本期，我们给大家带来的是，"双湃说安全-美国GAO重新评估网络空间安全任务及其举措"，本文大致描述了美国近年在网络安全方面的投入与遭遇的网络安全事件，重点介绍美国政府问责局GAO，2021年3月发布的报告（明确了美国政府在IT和网络安全方面的4项任务和10项措施）。

自2019年以来，美国政府每年都会在IT和网络安全领域投资上千亿美元，这些投资主要由行政管理和预算局（OMB）和其他联邦机构依据《联邦信息技术采购改革法案》（Federal Information Technology Acquisition Reform Act (FITARA)）的要求进行管理。

美国政府通过使用IT系统可以更快、更有效、更经济地完成其任务，因此这些系统对于国家经济、人民健康和国家安全具有重要的作用，联邦政府计划在2021财年在IT投资上花费约1040亿美元，如下图所示，在“原有系统的运营和维护”方面，将花费60%左右的资金（网络信息安全就属于这一范畴）；另有13%左右的资金用在新系统的开发、原有系统的升级改造和功能扩展方面；另外还有部分资金用在国防相关的机密系统和国家安全相关的非机密系统方面。可以看出，美国政府每年在IT和网络安全方面的投资数额较大。

网络信息安全是这些投资中的一个重要领域，1997年，美国政府就将网络信息安全确定为“高风险领域”；2003年，又将“关键信息基础设施保护”扩展到网络信息安全这一高风险领域中；2015年，又将“隐私和敏感信息保护”扩展到网络信息安全这一高风险领域中，美国政府问责局GAO每年都会对相关机构在“高风险领域”的工作开展检查和督导，并对其工作成果进行评估，2021年3月GAO发布的报告就是此项检查督导工作的一项成果。

在2021年3月的报告中，GAO认为，美国政府机构和关键基础设施与外部系统或网络（如国际互联网）的连接日益增加，这种连通性的在增加了相关系统的灵活性的同时，也扩大了暴露给恶意网络攻击者的攻击面，最近发生的一系列严重的网络安全事件凸显了美国国面临的网络威胁，并展示了网络攻击可能会造成的严重后果。

安全事件

2020年12月，网络安全和基础架构安全局（CISA）发布了紧急指令和警报称，APT攻击者已经破坏了SolarWind网络管理软件套件的供应链，并在在SolarWind网络管理软件的官方升级包中植入了“后门”程序，这些后门是一种恶意程序，使入侵者可以远程访问受感染的计算机，然后，攻击者利用此后门以及其他攻击技术，针对美国政府机构、关键基础设施和私营企业组织发动了大规模网络攻击 。

2021年2月，CISA发布警报称，网络攻击者已获得对美国水处理设施工业控制系统的访问权限，并试图增加用作水处理过程一部分的腐蚀性化学品的添加量。据CISA称，攻击者很可能是利用网络安全漏洞（包括弱口令和过时的操作系统）获取的系统访问权。

2021年3月，CISA发布了紧急指令和警报，称CISA的合作伙伴已经注意到业界最近公布了一个微软Exchange Server（一种用于电子邮件服务器、日历和协作工具的产品）中的漏洞，攻击者正在利用此漏洞开展大规模网络攻击。

在2021年3月，GAO重新评估了美国国家网络空间安全方面的四项任务。

任务内容

构建全面的网络空间安全策略并对其进行有效的监督；

保护政府机构的系统和信息；

保护关键网络基础设施；

保护敏感和隐私数据；

针对这四项任务，GAO提出了需要采取的10项措施，如下图所示：

其中有以下三项措施尤其要引起重视：

制定联邦层面的国家和全球网络空间安全相关的国家战略，并对这些战略的实施进行有效监督。网络空间战略的制定和实施可以解决部分问题，如总体目标和所需资源等。

 缓解全球供应链风险。在GAO调研的23家民用政府机构中，很少发现有关于信息和通信技术供应链管理的相关实践。

 增强联邦机构的网络安全事件响应能力。GAO在其调研的16家联邦机构中，大多数机构在网络安全事件响应流程方面存在缺失。

美国的互联网产业和网络安全产业是全世界最发达的，其网络安全技术的储备和管理经验也引领世界潮流，因此本文介绍的内容对我国具有参考价值。

双湃智安更懂工控安全。

网络安全专家和工控专家根据各类工业企业生产运营特点，量身定制简单、适用的工控网络安全解决方案。