2021年5月12日，美國總統(tǒng)簽署名為“加強國家網(wǎng)絡安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加強網(wǎng)絡網(wǎng)絡安全和保護聯(lián)邦政府網(wǎng)絡。本文主要梳理了該行政命令的9個主要部分內(nèi)容。

SolarWinds供應鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發(fā)生的網(wǎng)絡安全事件使得美國政府和人民意識到來自網(wǎng)絡的復雜惡意活動，也暴露出網(wǎng)絡安全防御能力不足等問題，使得公私部門使得更容易受到相關(guān)事件的影響。

行政命令9個主要部分內(nèi)容：[[399613]]

(1)政策

(2)移除威脅信息共享的障礙

(3)聯(lián)邦政府網(wǎng)絡安全現(xiàn)代化

(4)增強軟件供應鏈的安全

(5)成立網(wǎng)絡安全審查委員會

(6)聯(lián)邦政府網(wǎng)絡安全漏洞和事件應急響應標準化

(7)加強聯(lián)邦政府網(wǎng)絡中網(wǎng)絡安全漏洞的檢測能力

(8)加強聯(lián)邦政府網(wǎng)絡安全事件的調(diào)查

(9)修復能力、國家安全系統(tǒng)

1. 政策

政府與私營部門合作：

聯(lián)邦政府必須努力識別、阻止、防范、發(fā)現(xiàn)和應對惡意網(wǎng)絡行為和背后的攻擊者。網(wǎng)絡安全不僅僅需要政府的行動，還需要聯(lián)邦政府與私營部門合作。私營部門必須適應不斷變化的威脅環(huán)境，確保其產(chǎn)品的設計和運行是安全的，并與聯(lián)邦政府合作，以促進網(wǎng)絡空間的安全。

加大投資：

聯(lián)邦政府需要在網(wǎng)絡安全方面加大投資，尤其是支撐美國人民生活的重要機構(gòu)。聯(lián)邦政府必須充分利用自己的權(quán)力和資源來保護計算機系統(tǒng)的安全，包括基于云計算的、本地的和混合的計算機系統(tǒng)。具體包括處理數(shù)據(jù)的系統(tǒng)(信息技術(shù)(IT))和運行確保系統(tǒng)安全的重要機器的系統(tǒng)(操作技術(shù)(OT))。

政府的網(wǎng)絡安全政策：

政府的網(wǎng)絡安全政策是：預防、檢測、評估和修復網(wǎng)絡安全事件是國家和經(jīng)濟安全的重中之重。聯(lián)邦政府必須以身作則。所有聯(lián)邦信息系統(tǒng)至少應滿足本命令中規(guī)定和發(fā)布的網(wǎng)絡安全標準和要求。

2. 移除障礙

移除威脅信息共享的障礙：

聯(lián)邦政府與IT和OT服務商簽訂合同在聯(lián)邦信息系統(tǒng)上執(zhí)行一系列日常功能。包括云服務提供商在內(nèi)的服務提供商對聯(lián)邦信息系統(tǒng)上的網(wǎng)絡威脅和事件信息具有獨特的洞察能力。同時，現(xiàn)行合同條款或限制可能會限制與負責調(diào)查或補救網(wǎng)絡事件的執(zhí)行部門和機構(gòu)共享此類威脅或事件信息，比如如網(wǎng)絡安全和基礎設施安全局(CISA)，聯(lián)邦調(diào)查局(FBI)和其他情報機構(gòu)(IC)。消除這些合同中的障礙并加強有關(guān)此類威脅、事件和風險的信息共享，是加速安全事件預防和響應工作，更有效地保護聯(lián)邦政府收集、處理、維護的信息和系統(tǒng)的必要步驟。

行政命令簽署后60天內(nèi)，管理和預算辦公室(OMB)主任與國防部長、總檢察長、國土安全部長和國家情報局局長協(xié)商審查《聯(lián)邦采購條例》(FAR)和《國防部聯(lián)邦采購條例》補充合同要求，以便與IT和OT服務提供商簽訂合同，并向FAR委員會和其他相關(guān)機構(gòu)建議更新此類要求。

3. 網(wǎng)絡安全現(xiàn)代

聯(lián)邦政府網(wǎng)絡安全現(xiàn)代化：

為了跟上當今動態(tài)和日益復雜的網(wǎng)絡威脅環(huán)境的步伐，聯(lián)邦政府必須采取果斷措施，使其網(wǎng)絡安全方法現(xiàn)代化，在保護隱私和公民自由的同時提高聯(lián)邦政府對威脅的可見性。

聯(lián)邦政府必須采用安全最佳實踐;向零信任架構(gòu)邁進;加快云服務安全化的步伐，包括軟件即服務(SaaS)、基礎設施即服務(IaaS)和平臺即服務(PaaS);集中和簡化對網(wǎng)絡安全數(shù)據(jù)的訪問，以推動識別和管理網(wǎng)絡安全風險的分析;并在技術(shù)和人員上進行投資，以實現(xiàn)這些現(xiàn)代化目標。

命令簽署后的60天內(nèi)，相關(guān)機構(gòu)領(lǐng)導應：

• 將現(xiàn)有的采購計劃按照OMB相關(guān)指南的規(guī)定更新，即優(yōu)先考慮云技術(shù)的采購和使用;
• 制定實施零信任架構(gòu)的計劃，該計劃應酌情考慮國家標準與技術(shù)研究所(NIST)在標準和指南中概述的遷移步驟，并說明已完成的任何此類步驟，確定將對安全產(chǎn)生最直接影響的活動，并包括實施這些活動的時間表;
• 向OMB主任和總統(tǒng)助理兼國家安全顧問(APNSA)提供一份報告，討論本節(jié)要求的內(nèi)容的計劃。

4. 供應鏈安全

加強軟件供應鏈安全：

聯(lián)邦政府使用的軟件的安全對于聯(lián)邦政府開展重要功能來說是非常重要的。商業(yè)軟件的開發(fā)缺乏透明性，不關(guān)注抵抗攻擊的能力，以及防止惡意行為者篡改的能力。因此，迫切需要實施更加嚴格的機制，以確保產(chǎn)品的安全運行。執(zhí)行對信任至關(guān)重要的功能的 “關(guān)鍵軟件”的安全性和完整性是一個特別令人關(guān)注的問題。因此，聯(lián)邦政府必須采取行動，迅速提高軟件供應鏈的安全性和完整性，并優(yōu)先解決關(guān)鍵軟件問題。

命令發(fā)布的30天內(nèi)，商務部長應通過NIST征求聯(lián)邦政府、私營部門、學術(shù)界和其他相關(guān)機構(gòu)的意見，以確定現(xiàn)有或開發(fā)新的標準、工具和最佳實踐，以符合標準、程序、程序和規(guī)范。指南應包括可用于評估軟件安全性的標準，評估開發(fā)人員和供應商自身安全實踐的標準，并確定證明符合安全實踐的創(chuàng)新工具或方法。

NIST 應在命令發(fā)布的180天內(nèi)發(fā)布根據(jù)征求意見發(fā)布指南初稿;360天內(nèi)發(fā)布包含定期審查和更新準則的程序在內(nèi)的其他準則。

5. 成立委員會

成立“網(wǎng)絡安全審查委員會”：

國土安全部部長應與司法部長協(xié)商，根據(jù)2002年《國土安全法》第871節(jié)設立網(wǎng)絡安全審查委員會。委員會負責審查和評估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網(wǎng)絡事件、威脅活動、漏洞、修復活動和機構(gòu)響應。

委員會成員應包括聯(lián)邦官員和私營企業(yè)的代表。具體包括國防部、司法部、CISA、NSA和FBI的代表，以及國土安全部長確定的適當私營網(wǎng)絡安全或軟件供應商的代表。當審查中的事件涉及國土安全部部長確定的FCEB信息系統(tǒng)時，OMB代表也應參加委員會活動。國土安全部部長可根據(jù)審查事件的性質(zhì)和具體情況邀請其他人參與。

6. 標準化

聯(lián)邦政府網(wǎng)絡安全漏洞和事件應急響應標準化：

目前用于識別、修復和恢復網(wǎng)絡安全漏洞和事件的響應程序因機構(gòu)而異，這一定程度上影響了牽頭機構(gòu)更全面地分析各機構(gòu)的漏洞和事件的能力。標準化的響應過程確保了網(wǎng)絡安全漏洞和事件應急響應更協(xié)調(diào)和集中化的記錄，可以幫助機構(gòu)進行更加成功的應急響應。

在本命令發(fā)布之日起120天內(nèi)，國土安全部長應通過CISA局長與OMB局長、聯(lián)邦首席信息官委員會和聯(lián)邦首席信息安全委員會協(xié)商，與國防部長通過國家安全局局長、總檢察長和國家情報局局長協(xié)調(diào)，制定一套標準操作程序(行動手冊)，用于規(guī)劃和開展有關(guān)FCEB信息系統(tǒng)的網(wǎng)絡安全漏洞和事件響應活動。

標準操作手冊應：

• 包含所有對應的NIST標準;
• 可以被所有FCEB機構(gòu)使用;
• 在事件響應的所有階段闡明進度和完成情況，同時允許一定的靈活性，以便用于支持各類應急響應活動。

7. 加強檢測能力

加強聯(lián)邦政府網(wǎng)絡中網(wǎng)絡安全漏洞的檢測能力：

聯(lián)邦政府應利用一切適當?shù)馁Y源和權(quán)力，盡可能早地發(fā)現(xiàn)聯(lián)邦政府網(wǎng)絡上的網(wǎng)絡安全漏洞和攻擊事件。該方法應包括提高聯(lián)邦政府對網(wǎng)絡安全漏洞和機構(gòu)網(wǎng)絡威脅的可見性和檢測能力，以加強聯(lián)邦政府的網(wǎng)絡安全工作。

FCEB機構(gòu)應部署端點檢測和響應(EDR)計劃，以支持在聯(lián)邦政府基礎設施內(nèi)的網(wǎng)絡安全事件主動檢測、主動網(wǎng)絡掃描、遏制和修復以及事件響應。

命令發(fā)布30天內(nèi)，國土安全部部長應通過CISA局長向OMB局長提供關(guān)于實施EDR計劃的建議，該計劃位于中心位置，以支持與FCEB信息系統(tǒng)相關(guān)的主機級可見性、歸屬和響應。

8. 加強調(diào)查修復

加強聯(lián)邦政府網(wǎng)絡安全事件的調(diào)查和修復能力：

聯(lián)邦信息系統(tǒng)上的網(wǎng)絡和系統(tǒng)日志中的信息對于調(diào)查網(wǎng)絡安全漏洞和事件以及修復和恢復系統(tǒng)都是非常重要的。因此，各機構(gòu)和其IT服務提供商業(yè)應根據(jù)適用法律收集和維護此類數(shù)據(jù)，在必要時處理FCEB信息系統(tǒng)上的網(wǎng)絡事件，并應要求通過CISA局長向國土安全部長或向FBI提供這些數(shù)據(jù)。

命令發(fā)布14天內(nèi)，國土安全部部長應與司法部長和電子政府辦公室行政官(OMB下屬)協(xié)商，向OMB主任提出關(guān)于記錄日志和事件的要求的建議，并在機構(gòu)系統(tǒng)和網(wǎng)絡中保留其他相關(guān)數(shù)據(jù)。

具體建議應包括：

• 要保留的日志類型、保留日志和其他相關(guān)數(shù)據(jù)的時間段、機構(gòu)啟用建議的日志和安全要求的時間段以及如何保護日志。
• 日志應通過加密方法進行保護，以確保在保存期間收集并定期驗證哈希的完整性。
• 數(shù)據(jù)應以符合所有適用隱私法律法規(guī)的方式保存。

9. 國家安全系統(tǒng)

命令發(fā)布60天內(nèi)，國防部長應與國家情報局長和CNSS協(xié)調(diào)，并與APNSA協(xié)商，在國家安全系統(tǒng)中采用不低于本命令中規(guī)定的網(wǎng)絡安全要求。