【公益譯文】NASA網路安全準備度（二）

NASA網路安全工作的有效性

受限於無序的企業架構方法

NASA在防止、檢測和緩解網路攻擊方面的能力因企業架構方法的混亂無序而受限。企業架構（EA）和企業安全架構（ESA）作為組織分析和運營其IT和網路安全的詳細規劃，是有效進行IT管理的關鍵元件。NASA的企業架構開發工作已進行了十多年，但仍未完成，同時，該機構管理IT投資和運營的方式也未統一，多是臨時起意。支離破碎的IT方法以及繁雜的各種許可權，長期以來一直是該機構網路安全決策環境的一個顯著特徵。因而，整體看來，NASA面臨著較高的網路威脅風險，而有些風險本可以避免。

NASA的企業架構與企業安全架構

EA和ESA是進行有效IT管理的基石。兩者結合可以幫助組織將全機構的戰略目標和共享IT基礎設施與周密的網路風險和總體網路安全方法結合起來。

EA是IT資產、業務流程和治理原則方面的規劃，用於建立統一的標準化軟硬體環境。EA關注的是組織IT系統的當前以及預期的未來運營狀況，可作為過渡時期的路線圖。科學合理的架構還應該記錄業務和管理流程以及IT之間的當前和預期關係。在計算中，術語“企業”是指一種集中結構，其中的IT組織管理技術，例如，為整個組織執行與軟體、補丁和安全相關的任務。EA關注的是企業的組成元素以及這些元素如何與人、流程、業務和技術相互關聯。此外，EA旨在將邏輯元素（整合的功能、應用程式、系統、使用者、工作位置以及資訊需求和資訊流）與技術元素（硬體、軟體、資料、通訊和安全）整合在一起。IT管理的眾多分支（如終端使用者計算、通訊以及重要的網路安全）影響著成熟EA的整體戰略工作。NASA EA的主要目的是使該局的所有業務、財務、科學和工程需求與支援其任務和提高總體IT效能所需的技術基礎設施和資源保持一致。NASA的首席企業架構師屬於OCIO部門，負責管理EA和制定指導原則、程式和技術標準，建立一個全域性範圍的綜合視角。

企業安全架構（ESA）是EA的子集，識別網路安全並將其整合到整個EA中。ESA將NASA的企業安全計劃、投資和能力與該局的業務需求和戰略目標對齊。NASA的ESA基於NIST框架，根據幾大IT諮詢公司的建議進行了調整。高階機構資訊保安官（SAISO）和網路安全與隱私部（CSPD）都設在總部的OCIO內，負責監督全域性IT事務的網路安全要求。同時，各中心資訊長（CIO）和首席資訊保安官（CISO）負責確保本中心的所有資訊系統、組織和人員符合網路安全要求。ESA對大多數的IT服務並無控制權，而是為全域性的軟體應用程式、雲端計算和網路能力等服務提供網路安全支援。

由於NASA的資料和基礎設施分佈廣泛，具有碎片化和複雜性的特徵，如何高效和有效地保護NASA的資料和資產就成了一個持續的挑戰。2005年，我們首次出具報告，說明NASA OCIO正在為縱貫全域性的IT架構和相關管理流程開發需求和計劃。當時，我們提醒說，在這些工作完全納入各任務局和中心的預算和運營之前，CIO洞察和影響IT組織、組織運營和預算的能力將受到限制。同樣，政府問責辦公室（GAO）在2012年9月也建議NASA改進其EA成果的衡量和報告方式，並在2013年11月建議將100%的IT投資（機構IT和任務IT）涵蓋在NASA EA中。2017年10月，我們在報告中提到，經過十年的改進，該局的企業架構依然不成熟。在最近的採訪中，NASA的首席企業架構師解釋說，2012年和2013年GAO的建議都不會很快關閉，因為NASA需要更多的時間開展MAP。在此期間，EA和ESA只能繼續以臨時方式在整個機構內實施。

儘管存在上述缺點，在過去幾年間，OCIO還是採取了一些積極措施，以改善NASA的總體網路安全計劃和狀況，包括實施國土安全部的持續診斷和緩解（CDM）計劃。這些工具於2016年首次實施，用於識別和監控聯網資產，進行補丁和漏洞管理。CDM已在NASA的機構網路中部署完成，任務網路計劃於2021財年第四季度完成。CDM全部部署完畢後，NASA能更全面地瞭解接入到本局網路的資產，增強網路安全能力。

同時，NASA在身份管理和認證方面取得進展，可識別接入到機構網路的人和物。NASA要求所有特權使用者在使用其IT資產之前，必須使用個人身份驗證（PIV）憑證登入。例如，特權使用者可以安裝或刪除軟體、升級作業系統或修改應用程式配置。此外，他們可能能夠訪問非特權使用者通常無法訪問的檔案。《聯邦資訊保安現代化法案》（FISMA）要求非特權使用者使用PIV。2019年，NASA對這一風險管理評估目標的達成率為90%，這一成績頗為不俗。

最後，在全組織範圍內進行治理以及具備必要資源對於降低網路安全風險至關重要。2019年9月，NASA更新了其IT戰略計劃，其中確定了關鍵活動、里程碑以及將IT作為戰略資源進行管理所需的資源。

EA管理與ESA管理脫節

NASA的內部管理結構和資助機構造成了EA和ESA的脫節。例如，我們發現，儘管CSPD（設在OCIO內）負責管理NASA的網路安全狀況和合規，但由於組織邊界的限制，該部門執行網路安全基線的權力受到限制。除了這種脫節的管理之外，包括中心架構工程團隊和企業團隊在內的多個團隊執行類似的EA活動，導致工作、基礎設施和服務的重複。

OCIO的內部組織結構（EA和ESA是辦公室內的兩個獨立實體）也存在問題。EA屬於企業服務與整合部，而ESA則屬於網路安全與隱私部。在我們看來，這種凌亂的組織結構增加了網路安全的複雜性，使其難以有效執行。目前的做法導致職責分工混亂，或割裂，或重疊，同時忽略了這樣一個現實，即網路安全需要綜合方法，通盤考慮全域性的活動和業務。各部門都有自己的一套運營目標和管理人員，他們在EA的作用、EA和ESA之間的整合度以及覆蓋全組織的EA方法的深度和廣度方面歷來看法不一。這種傳統導致了ESA工作只能自主驅動，因為EA路線圖在不同的任務和機構IT間缺乏一致性。如前文所述，NIST認為EA和ESA彼此高度依賴。

根據OCIO企業架構師和企業安全架構師的說法，將網路安全整合到整個IT基礎設施中在NASA剛剛起步。我們認為，NASA對EA和ESA的管理方法應正式整合，以減少網路安全風險，對整體有效性提供全方位視角。全面的EA要求周密考慮網路安全，需要企業架構師和企業安全架構師之間進行協作，因為這兩個角色都對機構的總體網路安全準備度負責。

更為複雜的是NASA任務網路中IT和網路安全的資助方式。與眾多NASA計劃和專案相關的IT安全資金都涵蓋在基礎任務的成本中，這可能會造成機構內的重複活動，如安全運營中心（SOC）。例如，除了由機構資助和運作的、監測機構IT運營的SOC外，各任務還運營著四個類似於SOC的實體。IT負責人告訴我們，重複服務並不能帶來經濟效益，一般也不會提供額外的網路保護。

長期以來，各任務和中心進行獨立預算，有時還存在競爭性利益，這種做法讓NASA無法建立完整的EA。此外，平衡IT安全與網路訪問之間的競爭性利益仍然是一個挑戰。負責人解釋說，雖然NASA已採用可信網際網路連線（TIC）計劃來協助保護其網路，但在某些情況下，由於資源需求，任務並未使用TIC。此外，ESA在該機構的管理結構內沒有太大影響，這對網路安全的影響尤其大。例如，與安全和任務保障辦公室不同，OCIO在技術上無權批准任務的生命週期計劃，儘管該計劃詳細規定了任務應如何評估和規劃減輕網路安全風險。根據我們對機構人員的採訪，在任務處於規劃階段時，往往不會向OCIO的律師和專家尋求幫助，導致由於不熟悉NIST要求而讓網路風險增加。例如，在最近的審計中，我們發現許多系統安全計劃缺乏必要的措施和資訊，例如系統分類、風險評估和系統邊界描述，這些都是識別和管理網路風險的基本要素。重要的是，系統安全計劃若不夠精確，針對IT環境中特定網路風險的要求和控制就會有偏差。

機構官員表示，機構和任務系統的EA規劃都包含了安全。然而，在開發新的IT系統和管理現有系統時，對網路安全的考慮有多有少，導致網路安全解決方案效率低下，彼此可能無法相容。NASA的SOC就是一個最好的例子，很好地詮釋了這種網路安全環境可能帶來的問題。雖然SOC可檢視NASA的整個機構網路，但對任務網路的瞭解有限且只能區域性檢視。在大多數情況下，網路和資產保護的責任由各任務全權承擔，SOC無法評估和發現威脅，但在發生網路安全事件時仍負有責任。然而，在不瞭解具體應用、作業系統或其他裝置資訊的情況下，SOC協助任務或跨機構和任務網路邊界關聯事件資料的能力受到嚴重限制。此外，由於NASA、政府、行業和學術界以各中心為載體進行合作，而這些中心又分佈在不同區域，資訊保安就變得極具挑戰性，各部門之間相互依賴，但又有自己的一套IT安全要求。必須指出的是，設在NASA總部的OCIO負責機構網路安全措施的全面實施，同時又是機構系統的控制者，但無權監督或控制機構任務系統的網路安全。

NASA官員承認，在IT實踐上，並不是所有的任務和合作夥伴都按照機構的ESA行動。例如，在某些情況下，網路和通訊示意圖缺乏細節，未與企業安全架構整合。這些示意圖對於確定計算機網路各部分（伺服器、軟體和資料）的相互依賴關係（即如何互動）、確保網路及其通訊的安全性非常重要。

重要系統排除在EA和ESA重點事項之外

EA和ESA之所以混亂無序，其中一個原因是，NASA優先考慮機構系統和高風險任務，如空間發射系統和國際空間站，而將其他任務系統的網路安全排在次要位置，只有在時間和資源允許的情況下，才將這些系統整合到EA和ESA中。

OCIO負責機構的IT，各任務可自行解釋和實施要求以及承擔與網路安全相關的成本。例如，大型專案，如獵戶座飛船和聯合極地衛星系統，更善於管理網路安全，而小型任務，如立方衛星（CubeSats），往往因為他們的專業技術和資產（人員、工具和資金）不足而難以開展網路工作。大型專案瞭解NIST關於安全分類的指導以及安全控制的選擇和實施；一般來說，規模較小的專案不熟悉這些複雜的網路概念，也沒有相關的專業知識。NASA官員解釋說，小型任務往往將網路安全放在其“待辦事項”清單的最下面，科學—而不是IT—仍然是其首要任務。但是，在網路安全領域，要塞的堅固程度取決於最脆弱的那個入口。附錄B中詳細討論了具體的安全控制措施。

歸根結底，有效的網路安全取決於安全控制是否合理設計、正確實施、按預期運作，以及是否產生預期結果，滿足了組織在資料和資訊系統的網路安全方面的要求。NASA官員告訴我們，如果在規劃週期的早期沒有認識到網路安全，並且在政策和流程檔案中沒有體現，那麼網路安全往往會被忽視。根據我們的判斷，如果不加強要求，將網路問題融入機構的所有行動，NASA將面臨更高的網路攻擊風險。

NASA的評估授權流程缺乏一致性和有效性

NASA對IT系統的評估授權（A&A）不一致，效率低下，機構內部各部門的評估質量和成本有很大差異。評估授權的這種不一致，其直接原因是NASA的網路安全方法不一致，而這種方法已沿用了十多年。NASA計劃簽訂一份新的網路安全與隱私企業解決方案和服務（CyPrESS）合同，以剔除重複的網路服務，助力NASA修訂A&A流程，更有效地保護其IT系統。

評估授權流程

組織對其IT系統進行A&A，確保系統滿足網路安全要求。在NASA，新系統上線必須進行A&A，所有其他系統每年也都需要A&A。A&A通常由NASA公務員和承包商進行，前者負責監督合規性、檔案和報告，後者負責執行獨立的技術評估。A&A的最終產物包括操作授權、基於風險的個人控制應用決策以及解決已知缺陷的行動計劃和里程碑。A&A流程以NIST風險管理框架為基礎，由六項關鍵任務組成，如圖5所示。需要注意的是，進行A&A所需的主要資源是人力，流程可大抵視為工時集合，需要各種網路安全知識和技能。

A&A指導方針與要求

NIST有一個大文件庫，可幫助政府和私營部門組織管理資訊科技資產。該庫中的一些檔案詳述了應如何評估系統風險並授權系統執行。這些檔案提供了安全與隱私控制目錄，用以增強和支撐關鍵基礎設施，防護各種威脅和風險，包括敵對攻擊、人為錯誤、自然災害、結構故障、外國情報實體和隱私風險。本基本控制指南詳細說明了支援全面安全控制的具體風險管理活動，包括支援EA、ESA和A&A的風險管理活動。然而，雖然NASA要求或建議使用該指南，但OIG審計中不斷發現在系統安全計劃制定過程中有未遵循NIST指南的情況出現。此外，私營部門的主題專家指出，分開經營類似的業務無效且浪費，會導致如下問題：（1）整個組織的決策不一致，合規問題處理滯後；（2）廠商業績缺乏透明度；（3）在新合同談判時錯失了運用槓桿的機會；（4）操作紀律不嚴；（5）無法協調和利用組織內現有的專業知識。

• NIST SP 800-37，資訊系統與組織風險管理框架：安全與隱私系統生命週期方法
• 聯邦資訊處理標準（FIPS）199，聯邦資訊系統分類
• NIST SP 800-60第一卷和第二卷，資訊和資訊系統型別與安全分類對映指南
• NIST 800-53及800-53(a)，資訊系統和組織的安全與隱私控制；聯邦資訊系統和組織的安全與隱私控制評估：制定有效的評估計劃
• NIST SP 800-115，資訊保安測試和評估技術指南

NASA的A&A流程缺乏整體一致性

NASA 2020年的IT清單列出了526個系統，分屬高中低三個風險級別，如圖6所示。

我們發現，NASA的A&A流程在整個機構中並不一致。各中心有不同的成本模型，對系統所有者（部署IT系統、因此產生A&A需求的任務）徵收不同的評估費用。例如，JPL和蘭利研究中心的系統所有者根據現有的中心合同，可以免費獲得A&A服務。在戈達德太空飛行中心（Goddard Space Flight Center），機構系統所有者免費獲得A&A服務，而任務系統所有者根據系統分類等因素會被收取數目不等的評估費用。同時，在肯尼迪航天中心（Kennedy Space Center），擁有非肯尼迪任務或企業機構系統的組織將被收取A&A費用，而擁有中心繫統的組織則不會收取A&A費用。地面探測系統（Exploration Ground Systems）是一個例外，這是肯尼迪航天中心管理的專案，但由於其存在大量的安全計劃，因而產生A&A成本。

評估流程歷來執行不到位

我們還注意到，評估流程遺漏了資料保護的關鍵方面，缺乏瞭解任務系統複雜性或關鍵性分析的工作人員，有些組織還認為評估工作負擔過重。綜上所述，這些因素導致了挫敗感和額外的工作，有些組織因而質疑A&A流程的價值。我們認為，正因為如上原因，組織會寧願接受過高的風險水平，也不願意承擔與A&A流程相關的可感知負擔。

在過去的6年中，我們發現某些型別的資料在A&A過程中會被認為不相干而被忽略或丟棄，造成系統被誤分類為低風險級別，與其關鍵性不匹配。例如，在2015年3月的一份報告中，我們發現一個航天器指揮控制系統被錯誤地歸類為與航天器指揮和遙測無關的其他系統；該系統後來遭遇了網路事件。再比如，審計發現大量不同風險影響級別的系統被列入同一安全計劃，導致安全控制措施實施不當。同樣，我們之前的審計報告曾提及IT系統的分類決策顯得隨意，未遵循既有標準。其中一項發現特別指出，在確定風險影響水平時未參考NIST指南。此外，我們在2021年2月的FISMA報告中指出，控制評估缺乏一致性和全面性。我們發現，截至2021年3月，35個系統的執行許可權已過期，82個系統的應急計劃測試過期。根據機構政策，NASA系統應按照NIST指南進行分類，分類錯誤應在A&A過程中加以識別和糾正。正確的系統分類對於有效保護NASA系統和資料的機密性、完整性和可用性至關重要，也是在A&A期間應仔細審查的基本步驟。此外，我們在過往審計中發現了安全控制缺陷，如（1）A&A流程中的分類缺陷直接導致的不當資料保護控制，（2）因缺乏關鍵性分析或綜合評估而產生的不當邊界控制和互連，（3）因缺乏統一的專用資源而造成整個組織中缺乏可見性。透過有針對性的全面評估，這些缺陷是有可能在A&A過程中得到識別和糾正的。

A&A管理結構零散

這些評估的管理結構在整個機構內零零散散，加劇了A&A流程的整體不一致性。A&A是一項關鍵職能，需要具有不同網路安全知識和技能的專職人員，但負責監督中心A&A的公務員還須承擔其他網路安全職責。NASA目前的做法是，各中心透過自己簽訂的合同聘請獨立的外部A&A評估員，這與最佳管理實踐相矛盾，後者建議在組織內整合類似職能線的業務。這種運作方式加劇了A&A過程造成的挫敗感以及IT治理挑戰。負責官員解釋說，人們通常感覺A&A過程繁瑣又武斷，因而認為評估員對該過程的技術投入有時毫無價值。正如我們之前的報告所述，負責NASA網路安全計劃的NASA SAISO沒有深入瞭解各中心A&A的成本、技能和人員配置，即使他/她被要求提供監督並向OMB報告NASA的網路安全態勢。

與A&A過程相關的成本、流程和效能的不一致直接導致NASA的網路安全方法始終不成體系。雖然NASA正逐步轉向企業化方法，各中心仍在使用不同的模式，基於不同的合同管理其A&A流程，將各種成本轉嫁給NASA組織。作為單一職能業務線管理的企業級專用A&A流程會促進成本和實踐的一致性，對必要技能進行戰略分配，與CSPD的企業保護願景保持一致，並對NASA的各種系統清單進行關鍵性分析。根據最佳實踐和我們近十年來透過NASA網路安全狀況審查所收集到的證據，NASA的評估授權方式需要改變。A&A職能（NIST風險管理框架要求）旨在對所有NASA系統採用一致方法，重點是穩健的關鍵性分析，包括低、中、高影響系統及其環境的示意圖。

A&A整合有助於節約成本

NASA業務的分散性加上該機構長期以來的自治文化，阻礙了CSPD收集有關A&A成本、人員配置和網路安全技能的相關資料。CSPD一直嘗試收集和分析這些資訊，但撰寫本報告時仍一無所獲。為了確定A&A的年度總成本，我們分析了兩個NASA中心的成本。2020財年，戈達德使用4名承包商和4名公務員兼職對38個IT系統進行了A&A，費用為76.5萬美元。同年，肯尼迪使用3名承包商和2名公務員對38個系統進行了A&A，費用為55.4萬美元。將這些費用推算到NASA的526個IT系統中，我們估計A&A的總年度成本約為600萬至700萬美元。我們認為，該機構應該能夠透過將A&A流程整合到一個專門的企業職能中來節約成本，而不是像目前這樣在眾多不同的合同下分散運作。此外，NASA可引入一批專家進行這一過程，這樣可以大大提高A&A成果的質量，改善該機構的整體網路安全狀況。

NASA目前正在規劃新的網路安全與隱私企業解決方案和服務（CyPrESS）合同（預計將於2022年2月簽訂），其中包括企業IT支援服務，這會為NASA帶來獨特機會。將A&A納入CyPrESS合同，會保證必要的一致性和專用資源，有助於NASA做好準備，在各IT系統的生命週期早期發現和緩解網路缺陷。

結論

對NASA網路的攻擊並不鮮見，同時，竊取關鍵資訊的事件也時有發生，且愈加複雜，造成了越來越嚴重的後果。攻擊者的攻擊性和組織性不斷增強，攻擊手段越來越複雜，管理和防護網路安全風險對於保護NASA龐大的IT系統網路至關重要；否則，惡意攻擊或入侵可能會嚴重妨礙NASA執行任務的能力。儘管NASA採取了積極措施來應對網路安全問題，包括網路監測、身份管理和IT戰略計劃更新等，但在加強基礎網路安全工作方面（包括EA和A&A流程現代化）仍面臨挑戰。具體而言，由於對EA/ESA技術一體化的要求一知半解，任務存在可見性差距，再加上A&A流程內部不統一導致無法有效實施，NASA在網路安全準備上捉襟見肘。當系統所有者將A&A視為負擔而不是有用的工具時，風險管理決策顯然就會不夠合理。

採用一體化EA/ESA並制定有效的企業級A&A流程不僅會大大提高態勢感知能力，還能促使NASA的決策者對該局的網路安全狀況作出積極改變。官員們能夠更準確地評估風險，預測事故，確定需要在哪些地方投入額外資源或做出改變。我們希望，MAP計劃和CyPrESS合同會在這些問題上助力NASA取得當前急需的進展。然而，歷史表明，當管理決策受制於機構的聯邦模式時，在NASA推動變革可能極其艱鉅，因為總部與分散在各地的任務和中心之間有多條獨立的權力線。當IT管理和網路安全等問題跨越組織邊界以及存在競爭利性益和獨立預算時，情況尤其如此。我們認為，NASA必須果斷行動，部署和調整IT安全戰略，跟上不斷演變的網路威脅情況。

建議、管理層回應和審計評價

為了推進NASA的網路安全準備工作，確保過程的連續性，以及提高NASA系統的安全性，我們建議副局長和資訊長：

1. 整合EA和ESA，制定指標來跟蹤EA的總體進展和有效性；

2. 與總工程師合作制定戰略，識別機構和各任務在IT方面的EA差距並進行最佳化；

3. 評估如何合理定位企業架構師和企業安全架構師在實施MAP期間和之後的組織職責，從而提升網路安全準備度；

4. 在對NASA的526個系統進行A&A的過程中，確定各中心進行獨立評估的年度成本，包括人員配置成本；

5. 在所規劃的CyPrESS合同中就專門的企業團隊制定基線要求，對須接受A&A的所有NASA系統進行評估和管理。

我們向NASA管理層提供了本報告初稿，他們對於這裡所列建議表示同意。我們認為，管理層的意見即是對本報告的響應；因此，建議得到解決，將在所提出的糾正措施完成和驗證後關閉。

管理層的意見見附錄D。管理層提出的技術意見以及圍繞這些意見所做的修訂已酌情納入。