2021年5月12日,美国总统拜登签署名为“加强国家网络安全的行政命令”(Executive Order on Improving the Nation’s Cybersecurity)以加强网络网络安全和保护联邦政府网络。本文主要梳理了该行政命令的9个主要部分内容。
SolarWinds供应链攻击事件、微软exchange漏洞、COLONIAL PIPELINE输油管道事件等近期发生的网络安全事件使得美国政府和人民意识到来自网络的复杂恶意活动,也暴露出网络安全防御能力不足等问题,使得公私部门使得更容易受到相关事件的影响。
行政命令9个主要部分内容:
(1)政策
(2)移除威胁信息共享的障碍
(3)联邦政府网络安全现代化
(4)增强软件供应链的安全
(5)成立网络安全审查委员会
(6)联邦政府网络安全漏洞和事件应急响应标准化
(7)加强联邦政府网络中网络安全漏洞的检测能力
(8)加强联邦政府网络安全事件的调查
(9)修复能力、国家安全系统
政府与私营部门合作
联邦政府必须努力识别、阻止、防范、发现和应对恶意网络行为和背后的攻击者。网络安全不仅仅需要政府的行动,还需要联邦政府与私营部门合作。私营部门必须适应不断变化的威胁环境,确保其产品的设计和运行是安全的,并与联邦政府合作,以促进网络空间的安全。
加大投资
联邦政府需要在网络安全方面加大投资,尤其是支撑美国人民生活的重要机构。联邦政府必须充分利用自己的权力和资源来保护计算机系统的安全,包括基于云计算的、本地的和混合的计算机系统。具体包括处理数据的系统(信息技术(IT))和运行确保系统安全的重要机器的系统(操作技术(OT))。
拜登政府的网络安全政策
拜登政府的网络安全政策是:预防、检测、评估和修复网络安全事件是国家和经济安全的重中之重。联邦政府必须以身作则。所有联邦信息系统至少应满足本命令中规定和发布的网络安全标准和要求。
移除威胁信息共享的障碍
联邦政府与IT和OT服务商签订合同在联邦信息系统上执行一系列日常功能。包括云服务提供商在内的服务提供商对联邦信息系统上的网络威胁和事件信息具有独特的洞察能力。同时,现行合同条款或限制可能会限制与负责调查或补救网络事件的执行部门和机构共享此类威胁或事件信息,比如如网络安全和基础设施安全局(CISA),联邦调查局(FBI)和其他情报机构(IC)。消除这些合同中的障碍并加强有关此类威胁、事件和风险的信息共享,是加速安全事件预防和响应工作,更有效地保护联邦政府收集、处理、维护的信息和系统的必要步骤。
行政命令签署后60天内,管理和预算办公室(OMB)主任与国防部长、总检察长、国土安全部长和国家情报局局长协商审查《联邦采购条例》(FAR)和《国防部联邦采购条例》补充合同要求,以便与IT和OT服务提供商签订合同,并向FAR委员会和其他相关机构建议更新此类要求。
联邦政府网络安全现代化
为了跟上当今动态和日益复杂的网络威胁环境的步伐,联邦政府必须采取果断措施,使其网络安全方法现代化,在保护隐私和公民自由的同时提高联邦政府对威胁的可见性。
联邦政府必须采用安全最佳实践;向零信任架构迈进;加快云服务安全化的步伐,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问,以推动识别和管理网络安全风险的分析;并在技术和人员上进行投资,以实现这些现代化目标。
命令签署后的60天内,相关机构领导应:
(1)将现有的采购计划按照OMB相关指南的规定更新,即优先考虑云技术的采购和使用;
(2)制定实施零信任架构的计划,该计划应酌情考虑国家标准与技术研究所(NIST)在标准和指南中概述的迁移步骤,并说明已完成的任何此类步骤,确定将对安全产生最直接影响的活动,并包括实施这些活动的时间表;
(3)向OMB主任和总统助理兼国家安全顾问(APNSA)提供一份报告,讨论本节要求的内容的计划。
加强软件供应链安全
联邦政府使用的软件的安全对于联邦政府开展重要功能来说是非常重要的。商业软件的开发缺乏透明性,不关注抵抗攻击的能力,以及防止恶意行为者篡改的能力。因此,迫切需要实施更加严格的机制,以确保产品的安全运行。执行对信任至关重要的功能的 “关键软件”的安全性和完整性是一个特别令人关注的问题。因此,联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,并优先解决关键软件问题。
命令发布的30天内,商务部长应通过NIST征求联邦政府、私营部门、学术界和其他相关机构的意见,以确定现有或开发新的标准、工具和最佳实践,以符合标准、程序、程序和规范。指南应包括可用于评估软件安全性的标准,评估开发人员和供应商自身安全实践的标准,并确定证明符合安全实践的创新工具或方法。
NIST 应在命令发布的180天内发布根据征求意见发布指南初稿;360天内发布包含定期审查和更新准则的程序在内的其他准则。
成立“网络安全审查委员会”
国土安全部部长应与司法部长协商,根据2002年《国土安全法》第871节设立网络安全审查委员会。委员会负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、修复活动和机构响应。
委员会成员应包括联邦官员和私营企业的代表。具体包括国防部、司法部、CISA、NSA和FBI的代表,以及国土安全部长确定的适当私营网络安全或软件供应商的代表。当审查中的事件涉及国土安全部部长确定的FCEB信息系统时,OMB代表也应参加委员会活动。国土安全部部长可根据审查事件的性质和具体情况邀请其他人参与。
联邦政府网络安全漏洞和事件应急响应标准化
目前用于识别、修复和恢复网络安全漏洞和事件的响应程序因机构而异,这一定程度上影响了牵头机构更全面地分析各机构的漏洞和事件的能力。标准化的响应过程确保了网络安全漏洞和事件应急响应更协调和集中化的记录,可以帮助机构进行更加成功的应急响应。
在本命令发布之日起120天内,国土安全部长应通过CISA局长与OMB局长、联邦首席信息官委员会和联邦首席信息安全委员会协商,与国防部长通过国家安全局局长、总检察长和国家情报局局长协调,制定一套标准操作程序(行动手册),用于规划和开展有关FCEB信息系统的网络安全漏洞和事件响应活动。
标准操作手册应:
包含所有对应的NIST标准;
可以被所有FCEB机构使用;
在事件响应的所有阶段阐明进度和完成情况,同时允许一定的灵活性,以便用于支持各类应急响应活动。
加强联邦政府网络中网络安全漏洞的检测能力
联邦政府应利用一切适当的资源和权力,尽可能早地发现联邦政府网络上的网络安全漏洞和攻击事件。该方法应包括提高联邦政府对网络安全漏洞和机构网络威胁的可见性和检测能力,以加强联邦政府的网络安全工作。
FCEB机构应部署端点检测和响应(EDR)计划,以支持在联邦政府基础设施内的网络安全事件主动检测、主动网络扫描、遏制和修复以及事件响应。
命令发布30天内,国土安全部部长应通过CISA局长向OMB局长提供关于实施EDR计划的建议,该计划位于中心位置,以支持与FCEB信息系统相关的主机级可见性、归属和响应。
加强联邦政府网络安全事件的调查和修复能力
联邦信息系统上的网络和系统日志中的信息对于调查网络安全漏洞和事件以及修复和恢复系统都是非常重要的。因此,各机构和其IT服务提供商业应根据适用法律收集和维护此类数据,在必要时处理FCEB信息系统上的网络事件,并应要求通过CISA局长向国土安全部长或向FBI提供这些数据。
命令发布14天内,国土安全部部长应与司法部长和电子政府办公室行政官(OMB下属)协商,向OMB主任提出关于记录日志和事件的要求的建议,并在机构系统和网络中保留其他相关数据。
具体建议应包括:
要保留的日志类型、保留日志和其他相关数据的时间段、机构启用建议的日志和安全要求的时间段以及如何保护日志。
日志应通过加密方法进行保护,以确保在保存期间收集并定期验证哈希的完整性。
数据应以符合所有适用隐私法律法规的方式保存。
命令发布60天内,国防部长应与国家情报局长和CNSS协调,并与APNSA协商,在国家安全系统中采用不低于本命令中规定的网络安全要求。
来源:公众号 学术plus