拜登总统发布第二项网络安全行政命令

鉴于近期针对联邦政府及美国供应链的网络攻击事件，拜登政府发布了一项行政命令（以下简称"该命令"），旨在现代化并强化联邦政府的网络安全态势，同时对联邦机构的第三方供应商提出并扩展新的或现有的要求。

在当选总统唐纳德·特朗普就职后，若本行政令所规定的强制要求仍继续有效，与联邦政府签订合同的第三方供应商和供货商必须确保遵守新增或更新的网络安全标准，方能保持与联邦机构签约的资格。 需要说明的是，即使该行政令未能延续至下一届政府，它仍为网络安全最佳实践提供了基本指导。尽管其中部分措施对网络安全行业而言并非新颖，但该文件仍将作为企业理解"合理安全措施"内涵的又一重要指引。

以下是对行政命令中若干关键要点的概括性概述，内容未尽其详。请注意，各项指令将根据命令中规定的时间框架在不同日期生效。

联邦政府最新举措：提升网络安全态势现代化水平

该行政命令强调了现代化联邦政府网络安全基础设施的重要性，以抵御外国对手针对政府发起的网络攻击行动。

新法令试图实现这一目标的方式之一，是要求联邦机构在通过互联网传输的所有通信中实施"强身份认证和加密"措施，包括电子邮件、语音和视频会议以及即时通讯。

此外，随着联邦机构加强网络防御能力，攻击者开始瞄准机构供应链中的薄弱环节以及政府所依赖的产品和服务。 鉴于这种普遍存在的威胁，该行政命令着重强调联邦机构必须将网络安全供应链风险管理计划纳入全机构风险管理体系，要求各机构通过管理和预算办公室（OMB）实现以下目标：(i) 遵守美国国家标准与技术研究院（NIST）特别出版物（SP）800-161《系统与组织的网络安全供应链风险管理实践》中的指导方针；(ii) 每年向OMB提交关于该指南合规工作的进展报告。OMB的要求将涵盖网络安全在采购生命周期中的整合，并要求各机构就合规工作向OMB提交年度更新报告。 （《系统与组织网络安全供应链风险管理实践》）的指导方针，并（ii）每年向OMB提交合规进展报告。OMB的要求将通过采购规划、供应商选择、责任认定、安全合规评估、合同管理及绩效评估等环节，推动网络安全措施融入采购全生命周期。

该行政命令还涉及利用人工智能（AI）防御网络攻击的潜力，旨在增强政府快速识别新漏洞及自动化网络防御的能力。 具体而言，该命令要求特定机构优先开展与AI及网络防御相关的研究课题，包括：(一)辅助防御性网络分析的人机交互方法；(二)AI编码辅助工具的安全性及AI生成代码的安全保障；(三)安全AI系统设计方法；(四)涉及AI系统的网络安全事件预防、响应、修复及恢复机制。

除运用现代技术抵御日益严峻的网络威胁外，该行政命令旨在通过扩大网络安全与基础设施安全局（CISA）的职能——将其确立为主管联邦文职机构网络安全项目的牵头机构——实现政府网络安全治理的集中化。

加强并扩展对联邦机构第三方供应商的要求

除要求联邦机构调整其网络安全态势外，该行政命令还旨在确保联邦机构的第三方供应商采取多项措施，以帮助保障联邦政府及关键基础设施系统的安全，并强化美国供应链体系，使其免受恶意网络攻击的威胁。

第三方软件供应商与安全软件开发实践

最新行政令的部分内容着重强调透明度，并要求部署符合拜登政府2021年5月颁布的首份网络安全指令所设标准的安全软件。根据该指令，供应商必须证明其遵循安全软件开发规范——此项要求源于俄罗斯黑客利用广受欢迎的SolarWinds Orion软件更新版入侵联邦机构网络的事件。 鉴于不安全软件对供应商和用户而言仍是重大挑战，联邦政府及关键基础设施系统持续面临更多恶意网络攻击的威胁。近期多起攻击事件印证了这一问题，包括2024年某款被多个联邦机构使用的流行文件传输应用程序漏洞遭利用事件。

在此背景下，新颁布的行政命令对支持关键政府服务的软件供应商提出了更严格的认证要求，并通过公开披露供应商提交认证的时间来推动透明度提升，使各方能够知晓哪些软件符合安全标准。 同理，新令还旨在为联邦机构提供一套协调一致的实用有效安全规范，要求其在采购软件时遵循以下要求：(i) 更新联邦机构遵循的NIST制定的特定框架——例如NIST SP 800-218 （安全软件开发框架）等联邦机构遵循的框架；(ii) 要求管理和预算办公室（OMB）基于NIST更新的SSDF制定适用于联邦机构使用第三方软件的新要求；(iii) 可能修订网络安全与基础设施安全局（CISA）的《安全软件开发证明》以符合OMB要求。

消费类物联网（IoT）产品供应商与美国网络信任标识认证

为进一步保护供应链安全，该行政命令明确了联邦机构采购物联网产品时面临的风险。为应对这些风险，命令要求制定针对消费类物联网供应商合同的补充条款。 与联邦机构签约的消费类物联网供应商须：(i) 遵守美国国家标准与技术研究院（NIST）规定的最低网络安全实践标准；(ii) 在产品上标注美国网络信任标识。该标识计划由白宫于2025年1月7日启动，要求消费类物联网产品通过美国网络安全审计，并在广告及包装上依法展示该标识。

云服务提供商

该行政命令还要求为云服务提供商制定新指南。鉴于美国财政部近期遭遇网络攻击——一个名为"丝绸台风"的高级中国黑客组织从财政部第三方服务提供商BeyondTrust公司窃取数字密钥，并利用该密钥访问财政部用户工作站上的非机密信息——此举并不令人意外。此次入侵利用了代号为"令牌窃取"的技术手段。 认证令牌旨在通过免除用户反复输入密码的操作来增强安全性。然而一旦令牌遭窃，攻击者便能冒充合法用户身份，从而获得对敏感系统的非法访问权限。 

尽管此次事件可能并非云服务提供商更新指南的直接动因，但它凸显了审计第三方供应商安全实践的重要性，同时强调了缩短令牌有效期以限制其被盗后使用价值的必要性。根据行政命令颁布的新指南将强制要求联邦机构的云服务提供商采用多因素认证、复杂密码，并使用硬件安全密钥存储加密密钥。

主要收获

尽管随着新政府上台，该行政令的命运尚不明朗，但与联邦政府签订合同的机构仍需密切关注事态发展，因为它们必须遵守该行政令中规定的新增或强化网络安全要求。

此外，即使这项行政令被新政府撤销，各组织也不应错失良机，应评估其网络安全计划是否符合行业标准指南（如NIST）以及通用最佳实践。

如需了解本行政命令的更多信息或如何制定符合要求的网络安全计划，请联系本文作者或福里律师事务所网络安全与数据隐私团队的任何合伙人或高级顾问。