【公益譯文】NASA網路安全準備度（一）

結果簡報

NASA網路安全準備情況

審計事由

美國國家宇航局（NASA）負有特殊使命，與公眾、教育機構和外部研究機構有著廣泛聯絡，因而令人矚目。與大多數其他政府機構相比，更可能被網路不法分子盯上。NASA擁有約3000個網站和42,000多個可公開訪問的資料集，線上業務龐大，極易受到入侵。近年來，NASA的資訊長辦公室（OCIO）牽頭相關工作，著力提升該局的網路安全準備度。儘管如此，僅在過去4年間，NASA就遭受了6000多起網路攻擊，包括網路釣魚欺詐和在NASA系統植入惡意軟體。因此，NASA應制定強有力的網路安全措施，防護當前和未來的威脅，這一點至關重要。

NASA的資訊科技（IT）資產通常分為兩大類：機構系統和任務系統。這些資產以及網路安全管理在三個主要層級進行監督。OCIO人員對支援全體NASA員工的機構和安全能力進行監督。各任務團隊通常為自己的網路提供資金，這些網路的業務和安全對本團隊IT人員可見。最後，NASA各中心的IT人員負責管理、監督本中心內機構和任務網路中各計劃/專案的運作。

為了評估NASA對於網路安全的準備情況，我們調查了：（1）OCIO企業架構設計是否適用於評估網路安全風險和威脅；（2）NASA的網路安全保護戰略是否基於風險；（3）網路安全資源配置是否充足，優先順序劃分是否妥當；（4）是否採用良好的IT安全實踐有效評估了機構網路安全風險。

在此過程中，我們檢視了適用的法律法規，採訪了OCIO人員，檢視了機構檔案，分析了預算和人員配置資料，並回顧了以往的網路事件。我們參考的指導檔案包括國家標準與技術研究院（NIST）的《網路安全框架》及800系列特刊、網際網路安全中心的20大控制措施以及聯邦企業架構。

審計發現

對NASA網路的攻擊並不鮮見，同時，竊取關鍵資訊的事件也時有發生，且愈加複雜，造成了越來越嚴重的後果。攻擊者的攻擊性和組織性不斷增強，攻擊手段越來越複雜，管理和防護網路安全風險對於保護NASA龐大的IT系統網路至關重要；否則，惡意攻擊或入侵會嚴重妨礙NASA執行任務的能力。儘管NASA採取了積極措施來應對網路安全問題，包括網路監測、身份管理和IT戰略計劃更新等，但在加強基礎網路安全工作方面仍面臨挑戰。

我們發現，NASA在防止、檢測和緩解網路攻擊方面的能力因企業架構方法的混亂無序而受限。企業架構（EA）和企業安全架構（ESA）作為組織分析和運營其IT和網路安全的詳細規劃，是有效進行IT管理的關鍵元件。

NASA的企業架構開發工作已進行了十多年，仍未完成。同時，該機構管理IT投資和運營的方式也未統一，多是臨時起意。支離破碎的IT方法以及繁雜的各種許可權，長期以來一直是該機構網路安全決策環境的一大顯著特徵。整體看來，NASA面臨著較高的網路威脅風險，而有些風險本可以避免。

我們還注意到，NASA對IT系統的評估授權（A&A）方法不一致，效率低下，機構內部各部門的評估質量和成本有很大差異。這種不一致與NASA不統一的網路安全方法直接相關。NASA計劃簽訂一份新的網路安全與隱私企業解決方案和服務（CyPrESS）合同，以剔除重複的網路服務，助力NASA修訂A&A流程，更有效地保護其IT系統。

審計建議

為了推進NASA的網路安全準備工作，確保過程的連續性，以及提高NASA系統的安全性，我們建議副局長和資訊長：

1. 整合EA和ESA，制定指標來跟蹤EA的總體進展和有效性；

2. 與總工程師合作制定戰略，識別機構和各任務在IT方面的EA差距並進行最佳化；

3. 評估如何合理定位企業架構師和企業安全架構師在實施MAP期間和之後的組織職責，從而提升網路安全準備度；

4. 在對NASA的526個系統進行A&A的過程中，確定各中心進行獨立評估的年度成本，包括人員配置成本；

5. 在所規劃的CyPrESS合同中就專門的企業團隊制定基線要求，對須接受A&A的所有NASA系統進行評估和管理。

我們向NASA管理層提供了本報告初稿，他們對於上述建議表示贊同。我們認為，管理層的意見即是對本報告的響應；因此，建議得到解決，將在所提出的糾正措施完成和驗證後關閉。

引言

網路威脅局勢千變萬化，讓人猝不及防。一方面，攻擊者不斷開發新技術以規避安全措施；另一方面，垃圾郵件、網路釣魚和惡意軟體等威脅也在不斷增加且越來越複雜和精準。例如，2020年12月發現的SolarWinds對政府和私營資訊科技（IT）資產發動的大規模駭客攻擊就凸顯了建設強大的防禦系統的重要性。在新冠疫情期間，人們對於數字連線的依賴性大大增加，IT應用程式和架構快速演進。

美國國家宇航局（NASA）承擔特殊使命，與公眾、教育機構、研究機構等外部組織有著廣泛聯絡，因而令人矚目。與大多數其他政府機構相比，更可能被網路不法分子盯上。近年來，NASA的資訊長辦公室（OCIO）牽頭相關工作，著力提升該局的網路安全準備度。儘管如此，僅在過去4年中，NASA就經歷了6000多起網路攻擊，包括網路釣魚欺詐和在NASA系統植入惡意軟體。因此，NASA應制定強有力的網路安全措施，防護當前和未來的威脅，這一點至關重要。

為了評估NASA是否做好準備、能夠識別網路安全威脅並防範重大網路安全事件，我們調查了：（1）OCIO企業架構設計是否適用於評估網路安全風險和威脅；（2）NASA的網路安全保護戰略是否基於風險；（3）網路安全資源配置是否充足，優先順序劃分是否妥當；（4）是否採用良好的IT安全實踐有效評估了機構網路安全風險。審計範圍和方法詳見附錄A。

背景

NASA經常受到網路攻擊，部分原因是它所執行的任務引人注目、公開的數字足跡龐大以及這些系統管理的資訊往往很敏感。NASA擁有約3000個網站和42,000多個可公開訪問的資料集，線上業務龐大，極易受到入侵。特別是今年，針對NASA的網路威脅快速上升：在新冠疫情期間，網路釣魚事件翻了一番，惡意軟體攻擊呈指數增長，同時，NASA的大部分工作人員改為遠端工作。如圖1所示，NASA的IT裝置數量和種類以及該機構儲存的大量資料進一步加劇了該機構的網路安全挑戰。

針對NASA的網路事件會影響國家安全、智慧財產權，若資料丟失或洩露，還可能影響個人。在網路安全中，攻擊向量指攻擊者透過郵件、網站或外部/移動媒介非法訪問計算機或網路的途徑或手段。一旦攻擊者獲得訪問許可權，就能利用系統漏洞、訪問敏感資料、安裝各種惡意軟體或發動網路攻擊。例如，NASA的噴氣推進實驗室（JPL）在2018年遭遇了駭客攻擊，起因是一個外部使用者賬號將未經授權的裝置連線到JPL伺服器，無意中將網路暴露給了駭客。隨後，駭客潛入該系統，入侵了伺服器以及NASA的深空網路望遠鏡陣列。有關常見攻擊向量的更多資訊，詳見附錄C。

根據NASA的資料，該機構在2020年發現了1785起網路事件，如表1所示。由於違反組織的許可使用策略而導致的不當使用事件（如安裝未批准軟體或瀏覽不良內容）上升最快，從2017年的249起增加到2020年的1103起，增長幅度達343%。此外，2020年，不當使用仍然是主要的攻擊向量。NASA官員解釋說，雖然這種增長令人擔憂，但他們認為，這是因為局裡近期安裝的網路安全軟體提高了網路的可見性，進而檢測並記錄了更多的網路事件。

NASA的計算機網路面臨著越來越廣泛的網路威脅，尤其是基於網際網路的入侵。這種入侵屢屢得手，說明NASA面臨的網路安全挑戰日益複雜。簡而言之，相較於動態變化的威脅局勢，NASA的IT安全流程往往顯得滯後而無能。NASA曾遭遇的重大事件包括：

• 2019年，NASA的一名受僱人員使用個人電腦訪問NASA的網路和系統進行挖礦活動。

• 2018年，一外部使用者賬號被入侵後從一個重要任務系統中竊取了約500 MB資料。

要有效保護網路安全，需要認準目標，全力以赴。同時，準確評估威脅和識別漏洞對於瞭解組織的風險至關重要。在IT管理方法中，網路風險包括威脅發生的機率以及威脅發生可能造成的潛在經濟或聲譽損失。要了解這種風險，必須準確評估威脅和漏洞。廣義上，網路安全是整個風險管理過程的一個重要組成部分，是否成功最終取決於安全措施防止惡意攻擊和入侵的有效性。

長期存在的網路安全問題

近20年來，我們一直將保護NASA的IT系統和資料視為首要管理任務。在過去5年間，OIG和政府問責辦公室（GAO）釋出了數十份報告，指出了NASA資訊科技系統中的缺陷。重要結論包括：

• 資訊長（CIO）努力工作，推行有效的IT治理結構，使許可權和責任與機構的總體使命保持一致。

• NASA機構內部缺乏統一的資訊保安風險管理框架和資訊保安架構。

• NASA的IT內部控制和風險管理實踐普遍存在不足。

• 安全運營中心缺乏可見性和許可權來管理NASA整個IT基礎設施的資訊保安事件檢測和修復。

• NASA的網路安全計劃根據聯邦資訊保安現代化法案的評級標準為2級（共5級）無效，意味著NASA已釋出了安全計劃相關政策和程式，但沒有統一實施。

• 在分配“移動裝置管理”訪問許可權時，NASA沒有充分監測和執行必要的業務規則。

OIG在過去5年提出的73項IT相關建議中，有46項已執行，進行了針對性行動。NASA需要繼續實施餘下27項建議，其中大部分來自我們最近的工作。此外，在過去5年中，NASA OIG調查人員對NASA網路進行了120多項調查，涉及入侵、惡意軟體、拒絕服務攻擊和資料洩露，其中一些已進行刑事定罪。

聯邦政府和NASA的網路安全指導

美國國家標準與技術研究院（NIST）有一整套資訊保安標準和指南，用於管理網路安全風險。此外，有些聯邦法律和政策就保護聯邦系統和管理網路安全風險提出了要求。例如，根據《2014年聯邦資訊保安現代化法案》以及行政管理和預算辦公室（OMB）、國土安全部（DHS）和NIST的規定，聯邦機構的網路安全計劃必須涵蓋支援機構運營和資產的IT系統的資訊保安。聯邦機構的網路安全計劃還必須包括網路安全風險評估、降低資訊保安風險並確保合規的政策和程式以及漏洞緩解和事件管理之類的安全運營。

在這次審計中，我們考察了NASA對於兩大IT管理要素的實現方法：企業架構（EA）和企業安全架構（ESA）。EA是IT資產、業務流程和治理原則方面的規劃，用於建立統一的標準化軟硬體環境。ESA是用於管理網路安全能力、政策和流程以控制和緩解威脅的框架。EA和ESA是公共和私有組織公認的組織變革及IT管理原則，有效實施後可以提升任務表現和機構的戰略成果。

在普及網路安全的風險管理方法時，NIST將企業架構和企業安全架構視為“緊耦合”。例如，NIST建議組織使用安全控制防護已知網路風險。具體說，NIST EA控制（即“計劃管理7”，簡稱為PM-7）要求將資訊保安整合到組織的EA中，以確保安全因素與組織風險管理和網路安全策略一致。具體到NASA，其政策反映了聯邦政府的指導方針，規定企業、任務、計劃、專案、中心的所有IT投資與機構EA保持一致。該政策旨在解決獨立開發各種IT系統的問題，並未考慮如何將其與未來技術結合使用。這種系統通常缺乏縱貫組織的統一協調和規劃，因此可能存在安全風險。

NIST在CA-1（“認證、資格鑑定和安全評估”）中介紹了ESA，描述了評估授權（A&A）過程。A&A是有效網路安全的重要基礎，透過詳細徹底的審查確保IT系統符合網路安全要求。在NASA，新系統上線必須進行A&A，所有現有系統每年也都需要A&A。

A&A包括對安全政策和程式（管理控制）、物理設施基礎設施（操作控制）以及網路測試、伺服器測試、應用程式安全測試、滲透測試和掃描（技術控制）的審查。評估階段旨在識別和緩解安全缺陷；授權階段促使機構考慮並接受與所審查IT系統相關的風險，並批准該系統在指定的時間段內執行。典型的A&A至少包含六個元件（例如安全和配置管理計劃），若系統包含敏感資料，則需要更多文件。

NASA的網路安全管理

NASA的IT資產通常分為兩大類：機構IT資產和任務IT資產。機構系統支援NASA員工的日常工作，包括網路、資料中心、Web服務、桌上型電腦和膝上型電腦、企業業務應用程式以及其他終端使用者工具，如電子郵件和日曆。任務系統支援NASA的航空、科學和太空探索專案，包括控制航天器、收集和處理科學資料以及執行其他關鍵機構職能的IT系統。例如，由噴氣推進實驗室運營的“深空網路”就是一個支援行星際航天器任務的任務系統。NASA的IT資產分類見圖2。

理論上，NASA的網路風險管理具有嚴格的分級，但實際上專案和組織都具有複雜的動態。例如，該局的組織結構有三個主要層次，網路安全管理責任各不相同，資金控制線眾多：

1. 機構網路管理。OCIO主要位於NASA總部，負責為NASA提供戰略方向，全面負責資訊科技，如服務於全體NASA員工的電子郵件、服務檯功能和安全能力。在OCIO內部，網路安全與隱私部（CSPD）擁有約120名員工，負責管理網路安全持續監控基礎設施、網路安全和隱私風險、政策制定和安全運營中心（SOC）等活動。CSPD還負責制定、實施以及維護NASA的企業安全架構。OCIO的組織結構如圖3所示。

2. 任務網路管理。NASA有四個任務局，各由一名副局長領導。各任務局為自己的計算機網路和IT人員提供資金；因此，在大多數情況下，任務局人員比OCIO工作人員更瞭解任務網路的運營和安全。例如，任務局人員確定用於國際空間站和行星際衛星任務（如朱諾號和好奇號火星探測器）的網路的風險和風險接受度。一般來說，任務IT的範圍包括為特定的任務目的、職能或需求配置的具有專門IT（如軟體、硬體、網路安全或其他IT服務）的專案。

3. 中心網路管理。各NASA中心主任負責本中心的運營，確定如何以最優方式支援本中心的計劃和專案。這一地方管理部門對機構和任務IT系統均有管理許可權。需要注意的是，NASA OCIO對各中心網路安全的實際運營（包括網路和系統訪問授權過程）沒有直接控制權，而是由中心的首席資訊保安官（CISO）負責本地網路安全，充當總部高階機構資訊保安官（SAISO）與中心資訊保安職能部門之間的主要介面。無論該局的組織結構如何，所有IT系統都必須遵循NASA和NIST的指導檔案並採用A&A流程，但流程執行方式可因部門而異。

NASA的網路安全開支

NASA的IT開支預算約為每年22億美元，約佔其總預算的10%，這一數字與規模類似的聯邦機構相當。不過，NASA分配給各任務的IT預算比例各有不同。圖4為NASA 2021財年按組織分配的網路開支預算。

在2020財年，OCIO的IT支出為2.78億美元，其中7400萬美元用於機構網路安全。除此之外，2020財年全國各地的任務辦公室在基於任務的網路管理上投入了1.69億美元。

OCIO在網路安全方面的主要舉措

在過去幾年中，OCIO一直致力於改善NASA的網路安全和IT治理。2019年9月，NASA更新了其IT戰略計劃，其中確定了關鍵活動、里程碑以及將IT作為戰略資源進行管理所需的資源。為進一步改善IT運作模式，OCIO現採取了兩項重要措施：

1. 任務支援未來架構計劃（MAP）傳統上，NASA各中心和總部分別管理和運作自己的IT、人力資源、財務和採購等服務。現處於評審階段的MAP將NASA轉向企業計算模式，集中和整合IT能力，如軟體管理和網路安全，以此改進任務支援服務。然而，MAP並不關注如何管理各任務或中心的IT系統；它只涉及機構IT系統。OCIO預計在2021年完成MAP評估，2022年1月開始實施。

2. 即將簽訂的網路安全與隱私企業解決方案和服務（CyPrESS）合同。該合同的其中一個目的是消除重複的網路服務，免除各中心單獨簽訂IT安全合同的麻煩。雖然CyPrESS不是MAP計劃的正式組成部分，但預計將與MAP協同工作，作為全組織統一採用的安全服務交付模式。OCIO預計在2022年2月之前授予合同。