美國政府問責局報告顯示，盡管新的風險管理指南已經(jīng)開始實施，但負責關(guān)鍵基礎設施管理工作的各聯(lián)邦部門一直未就安全改進效果開展量化評估；

　　報告稱，16大關(guān)鍵基礎設施領域中，僅3個評估了NIST關(guān)基安全改進框架的采用情況，多數(shù)表現(xiàn)滯后；

　　有聯(lián)邦機構(gòu)表示，持續(xù)的疫情和勒索軟件攻擊影響了對該工作的資源投入。

　　美國政府問責局（GAO）日前發(fā)布的最新報告顯示，隨著聯(lián)邦網(wǎng)絡安全指南在各關(guān)鍵基礎設施部門的落地，仍有不少負責網(wǎng)絡風險管理工作的聯(lián)邦部門尚未對指南實施帶來的安全改進做出衡量與評估。GAO建議相關(guān)部門抓緊推進該項工作。

　　《2021年國防授權(quán)法案》將2013年的一項總統(tǒng)行政令納入法律，要求將16大關(guān)鍵基礎設施領域的風險管理職責劃歸9個聯(lián)邦機構(gòu)負責管理。但政府問責局的報告顯示，這些聯(lián)邦機構(gòu)至今仍未對16大主要關(guān)鍵基礎設施領域中的13個采用網(wǎng)絡安全標準情況開展全面評估。

　　GAO報告封面

　　報告稱，從核反應堆到關(guān)鍵制造、再到醫(yī)療保健與應急服務，這9個肩負風險管理職責的聯(lián)邦機構(gòu)，一直沒能確定美國國家標準與技術(shù)研究所（NIST）《關(guān)鍵基礎設施網(wǎng)絡安全改進框架》的實施情況。這套框架意在為整個行業(yè)提供全面的網(wǎng)絡安全規(guī)劃，涵蓋核心安全功能與技術(shù)保障手段，希望能緩解漏洞影響并預防入侵行為。

　　截至目前，各負責機構(gòu)只評估了這套框架在國防工業(yè)基地、政府設施及自來水/廢水處理系統(tǒng)（3個領域）中的應用情況。

　　其他關(guān)鍵基礎設施領域的框架落地現(xiàn)狀則可謂好壞參半。

　　部分行業(yè)已經(jīng)確定了框架的應用方式，比如能源部開始跟蹤各機構(gòu)內(nèi)的網(wǎng)絡安全工具包申請情況。但大多數(shù)機構(gòu)仍然停滯在跟蹤并評估跨部門框架實施水平的階段。

　　NIST關(guān)基安全框架為自愿性質(zhì)，除了與特定行業(yè)團體開展協(xié)同調(diào)查與信息共享之外，各機構(gòu)其實無權(quán)從關(guān)鍵基礎設施運營者處直接獲取信息。

　　政府問責局在報告中還提到，國際社會的持續(xù)性危機也可能影響到各級機構(gòu)的網(wǎng)絡安全框架實施進展。

　　在報告中，美國衛(wèi)生與人類服務部（HHS）官員指出，“COVID-19疫情防控、抵御并恢復勒索軟件攻擊影響等事務已經(jīng)嚴重侵占各部門資源，也迫使管理者將注意力從框架實施轉(zhuǎn)向更為迫切的現(xiàn)實問題?！?/p>

　　報告稱，目前有三家聯(lián)邦風險管理機構(gòu)在衡量NIST框架實施方面取得了顯著成功。以環(huán)境保護署為例，其下轄的地下水與飲用水辦公室官員提到，在146家要求自愿接受技術(shù)評估的自來水公司之內(nèi)，框架中所推薦安全控制措施的普及度提升了32%。