持续合规：通过加强监管、监督和监控，增强关键基础设施的网络安全（英）

CYBERPROJECT 连续的遵守 加强关键网络安全加强基础设施 监管、监督和监测 朱利安贝克 STUDENTPAPER AUGUST2022 网络项目 贝尔弗科学与国际事务中心哈佛肯尼迪学院 肯尼迪街79号 马萨诸塞州剑桥市02138 www.belfercenter.org/project/cyber-project 本报告中表达的陈述和观点仅代表作者的观点，并不意味着哈佛大学、哈佛肯尼迪学院或贝尔弗科学中心的认可 国际事务。 版权所有2022，哈佛大学校长和研究员 CYBERPROJECT 连续的遵守 加强关键网络安全加强基础设施 监管、监督和监测 朱利安贝克 STUDENTPAPER AUGUST2022 关于作者 JulianBaker是哈佛大学公共政策硕士(MPP)候选人约翰肯尼迪政府学院。他专注于国际和 全球事务，他是贝尔弗中心网络的研究助理 项目。朱利安曾在美国陆军服役并从事研究工作 德克萨斯州参议院办公室。他以优异的成绩毕业于杜兰大学，在那里他获得了政治学学士学位，并在摩洛哥和西班牙度过了一段时间。 关于网络项目 四十年前，一个由哈佛学者组成的跨学科小组——教授，研究人员和从业者——齐心协力应对最大的威胁 冷战：对苏联和苏联之间核交换的恐惧 美国。今天，我们寻求重新创建跨学科方法 应对新威胁：网络空间冲突的风险。面临的问题 今天的领导人是实实在在的和多样化的：如何保护一个国家最关键的免受网络攻击的基础设施；如何组织、训练和装备军队 在未来网络空间发生冲突时占上风；如何威慑民族国家和恐怖对手在网络空间进行攻击；如何控制 在网络空间发生冲突时升级；以及如何利用法律和政策工具来减少国家攻击面而不扼杀 创新。这些只是驱动我们的动机问题的一个样本 工作。贝尔弗中心网络项目的目标是成为首屈一指的家对这些和相关问题进行严格和政策相关的研究。 ii持续合规：通过加强监管、监督和监控来增强关键基础设施的网络安全 致谢 作者感谢AnandDatla、JulietteKayyem、SerenaLarson、BruceSchneier、和NickSinai对这项工作的贡献。他们的知识、指导、 和专业知识为该项目的研究奠定了基础。他还特别感谢LaurenZabierek，他的知识和努力在整个过程中帮助指导这项研究。 Th学生的研究是否得到了亚马逊网络服务的资助 （AWS）。eCyberProject感谢AWS对学生工作的支持网络相关的问题。 贝尔弗科学与国际事务中心|哈佛肯尼迪学院三 目录 执行摘要1 美国的关键基础设施法规3 美国以外的关键基础设施网络安全法规 状态7 时间点：实践中的合规性9 持续合规：更有效的解决方案11 持续合规的工作原理15 建议20 政府20 关键基础设施运营商23 持续合规软件供应商24 结论26 贝尔弗科学与国际事务中心|哈佛肯尼迪学院v 图为位于华盛顿西北部的美国国土安全部总部 2015年2月25日，一款流行的国产车载GPS定位器，供个人使用， 169个国家的政府机构和公司存在严重的软件漏洞， 对生命和肢体、国家安全和供应链、网络安全构成潜在危险 研究人员在2022年7月19日星期二发布的一份报告中说，以配合咨询来自美国网络安全和基础设施安全局列出了六个漏洞。（美联社 照片/ManuelBalceCeneta，档案） 执行摘要 入侵关键基础设施会危及健康， 数百万人的福祉和安全。十六个关键美国的基础设施部门几乎没有网络安全规定或要求。网络安全标准，除了 能源、核能和金融部门，是自愿的，没有合法的对松懈做法的处罚。国际标准大致相同：不是强制性和不可执行的。 制定自己的网络安全实践的企业——即使他们是严格的——进行评估或即时审计 时间或时间段的基础。is表示他们验证遵守情况在某个时间而不是某个时间达到自愿标准 持续的方式。通过在时间点的基础上进行评估，企业只能确定他们在那一刻遵守，而不是被通知 当网络不合规或偏离合规时标准或最佳实践。 此外，许多运营美国关键基础设施的公司小、农村或资金不足。这些设施没有资金资源来升级其网络安全实践并确保持续 监控，使它们成为威胁参与者的有吸引力的目标。他们是防御不力，但仍负责为大量人口服务的设施。 最近的入侵，包括勒索软件和其他攻击，已经展示了有动机的威胁行为者可以轻松访问这些网络。 从时间点框架到连续方法的过渡 合规性将提高关键基础设施的网络安全水平，使这些基本服务对依赖的人们更可靠 他们。持续合规代表一种安全态势和一组组织可以持续监控的运营实践， 识别并纠正当前或潜在的网络安全漏洞以确保遵守法律标准和行业最佳实践。e过渡到持续合规需要转变组织的 贝尔弗科学与国际事务中心|哈佛肯尼迪学院1 在持续的过程中接受监控、评估、学习和适应的心态方式。它还需要使能技术，例如人工智能和 合规引擎，它是一种软件和服务，用于监控指定的输入衡量合规性、跟踪进度并识别不合规的系统和 行为。 对于希望进行这种转变的企业，管理员必须定义和规范网络安全标准，创建衡量违规行为的方法和漂移，建立网络内不合规通知系统。 合规引擎可以提供的一些服务包括 网络风险管理员，例如不使用多因素的员工 身份验证、前雇员的活跃帐户或第三方访问权限合同终止后仍在使用的凭证。持续的主要好处 合规性提高了业务的网络安全性，提高了业务的可靠性公众，并降低合规监测和评估的成本。 实施持续合规的建议包括： 政府关键基础设施 运营商 持续合规软件供应商 通过立法确定强制性网络安全关键标准 基础设施部门。 增加资金到负责的机构 网络安全（SRMA和中央情报局）。 为小额提供资金关键基础设施企业采用 持续合规。 增加财务责任对于不合规和建立安全港标准。 建立教育和推广计划持续合规。 鼓励投资 人工智能和自动化研发监控。 了解监管标准 并对员工进行教育。 建立安全性和合规性以新产品的开发。 通过以下方式提高持续合规性企业内的各个阶段。 自我评估所需的数量控制与便利。 将IT/OT系统细分为适用学位。 教育关键基础设施运营商如何连续 合规性可以帮助他们。 建立机构知识 关于如何与小型和大型企业。 与州、地方和部落合作政府促进服务。 关键基础设施法规在美国 CISA关键基础设施部门 •化工 •商业设施 •通讯 •关键制造 •大坝 •国防工业基地 •紧急服务 •活力 •金融服务 •粮食和农业 •政府设施 •医疗保健和公共卫生 •信息技术（IT） •核反应堆、材料和废物 •交通系统 •水和废水系统 The网络安全和基础设施安全局(CISA)划分关键美国的基础设施分为16个不同的部门。这些部门包含从水坝和核电站到体育场馆的设施 和美铁车站。他们也占美国经济的很大一部分 保护这一基础设施对公共安全和国家安全至关重要。各部门之间的监管和合规标准差异很大；财务 例如，服务企业有许多保护客户的法规 从信用卡欺诈或避免邪恶的交易行为。的这些要求，当然，与那些规范核安全处置的规则大不相同。 废物或水处理系统的功能。 然而，关键基础设施的网络安全法规缺乏 或者根本不存在。事实上，能源、金融和核工业是唯一具有强制性网络安全合规标准的行业。e 美国国家标准与技术研究院(NIST)—内的一个机构美国商务部无权执行法规 关于企业——发布一个可以自愿使用的框架供非政府组织改善网络安全。虽然联邦 政府实体必须遵守NIST框架，企业 不是，尽管他们可以将其用作改善网络安全的指南。这是一个灵活的适用于所有16个关键基础设施部门的框架，尽管 不可强制执行。1 尽管CISA提供、协调和促进网络安全建议 和众多利益相关者的知识，它不是监管机构，而是在这方面没有执法权。CISA本质上是一个管道 倡导最佳实践并描述当前对其政府的威胁 和私营部门合作伙伴。他们建立了值得信赖的政府的声誉寻求保护和教育但不惩罚的合作伙伴。 2013年，总统政策指令21定义了政府机构 作为部门特定机构监督关键基础设施部门——现在称为部门风险管理机构(SRMA)。2能源部， 与多家机构和组织合作——如北美 能源可靠性公司和联邦能源管理委员会—— 将能源部门作为为数不多的关键基础设施部门之一进行监管具有强制性的网络安全法规。32018年，能源部 成立了他们的网络安全、能源安全和应急响应办公室 1NIST。改善关键基础设施网络安全的框架.2018年4月16日，https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf。 2“总统政策指令——关键基础设施的安全性和弹性。”白宫政府，2013年2月12日，https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-安全性和弹性。 3网络和网格安全|联邦能源管理委员会.https://www.ferc.gov/industries-data/electric/ 行业活动/网络和电网安全。于2022年6月30日访问。 保护该行业免受不断演变的网络威胁。4然而，能源行业， 不在真空中运行。发电厂依赖石油和天然气、煤炭、水、核能电力和可再生能源，这意味着对美国能源安全的破坏可能 由液化天然气码头、铁路交汇处的网络入侵引起的，管道或海上风力涡轮机——这些都不是在 能源部。由于能源与大多数关键基础设施部门一样，不独立运作，其安全性也不应。漏洞在一个 部门冒着许多其他人的安全风险。整体网络安全方法论将被证明比当前的孤立方法更强大和有效， 忽略了这些部门的相互依存性。 The2022年3月关键基础设施网络事件报告法案，当它在CISA规则制定后生效，将要求企业报告重大 72小时内的网络事件和24小时内支付的任何勒索软件付款小时。5,以前没有报告要求。虽然这并没有增加 通过增加安全措施来防止网络事件的监管要求，它确保联邦政府意识到正在进行的入侵，允许 统一回应。 在16个已定义的关键基础设施部门之外，联邦风险和授权管理计划(FedRAMP)建立合规性和 与联邦签订合同的云服务提供商的安全标准 政府。7尽管CISA并未将云定义为关键基础设施，但云服务提供商负责海量数据和运营 为联邦、州、地方和部落级别的政府客户提供能力作为关键基础设施和非关键基础设施领域的企业。 4“关于我们。”能源网,https://www.energy.gov/ceser/about-us。于2022年6月30日访问。 5国会通过2022年关键基础设施法案网络事件报告.https://www.sidley.com/en/insights/newsupdates/2022/03/congress-passes-cyber-incident-reporting-for-critical-infrastructure-act-of-2022。访问302022年6月。 62022年关键基础设施网络事件报告法案：概述|戴维斯·赖特·特里梅因.https://www. dwt.com/blogs/privacy--security-law-blog/2022/05/cyber-incident-reporting-act-2022。于2022年6月30日访问。 7程序基础|FedRAMP.Gov.https://www.fedramp.gov/program-basics/。于2022年6月30日访问。 合规障碍和挑战 遵守NIST标准，即使它们是自愿的，也可能是一种艰巨的过程。组织投入大量的财务资源、人员、 和时间来监控和确保合规性，这可能是一项昂贵且费时的努力。8广泛而复杂的IT网络由 跨国组织为网络参与者提供了充足的接入点，同时财务资源和人员有限或缺乏网络安全培训 对当地公用事业运营商的挑战。