从GAO报告看美国关键基础设施网络安全框架的推广

（一）简介

本报告是2018年2月15日GAO的审计报告。

美国的关键基础设施包括对国家安全/经济稳定和公共健康与安全至关重要的公共和私有系统和资产。联邦政策确定了16个关键基础设施部门，包括金融服务，能源，交通和通信部门。为了更好地解决与关键基础设施相关的网络风险，2014年，NIST根据联邦法律和政策的要求，制定了“改进关键基础设施网络安全框架（the Framework for Improving Critical InfrastructureCybersecurity）”，这是网络安全标准和行业采用程序的自愿框架。

2014年的“网络安全加强法”（The Cybersecurity Enhancement Actof 2014 ）包含了GAO需要对NIST开发的框架中的网络安全标准和程序的各个方面审查的规定。 GAO的目标是评估关键基础设施部门采用框架的程度。为此，GAO分析了文件，例如特定部门的指导和工具以促进实施，并采访了16个关键基础设施部门的相关联邦和非联邦官员。

GAO的建议

GAO正在提出九项建议，即与部门协调委员会、国土安全部和NIST等合作伙伴协商，制定确定各部门采用框架的方法的建议。

GAO的发现

16个关键基础设施部门中的大多数采取了行动，以促进各部门采用NIST的改进关键基础设施网络安全框架。其中，联邦政策指定了九个联邦牵头机构 - 被称为特定部门机构（SSA） - 与国土安全部和其他机构磋商，审查网络安全框架，并在必要时制定实施指南或补充材料以解决特定部门的问题 - 特定的风险和运营环境。

作为响应，为实施网络安全框架，补充制定了16个行业中的12个行业的指导原则。此外，非联邦领导的部门协调理事会采取了额外的步骤来促进框架的采用。例如，制定实施指南的3个部门鼓励该框架与其各自部门内使用的现有网络安全准则保持一致。

尽管如此，国土安全部、NIST、SSA和部门协调理事会的官员发现，各个部门报告的网络安全框架采用有四个挑战。

•缺少采用框架所需的资源。

•缺少必要的知识和技能来有效实施框架。

•其他的监管，行业和其他要求不允许。

•可能会面临优先于网络相关风险管理或采用框架的其他优先事项。

此外，国家关键基础设施保护工作计划规定，联邦和非联邦部门合作伙伴（包括SSA）应通过确定高水平的成果和国家目标和优先事项取得的进展来衡量风险管理目标的有效性，包括确保关键基础设施反对网络威胁。但是，没有一个特别服务协定在其各自的部门内衡量网络安全框架的实施情况。 16个协调委员会都没有报告采用定性或定量的框架采用措施。 SSA官员还表示，自愿性质和其他因素是收集此类信息的障碍。而其他实体，包括贸易协会和大学，试图确定在某些部门内使用该框架;这些努力都没有产生明确表明全部门采用框架的结果。

（二）GAO将关键网络基础设施列为高风险领域

GAO在1997年向国会提交的两年期报告中首次将联邦信息安全指定为政府范围内的高风险领域，2003年，我们将这一高风险领域扩大到保护重要的网络基础设施，并于2015年进一步扩大了这一领域，包括保护个人身份信息的隐私。在2017年2月的高风险更新报告中继续将关键网络基础设施的保护确定为高风险领域。

（三）联邦政策规定了重要基础设施的网络保护责任

由于私营部门拥有全国重要基础设施的大部分，因此公共和私营部门共同努力保护这些资产和系统至关重要。 为此，联邦政策规定了机构的角色和责任，以协助私营部门保护关键基础设施，包括加强网络安全。

总统政策指令21规定SSA是负责提供机构知识和专业知识的联邦实体。 SSA还将领导，促进或支持全危险环境下其指定关键基础设施部门的安全和恢复力计划及相关活动.

该指令确定了16个关键基础设施部门和指定的相关SSA，如图1所示。

此外，该指令要求美国国土安全部更新国家基础设施保护计划（最初于2006年制定，包括国家关键基础设施的网络安全）。作为落实，国土安全部于2013年12月更新了国家基础设施保护计划，与关键基础设施社区的私营部门所有者和运营商以及联邦和非联邦政府代表，包括SSA合作。根据2013年的这个计划，特别服务协议将与其私营部门同行共同了解网络风险，并通过制定直接和间接指标衡量指标来评估风险管理工作的有效性。

（四）联邦法律和政策规定了促进网络安全框架的责任

2013年2月，第13636号行政命令提出了旨在提高关键网络基础设施安全性的行动计划，其中包括指导NIST牵头制定一个灵活的网络安全框架，其中包括一套标准，程序和流程。该行政命令还涉及特别服务协议，与美国国土安全部和其他有关机构协商，审查网络安全架构，如有必要，制定实施指导或补充材料，以解决特定部门的风险和操作环境。

此外，2014年12月，2014年的“网络安全加强法”制定了与NIST制定网络安全框架的行政命令相一致的要求。根据该法律，NIST支持当前网络安全框架发展的责任包括确定一种灵活，可重复，基于性能和成本效益的方法。

为落实第13636号行政命令，NIST于2014年2月发布了“改进关键基础设施网络安全框架”。该框架提出了一种基于风险的网络安全风险管理方法，由三部分组成：框架核心，框架配置文件和框架实施层。框架核心是一组网络安全活动，结果和信息参考，这些都是关键基础设施部门常见的，旨在为开发个人组织配置文件提供指导。框架核心由五个并发和连续的功能组成 - 识别，保护，检测，响应和恢复。综合考虑时，这些功能为组织管理网络安全风险的生命周期提供了高层次的战略视图。

2017年1月，NIST发布了2014版框架修订草案（版本1.1），以征询公众意见。对框架的修订包括增加一个关于自我评估和通过衡量来展示网络安全的部分，并进一步解释实施层和风险概况之间的关系。根据NIST的说法，NIST在审查了1.1版草案的公众意见之后，于2017年12月5日发布了关于框架更新的第二稿。根据NIST的规定，该草案旨在澄清，改进和加强框架。

此外，2017年5月，总统颁布了第13800号行政命令，要求各联邦机构使用网络安全框架或任何后续文件来管理该机构的网络安全风险。2017年5月，根据该命令，NIST发布了机构间报告8170 （ Draft Interagency Report8170），该报告旨在就机构如何利用该框架补充现有风险管理实践并改进其网络安全风险管理计划提供指导。

因此，该报告根据非联邦实体的实施确定了八个领域，联邦机构可以利用该框架来解决共同责任，并支持一个更加健全和成熟的全行性风险管理计划。这八个领域是：

1.整合企业和网络安全风险管理

2.管理网络安全要求

3.整合并整合网络安全和收购流程

4.评估组织网络安全

5.管理网络安全计划

6.全面了解网络安全风险

7.网络安全风险报告

8.裁剪过程通知

（五）大多数部门采取措施使用框架，但采用程度尚不清楚

声明：本文来自向日葵生活分享，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。