《理解美国联邦网络安全》

（上）

作者：凯瑟琳·查莱特

编译：计宏亮

联邦政府的网络对国外情报部门和网络空间中其他恶意行动者有着很强的吸引力。这些网络服务于100多个政府部门和数百万的联邦政府雇员，保障着政府履行使命和正常运作，处理敏感的内部通信，存储着大量美国人民的个人数据。因此，联邦政府网络所面临的威胁程度是任何部门都无法与之相提并论的。

联邦政府网络安全是信息安全领域之外甚至是其领域内部的人士也难以完全说清楚的话题。信息分布各种政府文件中，目前还缺乏理解此话题的“红宝书”。本报告希望能够填补这个空白：

• 表征联邦政府网络安全总体情况，包括描述各种联邦部门的角色、职责，识别系统性挑战。

• 总结联邦政府近期改进网络安全的努力，例如，信息技术现代化，高价值资产的识别，使用共享服务和商业技术，探测和阻止威胁，识别和修复风险因素，改善事件响应能力。

• 回顾联邦政府为提升网络安全基础的努力方向，主要包括加强网络人力、研究和开发、采办和领导能力。

保护联邦民用网络和系统的任务复杂而艰巨。几个系统性因素有助于这个具有挑战性的环境：

1. 在集中管理和分散管理之间很难进行权衡。联邦政府的架构在整体上很大程度上是分散的，每个部门管理自己的风险，独立寻求安全解决方案。完全集中管理也存在自身的困难，如限制了部门开发定制、敏捷的解决网络安全挑战的能力。

2. 部门高层领导对网络风险管理的不同程度的参与。成功的部门负责人能够感知网络风险，并进行积极管理。在部门内部，首席信息官的权限差别很大。

3. 改变杠杆的效能来指导、激励和加强不合格联邦部门的行动。国土安全部、公共管理和预算办公室有一些杠杆来推动个别部门的行动，国土安全部不断增加的授权一直是至关重要的。

4. 资源限制和刚性政府预算周期。适当的根据网络安全先后次序进行资源配置可能是成本较高，政府预算过程的结构对部门的网络安全工作提出了挑战。

5. 分散的国会监督。没有一个国会部门完全掌握了联邦政府网络安全措施，立法的要求在许多法案中散见，这使联邦部门很难适应威胁。

在制定更好地管理联邦政府系统的网络风险的方法时，决策者、部门领导人、网络安全专业人员和国会工作人员应考虑以下主题：

• 健全的风险管理体系是所有联邦政府网络安全基础。联邦部门不能也不会阻止每一个事件或入侵。部门必须能够识别最重要的任务和资产，然后制定降低、减轻或接受风险的策略。

• 来自部门负责人持续、高层次的领导是成功的关键。具有从事部门主管或代表的部门更有可能利用战略资源、强制任务或企业所有者参与网络安全，并授权首席信息官采取必要的措施来保护系统和执行标准。

• 有效的管理需要明确角色和责任。联邦政府网络安全系统是复杂的。这并不是本质上的坏处，但它需要不断的努力来完善、澄清和制度化角色和责任，以确保一致性。

• 稳定的、渐进的进步非常重要。2016的网络冲刺尽管成效一般，但它证明，采取细化的里程碑时，这些部门就可以取得进展，特别是经常被入侵者利用的基本的网络卫生问题上。

然而，一些领域需要不断创新，甚至是根本性的“反思”。最先进的部门有奖励和实施诸如劳动力、采购和高管教育等创新理念的政策。

• 国会扮演着关键的角色。国会授权和赋予部门任务、权力和预算。如果没有立法部门的大力支持和参与，几乎没有什么可做的。

• · 资源配置至关重要。掠夺资源以使网络现代化或吸引网络安全人才将降低部门确保其核心任务的能力，这对政府和公民都会产生真正的影响。

• 不断发展的技术将改变整体情况。数字生态系统的创新，如自动化，将带来新的威胁和新的防御应用。政府需要提前5到10年的计划来避免落后。

联邦政府的网络安全没有秘诀。该系统将保持其固有的复杂性，需要密切协调和合作伙伴关系。联邦政府网络安全将是一个持久的任务，总是不断发展和变化，以保持领先的威胁。换句话说，没有“终点线”——只有不断改进、适应和合作才能确保联邦政府及其服务。

根据法律，每个联邦部门负责自己的网络安全。但其他部门，特别是公共管理和预算办公室（OMB）、国家标准与技术研究所（NIST）、国土安全部和总务管理局（GSA）发挥跨部门的作用来支持、监视或监督其他部门实施网络安全实践。特别是国土安全部在指导、协助和参与部门实施联邦政府网络安全措施方面发挥主要的日常运作角色。

联邦政府网络是对外国情报部门和网络空间中其他恶意行动者的有吸引力的目标。它们保障政府的使命和行动，处理敏感的内部通信，并存储数百万美国人的个人数据。联邦政府网络所面临的威胁水平几乎无与伦比，任何部门无法望其项背。包括人事管理办公室、国防部、国务院、总统办公室和内政部在内的一些部门深受其害，使这些部门的任务面临风险，损害了政府的信任和信心。

有些人认为，保护联邦政府网络应该比美国网络安全政策的其他方面更简单。这个问题不是党派问题，解决方案也不需要像关键基础设施运营商那样对非政府行为者施加同样的影响。那么为什么要确保这些系统的安全性如此困难呢？回答这个问题需要首先了解联邦政府网络安全工作的复杂环境。只有这样，分析家才能思考为什么障碍依然存在，哪些解决方案可能是最有效的。

时至今日，还没有一本“红宝书”为研究人员服务，政策制定者和实践者了解联邦政府网络安全的许多方面。相反，信息散布在政府报告、备忘录、新闻稿、合同以及更多的信息中——在那些信息技术行业以外的人无法理解的语言中。填补这一空白，本报告：

1. 表征联邦政府网络安全基本情况，包括复杂的一组角色，职责，和联邦部门之间的关系。

2. 总结联邦政府改进网络安全的动力，更深入地分析某些重要举措。

3. 回顾改善联邦政府网络安全基础的努力，比如那些改善劳动力和网络安全文化的基础。

第一部分 联邦政府网络安全总览

保护联邦民用网络和系统是一个复杂而艰巨的工作。联邦政府超过100家部门，数以百万计的雇员，以及数以千万计的设备需要管理，甚至连美国最大的私人公司也无能为力。每一个部门都负责自己的网络安全，但在指导、塑造、鼓励或协助良好的网络安全方面，有几个部门扮演了跨部门角色。鉴于该系统的复杂性，需要在联邦政府网络中制定良善的政策和实践，包括关键行为者，部门的角色和责任，以及系统性的挑战。

1. 联网网络安全总体情况

联邦政府每年花费数十亿美元在信息技术（IT）和网络安全上。确切的了解支出趋势可能是困难的，因为会计方法在不同的来源上有所不同。然而，公共管理和预算办公室在其“信息技术预算报表”中总结了信息技术支出趋势： 2016财年为828亿美元， 2017财年为784亿美元， 2018财年为813亿美元，2019财年为834亿美元。还没有一个完全一致的定义，即IT支出的哪部分被认为是“网络安全支出”。通过一种计算，联邦政府在FY2016年花费了大约140亿美元。奥巴马总统政府要求190亿美元用于网络安全。在2017财年全面预算的要求从未通过国会。更难描述特朗普政府的网络安全预算，它没有为网络安全提供合并性总结。网络安全支出支持一个庞大而多样化的联邦政府。尽管采用会计方法各不相同，但人事管理办公室估计2017年联邦政府需要410万个全日制当量（FTE）。这包括：

确切指出涉及网络安全的联邦政府部门数目是困难的，但出于研究目的，通常将其分为两类：“首席财务官法案(《CFO 法案》)”部门和“非首席财务官法案”部门。所谓CFO法案部门是（预算方面）接受公共管理和预算办公室（OMB）特别管理监督的24大联邦部门。这些部门构成了联邦政府人员的绝大多数，需要报告信息安全数据，供国土安全部（OHS）、OMB和国会用于监控和跟踪。所有的CFO法案部门都需要参考民事CFO法案部门，除了国防部有自身的报告和要求，因为其职责是管理“国家安全体系”。

其余的部门主要包括大部分小型（6000名雇员）、微型（100个雇员）部门以及一些较大的、通常是独立的监管者。这个群体的网络安全工作面临着独特的挑战，因为小型部门可能具有较弱的网络安全能力和更少的监督要求，但却仍然管理着重要的任务和信息。公共管理和预算办公室（OMB）估计非CFO法案部门“雇佣超过100，000名联邦工作人员，管理着数十亿纳税人的钱”。然而，法律不需要这些部门向公共管理和预算办公室（OMB）报告信息安全，尽管其中大约有60个部门会自愿报告。

在美国消费者金融保护局和证券交易委员会提出受害报告以后，监管部门的网络安全正成为关注焦点。监管部门对保护其独立于政治行政部门之外的意愿较为强烈，因为他们的任务旨在非政治性和独立性。这种独立性倾向于转化为这些部门的管理、运营和预算，这使得白宫更难推动或影响监管部门采取某些网络安全措施。这意味着，当白宫发现网络安全面临的重大威胁或挑战时，他们可以激励部门其他部门取得进展，但不能对监管部门也这样做。

国会在联邦政府网络安全中发挥着至关重要的作用。它通过立法规定了联邦政府管理其信息技术的基本原则，对部门进行IT任务授权、拨付预算。相关立法有很多，但联邦政府网络安全的关键法案包括：

• 1996年的克林格一科恩法案（Clinger-Cohen Act）也被称为信息技术管理改革法案（ITMRA），它改变了联邦政府数十年来管理信息技术的方式。 法律允许部门更独立地获取信息技术资源。它还要求每个部门都要任命一名首席信息官，对信息技术规划和运营负有更大的责任。

• 2002年“联邦信息安全管理法案”（FISMA）是一部基础性法规，勾勒了联邦政府网络安全的角色和责任，并要求各部门制定，记录和实施保护其信息和信息系统的计划.

• 2014年联邦信息安全现代化法案（FISMA 2014）修改了2002年法律，以澄清、更新国土安全部和公共管理和预算办公室（OMB）在联邦部门信息安全方面的职责和权限.

• 2014年的“国家网络安全保护法案”正式确定了国土安全部内的国家网络安全和通信集成中心，以便实现联邦部门之间以及与非联邦实体对接和共享网络安全信息。

• 2014年联邦信息技术采购改革法案（FITARA）扩大了首席信息官（CIO）的权限，并解决了信息技术投资风险管理，数据中心整合，信息技术培训和采购/采购等事宜。

• 2015年的“网络安全法案”通过为美国国土安全部提供威胁指标和防御措施的私营部门参与者提供责任保护，激励联邦政府与私营企业之间的信息共享。 它还要求所有民事部门执行国土安全部的爱因斯坦计划（EINSTEIN）以探测和阻止对联邦政府网络的威胁。

部分是FISMA的要求原因，联邦政府形成了大量有关联邦政府网络安全的数据。公共管理和预算办公室（OMB）的年度FISMA报告是最全面的资源，涵盖联邦政府在网络安全事件，实施政府网络安全举措以及信息安全目标等方面的成绩。虽然收集这些数据和了解趋势线很重要，但了解固有的限制同样重要。对数据准确性的信心参差不齐，因为各部门可能难以收集有关其网络的完整和准确数据。这些数据也不能说明部门在哪里接受风险或哪里可能最脆弱。

2. 职责划分

法律规定每个联邦部门负责自身的网络安全。 但其他部门，特别是公共管理和预算办公室（OMB），美国国家标准与技术研究院（NIST），美国国土安全部和总务管理局（GSA）发挥跨部门作用，以支持，监视或监督其他部门实施的网络安全实践。 特别是国土安全部在指导，协助和参与部门实施联邦政府网络安全措施方面扮演主要的日常运营角色。

所有这些实体按照分配的角色和责任以复杂和联合的方式进行交互。 在简化模型中，关键部门之间的顺序互动是：

具体的职责：

公共管理和预算办公室（OMB）开发和监督信息安全政策、原则、标准和指导方针的实施。 这包括：根据国家标准技术研究院法案协调标准和指南的制定，并在联邦部门执行这些标准和指南; 要求各部门为联邦信息和信息系统确定和提供适当的网络安全保护; 提供数据和基于风险的监督联邦政府网络安全计划; 发布和实施联邦政策以解决新兴信息技术安全风险; 与美国国土安全部合作减少重大事件和联邦政府脆弱性的不利影响; 并制定备忘录和通告，在联邦政府内颁布信息安全政策。

2016年，奥巴马政府宣布在联邦首席信息官职位下设立联邦首席信息安全官，专注于开发，管理和协调联邦政府的网络安全战略，政策和运营。 虽然奥巴马政府于2016年9月任命了联邦首席信息安全官，但这一任命的期限太短，无法记录任何重大变化或使该职位制度化。 2018年1月，特朗普政府任命了第一位联邦首席信息官，但截至撰写本文时还没有任命联邦首席信息安全官联邦首席信息安全官，这意味着其他人员，如新联邦首席信息官和国家安全委员会网络安全高级总监（目前是双帽制度，同时作为代理CISO）必须在履行其他职责的同时履行这些责任。

NIST“制定非国家安全的联邦信息系统的标准和准则。”尽管联邦系统的NIST标准对于联邦部门来说是强制性的，但NIST本身并没有合规/监督的职责，也没有评估、审计或测试部门的安全实施措施。 NIST创建了联邦信息处理标准，为联邦部门提供涵盖BIOS管理和测量、电子认证、无线协议、供应链风险管理等多个主题的指南。通过与行业利益相关者制定开放，多利益相关者共同参与的流程来帮助政府利用商业现成技术；行业熟悉政府标准；并向政府确定行业最佳实践。

国土安全部扮演领导和运营的角色，支持联邦民事部门进行网络安全风险管理。国土安全部在帮助确保联邦政府网络方面发挥着重要作用。 首先，国土安全部力图提供安全的“共同基准”（例如，通过向所有部门提供一套通用安全服务，稍后进行讨论）。其次，国土安全部作为信息共享的中心——例如，分享整个联邦政府以及政府和私营部门之间的恶意活动指标和最佳实践。第三，国土安全部促进NIST指南的广泛应用和与其他部门合作进行风险评估。 最后，国土安全部协助其他部门对事故作出响应。

美国总务署(GSA)通过识别和提供网络安全产品和服务来支持联邦政府部门。例如，通过创建标准化方法（“采购工具”）帮助代理商快速识别和购买优质的网络安全产品和服务。美国总务署还有助于促进联邦部门使用的连接设备的网络安全，如建筑物或车辆中的设备。 通过完善政府网站，数字化内部系统和解决技术问题，美国总务署内的一个办公室称为18F“与联邦部门合作改善政府用户体验”。

其他部门在联邦政府网络安全方面发挥关键支持作用，包括国防部（DOD），联邦调查局（FBI）和情报界（IC），特别是国家安全局（NSA）。来自情报界的信息对于帮助联邦政府的民事部门识别、阻止和应对已知的网络威胁至关重要。 国防部和国家安全局可以应要求支持其他部门，提供防御性援助和技术专长。 在联邦系统受到入侵或攻击后，联邦调查局将领导联邦调查。 国防部和情报部门也负责保护和维护国家安全系统，例如加密网络和武器系统的支持网络，但这一责任已超出本文的范围。

美国数字服务部（USDS）成立于2014年，旨在改善美国公民与政府提供的数字服务部门之间的互动方式。 USDS行政上属于公共管理和预算办公室（OMB），在七个联邦部门拥有活跃的团队，致力于确定节约成本并使政府更有效。 虽然许多成功的项目都侧重于改善用户对政府服务的体验，但其中一些项目对联邦政府网络安全也有直接或间接的好处。 其中包括美国总务署(GSA)联合努力改善和确保公众登录政府服务的方式，以及为安全研究人员提供“错误奖金”的国防数字服务计划，收集国防部（DOD）面向公众网站的漏洞。

3. 系统性挑战

虽然部门普遍能够很好地理解他们各自的角色和责任，但联邦政府网络安全的复杂和联合性质导致各部门之间的进展不平衡。几个系统性因素造成了这种机制：

1. 集中管理和分散管理之间权衡比较难。

2. 部门高层领导对网络风险管理的参与程度各不相同。

3. 指导，激励和执行不良联邦部门采取的行动的杠杆效力参差不齐。

4. 资源限制和刚性的政府预算周期。

5. 分散的国会监督。

挑战1 - 集中管理和分散管理之间的艰难权衡。 整体联邦结构在很大程度上是分散的，尽管随着集中管理的不断发展，例如使用可信的互联网连接（见下文）。 每个部门都控制和管理自己与互联网的连接，自行决定风险，实施自己的安全解决方案，并决定如何处理部门内的不合规问题。 这个体系促成了整个联邦政府的不平衡进展。 另一方面，完全集中（例如，让一个部门负责某一.gov联邦政府网络）会带来自身的挑战，例如限制部门为其网络安全挑战开发量身定制的灵活解决方案的能力。 在FISMA 2014的推动下，向前迈出的重要一步是增加运营权力，使国土安全部能够指导其他部门采取措施减轻漏洞并降低风险。

挑战2 - 部门高层领导对网络风险管理的参与程度各不相同。 部门在管理网络风险方面做得如何的最大非正式指标之一是部门负责人的参与程度。 成功的部门负责人意识到网络风险，将网络安全视为执行任务的核心，并让其部门负责。 然而，由于网络风险难以内化，并且由于部门负责人面对如此多的竞争性需求，所以这对于很多人来说并不是自然而然的事情。

在部门内部，首席信息官的权限差别很大，有些权力集中，而另一些权力几乎完全缺乏监督，预算，委任权限或整个部门对信息技术运营的控制。 2014年制定的立法被称为“联邦信息技术采购改革法案”（FITARA），旨在加强首席信息官在联邦部门中的作用，并赋予他们按时和按预算制定信息技术计划的更多权力和责任。 但是，首席信息官们仍然很难主动识别和修复系统性风险。 他们可能会与“影子IT”发生冲突，因为组织部分在不知情的情况下将设备连接到联邦部门网络。他们可能缺乏制定解决全部门问题的综合举措的能力。 他们可能很难确保遵守行政或部门授权。

挑战3 - 改变杠杆的效力，以指导，激励和要求执行不力的联邦部门采取行动。 不遵守联邦政府信息安全政策的原因 - 无论是系统性的，官僚主义的，资源性的还是技术性的 - 往往可能是强大的驱动力，甚至是可以理解的。 这就是为什么部门，首席信息官，国土安全部和公共管理和预算办公室（OMB）之间的强大、持续、非正式和正式的关系是改善联邦政府网络安全的关键部分。

国图安全部和公共管理和预算办公室（OMB）确实可以推动个别部门的行动。例如，FISMA 2014是一个“改变游戏规则”的法案，让国土安全部有权发布约束性操作命令（BOD）。 这一步特别值得注意，因为它标志着一个部门首次有权指示其他部门负责人采取行动保护其网络。 国土安全部长也可以向部门负责人发布紧急指令，“采取任何合法行动”来保护信息系统，尽管没有公开表明这个紧急授权曾经被使用过。

美国国土安全部已经发布了多个约束性操作指令，要求代理部门采取行动，例如修补已识别的漏洞，或者最近确定并删除卡巴斯基实验室产品。发布此类指令的能力非常重要，因为它提供了一种正式机制，可以确定重要操作的优先级，提起行动和跟踪实施。约束性操作命令（BOD）一般由接收部门成功实施。但是，没有部门负责人因不遵守由DHS发布的BOD或紧急指令而受到任何明确的惩罚。

公共管理和预算办公室（OMB）也有指导或激励部门行为的手段。公共管理和预算办公室（OMB）可以通过就各种议题发布备忘录来指导部门采取行动。这些备忘录具有白宫的说服力，但与约束性操作命令（BOD）一样，部门不遵守规定也不会有什么后果。 在向国会提交的年度报告中，公共管理和预算办公室（OMB）还可以强调网络安全运行良好或滞后的情况，这可能会导致国会调查或听证会，从而鼓励部门采取行动。公共管理和预算办公室（OMB）还负责联邦预算，因此，联邦首席信息官和部门预算审查人员进行合作，公共管理和预算办公室（OMB）可以利用其预算权力为部门网络安全工作提供更多的关注和资源。尽管所有这些杠杆都可以发挥效用，但由于每个部门负责人按法规对其部门提供信息安全保护和作出风险管理决策负有最终责任和义务，因此他们大多仍然是“软”杠杆。

挑战4 - 资源约束和刚性的政府预算周期。按照网络安全优先事项进行合理的资源配置 - 特别是吸引人才和对现有系统进行现代化升级改造 - 变得昂贵。但除了影响这些领域的重大资源约束之外，政府预算过程的结构也给部门网络安全工作带来了挑战。情报部门和国防部计划预算五年，其他部门的预算周期为一年，这使得他们很难进行稳定地规划或分摊多年投资和现代化工作的成本。这个周期也相当僵化，针对新出现的需求进行调整的能力有限，这意味着部门难以适应新的网络威胁或传统IT系统的问题。如果这些需求出现在预算发生的每年相对较窄的时间范围之外尤其如此。有一些技巧，比如使用周转基金，以便更灵活地使用资金，但由于难以监督，这些技术往往很难获得国会的批准。根据人事管理办公室（OPM）董事Beth Cobert在2017年1月的报告，遗留IT问题是造成人事管理办公室的数百万敏感记录遭到灾难性破坏多重因素之一，因此“从根本上说......需要新系统”。

挑战5 - 国会分散式监督。国会监督的错综复杂性使美国联邦政府网络安全局势进一步复杂化。参议院国土安全和政府事务委员会和众议院国土安全委员会在联邦政府网络安全方面发挥积极作用。每个议院武装部队，情报部门或特定部门的委员会对于与其所在地区或部门有关的网络安全保护和事件也十分活跃。当然，每个议院的拨款者决定联邦政府网络安全举措的可用资金。 2017年1月，参议员Cory Gardner（R-CO）提出了一项决议，建立一个网络安全特别委员会，以简化参议院的监督，但该提案并未通过委员会。分散监督的结果不仅仅是报告部门负担。这也意味着没有一个国会部门能够全面了解联邦政府网络安全措施，并且法律要求分布在很多法案中，这使得联邦部门适应威胁或采取新方法变得更加复杂。