2021年5月12日，美國總統(tǒng)簽署名為“加強(qiáng)國家網(wǎng)絡(luò)安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加強(qiáng)網(wǎng)絡(luò)網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)。本文主要梳理了該行政命令的9個(gè)主要部分內(nèi)容。

SolarWinds供應(yīng)鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網(wǎng)絡(luò)安全事件使得美國政府和人民意識(shí)到來自網(wǎng)絡(luò)的復(fù)雜惡意活動(dòng)，也暴露出網(wǎng)絡(luò)安全防御能力不足等問題，使得公私部門使得更容易受到相關(guān)事件的影響。

行政命令9個(gè)主要部分內(nèi)容：[[399613]]

(1)政策

(2)移除威脅信息共享的障礙

(3)聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化

(4)增強(qiáng)軟件供應(yīng)鏈的安全

(5)成立網(wǎng)絡(luò)安全審查委員會(huì)

(6)聯(lián)邦政府網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)標(biāo)準(zhǔn)化

(7)加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)中網(wǎng)絡(luò)安全漏洞的檢測(cè)能力

(8)加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全事件的調(diào)查

(9)修復(fù)能力、國家安全系統(tǒng)

1. 政策

政府與私營部門合作：

聯(lián)邦政府必須努力識(shí)別、阻止、防范、發(fā)現(xiàn)和應(yīng)對(duì)惡意網(wǎng)絡(luò)行為和背后的攻擊者。網(wǎng)絡(luò)安全不僅僅需要政府的行動(dòng)，還需要聯(lián)邦政府與私營部門合作。私營部門必須適應(yīng)不斷變化的威脅環(huán)境，確保其產(chǎn)品的設(shè)計(jì)和運(yùn)行是安全的，并與聯(lián)邦政府合作，以促進(jìn)網(wǎng)絡(luò)空間的安全。

加大投資：

聯(lián)邦政府需要在網(wǎng)絡(luò)安全方面加大投資，尤其是支撐美國人民生活的重要機(jī)構(gòu)。聯(lián)邦政府必須充分利用自己的權(quán)力和資源來保護(hù)計(jì)算機(jī)系統(tǒng)的安全，包括基于云計(jì)算的、本地的和混合的計(jì)算機(jī)系統(tǒng)。具體包括處理數(shù)據(jù)的系統(tǒng)(信息技術(shù)(IT))和運(yùn)行確保系統(tǒng)安全的重要機(jī)器的系統(tǒng)(操作技術(shù)(OT))。

政府的網(wǎng)絡(luò)安全政策：

政府的網(wǎng)絡(luò)安全政策是：預(yù)防、檢測(cè)、評(píng)估和修復(fù)網(wǎng)絡(luò)安全事件是國家和經(jīng)濟(jì)安全的重中之重。聯(lián)邦政府必須以身作則。所有聯(lián)邦信息系統(tǒng)至少應(yīng)滿足本命令中規(guī)定和發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和要求。

2. 移除障礙

移除威脅信息共享的障礙：

聯(lián)邦政府與IT和OT服務(wù)商簽訂合同在聯(lián)邦信息系統(tǒng)上執(zhí)行一系列日常功能。包括云服務(wù)提供商在內(nèi)的服務(wù)提供商對(duì)聯(lián)邦信息系統(tǒng)上的網(wǎng)絡(luò)威脅和事件信息具有獨(dú)特的洞察能力。同時(shí)，現(xiàn)行合同條款或限制可能會(huì)限制與負(fù)責(zé)調(diào)查或補(bǔ)救網(wǎng)絡(luò)事件的執(zhí)行部門和機(jī)構(gòu)共享此類威脅或事件信息，比如如網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)，聯(lián)邦調(diào)查局(FBI)和其他情報(bào)機(jī)構(gòu)(IC)。消除這些合同中的障礙并加強(qiáng)有關(guān)此類威脅、事件和風(fēng)險(xiǎn)的信息共享，是加速安全事件預(yù)防和響應(yīng)工作，更有效地保護(hù)聯(lián)邦政府收集、處理、維護(hù)的信息和系統(tǒng)的必要步驟。

行政命令簽署后60天內(nèi)，管理和預(yù)算辦公室(OMB)主任與國防部長、總檢察長、國土安全部長和國家情報(bào)局局長協(xié)商審查《聯(lián)邦采購條例》(FAR)和《國防部聯(lián)邦采購條例》補(bǔ)充合同要求，以便與IT和OT服務(wù)提供商簽訂合同，并向FAR委員會(huì)和其他相關(guān)機(jī)構(gòu)建議更新此類要求。

3. 網(wǎng)絡(luò)安全現(xiàn)代

聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化：

為了跟上當(dāng)今動(dòng)態(tài)和日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境的步伐，聯(lián)邦政府必須采取果斷措施，使其網(wǎng)絡(luò)安全方法現(xiàn)代化，在保護(hù)隱私和公民自由的同時(shí)提高聯(lián)邦政府對(duì)威脅的可見性。

聯(lián)邦政府必須采用安全最佳實(shí)踐;向零信任架構(gòu)邁進(jìn);加快云服務(wù)安全化的步伐，包括軟件即服務(wù)(SaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS);集中和簡化對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的訪問，以推動(dòng)識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析;并在技術(shù)和人員上進(jìn)行投資，以實(shí)現(xiàn)這些現(xiàn)代化目標(biāo)。

命令簽署后的60天內(nèi)，相關(guān)機(jī)構(gòu)領(lǐng)導(dǎo)應(yīng)：

• 將現(xiàn)有的采購計(jì)劃按照OMB相關(guān)指南的規(guī)定更新，即優(yōu)先考慮云技術(shù)的采購和使用;
• 制定實(shí)施零信任架構(gòu)的計(jì)劃，該計(jì)劃應(yīng)酌情考慮國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)在標(biāo)準(zhǔn)和指南中概述的遷移步驟，并說明已完成的任何此類步驟，確定將對(duì)安全產(chǎn)生最直接影響的活動(dòng)，并包括實(shí)施這些活動(dòng)的時(shí)間表;
• 向OMB主任和總統(tǒng)助理兼國家安全顧問(APNSA)提供一份報(bào)告，討論本節(jié)要求的內(nèi)容的計(jì)劃。

4. 供應(yīng)鏈安全

加強(qiáng)軟件供應(yīng)鏈安全：

聯(lián)邦政府使用的軟件的安全對(duì)于聯(lián)邦政府開展重要功能來說是非常重要的。商業(yè)軟件的開發(fā)缺乏透明性，不關(guān)注抵抗攻擊的能力，以及防止惡意行為者篡改的能力。因此，迫切需要實(shí)施更加嚴(yán)格的機(jī)制，以確保產(chǎn)品的安全運(yùn)行。執(zhí)行對(duì)信任至關(guān)重要的功能的 “關(guān)鍵軟件”的安全性和完整性是一個(gè)特別令人關(guān)注的問題。因此，聯(lián)邦政府必須采取行動(dòng)，迅速提高軟件供應(yīng)鏈的安全性和完整性，并優(yōu)先解決關(guān)鍵軟件問題。

命令發(fā)布的30天內(nèi)，商務(wù)部長應(yīng)通過NIST征求聯(lián)邦政府、私營部門、學(xué)術(shù)界和其他相關(guān)機(jī)構(gòu)的意見，以確定現(xiàn)有或開發(fā)新的標(biāo)準(zhǔn)、工具和最佳實(shí)踐，以符合標(biāo)準(zhǔn)、程序、程序和規(guī)范。指南應(yīng)包括可用于評(píng)估軟件安全性的標(biāo)準(zhǔn)，評(píng)估開發(fā)人員和供應(yīng)商自身安全實(shí)踐的標(biāo)準(zhǔn)，并確定證明符合安全實(shí)踐的創(chuàng)新工具或方法。

NIST 應(yīng)在命令發(fā)布的180天內(nèi)發(fā)布根據(jù)征求意見發(fā)布指南初稿;360天內(nèi)發(fā)布包含定期審查和更新準(zhǔn)則的程序在內(nèi)的其他準(zhǔn)則。

5. 成立委員會(huì)

成立“網(wǎng)絡(luò)安全審查委員會(huì)”：

國土安全部部長應(yīng)與司法部長協(xié)商，根據(jù)2002年《國土安全法》第871節(jié)設(shè)立網(wǎng)絡(luò)安全審查委員會(huì)。委員會(huì)負(fù)責(zé)審查和評(píng)估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網(wǎng)絡(luò)事件、威脅活動(dòng)、漏洞、修復(fù)活動(dòng)和機(jī)構(gòu)響應(yīng)。

委員會(huì)成員應(yīng)包括聯(lián)邦官員和私營企業(yè)的代表。具體包括國防部、司法部、CISA、NSA和FBI的代表，以及國土安全部長確定的適當(dāng)私營網(wǎng)絡(luò)安全或軟件供應(yīng)商的代表。當(dāng)審查中的事件涉及國土安全部部長確定的FCEB信息系統(tǒng)時(shí)，OMB代表也應(yīng)參加委員會(huì)活動(dòng)。國土安全部部長可根據(jù)審查事件的性質(zhì)和具體情況邀請(qǐng)其他人參與。

6. 標(biāo)準(zhǔn)化

聯(lián)邦政府網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)標(biāo)準(zhǔn)化：

目前用于識(shí)別、修復(fù)和恢復(fù)網(wǎng)絡(luò)安全漏洞和事件的響應(yīng)程序因機(jī)構(gòu)而異，這一定程度上影響了牽頭機(jī)構(gòu)更全面地分析各機(jī)構(gòu)的漏洞和事件的能力。標(biāo)準(zhǔn)化的響應(yīng)過程確保了網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)更協(xié)調(diào)和集中化的記錄，可以幫助機(jī)構(gòu)進(jìn)行更加成功的應(yīng)急響應(yīng)。

在本命令發(fā)布之日起120天內(nèi)，國土安全部長應(yīng)通過CISA局長與OMB局長、聯(lián)邦首席信息官委員會(huì)和聯(lián)邦首席信息安全委員會(huì)協(xié)商，與國防部長通過國家安全局局長、總檢察長和國家情報(bào)局局長協(xié)調(diào)，制定一套標(biāo)準(zhǔn)操作程序(行動(dòng)手冊(cè))，用于規(guī)劃和開展有關(guān)FCEB信息系統(tǒng)的網(wǎng)絡(luò)安全漏洞和事件響應(yīng)活動(dòng)。

標(biāo)準(zhǔn)操作手冊(cè)應(yīng)：

• 包含所有對(duì)應(yīng)的NIST標(biāo)準(zhǔn);
• 可以被所有FCEB機(jī)構(gòu)使用;
• 在事件響應(yīng)的所有階段闡明進(jìn)度和完成情況，同時(shí)允許一定的靈活性，以便用于支持各類應(yīng)急響應(yīng)活動(dòng)。

7. 加強(qiáng)檢測(cè)能力

加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)中網(wǎng)絡(luò)安全漏洞的檢測(cè)能力：

聯(lián)邦政府應(yīng)利用一切適當(dāng)?shù)馁Y源和權(quán)力，盡可能早地發(fā)現(xiàn)聯(lián)邦政府網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全漏洞和攻擊事件。該方法應(yīng)包括提高聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全漏洞和機(jī)構(gòu)網(wǎng)絡(luò)威脅的可見性和檢測(cè)能力，以加強(qiáng)聯(lián)邦政府的網(wǎng)絡(luò)安全工作。

FCEB機(jī)構(gòu)應(yīng)部署端點(diǎn)檢測(cè)和響應(yīng)(EDR)計(jì)劃，以支持在聯(lián)邦政府基礎(chǔ)設(shè)施內(nèi)的網(wǎng)絡(luò)安全事件主動(dòng)檢測(cè)、主動(dòng)網(wǎng)絡(luò)掃描、遏制和修復(fù)以及事件響應(yīng)。

命令發(fā)布30天內(nèi)，國土安全部部長應(yīng)通過CISA局長向OMB局長提供關(guān)于實(shí)施EDR計(jì)劃的建議，該計(jì)劃位于中心位置，以支持與FCEB信息系統(tǒng)相關(guān)的主機(jī)級(jí)可見性、歸屬和響應(yīng)。

8. 加強(qiáng)調(diào)查修復(fù)

加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全事件的調(diào)查和修復(fù)能力：

聯(lián)邦信息系統(tǒng)上的網(wǎng)絡(luò)和系統(tǒng)日志中的信息對(duì)于調(diào)查網(wǎng)絡(luò)安全漏洞和事件以及修復(fù)和恢復(fù)系統(tǒng)都是非常重要的。因此，各機(jī)構(gòu)和其IT服務(wù)提供商業(yè)應(yīng)根據(jù)適用法律收集和維護(hù)此類數(shù)據(jù)，在必要時(shí)處理FCEB信息系統(tǒng)上的網(wǎng)絡(luò)事件，并應(yīng)要求通過CISA局長向國土安全部長或向FBI提供這些數(shù)據(jù)。

命令發(fā)布14天內(nèi)，國土安全部部長應(yīng)與司法部長和電子政府辦公室行政官(OMB下屬)協(xié)商，向OMB主任提出關(guān)于記錄日志和事件的要求的建議，并在機(jī)構(gòu)系統(tǒng)和網(wǎng)絡(luò)中保留其他相關(guān)數(shù)據(jù)。

具體建議應(yīng)包括：

• 要保留的日志類型、保留日志和其他相關(guān)數(shù)據(jù)的時(shí)間段、機(jī)構(gòu)啟用建議的日志和安全要求的時(shí)間段以及如何保護(hù)日志。
• 日志應(yīng)通過加密方法進(jìn)行保護(hù)，以確保在保存期間收集并定期驗(yàn)證哈希的完整性。
• 數(shù)據(jù)應(yīng)以符合所有適用隱私法律法規(guī)的方式保存。

9. 國家安全系統(tǒng)

命令發(fā)布60天內(nèi)，國防部長應(yīng)與國家情報(bào)局長和CNSS協(xié)調(diào)，并與APNSA協(xié)商，在國家安全系統(tǒng)中采用不低于本命令中規(guī)定的網(wǎng)絡(luò)安全要求。