来源：审计署审计科研所

一、审计背景

日益复杂的威胁和持续不断的网络事件报告凸显了对持续有效的信息安全的迫切需求。美国审计署在1997年首次把信息安全作为政府的高风险区域。美国审计署不断扩大高危区域，在2003年增加了保护网络的关键基础设施，并在2015增加了保护个人可识别信息的隐私。

联邦法律和政策为国土安全部提供了完善和促进网络安全的广泛权力。国土安全部在加强联邦政府网络安全态势和促进支持国家关键基础设施的网络安全体系方面扮演了重要角色。

该报告强调了与国土安全部执行的联邦计划有关的美国审计署工作，旨在提高联邦网络安全和支持关键基础设施系统的网络安全。在准备这份报告时，美国审计署依赖于自2016财年开展的一系列工作，强调了国土安全部的国家网络安全保护系统、国家整合中心的行动和网络安全工作的评估。

二、审计发现

近年来，国土安全部已经采取措施改善和促进联邦及私人部门电脑系统和网络的安全，但还需要进一步改进。特别是，与其法定的权威性相一致，国土安全部已经在开展旨在减轻电脑系统和支持联邦运营以及美国国家关键基础设施的网络安全风险的项目和活动方面取得重要进展。例如：

●对联邦政府的实体提供有限的入侵检测和预防能力；

●向联邦机构发布与网络安全相关的捆绑操作指令；

●为联邦公民服务，作为共享有关联邦和非联邦实体网络安全信息的接口；

●促进使用国家标准和技术研究所“以改善关键基础设施网络安全的框架”；

●部分评估了其网络安全工作。

然而，部门尚未采取足够的行动确保其成功降低联邦和私营部门电脑系统及网络的安全风险。例如，美国审计署在2016年报告中指出，国土安全部的国家网络安全保护系统仅部分地满足其规定的检测和预防入侵、分析恶意内容和共享信息的系统目标。美国审计署建议国土安全部提升能力、改善计划，并支持其更多采用国家网络安全保护系统。

此外，虽然该部的国家网络安全和通信整合中心通常执行诸如收集和共享有关联邦和非联邦实体的网络安全信息等所需的功能，但是美国审计署在2017年报告中指出，中心需要更完整地评估其活动。例如，中心根据法定的执行规则发挥其需要作用的程度尚不清楚，部分原因在于，中心尚未建立度量标准和方法来评估其执行规则的绩效。此外，作为与包括通讯和大坝部门在内的八个关键基础设施部门合作牵头的联邦机构，国土安全部还没有制定度量标准来测试和报告其网络风险缓解行动的有效性或这八个部门的网络安全情况。

美国审计署在2018年报告，国土安全部已经采取措施评估其网络安全工作；然而，还未证实其所有的网络安全状况和关键技术要求。

除非国土安全部完全有效地执行了它的网络安全权力和职责，否则部门改善并促进联邦和私营部门网络的能力将受到限制。

三、审计建议