持续合规：通过加强监管、监督和监控，增强关键基础设施的网络安全（英）

C Y B E R P R O J E C T连续的遵守加强关键网络安全加强基础设施监管、监督和监测朱利安贝克S T U D E N T P A P E RA U G U S T 2 0 2 2 网络项目贝尔弗科学与国际事务中心哈佛肯尼迪学院肯尼迪街 79 号马萨诸塞州剑桥市 02138www.belfercenter.org/project/cyber-project本报告中表达的陈述和观点仅代表作者的观点，并不意味着哈佛大学、哈佛肯尼迪学院或贝尔弗科学中心的认可国际事务。版权所有 2022，哈佛大学校长和研究员 C Y B E R P R O J E C T连续的遵守加强关键网络安全加强基础设施监管、监督和监测朱利安贝克S T U D E N T P A P E RA U G U S T 2 0 2 2 关于作者Julian Baker 是哈佛大学公共政策硕士 (MPP) 候选人约翰肯尼迪政府学院。他专注于国际和全球事务，他是贝尔弗中心网络的研究助理项目。朱利安曾在美国陆军服役并从事研究工作德克萨斯州参议院办公室。他以优异的成绩毕业于杜兰大学，在那里他获得了政治学学士学位，并在摩洛哥和西班牙度过了一段时间。关于网络项目四十年前，一个由哈佛学者组成的跨学科小组——教授，研究人员和从业者——齐心协力应对最大的威胁冷战：对苏联和苏联之间核交换的恐惧美国。今天，我们寻求重新创建跨学科方法应对新威胁：网络空间冲突的风险。面临的问题今天的领导人是实实在在的和多样化的：如何保护一个国家最关键的免受网络攻击的基础设施；如何组织、训练和装备军队在未来网络空间发生冲突时占上风；如何威慑民族国家和恐怖对手在网络空间进行攻击；如何控制在网络空间发生冲突时升级；以及如何利用法律和政策工具来减少国家攻击面而不扼杀创新。这些只是驱动我们的动机问题的一个样本工作。贝尔弗中心网络项目的目标是成为首屈一指的家对这些和相关问题进行严格和政策相关的研究。ii持续合规：通过加强监管、监督和监控来增强关键基础设施的网络安全 致谢作者感谢 Anand Datla、Juliette Kayyem、Serena Larson、Bruce Schneier、和 Nick Sinai 对这项工作的贡献。 他们的知识、指导、和专业知识为该项目的研究奠定了基础。他还特别感谢 Lauren Zabierek，他的知识和努力在整个过程中帮助指导这项研究。学生的研究是否得到了亚马逊网络服务的资助（AWS）。 e Cyber Project 感谢 AWS 对学生工作的支持网络相关的问题。三贝尔弗科学与国际事务中心|哈佛肯尼迪学院 目录执行摘要................................................ .................................................. 1美国的关键基础设施法规.................................................................3美国以外的关键基础设施网络安全法规状态................................................. ..................................................... .........7时间点：实践中的合规性................................................................ .....................9持续合规：更有效的解决方案 ................................................... 11持续合规的工作原理................................................................. ..................................................... 15建议.................................................................. ...................................... 20政府 ................................................. ..................................................... ................................................20关键基础设施运营商 .................................................... ..................................................... .....23持续合规软件供应商 ................................................... ...................................24结论................................................. ..................................................... ....26v贝尔弗科学与国际事务中心|哈佛肯尼迪学院 图为位于华盛顿西北部的美国国土安全部总部2015 年 2 月 25 日，一款流行的国产车载 GPS 定位器，供个人使用，169 个国家的政府机构和公司存在严重的软件漏洞，对生命和肢体、国家安全和供应链、网络安全构成潜在危险研究人员在 2022 年 7 月 19 日星期二发布的一份报告中说，以配合咨询来自美国网络安全和基础设施安全局列出了六个漏洞。 （美联社照片/Manuel Balce Ceneta，档案） 执行摘要入侵关键基础设施会危及健康，数百万人的福祉和安全。十六个关键美国的基础设施部门几乎没有网络安全规定或要求。网络安全标准，除了能源、核能和金融部门，是自愿的，没有合法的对松懈做法的处罚。国际标准大致相同：不是强制性和不可执行的。制定自己的网络安全实践的企业——即使他们是严格的——进行评估或即时审计时间或时间段的基础。 is 表示他们验证遵守情况在某个时间而不是某个时间达到自愿标准持续的方式。通过在时间点的基础上进行评估，企业只能确定他们在那一刻遵守，而不是被通知当网络不合规或偏离合规时标准或最佳实践。此外，许多运营美国关键基础设施的公司小、农村或资金不足。这些设施没有资金资源来升级其网络安全实践并确保持续监控，使它们成为威胁参与者的有吸引力的目标。 他们是防御不力，但仍负责为大量人口服务的设施。最近的入侵，包括勒索软件和其他攻击，已经展示了有动机的威胁行为者可以轻松访问这些网络。从时间点框架到连续方法的过渡合规性将提高关键基础设施的网络安全水平，使这些基本服务对依赖的人们更可靠他们。持续合规代表一种安全态势和一组组织可以持续监控的运营实践，识别并纠正当前或潜在的网络安全漏洞以确保遵守法律标准和行业最佳实践。 e过渡到持续合规需要转变组织的1贝尔弗科学与国际事务中心|哈佛肯尼迪学院 在持续的过程中接受监控、评估、学习和适应的心态方式。它还需要使能技术，例如人工智能和合规引擎，它是一种软件和服务，用于监控指定的输入衡量合规性、跟踪进度并识别不合规的系统和行为。对于希望进行这种转变的企业，管理员必须定义和规范网络安全标准，创建衡量违规行为的方法和漂移，建立网络内不合规通知系统。合规引擎可以提供的一些服务包括网络风险管理员，例如不使用多因素的员工身份验证、前雇员的活跃帐户或第三方访问权限合同终止后仍在使用的凭证。持续的主要好处合规性提高了业务的网络安全性，提高了业务的可靠性公众，并降低合规监测和评估的成本。实施持续合规的建议包括：政府关键基础设施运营商持续合规软件供应商通过立法确定强制性网络安全关键标准了解监管标准并对员工进行教育。教育关键基础设施运营商如何连续合规性可以帮助他们。建立安全性和合规性以新产品的开发。基础设施部门。建立机构知识关于如何与小型和大型企业。增加资金到负责的机构网络安全（SRMA 和中央情报局）。通过以下方式提高持续合规性企业内的各个阶段。与州、地方和部落合作政府促进服务。自我评估所需的数量控制与便利。为小额提供资金关键基础设施企业采用将 IT/OT 系统细分为适用学位。持续合规。增加财务责任对于不合规和建立安全港标准。建立教育和推广计划持续合规。鼓励投资人工智能和自动化研发监控。2持续合规：通过加强监管、监督和监控来增强关键基础设施的网络安全 关键基础设施法规在美国CISA 关键基础设施部门••••••••••••••••化工商业设施通讯关键制造大坝国防工业基地紧急服务活力金融服务粮食和农业政府设施医疗保健和公共卫生信息技术（IT）核反应堆、材料和废物交通系统水和废水系统e 网络安全和基础设施安全局 (CISA) 划分关键美国的基础设施分为 16 个不同的部门。这些部门包含从水坝和核电站到体育场馆的设施和美铁车站。他们也占美国经济的很大一部分保护这一基础设施对公共安全和国家安全至关重要。各部门之间的监管和合规标准差异很大；财务例如，服务企业有许多保护客户的法规3贝尔弗科学与国际事务中心|哈佛肯尼迪学院 从信用卡欺诈或避免邪恶的交易行为。的这些要求，当然，与那些规范核安全处置的规则大不相同。废物或水处理系统的功能。然而，关键基础设施的网络安全法规缺乏或者根本不存在。事实上，能源、金融和核工业是唯一具有强制性网络安全合规标准的行业。 e美国国家标准与技术研究院 (NIST) — 内的一个机构美国商务部无权执行法规关于企业——发布一个可以自愿使用的框架供非政府组织改善网络安全。虽然联邦政府实体必须遵守 NIST 框架，企业不是，尽管他们可以将其用作改善网络安全的指南。这是一个灵活的适用于所有 16 个关键基础设施部门的框架，尽管不可强制执行。1尽管 CISA 提供、协调和促进网络安全建议和众多利益相关者的知识，它不是监管机构，而是在这方面没有执法权。 CISA本质上是一个管道倡导最佳实践并描述当前对其政府的威胁和私营部门合作伙伴。 他们建立了值得信赖的政府的声誉寻求保护和教育但不惩罚的合作伙伴。2013 年，总统政策指令 21 定义了政府机构作为部门特定机构监督关键基础设施部门——现在称为部门风险管理机构 (SRMA)。2能源部，与多家机构和组织合作——如北美能源可靠性公司和联邦能源管理委员会——将能源部门作为为数不多的关键基础设施部门之一进行监管具有强制性的网络安全法规。32018 年，能源部成立了他们的网络安全、能源安全和应急响应办公室1NIST。改善关键基础设施网络安全的框架. 2018 年 4 月 16 日，https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf。2“总统政策指令——关键基础设施的安全性和弹性。”白宫政府，2013 年 2 月 12 日，https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-安全性和弹性。3网络和网格安全 |联邦能源管理委员会. https://www.ferc.gov/industries-data/electric/行业活动/网络和电网安全。于 2022 年 6 月 30 日访问。4持续合规：通过加强监管、监督和监控来增强关键基础设施的网络安全 保护该行业免受