簽署加強國家網絡安全的行政命令
2021年5月12日,美國總統簽署名為“加強國家網絡安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加強網絡網絡安全和保護聯邦政府網絡。本文主要梳理了該行政命令的9個主要部分內容。
SolarWinds供應鏈攻擊事件、微軟exchange漏洞、COLONIAL PIPELINE輸油管道事件等近期發生的網絡安全事件使得美國政府和人民意識到來自網絡的復雜惡意活動,也暴露出網絡安全防御能力不足等問題,使得公私部門使得更容易受到相關事件的影響。
行政命令9個主要部分內容:
(1)政策
(2)移除威脅信息共享的障礙
(3)聯邦政府網絡安全現代化
(4)增強軟件供應鏈的安全
(5)成立網絡安全審查委員會
(6)聯邦政府網絡安全漏洞和事件應急響應標準化
(7)加強聯邦政府網絡中網絡安全漏洞的檢測能力
(8)加強聯邦政府網絡安全事件的調查
(9)修復能力、國家安全系統
1. 政策
政府與私營部門合作:
聯邦政府必須努力識別、阻止、防范、發現和應對惡意網絡行為和背后的攻擊者。網絡安全不僅僅需要政府的行動,還需要聯邦政府與私營部門合作。私營部門必須適應不斷變化的威脅環境,確保其產品的設計和運行是安全的,并與聯邦政府合作,以促進網絡空間的安全。
加大投資:
聯邦政府需要在網絡安全方面加大投資,尤其是支撐美國人民生活的重要機構。聯邦政府必須充分利用自己的權力和資源來保護計算機系統的安全,包括基于云計算的、本地的和混合的計算機系統。具體包括處理數據的系統(信息技術(IT))和運行確保系統安全的重要機器的系統(操作技術(OT))。
政府的網絡安全政策:
政府的網絡安全政策是:預防、檢測、評估和修復網絡安全事件是國家和經濟安全的重中之重。聯邦政府必須以身作則。所有聯邦信息系統至少應滿足本命令中規定和發布的網絡安全標準和要求。
2. 移除障礙
移除威脅信息共享的障礙:
聯邦政府與IT和OT服務商簽訂合同在聯邦信息系統上執行一系列日常功能。包括云服務提供商在內的服務提供商對聯邦信息系統上的網絡威脅和事件信息具有獨特的洞察能力。同時,現行合同條款或限制可能會限制與負責調查或補救網絡事件的執行部門和機構共享此類威脅或事件信息,比如如網絡安全和基礎設施安全局(CISA),聯邦調查局(FBI)和其他情報機構(IC)。消除這些合同中的障礙并加強有關此類威脅、事件和風險的信息共享,是加速安全事件預防和響應工作,更有效地保護聯邦政府收集、處理、維護的信息和系統的必要步驟。
行政命令簽署后60天內,管理和預算辦公室(OMB)主任與國防部長、總檢察長、國土安全部長和國家情報局局長協商審查《聯邦采購條例》(FAR)和《國防部聯邦采購條例》補充合同要求,以便與IT和OT服務提供商簽訂合同,并向FAR委員會和其他相關機構建議更新此類要求。
3. 網絡安全現代
聯邦政府網絡安全現代化:
為了跟上當今動態和日益復雜的網絡威脅環境的步伐,聯邦政府必須采取果斷措施,使其網絡安全方法現代化,在保護隱私和公民自由的同時提高聯邦政府對威脅的可見性。
聯邦政府必須采用安全最佳實踐;向零信任架構邁進;加快云服務安全化的步伐,包括軟件即服務(SaaS)、基礎設施即服務(IaaS)和平臺即服務(PaaS);集中和簡化對網絡安全數據的訪問,以推動識別和管理網絡安全風險的分析;并在技術和人員上進行投資,以實現這些現代化目標。
命令簽署后的60天內,相關機構領導應:
- 將現有的采購計劃按照OMB相關指南的規定更新,即優先考慮云技術的采購和使用;
- 制定實施零信任架構的計劃,該計劃應酌情考慮國家標準與技術研究所(NIST)在標準和指南中概述的遷移步驟,并說明已完成的任何此類步驟,確定將對安全產生最直接影響的活動,并包括實施這些活動的時間表;
- 向OMB主任和總統助理兼國家安全顧問(APNSA)提供一份報告,討論本節要求的內容的計劃。
4. 供應鏈安全
加強軟件供應鏈安全:
聯邦政府使用的軟件的安全對于聯邦政府開展重要功能來說是非常重要的。商業軟件的開發缺乏透明性,不關注抵抗攻擊的能力,以及防止惡意行為者篡改的能力。因此,迫切需要實施更加嚴格的機制,以確保產品的安全運行。執行對信任至關重要的功能的 “關鍵軟件”的安全性和完整性是一個特別令人關注的問題。因此,聯邦政府必須采取行動,迅速提高軟件供應鏈的安全性和完整性,并優先解決關鍵軟件問題。
命令發布的30天內,商務部長應通過NIST征求聯邦政府、私營部門、學術界和其他相關機構的意見,以確定現有或開發新的標準、工具和最佳實踐,以符合標準、程序、程序和規范。指南應包括可用于評估軟件安全性的標準,評估開發人員和供應商自身安全實踐的標準,并確定證明符合安全實踐的創新工具或方法。
NIST 應在命令發布的180天內發布根據征求意見發布指南初稿;360天內發布包含定期審查和更新準則的程序在內的其他準則。
5. 成立委員會
成立“網絡安全審查委員會”:
國土安全部部長應與司法部長協商,根據2002年《國土安全法》第871節設立網絡安全審查委員會。委員會負責審查和評估影響聯邦信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞、修復活動和機構響應。
委員會成員應包括聯邦官員和私營企業的代表。具體包括國防部、司法部、CISA、NSA和FBI的代表,以及國土安全部長確定的適當私營網絡安全或軟件供應商的代表。當審查中的事件涉及國土安全部部長確定的FCEB信息系統時,OMB代表也應參加委員會活動。國土安全部部長可根據審查事件的性質和具體情況邀請其他人參與。
6. 標準化
聯邦政府網絡安全漏洞和事件應急響應標準化:
目前用于識別、修復和恢復網絡安全漏洞和事件的響應程序因機構而異,這一定程度上影響了牽頭機構更全面地分析各機構的漏洞和事件的能力。標準化的響應過程確保了網絡安全漏洞和事件應急響應更協調和集中化的記錄,可以幫助機構進行更加成功的應急響應。
在本命令發布之日起120天內,國土安全部長應通過CISA局長與OMB局長、聯邦首席信息官委員會和聯邦首席信息安全委員會協商,與國防部長通過國家安全局局長、總檢察長和國家情報局局長協調,制定一套標準操作程序(行動手冊),用于規劃和開展有關FCEB信息系統的網絡安全漏洞和事件響應活動。
標準操作手冊應:
- 包含所有對應的NIST標準;
- 可以被所有FCEB機構使用;
- 在事件響應的所有階段闡明進度和完成情況,同時允許一定的靈活性,以便用于支持各類應急響應活動。
7. 加強檢測能力
加強聯邦政府網絡中網絡安全漏洞的檢測能力:
聯邦政府應利用一切適當的資源和權力,盡可能早地發現聯邦政府網絡上的網絡安全漏洞和攻擊事件。該方法應包括提高聯邦政府對網絡安全漏洞和機構網絡威脅的可見性和檢測能力,以加強聯邦政府的網絡安全工作。
FCEB機構應部署端點檢測和響應(EDR)計劃,以支持在聯邦政府基礎設施內的網絡安全事件主動檢測、主動網絡掃描、遏制和修復以及事件響應。
命令發布30天內,國土安全部部長應通過CISA局長向OMB局長提供關于實施EDR計劃的建議,該計劃位于中心位置,以支持與FCEB信息系統相關的主機級可見性、歸屬和響應。
8. 加強調查修復
加強聯邦政府網絡安全事件的調查和修復能力:
聯邦信息系統上的網絡和系統日志中的信息對于調查網絡安全漏洞和事件以及修復和恢復系統都是非常重要的。因此,各機構和其IT服務提供商業應根據適用法律收集和維護此類數據,在必要時處理FCEB信息系統上的網絡事件,并應要求通過CISA局長向國土安全部長或向FBI提供這些數據。
命令發布14天內,國土安全部部長應與司法部長和電子政府辦公室行政官(OMB下屬)協商,向OMB主任提出關于記錄日志和事件的要求的建議,并在機構系統和網絡中保留其他相關數據。
具體建議應包括:
- 要保留的日志類型、保留日志和其他相關數據的時間段、機構啟用建議的日志和安全要求的時間段以及如何保護日志。
- 日志應通過加密方法進行保護,以確保在保存期間收集并定期驗證哈希的完整性。
- 數據應以符合所有適用隱私法律法規的方式保存。
9. 國家安全系統
命令發布60天內,國防部長應與國家情報局長和CNSS協調,并與APNSA協商,在國家安全系統中采用不低于本命令中規定的網絡安全要求。
