护国家关键基础设施,确立了国土安全部牵头,各相关机构和部门负责本领域关键基础设施保护的格局,并要求各行业设立信息共享和分析的专职机构,负责整合、分析和披露关键基础设施信息。但是随着信息系统运用的普及,关键基础设施的信息系统遭受网络攻击的可能性也大大增加。同年《联邦信息安全管理法》(FISMA)明确了联邦政府网络安全保护的角色和职责,并要求各联邦机构制定、记录和实施信息安全计划。

      2014年,美国政府出台《联邦信息安全现代化法》(FISMA2014),明确并更新管理与预算办公室、国土安全部对联邦机构信息安全的管理职责和权限。同年出台的《联邦网络安全增强法》要求美国标准和技术协会(NIST)确定和开发关键基础设施所有者和运营商自愿使用的网络安全风险框架。2014年2月,NIST为响应国会有关加强联邦网络和关键基础设施网络安全的13636号行政命令以及相关法律要求,发布了《关键基础设施网络安全框架》(FICIC)。虽然该框架被定义为网络安全标准和行业自愿采用的框架,但2014年出台的《联邦网络安全加强法》要求美国审计署对各关键基础设施采用FICIC的网络安全标准和程序情况开展审计。2017年,国会更明确要求各联邦机构使用FICIC来管理联邦机构的网络安全风险。

      二、美国审计署对主要关键基础设施领域网络安全审计情况

      美国审计署长期以来持续关注关键基础设施保护情况。自1998年第63号总统令要求政府机构和私营企业建立专职机构收集、分析和共享关键基础设施网络安全的信息以来,美国审计署持续20余年开展了针对关键基础设施网络安全相关的审计。本文对有代表性的石油、电力、金融和港口等领域关键基础设施网络安全审计情况进行介绍。

      (一)针对石油领域关键基础设施网络安全的审计

      美国审计署于2019年发布3篇审计报告及证词(GAO-19-426,GAO-19-542T,GAO-19-48),对负责能源领域关键基础设施安全保护的运输安全管理局(TSA)开展审计,主要聚焦可能发生的针对油气管线的网络袭击。审计发现,虽然TSA发布了管道安全准则,将一部分管线定义为“关键设施”,需要额外进行保护,但该准则缺乏明确的指向,如未明确“关键设施”的定义。这导致了美国境内油气运输量排名前100的管道系统中,至少有34个受攻击风险较高的管道系统未被确定为关键设施。

      TSA于2010年3月发布的《管道安全和事故恢复协议计划》明确了联邦机构和私营部门与管道安全事件相关的角色和责任。例如,针对管道安全事件,TSA协调联邦和管道运营商之间的信息共享,管道和危险物质安全管理局(PHMSA)与管道运营商确定双方职责及事后的修复工作。但是,该计划未包含管道管理网络安全威胁应对、安全事件应对标准流程和接入国土安全部的恐怖主义警报系统等3个关键领域。截至2019年接受审计时,该计划自2010年发布之后从未进行过更新,无法跟上管道安全保护的新形势。

      美国审计署向TSA提出了更新管道风险评估方法、修订TSA的管道安全准则等10项建议,国土安全部表示同意。但从开篇提到的科洛尼尔公司因勒索软件攻击导致全面暂停运营事件看,审计发现的问题仍未整改到位。

      (二)针对电力领域关键基础设施网络安全的审计

      美国审计署就电力基础设施网络安全开展过3次专项审计,重点关注电力基础设施存在的风险隐患以及相关标准要求的落实两个方面。其中风险隐患方面,美国审计署发现以下6方面的问题。一是网络安全标准的实施情况不佳。联邦能源管理委员会没有与其他监管机构协调制定制度来监测电力行业遵守智能电网标准以及网络安全标准等非强制标准的情况。二是监管责任不明确。智能电网技术的普及可能会模糊联邦或州传统监管范围之间的界限。此外,监管机构在不断变化的网络安全形势下无法应对可能的网络攻击威胁。三是对网络安全缺乏全面的控制措施。电力行业(如公用事业)的实体往往侧重于仅仅遵守法律规定的最低要求,没有按照更高标准采取全面有效的控制措施。四是智能电网系统内置的安全功能欠缺。一部分智能电网设备(例如仪表)并不具备记录系统数据或网络活动等对检测和分析攻击非常重要的关键安全功能。五是没能有效共享网络安全信息。电力行业没有有效共享网络安全漏洞、事件、威胁和最佳实践信息的途径。六是未建立网络安全指标。电力行业缺乏足够的指标来确定网络安全投资在多大程度上改善了智能电网系统的安全性。

相关文章: