美政府问责局：国土安全部在网络安全保障方面的“功”与“过”

近年来，美国国土安全部在网络安全的职能大幅提升，主要包括维护联邦政府和关键基础设施的网络安全，向利益相关方发布约束性指令维护网络安全。2015年起，国土安全部发布了8项指令以消减关键漏洞和保护政府设备，然而美国政府问责局（GAO）2月4日发布的审计报告显示，尽管这些指令取得了成功，但国土安全部在确保利益相关方遵守约束性指令方面做得还不够，各机构完成指令规定的行动时间往往超过30天的限制。对此，GAO对国土安全部提出了四项项整改建议。

审计背景与方法

FISMA授权DHS与管理与预算办公室（OMB）制定和监督强制性指令(又称为约束性指令)的执行情况，这些指令要求各机构保护联邦信息和信息设备免受信息安全、漏洞和风险的威胁。2015年以来，DHS已发布八项指令要求各机构：（1）消减DHS扫描出的各机构接入互联网设备中发现的高危漏洞；（2）应对DHS发现的网络基础设施设备中的紧急漏洞；(3)更好地保护政府高价值和关键的信息和系统资产。

GAO被要求评估DHS约束性指令，包括（1）DHS制定和监管约束性指令的实施；（2）指令的有效性，包括各部门对于指令需求的实施情况；（3）将DHS政策与程序与FISMA和OMB的要求进行比对，向选定的联邦机构收集管理数据；将各机构的答复和支持文件与指令要求进行比较；并收集和分析DHS在全国范围内对指令执行情况的扫描数据。GAO还采访了DHS和一些选定的机构官员。

国土安全部已设计出指令实施全流程，但并未完全实施

国土安全部在制定和监管2014年联邦信息安全现代化法案（FISMA）上实施了“五步走”的进程，包括明确指令主题、制定指令草案、分发指令任务、实施和报告指令要求、关闭指令。但是国土安全部在实施过程中存在一系列问题：

一方面，国土安全部在实施过程的早期并未与利益相关方进行通力合作。FISMA要求国土安全部与国家标准与技术机构（NIST）合作确保指令内容与既有的NIST指南相一致。然而，NIST官员告诉GAO，国土安全部通常在指令发布前1到2周才与NIST接触，并且总是省去NIST的技术评论。

另一方面，国土安全部没有一以贯之地验证各机构自行报告的行动是否合规。FISMA要求国土安全部基于风险的信息安全方法监管各个部门对于约束性指令的实施情况，国土安全部也授权网络安全与基础设施安全局(简称CISA)进行验证，但是CISA并未对于所有指令进行验证。由于缺乏基于风险的方法以及验证特定机构报告行动的战略，CISA只是验证了特定部门的特定指令，部分指令主要依赖于各机构自行报告执行情况，而没有独立地确认其是否符合要求。

约束性行动指令在应对网络安全风险上成效显著，但是国土安全部面临着实施障碍

指令的实施已被证明在加强联邦网络安全方面是有效的。例如，2015年一项关于高危漏洞缓解的指令要求各机构在30天内处理国土安全部对各机构互联网接入系统的网络扫描发现的高危漏洞。虽然各机构并不总能满足时限要求，但它们的缓解措施得到了国土安全部的验证，到2017年达到了87%的完成率。国土安全部官员将近期完成率的下降归因于2018年底/ 2019年初的35天部分政府停摆。尽管如此，如下图所示，在4年的时间里，各机构在30天内减少了3600个漏洞中的2500个。

各机构在替代存在漏洞的网络基础设备的效率上也有明显的提高，特别是2016年关于“网络基础设备威胁”的指令解决了针对联邦网络防火墙的几个紧急漏洞，并提供了技术缓解措施。如下图所示，作为对该指令的响应，各机构共报告了应对1.1万多台风险设备方面的进展（截至2018年10月）。

另一项关键指令则是“保护高价值资产”，以保护政府最关键和最重要的信息和设备资产。根据该指令，国土安全部牵头对联邦机构高价值资产进行深入评估。但是，国土安全部在近2年只完成了约一半的评估项目(2018财年142项中的61项，2019财年142项中的73项(见下图)。此外，在2020财年结束之前，国土安全部并不计划出台对联邦机构和第三方(如承包商或独立机构评估人)进行额外高价值资产评估的指导意见。

GAO提出四点改进建议

1、国土安全部长应确定在指令开发过程中何时（如在早期开发和批准过程中）与NIST和GSA在内的利益相关方进行协调。

2、国土安全部长应就何时以及如何独立地验证选定机构是否符合指令要求制定策略，在可行的情况下采用基于风险的方法。

3、国土安全部长应确保用于解决高价值资产评估中发现的漏洞的指令行指标符合国土安全部已建立的流程。

4、国土安全部应制定完成高价值资产项目重新评估的时间表和计划，并解决在完成所需评估、确定所需资源和最终向机构和第三方提供指导方面的老问题。

国土安全部同意GAO的建议，并概述了为落实这些建议计划采取的步骤和相关时间表。

参考文献：

DHS Directives Have Strengthened Federal Cybersecurity, but Improvements Are Needed

声明：本文来自网安布谷鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。