拜登总统签署行政命令以加强美国网络安全措施

2021年5月12日，拜登总统签署了《加强国家网络安全行政命令》。此前在其执政前四个月内，美国接连发生多起广受关注的网络安全事件，包括暴露国家基础设施与信息系统漏洞的科洛尼尔输油管道攻击事件。 尽管这不是美国政府为加强网络防御颁布的首份行政命令，但鉴于白宫声明指出"近期网络安全事件……令人警醒地提醒我们，美国公共和私营部门正日益面临来自国家行为体和网络犯罪分子的复杂恶意网络活动…… [同时]不足的网络安全防御使公共和私营部门实体更易遭受攻击。"

这应成为对所有人的警醒，促使大家重新审视自身安全协议并测试系统，确保其得到妥善保护。 本行政命令为联邦机构及其承包商、其他代表联邦机构工作的组织所使用或运营的信息系统制定了标准和要求，包括：升级网络防御能力；强化事件相关关键信息的记录；建立简明、统一且通用的事件响应机制；要求受影响实体在事件发生后安全可靠地共享信息。该行政命令旨在通过以下措施加强美国的网络安全防御：

• 消除联邦政府与私营部门间威胁信息共享的障碍：将更新《联邦采购条例》(FAR)及《国防联邦采购条例补充》(DFARS)的合同要求与条款，以消除网络安全事件信息共享的合同障碍。这些更新后的合同条款将规定承包商必须向相关联邦机构报告网络事件的时限，其中最严重事件的报告期限为三天。
  
  
• 现代化并实施更严格的联邦政府网络安全标准：联邦机构必须更新现有机构计划，优先转向安全云服务和零信任架构。 零信任是一种安全理念，要求组织对任何事物（无论内部或外部）都不予自动信任。相反，必须在授予访问权限前验证所有试图连接其环境的设备。该行政命令还要求在颁布后180天内实施部署多因素认证，并对静态数据和传输中数据进行加密。
  
  
• 提升软件供应链安全：美国国家标准与技术研究院（NIST）将制定并发布指导方针，为政府采购的软件建立严格的基础安全标准，其中包括要求公开软件安全数据。供应商若未能遵守这些标准，可能被列入黑名单。 该行政命令同时设立试点项目，旨在开发类似"能源之星"的认证标签，使采购方能快速便捷地判断软件是否符合相关开发要求。
  
  
• 设立网络安全安全审查委员会：该行政命令设立网络安全安全审查委员会，成员包括国防部、司法部、网络安全与基础设施安全局、国家安全局、联邦调查局的代表，以及选定的私营领域网络安全或软件供应商。 该委员会参照国家运输安全委员会模式运作，将在"重大网络安全事件"发生后召开会议，向国土安全部长提交改进网络安全及事件响应机制的建议。委员会还将负责制定政府机构统一的事件响应标准方案或"操作手册"。该委员会的首项任务是调查SolarWinds网络攻击事件。
  
  
• 制定网络安全事件响应标准手册：该行政命令认识到有必要在联邦各部门和机构中统一网络安全事件及漏洞响应措施。通过制定包含威胁识别与缓解定义及统一步骤的手册，该行政命令确保所有联邦机构达到特定的应急准备标准。该手册也将为私营部门应对网络安全事件提供指导。
  
  
• 提升联邦政府网络网络安全事件检测能力：将在联邦网络中部署全政府范围的终端检测与响应（EDR）系统。该系统将与增强的政府内部信息共享能力相结合，大幅提升对联邦网络中恶意网络活动的检测能力。
  
  
• 提升调查与修复能力：联邦机构须根据详细要求生成并保留强大且一致的网络安全事件日志，相关细则将在本行政命令颁布后90天内公布。 相关要求还将建立日志管理政策，确保集中访问权限，并在必要且适当的情况下允许与其他联邦机构共享日志信息。此举将有助于检测入侵企图、缓解正在进行的入侵行为、开展事件后取证分析，并最大限度降低潜在网络风险。

尽管这项行政命令并未提出任何未曾讨论或已为人所知的新内容，但鉴于近期网络安全攻击事件激增，落实行政命令中概述的措施至关重要。虽然仍需制定更多配套法规，但该行政命令确立了所有企业都应遵循的网络安全最佳实践基准。