2021年5月12日,美国总统拜登签署了一项名为“关于改善国家网络安全的行政命令”的行政命令,以加强网络安全并保护联邦政府网络。本文主要梳理行政令的九个主要部分。近期发生的SolarWinds供应链攻击、Microsoftexchange漏洞、COLONIALPIPELINE输油管道事件等网络安全事件,让美国政府和民众意识到来自网络的复杂恶意活动,也暴露出网络安全防御不足等问题能力。使其更容易受到相关事件的影响。行政命令的九个主要部分:(1)政策(2)消除威胁信息共享的障碍(3)使联邦政府网络安全现代化(4)增强软件供应链的安全性(5)创建网络安全审查委员会(6))联邦政府网络安全漏洞和事件响应的标准化(7)加强对联邦政府网络中网络安全漏洞的检测(8)加强对联邦政府网络安全事件的调查(9)补救能力,国家安全系统1.政策政府和私人机构间合作:联邦政府必须努力识别、阻止、预防、检测和应对恶意网络行为及其背后的攻击者。网络安全不仅需要政府采取行动,还需要联邦政府与私营部门合作。私营部门必须适应不断变化的威胁环境,确保其产品的设计和操作是安全的,并与联邦政府合作促进网络空间的安全。加大投资:联邦政府需要加大对网络安全的投资,尤其是在支撑美国人生活的关键机构。联邦政府必须充分利用其权力和资源来保护计算机系统,包括基于云的、内部部署的和混合的计算机系统。这包括处理数据的系统(信息技术(IT))和运行保持系统安全的重要机器的系统(操作技术(OT))。拜登政府的网络安全政策:拜登政府的网络安全政策是:网络安全事件的预防、检测、评估和补救是国家和经济安全的重中之重。联邦政府必须以身作则。至少,所有联邦信息系统都应满足本命令中规定和发布的网络安全标准和要求。2.消除障碍消除威胁信息共享的障碍:联邦政府与IT和OT供应商签订合同,在联邦信息系统上执行一系列常规功能。包括云服务提供商在内的服务提供商对联邦信息系统上的网络威胁和事件信息具有独特的洞察力。此外,现有的合同条款或限制可能会限制与执法机构和负责调查或补救网络事件的机构共享此类威胁或事件信息,例如网络安全和基础设施安全局(CISA)、联邦调查局(FBI)),以及其他情报机构(IC)。消除这些合同中的障碍并加强有关此类威胁、事件和风险的信息共享是加速安全事件预防和响应工作以及更有效地保护联邦政府收集、处理和维护的信息和系统的必要步骤。在行政命令签署后60天内,管理和预算办公室(OMB)主任与国防部长、司法部长、国土安全部部长和国家情报总监协商,应审查《联邦采购条例》(FAR)和《国防部联邦采购条例》与IT协调的补充合同要求与OT服务提供商签订合同,并向FAR委员会和其他相关机构建议更新此类要求。3.网络安全现代化使联邦政府网络安全现代化:为了跟上当今动态和日益复杂的网络威胁环境的步伐,联邦政府必须采取果断措施,使其网络安全方法现代化,并在保护隐私和公民自由的同时推进联邦政府网络安全。政府对威胁的可见性。联邦政府必须采用安全最佳实践;转向零信任架构;加速云服务的安全性,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问以推动分析以识别和管理网络安全风险;并投资于技术和人员以实现这些现代化目标。订单签署后60天内,相关机构负责人应:根据相关OMB指南更新现有采购计划,优先采购和使用云技术;制定实施零信任架构的计划,该计划应考虑美国国家标准与技术研究院(NIST)在标准和指南中概述的国家迁移步骤,并描述已完成的任何此类步骤,确定将具有的活动对安全的最直接影响,包括实施这些活动的时间表;向OMB主任和总统助理兼国家安全顾问(APNSA)提供一份报告,讨论本节要求的计划。4.SupplyChainSecurity增强软件供应链安全:联邦政府使用的软件的安全性对于联邦政府执行关键职能的能力至关重要。商业软件的开发透明度低,不注重抵抗攻击和防止恶意行为者篡改的能力。因此,迫切需要实施更严格的机制来保障产品的安全运行。执行对信任至关重要的功能的“关键软件”的安全性和完整性尤其值得关注。因此,联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,并优先处理关键软件问题。在命令发出后30天内,商务部长应通过NIST征求联邦政府、私营部门、学术界和其他相关机构的意见,以确定现有或开发新的标准、工具和最佳实践以符合标准、程序、程序和规范。指南应包括可用于评估软件安全性、评估开发人员和供应商自己的安全实践以及确定用于证明符合安全实践的创新工具或方法的标准。NIST应在命令发出后180天内发布根据征求意见发布的指南初稿;?天发布其他指南,包括定期审查和更新指南的程序。5.成立委员会建立“网络安全审查委员会”:国土安全部部长与司法部长协商,应根据2002年第871条成立网络安全审查委员会。该委员会负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、补救活动和机构响应。委员会成员应包括联邦官员和私营企业的代表。这包括国防部、司法部、CISA、NSA和FBI的代表,以及国土安全部部长确定的适当私人网络安全或软件供应商的代表。当正在审查的事件涉及国土安全部部长确定的FCEB信息系统时,OMB代表也应参加委员会活动。国土安全部部长可根据审查的性质和情况邀请其他人参加。6.标准化联邦政府网络安全漏洞和事件响应标准化:当前用于识别、补救网络安全漏洞和事件并从中恢复的响应程序因机构而异,这在一定程度上阻碍了牵头机构更全面地分析每个机构的响应。漏洞和事件能力。标准化的响应流程确保网络安全漏洞和事件响应的记录更加协调和集中,这可以帮助机构进行更成功的事件响应。在此命令发布之日起120天内,国土安全部部长通过CISA主任与OMB主任、联邦首席信息官委员会和联邦首席信息安全委员会以及国防部长协商通过国家安全局局长、总检察长和由局长协调的国家情报局,制定一套标准操作程序(行动手册),用于规划和执行与FCEB信息系统相关的网络安全漏洞和事件响应活动.SOP应该:包含所有适用的NIST标准;可供所有FCEB机构使用;说明事件响应所有阶段的进展和完成情况,同时允许使用一些灵活性来支持各种应急响应活动。7.增强检测能力加强对联邦政府网络中网络安全漏洞的检测能力:联邦政府应使用所有适当的资源和权限尽早检测网络安全漏洞和对联邦政府网络的攻击。该方法应包括通过提高联邦政府对网络安全漏洞和对机构网络的威胁的可见性和检测来加强联邦政府的网络安全工作。FCEB机构应部署端点检测和响应(EDR)程序,以支持对网络安全事件的主动检测、主动网络扫描、遏制和补救以及联邦政府基础设施内的事件响应。在命令发出后30天内,国土安全部部长应通过CISA主任,就实施集中定位的EDR计划向OMB主任提出建议,以支持与FCEB信息相关的主机级可见性、归因和响应系统。8.加强调查和补救加强联邦政府网络安全事件调查和补救能力:联邦信息系统的网络和系统日志中的信息对于调查网络安全漏洞和事件以及修复和恢复系统非常重要。因此,机构及其IT服务提供商应根据适用法律收集和维护此类数据,以解决FCEB信息系统上的网络事件,并通过CISA局长或FBI向国土安全部部长提供此类数据根据要求。在命令发出后14天内,国土安全部部长应与总检察长和电子政务管理员办公室(隶属于OMB)协商,就记录日志和事件并保留其他相关数据的要求向OMB主任提出建议在代理系统和网络中。具体建议应包括:保留日志的类型、保留日志和其他相关数据的时间段、机构将启用建议的日志记录和安全要求的时间段,以及如何保护日志。日志应通过加密方法进行保护,以确保在保留期间收集并定期验证哈希的完整性。数据的存储方式应符合所有适用的隐私法律和法规。9.在国家安全系统命令发布后的60天内,国防部长应与国家情报总监和CNSS协调,并与APNSA协商,在国家安全系统中采用不低于有利条件的网络安全要求比本订单中指定的那些。
