拜登簽署加強國家網絡安全的行政命令
責編:gltian |2021-05-17 15:51:392021年5月12日,美國總統(tǒng)拜登簽署名為“加強國家網絡安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加強網絡網絡安全和保護聯(lián)邦政府網絡。本文主要梳理了該行政命令的9個主要部分內容。
SolarWinds供應鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網絡安全事件使得美國政府和人民意識到來自網絡的復雜惡意活動,也暴露出網絡安全防御能力不足等問題,使得公私部門使得更容易受到相關事件的影響。
行政命令9個主要部分內容:
(1)政策
(2)移除威脅信息共享的障礙
(3)聯(lián)邦政府網絡安全現(xiàn)代化
(4)增強軟件供應鏈的安全
(5)成立網絡安全審查委員會
(6)聯(lián)邦政府網絡安全漏洞和事件應急響應標準化
(7)加強聯(lián)邦政府網絡中網絡安全漏洞的檢測能力
(8)加強聯(lián)邦政府網絡安全事件的調查
(9)修復能力、國家安全系統(tǒng)
1.政策
政府與私營部門合作
聯(lián)邦政府必須努力識別、阻止、防范、發(fā)現(xiàn)和應對惡意網絡行為和背后的攻擊者。網絡安全不僅僅需要政府的行動,還需要聯(lián)邦政府與私營部門合作。私營部門必須適應不斷變化的威脅環(huán)境,確保其產品的設計和運行是安全的,并與聯(lián)邦政府合作,以促進網絡空間的安全。
加大投資
聯(lián)邦政府需要在網絡安全方面加大投資,尤其是支撐美國人民生活的重要機構。聯(lián)邦政府必須充分利用自己的權力和資源來保護計算機系統(tǒng)的安全,包括基于云計算的、本地的和混合的計算機系統(tǒng)。具體包括處理數(shù)據(jù)的系統(tǒng)(信息技術(IT))和運行確保系統(tǒng)安全的重要機器的系統(tǒng)(操作技術(OT))。
拜登政府的網絡安全政策
拜登政府的網絡安全政策是:預防、檢測、評估和修復網絡安全事件是國家和經濟安全的重中之重。聯(lián)邦政府必須以身作則。所有聯(lián)邦信息系統(tǒng)至少應滿足本命令中規(guī)定和發(fā)布的網絡安全標準和要求。
2.移除障礙
移除威脅信息共享的障礙
聯(lián)邦政府與IT和OT服務商簽訂合同在聯(lián)邦信息系統(tǒng)上執(zhí)行一系列日常功能。包括云服務提供商在內的服務提供商對聯(lián)邦信息系統(tǒng)上的網絡威脅和事件信息具有獨特的洞察能力。同時,現(xiàn)行合同條款或限制可能會限制與負責調查或補救網絡事件的執(zhí)行部門和機構共享此類威脅或事件信息,比如如網絡安全和基礎設施安全局(CISA),聯(lián)邦調查局(FBI)和其他情報機構(IC)。消除這些合同中的障礙并加強有關此類威脅、事件和風險的信息共享,是加速安全事件預防和響應工作,更有效地保護聯(lián)邦政府收集、處理、維護的信息和系統(tǒng)的必要步驟。
行政命令簽署后60天內,管理和預算辦公室(OMB)主任與國防部長、總檢察長、國土安全部長和國家情報局局長協(xié)商審查《聯(lián)邦采購條例》(FAR)和《國防部聯(lián)邦采購條例》補充合同要求,以便與IT和OT服務提供商簽訂合同,并向FAR委員會和其他相關機構建議更新此類要求。
3.網絡安全現(xiàn)代
聯(lián)邦政府網絡安全現(xiàn)代化
為了跟上當今動態(tài)和日益復雜的網絡威脅環(huán)境的步伐,聯(lián)邦政府必須采取果斷措施,使其網絡安全方法現(xiàn)代化,在保護隱私和公民自由的同時提高聯(lián)邦政府對威脅的可見性。
聯(lián)邦政府必須采用安全最佳實踐;向零信任架構邁進;加快云服務安全化的步伐,包括軟件即服務(SaaS)、基礎設施即服務(IaaS)和平臺即服務(PaaS);集中和簡化對網絡安全數(shù)據(jù)的訪問,以推動識別和管理網絡安全風險的分析;并在技術和人員上進行投資,以實現(xiàn)這些現(xiàn)代化目標。
命令簽署后的60天內,相關機構領導應:
(1)將現(xiàn)有的采購計劃按照OMB相關指南的規(guī)定更新,即優(yōu)先考慮云技術的采購和使用;
(2)制定實施零信任架構的計劃,該計劃應酌情考慮國家標準與技術研究所(NIST)在標準和指南中概述的遷移步驟,并說明已完成的任何此類步驟,確定將對安全產生最直接影響的活動,并包括實施這些活動的時間表;
(3)向OMB主任和總統(tǒng)助理兼國家安全顧問(APNSA)提供一份報告,討論本節(jié)要求的內容的計劃。
4.供應鏈安全
加強軟件供應鏈安全
聯(lián)邦政府使用的軟件的安全對于聯(lián)邦政府開展重要功能來說是非常重要的。商業(yè)軟件的開發(fā)缺乏透明性,不關注抵抗攻擊的能力,以及防止惡意行為者篡改的能力。因此,迫切需要實施更加嚴格的機制,以確保產品的安全運行。執(zhí)行對信任至關重要的功能的 “關鍵軟件”的安全性和完整性是一個特別令人關注的問題。因此,聯(lián)邦政府必須采取行動,迅速提高軟件供應鏈的安全性和完整性,并優(yōu)先解決關鍵軟件問題。
命令發(fā)布的30天內,商務部長應通過NIST征求聯(lián)邦政府、私營部門、學術界和其他相關機構的意見,以確定現(xiàn)有或開發(fā)新的標準、工具和最佳實踐,以符合標準、程序、程序和規(guī)范。指南應包括可用于評估軟件安全性的標準,評估開發(fā)人員和供應商自身安全實踐的標準,并確定證明符合安全實踐的創(chuàng)新工具或方法。
NIST 應在命令發(fā)布的180天內發(fā)布根據(jù)征求意見發(fā)布指南初稿;360天內發(fā)布包含定期審查和更新準則的程序在內的其他準則。
5.成立委員會
成立“網絡安全審查委員會”
國土安全部部長應與司法部長協(xié)商,根據(jù)2002年《國土安全法》第871節(jié)設立網絡安全審查委員會。委員會負責審查和評估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網絡事件、威脅活動、漏洞、修復活動和機構響應。
委員會成員應包括聯(lián)邦官員和私營企業(yè)的代表。具體包括國防部、司法部、CISA、NSA和FBI的代表,以及國土安全部長確定的適當私營網絡安全或軟件供應商的代表。當審查中的事件涉及國土安全部部長確定的FCEB信息系統(tǒng)時,OMB代表也應參加委員會活動。國土安全部部長可根據(jù)審查事件的性質和具體情況邀請其他人參與。
6.標準化
聯(lián)邦政府網絡安全漏洞和事件應急響應標準化
目前用于識別、修復和恢復網絡安全漏洞和事件的響應程序因機構而異,這一定程度上影響了牽頭機構更全面地分析各機構的漏洞和事件的能力。標準化的響應過程確保了網絡安全漏洞和事件應急響應更協(xié)調和集中化的記錄,可以幫助機構進行更加成功的應急響應。
在本命令發(fā)布之日起120天內,國土安全部長應通過CISA局長與OMB局長、聯(lián)邦首席信息官委員會和聯(lián)邦首席信息安全委員會協(xié)商,與國防部長通過國家安全局局長、總檢察長和國家情報局局長協(xié)調,制定一套標準操作程序(行動手冊),用于規(guī)劃和開展有關FCEB信息系統(tǒng)的網絡安全漏洞和事件響應活動。
標準操作手冊應:
包含所有對應的NIST標準;
可以被所有FCEB機構使用;
在事件響應的所有階段闡明進度和完成情況,同時允許一定的靈活性,以便用于支持各類應急響應活動。
7.加強檢測能力
加強聯(lián)邦政府網絡中網絡安全漏洞的檢測能力
聯(lián)邦政府應利用一切適當?shù)馁Y源和權力,盡可能早地發(fā)現(xiàn)聯(lián)邦政府網絡上的網絡安全漏洞和攻擊事件。該方法應包括提高聯(lián)邦政府對網絡安全漏洞和機構網絡威脅的可見性和檢測能力,以加強聯(lián)邦政府的網絡安全工作。
FCEB機構應部署端點檢測和響應(EDR)計劃,以支持在聯(lián)邦政府基礎設施內的網絡安全事件主動檢測、主動網絡掃描、遏制和修復以及事件響應。
命令發(fā)布30天內,國土安全部部長應通過CISA局長向OMB局長提供關于實施EDR計劃的建議,該計劃位于中心位置,以支持與FCEB信息系統(tǒng)相關的主機級可見性、歸屬和響應。
8.加強調查修復
加強聯(lián)邦政府網絡安全事件的調查和修復能力
聯(lián)邦信息系統(tǒng)上的網絡和系統(tǒng)日志中的信息對于調查網絡安全漏洞和事件以及修復和恢復系統(tǒng)都是非常重要的。因此,各機構和其IT服務提供商業(yè)應根據(jù)適用法律收集和維護此類數(shù)據(jù),在必要時處理FCEB信息系統(tǒng)上的網絡事件,并應要求通過CISA局長向國土安全部長或向FBI提供這些數(shù)據(jù)。
命令發(fā)布14天內,國土安全部部長應與司法部長和電子政府辦公室行政官(OMB下屬)協(xié)商,向OMB主任提出關于記錄日志和事件的要求的建議,并在機構系統(tǒng)和網絡中保留其他相關數(shù)據(jù)。
具體建議應包括:
要保留的日志類型、保留日志和其他相關數(shù)據(jù)的時間段、機構啟用建議的日志和安全要求的時間段以及如何保護日志。
日志應通過加密方法進行保護,以確保在保存期間收集并定期驗證哈希的完整性。
數(shù)據(jù)應以符合所有適用隱私法律法規(guī)的方式保存。
9.國家安全系統(tǒng)
命令發(fā)布60天內,國防部長應與國家情報局長和CNSS協(xié)調,并與APNSA協(xié)商,在國家安全系統(tǒng)中采用不低于本命令中規(guī)定的網絡安全要求。
來源:公眾號 學術plus
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧