最新发布|拜登政府《关于加强和促进国家网络安全创新的行政命令》剑指中国和俄罗斯(全文翻译)

以下文章来源于信息安全与通信保密杂志社 ,作者Cismag

 

1月16日,拜登政府签署了《关于加强和促进国家网络安全的行政命令》,旨在应对日益严峻的网络威胁,尤其是中俄等国对美国政府和关键基础设施的持续网络攻击。该命令是对2021年5月发布的首份网络安全行政令的延续,继续深化了推进零信任安全架构迁移、加强软件供应链安全、建立漏洞披露政策等措施。

该命令强调了加强国家网络安全的重要性,通过加强监管、技术创新和国际合作方式,提出了旨在加强软件供应链安全、联邦信息系统安全、联邦通信安全等目标及相关措施,并推动后量子密码过渡、利用人工智能提升网络防御能力、改善云服务安全,为下一届政府的网络安全工作提供了框架。

目录    

 

政策

 

提高第三方软件供应链的透明度和安全性

 

改善联邦系统的网络安全地,获得更独特的体验

 

加强联邦通信安全

 

解决网络犯罪和欺诈问题

 

利用和促进人工智能安全

 

将政策与做法相结合

 

国家安全系统和致瘫影响系统

 

9

打击重大恶意网络活动的其他措施

 

10 

定义

 

11 

通用条款

 

第1条

 

政策

敌对国家和犯罪分子继续对美国及美国人民发动网络攻击,其中中华人民共和国对美国政府、私营部门和关键基础设施网络构成了最活跃、最持久的网络威胁。这些攻击妨碍了美国的关键服务,造成数十亿美元的损失,并损害了美国人的安全和隐私。为应对这些威胁,必须采取更多措施来改善美国的网络安全。

基于2021年5月12日发布的第14028号行政命令(关于改善国家网络安全的行政命令)以及《国家网络安全战略》详述的举措,美国将采取更多行动来改善其网络安全,其中的重点是保护数字基础设施,保护对数字领域至关重要的服务和能力,提升应对关键威胁(包括来自中华人民共和国的威胁)的能力,加强对软件提供商和云服务提供商的问责,强化联邦层面的通信系统和身份管理系统的安全性,并推动各行政部门和机构(以下简称“各机构”)以及私营部门在网络安全方面开展创新和使用新兴技术。

第2条

 

提高第三方软件供应链的透明度和安全性

(a)联邦政府和我国的关键基础设施依赖于软件提供商。然而,不安全的软件仍然是提供商和用户面临的一大挑战,并使联邦政府和关键基础设施系统容易受到恶意网络事件的影响。联邦政府必须继续采用安全的软件采购做法,并采取措施确保软件提供商使用安全的软件开发做法,以减少/减轻其所生产软件中的漏洞的数量和严重程度。

(b)2021年的第14028号行政命令指示采取行动,以提高联邦政府工作所需软件的安全性和完整性。该命令指示制定关于安全软件开发做法的指南,以及生成和提供以人工或自动化方式生成的工件(即计算机记录或数据)来证明符合采取了这些做法。此外,第14028号命令还指示管理与预算局(OMB)局长要求各机构仅使用那些“被证明使用了安全软件开发做法”的提供商的软件。在某些情况下,向联邦政府提供软件的提供商虽承诺遵循网络安全做法,但并未修复其软件中可被利用的已知漏洞,而这将使政府面临被入侵的风险。联邦政府需要采用更严格的第三方风险管理做法,并确保支持政府关键服务的软件提供商遵循其所声明的做法。

(i)在本命令发布之日起的30天内,OMB局长应分别通过商务部(由商务部长指示国家标准与技术研究院(NIST)院长开展相关工作)和国土安全部(DHS)(由国土安全部部长指示网络安全与基础设施安全局(CISA)局长开展相关工作),与商务部长和国土安全部长进行协商,从而向联邦采购监管委员会(以下简称“FAR委员会”)建议如何制定合同,而此类合同应要求软件提供商通过CISA的“软件证明与工件库”(RSAA),将以下材料提交给CISA:

  1. 机器可读的安全软件开发证明文件;

  2. 验证这些证明文件的高级工件;

  3. 提供商的联邦民事行政部门(FCEB)机构软件客户列表。

(ii)在收到本条第(b)款第(i)项所述建议之日起的120天内,FAR委员会应审查这些建议,且国防部长、总务管理局(GSA)局长和国家航空航天局(NASA)局长(FAR委员会的机构成员)应联合采取措施修改《联邦采购条例》(FAR)以实施这些建议。FAR委员会的机构成员被强烈鼓励酌情根据适用法律考虑发布临时最终规则。

(iii)在本条第(b)款第(i)项所述建议发布之日起的60天内,国土安全部长应指示CISA局长评估“生成、接收和验证机器可读的安全软件开发证明和工件”的新兴方法,并酌情为软件提供商提供关于“向CISA的RSAA网站提交这些证明和工件”的指导,包括关于通用数据架构和格式的指导。

(iv)在对本条第(b)款第(ii)项所述的联邦采购监管(FAR)事宜进行任何修改之日起的30天内,国土安全部长应指示CISA局长制定一项程序,以集中验证所有证明形式的完整性。CISA应使用RSAA中的高级工件来持续验证取自完整证明文件的样本。

(v)如果CISA发现证明文件不完整,或工件不足以验证证明文件,CISA局长则应将此事通知软件提供商和签约机构。CISA局长应制定相关流程,以便软件提供商对CISA的初步决定作出回应,以及让CISA适当考虑此类回应。

(vi)对于经过验证的证明文件,CISA局长应通知国家网络总监,后者应公开发布结果,标明软件提供商和软件版本。本命令鼓励国家网络总监将验证失败的证明文件转交司法部长,由后者采取适当行动。

(c)仅靠安全软件开发做法,还不足以应对“有资源和决心的国家行为体”带来的网络事件风险。为了减轻此类事件的风险,软件提供商还必须确保软件交付过程及软件本身的安全性。联邦政府必须确定一套协调一致、实用且有效的安全做法,并要求在采购软件时遵循此类做法。

(i)在本命令发布之日起的60天内,商务部长应指示NIST院长与参与国家网络安全卓越中心的企业建立联盟,并酌情根据该联盟提供的信息制定指导文件,而该指导文件应证明落实了基于NIST特别出版物800-218(NIST SP 800-218)《安全软件开发框架(SSDF)》的安全软件开发做法、安全措施和操作做法。

(ii)在本命令发布之日起的90天内,商务部长应指示NIST院长更新NIST特别出版物800-53(NIST SP 800-53)《信息系统和组织的安全与隐私控制》,以提供关于如何安全可靠地部署补丁和更新内容的指导。

(iii)在本命令发布之日起的180天内,商务部长应指示NIST院长在于与其认为适当的机构负责人协商后,开发和公布SSDF的初步更新版本。此更新版应包括关于安全可靠地开发和交付软件以及确保软件自身安全的做法、程序、控制措施和实施示例。自公布初步更新版之日起的120天内,商务部长应指示NIST院长公布SSDF的最终版本。

(iv)在本条第(c)款第(iii)项所述的SSDF最终版更新之日起的120天内,OMB局长应将NIST更新后的SSDF中所包含的安全软件开发和交付做法,纳入OMB备忘录M-22-18《通过安全软件开发做法增强软件供应链的安全性》或相关要求中。

(v)在发布本条第(c)款第(iv)项所述的OMB更新文件之日起的30天内,CISA局长应准备对CISA的安全软件开发证明文件的通用表格进行修订,使之符合OMB的要求,并启动按《文书减少法》(《美国法典》第44编第3501节(44 U.S.C. 3501)及后续条款)规定批准修订版表格所需的任何程序。

(d)随着各机构改进其网络防御,对手已瞄准机构供应链中的薄弱环节以及联邦政府所依赖的产品和服务。各机构需要将网络安全供应链风险管理计划纳入全机构的风险管理活动中。在本命令发布之日起的90天内,OMB局长应与商务部长(通过NIST院长行事)、总务管理局局长和联邦采购安全委员会(FASC)进行协调,以采取措施要求(OMB局长认为适当的)各机构遵守NIST特别出版物800-161(NIST SP 800-161修订版1)《系统和组织网络安全供应链风险管理做法》中的指导。OMB应要求各机构在完成实施后,每年向OMB提供相关最新情况。根据SP 800-161修订版1, OMB的要求中应包括通过采购规划、来源选择、责任确定、安全合规评估、合同管理和绩效评估等环节,将网络安全融入采购寿命周期中。

(e)开源软件在联邦信息系统中发挥着关键作用。为帮助联邦政府继续获得开源软件的创新效益和成本效益,并为开源软件生态系统的网络安全做出贡献,各机构必须更好地管理其开源软件使用方式。在本命令发布之日起的120天内,国土安全部长应指示CISA局长与OMB局长、总务管理局局长和其他适当机构负责人进行协商,共同向各机构提议关于“如何使用安全评估、修补开源软件以及为开源软件项目做出贡献”的最佳做法。

第3条

 

改善联邦系统的网络安全

(a)联邦政府必须采用经过验证的企业界安全做法(包括身份和访问管理),以提高网络威胁的可视性和加强云安全。
(b)为优先投资新的防钓鱼身份验证方案所需的创新性身份技术和流程,各FCEB应以OMB和CISA自第14028号行政命令发布以来所制定的文件和确立的机制为基础,通过试点部署或更大规模的部署(视情况而定)践行商业防钓鱼标准(如WebAuthn)。这些试点部署应用于指导未来联邦层面的身份、凭证和访问管理策略的发展方向。
(c)联邦政府必须保持“能迅速有效地识别整个联邦机构范围内的各种威胁”的能力。在第14028号行政命令中,指示国防部长和国土安全部长制定程序,立即共享威胁信息,以加强国防部和民用网络的集体防御。为识别威胁活动,必须增强CISA根据《美国法典》第44编第3553节第(b)条第(7)款在各FCEB内搜寻和识别威胁的能力。
(i)国土安全部部长应指示CISA局长与联邦首席信息官(CIO)委员会和联邦首席信息安全官(CISO)委员会进行协调,以开发技术能力来及时获取来自各FCEB机构的端点检测与响应(EDR)解决方案以及来自各FCEB安全运营中心的所需数据,从而实现以下目标:
  1. 及时搜寻和识别整个联邦文职机构中的新型网络威胁和漏洞;
  2. 识别同时针对多个机构并在联邦机构中横向移动的协调性网络攻击活动;
  3. 协调政府范围内的信息安全政策和做法,包括汇编和分析关于威胁到信息安全的各事件的信息。
(ii)在本命令发布之日起的180天内,国土安全部长应指示CISA局长与联邦CIO和CISO委员会进行协调,以制定和发布一种行动概念,从而使CISA能够获得“实现本条第(c)款第(i)项所述目标”所需的数据。OMB局长应监督该行动概念的制定工作,期间应考虑各机构的观点和本条所述目标,并应批准最终的行动概念。该行动概念应包括:
  1. 要求各FCEB向CISA提供足够完整且符合时间要求的数据,以使CISA能够实现本条第(c)款第(i)项所述目标;
  2. 要求CISA在直接从各机构的EDR解决方案获取所需遥测数据时,提前通知各FCEB;
  3. 各机构可根据本条第(c)款第(ii)项第(A)目中的要求提供遥测数据,而不是让CISA直接访问其EDR解决方案的具体用例;
  4. 用于管理“CISA如何访问各机构EDR解决方案的高级技术和政策控制措施”的相关要求,这些要求应符合被广泛接受的网络安全原则,包括基于角色的访问控制、“最小权限”和职责分离等原则;
  5. 对“为保护数据的机密性或完整性,而受法定限制、监管限制或司法限制的高度敏感的机构数据”的专项保护措施;
  6. 行动概念的附录,该附录应明确按本条第(c)款第(ii)项第(C)目之规定,适用于司法部的某些具体用例类型(包括本条第(c)款第(vi)项和第(c)款第(vii)项中描述的某些信息类别),此外该附录还应要求在在司法部或其下属机构的网络上实施行动概念之前,司法部应先同意该附录中的条款。
(iii)在开展本条第(c)款所述活动时,除非有关机构获得其它授权,否则国土安全部长应指示CISA局长,仅当CISA要求进行威胁搜寻,或CISA根据《美国法典》第44编第3553节第(b)条第(7)款(44 U.S.C. 3553(b)(7))的授权开展威胁搜寻时,方可对该机构的网络、系统或数据进行更改。
(iv)在发布本条第(c)款第(ii)项所述技术控制措施之日起的30天内,国土安全部长应指示CISA局长,应建立面向所有机构的工作组,以制定和发布实现本条第(c)款第(ii)项所述目标的具体技术控制措施,并与EDR解决方案提供商合作,在各FCEB的EDR解决方案中部署这些控制措施。国土安全部长应指示CISA局长,对于CISA授权在“持续诊断和缓解项目”中使用的每项EDR解决方案,CISA都至少应建立一个对应的工作组,且所有这些工作组都应允许所有机构参与,并至少包含一名使用指定EDR解决方案的FCEB派出的代表。
(v)在发布本条第(c)款第(iv)项所述技术控制措施之日起的180天内,凡是使用了“这些控制措施所涵盖的EDR解决方案”的端点,各FCEB负责人都应将其纳入CISA的“持续访问能力”项目。
(vi)在本命令发布之日起的90天内,并在此后根据需要定期,各FCEB负责人应向CISA提供“需要额外控制措施或要求在特定时期不得中断”的系统、端点和数据集清单及相关解释文档,并在此后根据需要定期提供此类清单和解释文档,以确保CISA的威胁搜寻活动不会破坏对任务至关重要的行动。
(vii)当有关机构数据受到法定、监管或司法访问限制时,CISA局长应按该机构所要求的程序和流程来访问此类数据,或与该机构合作制定不违反任何此类限制的适当行政安排,以确保数据不会受到未经授权的访问或使用。
(viii)本命令中的任何内容,均不应理解为要求各机构提供受法院命令保护不得披露的信息,或提供根据司法程序要求保密的信息。
(d)联邦信息系统的安全依赖于政府云服务的安全。在本命令发布之日起的90天内,总务管理局局长、商务部长和国土安全部长应分别指示“联邦风险和授权管理项目”(FedRAMP)主管、NIST院长和CISA局长进行协调,制定与FedRAMP有关的政策和做法,以激励或要求FedRAMP市场中的云服务提供商根据各机构的要求,为这些机构的云基系统配置基线提供相关规范和建议,以确保联邦数据的安全。
(e)随着对太空系统网络安全威胁的增加,这些系统及其支持的数字基础设施在设计上必须能够适应不断变化的网络安全威胁,并能在对抗性环境中运行。鉴于太空系统在全球关键基础设施和通信弹性中的核心作用,以及为了进一步保护对国家安全(包括经济安全)至关重要的太空系统及其支持的数字基础设施,各机构应采取措施不断验证联邦太空系统是否具备必要的网络安全能力,包括通过持续评估、测试、演练以及建模和模拟等方式。
(i)在本命令发布之日起的180天内,内政部长(通过美国地质调查局局长行事)、商务部长(通过商务部海洋与大气管理局副局长和国家海洋与大气管理局局长行事)以及国家航空航天局局长应各自审查FAR中的民用空间合同要求,并向FAR委员会和其他适当机构建议更新民用空间网络安全要求和相关合同条款。建议的网络安全要求和合同条款应采用基于风险的分层方法,适用于所有新的民用太空系统。这些要求应至少适用于民用太空系统的在轨段和链路段。对于风险最高的层级(以及其他层级,视情况而定),这些要求应涵盖以下要素:
  1. 通过以下方式保护民用太空系统的指挥和控制(包括备份或故障转移系统):1. 加密命令以保护通信的机密性;2. 确保命令在传输过程中未被修改;3. 确保经授权方为命令的来源;4. 拒绝未经授权的指挥和控制尝试;
  2. 建立检测、报告和从异常网络或系统活动中恢复的方法;
  3. 使用符合NIST SSDF或任何后续文件的安全软件和硬件开发做法。
(ii)在收到本条(e)(i)小节所述建议的合同条款之日起的180天内,FAR委员会应审查该提案,并酌情根据适用法律,FAR委员会的机构成员应联合采取措施修改FAR。
(iii)在本命令发布之日起的120天内,国家网络总监应向OMB提交一份关于各FCEB拥有、管理或运营的空间地面系统的研究报告。该研究报告应包括:
  1. 空间地面系统清单;
  2. 每个空间地面系统是否根据44 U.S.C. 3505(c)(“主要信息系统清单”)被归类为主要信息系统;
  3. 改善此类空间地面系统的网络防御和监督的建议。
(iv)在提交本条(e)(iii)小节所述研究报告之日起的90天内,OMB局长应采取适当步骤,确保各FCEB拥有、管理或运营的空间地面系统符合OMB发布的相关网络安全要求。

第4条

 

加强联邦通信安全

(a)为提高联邦政府通信对抗敌对国家和罪犯的安全性,联邦政府必须在切实可行的范围内,并符合任务需求,使用现代、标准化和市售的算法和协议实施强大的身份认证和加密。
(b)互联网流量的安全性取决于数据被正确路由并传递到预期接收方网络。利用边界网关协议(BGP)在互联网上起源和传播的路由信息容易受到攻击和配置错误的影响。
(i)在本命令发布之日起的90天内,联邦民事行政部门(FCEB)机构应采取措施,确保其分配的所有互联网编号资源(互联网协议(IP)地址块和自治系统编号)均通过与美国互联网编号注册局或其他适当的区域互联网注册局签订的注册服务协议得到保护。此后,各FCEB应每年在其区域互联网注册局账户中审查和更新与分配的编号资源相关的组织标识符,如组织名称、联系人姓名和关联的电子邮件地址。
(ii)在本命令发布之日起的120天内,所有持有IP地址块的各FCEB应在其持有的IP地址块对应的公共资源公钥基础设施(PKI)存储库中创建并发布路由源授权(ROA)。该存储库由美国互联网编号注册局或相应的区域互联网注册局托管或委托。
(iii)在本命令发布之日起的120天内,国家网络总监应与其他机构负责人协调(如适用),向联邦采购条例(FAR)委员会建议合同语言,要求向机构提供互联网服务的承包商采用并部署互联网路由安全技术,包括发布路由源授权和执行路由源验证过滤。建议的语言应包括关于机构合同中涉及海外运营和海外本地服务提供商的要求或例外情况(如适用)。在收到这些建议后的270天内,FAR委员会应审查建议的合同语言,并且FAR委员会的成员机构应共同采取措施(如适用并符合适用法律)来修订FAR。在FAR进行任何此类修订之前,鼓励各机构在符合适用法律的前提下,在未来的合同中纳入此类要求。
(iv)在本命令发布之日起的180天内,商务部长应通过国家标准与技术研究院(NIST)局长向机构发布关于在联邦政府网络和服务提供商中部署当前可操作的BGP安全方法的最新指南。商务部长还应通过NIST局长提供关于提高互联网路由安全性和弹性的其他新兴技术的最新指南,如路由泄露缓解和源地址验证。
(c)加密域名系统(DNS)传输中的流量是保护传输到DNS解析器的信息的机密性和与DNS解析器的通信完整性的关键步骤。
(i)在本命令发布之日起的90天内,国土安全部长应通过网络安全与基础设施安全局(CISA)局长发布模板合同语言,要求任何作为联邦政府的DNS解析器(无论是客户端还是服务器)的产品支持加密DNS,并向FAR委员会推荐该语言。在收到推荐语言后的120天内,FAR委员会应审查该语言,并且FAR委员会的成员机构应共同采取措施(如适用并符合适用法律)来修订FAR。
(ii)在本命令发布之日起的180天内,各FCEB应在其现有客户端和服务器支持加密DNS协议的地方启用这些协议。在任何额外的客户端和服务器支持这些协议后的180天内,各FCEB也应启用这些协议。
(d)联邦政府必须加密传输中的电子邮件消息,并在可行的情况下使用端到端加密,以保护邮件免受损害。
(i)在本命令发布之日起的120天内,每个各FCEB应技术性地强制执行其电子邮件客户端与关联电子邮件服务器之间所有连接的加密和认证传输。
(ii)在本命令发布之日起的180天内,管理与预算局(OMB)主任应建立一项要求,扩大各FCEB使用的电子邮件服务器之间认证传输层加密的使用范围,用于发送和接收电子邮件。
(iii)在建立第(d)(ii)小节所述要求之日起的90天内,国土安全部长应通过CISA局长采取适当步骤,协助机构满足该要求,包括发布实施指令以及技术指南,以解决任何已确定的能力差距。
(e)现代通信方式,如语音和视频会议以及即时消息传递,通常在链路级别加密,但往往没有端到端加密。在本命令发布之日起的180天内,为提高基于互联网的语音和视频会议以及即时消息传递的安全性,OMB局长应与国土安全部长(通过CISA局长)、国防部长(通过国家安全局(NSA)局长)、商务部长(通过NIST局长)、美国国家档案与文件管理局局长(通过美国联邦政府首席记录官)以及总务管理局局长协调,采取适当步骤,要求机构:
(i)默认启用传输加密;
(ii)在技术上支持的情况下,默认使用端到端加密,同时保持日志记录和存档能力,以便机构能够满足记录管理和问责要求。
(f)量子计算机在带来益处的同时,也对美国国家安全(包括经济安全)构成了重大风险。最显著的是,足够大和复杂的量子计算机——也称为密码分析相关量子计算机(CRQC)——将能够破解美国及世界各地数字系统中使用的许多公钥加密算法。在2022年5月4日的国家安全备忘录10《促进美国在量子计算方面的领导地位,同时减轻对易受攻击的加密系统的风险》中,我指示联邦政府为过渡到不受CRQC影响的加密算法做好准备。
(i)在本命令发布之日起的180天内,国土安全部长应通过CISA局长发布并定期更新一份产品类别列表,其中广泛提供支持后量子密码学(PQC)的产品。
(ii)在某一产品类别被列入第(f)(i)小节所述列表之日起的90天内,机构应采取措施,在该类别产品的任何招标中纳入一项要求,即产品应支持PQC。
(iii)机构应尽快在其网络架构中已部署的网络安全产品和服务支持下,实施PQC密钥建立或混合密钥建立(包括PQC算法)。
(iv)在本命令发布之日起的90天内,国务卿和商务部长应通过NIST局长和国际贸易副国务卿,确定并与关键我国的外国政府和行业组织接触,鼓励它们过渡到由NIST标准化的PQC算法。
(v)在本命令发布之日起的180天内,为准备过渡到PQC,国防部长就国家安全系统(NSS)而言,以及OMB局长就非NSS而言,应各自发布要求,规定机构应尽快但在不迟于2030年1月2日的情况下,支持传输层安全协议版本1.3或其后续版本。
(g)联邦政府应利用商业安全技术和架构,如硬件安全模块、可信执行环境和其他隔离技术,以保护和审计对具有扩展生命周期的加密密钥的访问。
(i)在本命令发布之日起的270天内,商务部长应通过NIST局长,并与国土安全部长(通过CISA局长)和总务管理局局长协商,制定关于云服务提供商使用的访问令牌和加密密钥的安全管理指南。
(ii)在发布第(g)(i)小节所述指南之日起的60天内,总务管理局局长应通过联邦风险和授权管理计划(FedRAMP)主任,并与商务部长(通过NIST局长)和国土安全部长(通过CISA局长)协商,制定更新后的FedRAMP要求,酌情纳入第(g)(i)小节所述指南,并与OMB局长发布的关于加密密钥管理安全做法的指导保持一致。
(iii)在发布第(g)(i)小节所述指南之日起的60天内,OMB局长应与商务部长(通过NIST局长)、国土安全部长(通过CISA局长)和总务管理局局长协商,采取适当步骤,要求各FCEB遵循云服务提供商在向机构提供服务时使用的硬件安全模块、可信执行环境或其他隔离技术的最佳做法,以保护和管理访问令牌和加密密钥。

第5条

 

解决网络犯罪和欺诈问题

(a)犯罪集团利用被盗和合成身份系统性地欺诈公共福利项目,给纳税人造成损失,并浪费联邦政府资金。为解决这些犯罪问题,行政部门的政策是强烈鼓励接受数字身份文件以访问需要身份验证的公共福利项目,只要这样做能够以不妨碍弱势群体广泛参与项目的方式保护隐私、最小化数据并促进互操作性。
(i)在本命令发布之日起的90天内,具有拨款权的机构被鼓励与OMB和国家安全委员会工作人员协调,考虑是否可利用联邦拨款资金协助各州开发和发行符合本节所述政策和原则的移动驾驶证。
(ii)在本命令发布之日起的270天内,商务部长应通过NIST局长,与相关机构和其他利益相关者通过国家网络安全卓越中心合作,发布实用的实施指南,以支持使用数字身份文件进行远程数字身份验证,这将有助于数字身份文件的发行者和验证者推进本节所述的政策和原则。
(iii)机构应考虑接受数字身份文件作为访问公共福利项目的数字身份验证证据,但前提是使用这些文件应符合本节所述的政策和原则。
(iv)机构应根据适用法律,确保接受作为访问公共福利项目的数字身份验证证据的数字身份文件:
  1. 与相关标准和信任框架互操作,以便公众可以使用任何符合标准的硬件或软件,其中包含官方政府颁发的数字身份文件,无论制造商或开发人员如何;
  2. 不允许发行数字身份文件的机构、设备制造商或任何其他第三方监视或跟踪数字身份文件的展示,包括用户设备在展示时的位置;
  3. 支持用户隐私和数据最小化,确保仅请求数字身份文件持有人进行交易所需的最少信息——通常是针对某个问题(例如,某人是否超过特定年龄)的“是”或“否”的回答。
(b)使用“是/否”验证服务(也称为属性验证服务)可以提供更多保护隐私的手段来减少身份欺诈。这些服务允许程序通过隐私保护的“是”或“否”回答,确认申请人提供的身份信息是否与官方记录中的信息一致,而无需共享这些官方记录的内容。为支持使用此类服务,社会保障专员以及OMB局长指定的任何其他机构负责人应酌情并根据适用法律,考虑采取措施开发或修改与政府运营的身份验证系统和公共福利项目相关的服务(包括酌情通过启动拟议的法规制定或发布新的或大幅修改后的常规使用记录通知),以便这些系统和程序将申请人提供的身份信息提交给提供服务的机构,并收到关于申请人提供的身份信息是否与提供服务的机构存档的信息一致的“是”或“否”的回答。在这样做时,这些机构的负责人应特别考虑在确保符合适用法律的前提下,做到以下几点:
(i)提交给服务的任何申请人提供的身份信息以及服务提供的任何“是”或“否”回答仅用于协助身份验证、项目管理、反欺诈操作或与提交身份信息以申请公共福利项目的反欺诈调查和起诉;
(ii)在最大可行和适当的范围内,向公共福利项目;政府运营的身份验证系统(包括共享服务提供商);支付诚信项目;以及受美国监管的金融机构提供这些服务;
(iii)使用这些服务的机构、公共福利项目或机构提供报销,以适当覆盖成本并支持服务的持续维护、改进和广泛获取。
(c)财政部长应与总务管理局局长协商,研究、开发和实施一项试点计划,该计划采用一种技术,该技术可在个人和实体的身份信息被用于申请公共福利项目的付款时通知他们,给予个人和实体在潜在欺诈交易发生前阻止交易的选择,并向执法实体报告欺诈交易。

第6条

 

利用和促进人工智能安全

人工智能(AI)有可能通过快速识别新漏洞、扩大威胁检测技术的规模以及自动化网络防御来变革网络防御。联邦政府必须加速AI的开发和部署,探索利用AI提高关键基础设施网络安全的方法,并加速AI与网络安全交叉领域的研究。
(a)在国防部高级研究计划局(DARPA)2025年人工智能网络挑战赛完成后180天内,能源部长应与国防部长(通过DARPA局长)和国土安全部长协调,启动一项试点计划,与私营部门关键基础设施实体(如适用并符合适用法律)合作,利用AI增强能源部门关键基础设施的网络防御,并在试点计划完成后进行评估。该试点计划及其评估可能包括漏洞检测、自动补丁管理以及识别和分类信息技术(IT)或运营技术系统中的异常和恶意活动。
(b)在本命令发布之日起的270天内,国防部长应建立一个利用高级AI模型进行网络防御的计划。
(c)在本命令发布之日起的150天内,商务部长(通过NIST局长)、能源部长、国土安全部长(通过科学与技术副国务卿)以及国家科学基金会(NSF)主任应各自优先为其鼓励开发大规模标记数据集的计划提供资金,这些数据集对于网络防御研究取得进展至关重要,并确保网络防御研究现有的数据集在最大可行范围内(考虑到商业秘密和国家安全)对更广泛的学术研究界(无论是以安全方式还是公开方式)开放。
(d)在本命令发布之日起的150天内,商务部长(通过NIST局长)、能源部长、国土安全部长(通过科学与技术副国务卿)以及NSF主任应优先研究以下主题:
(i)人机交互方法,以协助防御性网络分析;
(ii)AI编码辅助的安全性,包括AI生成代码的安全性;
(iii)设计安全AI系统的方法;
(iv)涉及AI系统的网络事件的预防、响应、补救和恢复方法。
(e)在本命令发布之日起的150天内,国防部长、国土安全部长和国家情报总监应与OMB局长协调,将AI软件漏洞和妥协的管理纳入其各自机构现有的漏洞管理流程和机构间协调机制,包括通过事件跟踪、响应和报告,以及共享AI系统的妥协指标。

第7条

 

将政策与做法相结合

(a)支持机构关键任务的IT基础设施和网络需要现代化。机构的政策必须将投资和优先事项与提高网络可见性和安全控制结合起来,以降低网络风险。
(i)在本命令发布之日起的3年内,OMB局长应发布指南(包括对OMB通告A-130的任何必要修订),以解决关键风险,并使联邦信息系统和网络适应现代做法和架构。该指南应至少包括:
  1. 概述机构网络安全信息共享和交换、企业可见性以及机构首席信息安全官(CISO)对企业范围网络安全计划的问责制的期望;
  2. 修订OMB通告A-130,在适当的关键领域减少技术规定,以更清晰地促进在联邦系统中采用不断发展的网络安全最佳做法,并包括迁移到零信任架构和实施关键要素,如端点检测与响应(EDR)能力、加密、网络分段和防钓鱼多因素认证;
  3. 说明机构应如何识别、评估、应对和减轻IT供应商和服务集中对任务关键功能构成的风险。
(ii)商务部长(通过NIST局长)、国土安全部长(通过CISA局长)和OMB局长应建立一个试点计划,采用规则即代码的方法,为OMB、NIST和CISA发布和管理的网络安全相关政策和指导制定机器可读版本。
(b)管理网络安全风险现已成为日常行业做法,并应成为所有类型企业的预期。最低网络安全要求可以使威胁行为者更难以、更昂贵地破坏网络。在本命令发布之日起的240天内,商务部长应通过NIST局长,评估各行业部门、国际标准机构和其他风险管理计划中常用或推荐的共同网络安全做法和安全控制成果,并基于该评估发布指南,确定最低网络安全做法。在制定该指南时,商务部长应通过NIST局长,征求联邦政府、私营部门、学术界和其他适当方的意见。
(c)机构在购买产品和服务时面临多种网络安全风险。虽然机构已在改进供应链风险管理方面取得了显著进展,但需要采取额外行动以跟上不断演变的威胁态势。在本节第(b)小节所述指南发布之日起的180天内,FAR委员会应审查该指南,并且FAR委员会的成员机构应共同采取措施(如适用并符合适用法律)来修订FAR,以:
(i)要求与联邦政府签订合同的承包商遵循NIST根据本节第(b)小节所述指南确定的适用于机构合同工作的最低网络安全做法,或在开发、维护或支持提供给联邦政府的IT服务或产品时遵循这些做法;
(ii)要求机构到2027年1月4日,要求向联邦政府提供消费者物联网产品(如47 C.F.R. 8.203(b)所定义)的供应商为这些产品携带美国网络信任标志标签。

第8条

 

国家安全系统和致瘫影响系统

(a)除本命令第4节(f)(v)小节另有规定外,本命令第1至7节不适用于作为国家安全系统(NSS)或被国防部或情报界确定为致瘫影响系统的联邦信息系统。
(b)在本命令发布之日起的90天内,为帮助确保NSS和致瘫影响系统受到最先进的安全措施保护,国防部长应通过国家安全局(NSA)局长作为国家安全系统国家经理(国家经理),与国家情报总监和国家安全系统委员会(CNSS)协调,并与OMB局长和国家安全事务助理(APNSA)协商,制定与本命令所述要求一致的NSS和致瘫影响系统要求(如适用并符合适用法律)。国防部长可根据独特的任务需求,对此类要求给予例外。这些要求应纳入拟议的国家安全备忘录,通过APNSA提交给总统。
(c)为帮助保护太空NSS免受与新兴威胁保持同步的网络安全措施的影响,在本命令发布之日起的210天内,CNSS应审查和更新(如适用)关于太空系统网络安全的相关政策和指导。除了进行适当的更新外,CNSS还应确定并实施适当的要求,以在联邦政府采购的太空NSS领域实施网络防御,包括入侵检测、使用硬件信任根进行安全启动以及开发和部署安全补丁。
(d)为加强对联邦信息系统的有效治理和监督,在本命令发布之日起的90天内,OMB局长应发布适当的指导,要求机构清点所有主要信息系统,并将清单提供给CISA、国防部或国家经理(视情况而定),它们应各自维护其管辖范围内的机构清单注册表。CISA、国防部首席信息官和国家经理将酌情共享其清单,以识别监督覆盖范围的空白或重叠。本指导不适用于情报界的组成部分。
(e)本命令中的任何内容均不改变《1947年国家安全法》(Public Law 80-253)、《2014年联邦信息安全现代化法》(Public Law 113-283)、《1990年7月5日国家安全指令42号——国家安全电信和信息系统安全国家政策》或《2022年1月19日国家安全备忘录8号——改进国家安全、国防部和情报界系统的网络安全》授予国家情报总监、国防部长和国家经理对适用系统的权力和职责。

第9条

 

打击重大恶意网络活动的其他措施

鉴于发现,必须采取进一步措施来应对2015年4月1日《阻止从事重大恶意网络活动者的财产》行政命令(经2016年12月28日《就重大恶意网络活动相关的国家紧急状态采取进一步措施》行政命令以及2021年1月19日《就重大恶意网络活动相关的国家紧急状态采取进一步措施》行政命令修订)所宣布的,针对美国面临的日益严重和不断演变的恶意网络活动威胁的国家紧急状态,包括外国行为体对关键基础设施进行未经授权的访问、勒索软件攻击、网络入侵以及逃避制裁等日益严重的威胁,我特此命令,对《行政命令13694》第1(a)条做如下进一步修订:
“第1条。(a)所有在美国境内的、今后进入美国的、或者今后处于任何美国个人拥有或控制之下的以下人员的财产和财产权益均被冻结,且不得转让、支付、出口、提取或以其他方式处理:
(i)本命令附件所列人员;
(ii)财政部长在与司法部长和国务卿协商后,认定其负责、参与或直接或间接从事源自或受位于美国境外(全部或部分)的人员指挥的网络活动,且此类活动很可能导致或已对美国国家安全、外交政策、经济健康或金融稳定构成重大威胁,并涉及以下目的或行为的人员:
  1. 损害或以其他方式破坏支持关键基础设施领域一个或多个实体的计算机或计算机网络提供的服务;
  2. 破坏关键基础设施领域一个或多个实体提供的服务;
  3. 破坏计算机或计算机网络的可用性,或损害存储在计算机或计算机网络上的信息的完整性;
  4. 挪用资金或经济资源、知识产权、专有或商业秘密信息、个人身份标识或财务信息,以获取商业或竞争优势或私人经济利益;
  5. 篡改、更改或挪用信息,目的是或涉及干扰或破坏选举进程或机构;
  6. 对美国个人、美国、美国盟友或合作伙伴及其公民、国民或根据其法律组织的实体,实施勒索软件攻击,如通过恶意使用代码、加密或其他活动影响数据的机密性、完整性或可用性,或影响计算机或计算机网络的机密性、完整性或可用性;
(iii)财政部长在与司法部长和国务卿协商后,认定其负责、参与或直接或间接从事以下行为的人员:
  1. 明知是通过网络手段挪用的资金、经济资源、知识产权、专有或商业秘密信息、个人身份标识或财务信息,仍在美国境外为商业或竞争优势或私人经济利益而接收或使用此类资金或资源;
  2. 负责、参与或直接或间接从事与获取或试图获取美国个人、美国、美国盟友或合作伙伴及其公民、国民或根据其法律组织的实体的计算机或计算机网络未经授权访问有关的活动,且此类活动源自或受位于美国境外(全部或部分)的人员指挥,并很可能导致或已对美国国家安全、外交政策、经济健康或金融稳定构成重大威胁;
  3. 为本条(a)(ii)或(a)(iii)(A)或(B)小节所述的任何活动,或为根据本命令其财产和财产权益被冻结的任何人员,提供实质性协助、赞助或提供财政、物质或技术支持,或提供货物或服务;
  4. 由根据本命令其财产和财产权益被冻结的任何人员拥有或控制,或直接或间接为其行事或声称为其行事,或为本条(a)(ii)或(a)(iii)(A)–(C)小节所述的任何活动行事;
  5. 试图从事本条(a)(ii)和(a)(iii)(A)–(D)小节所述的任何活动;
  6. 是或曾是任何根据本命令其财产和财产权益被冻结的人员,或从事本条(a)(ii)或(a)(iii)(A)–(E)小节所述任何活动的任何人员的领导、官员、高级管理人员或董事会成员。”

第10条

 

定义

本命令中:
(a)“机构”一词的含义与《美国法典》第44编第3502(1)节所述的含义相同,但《美国法典》第44编第3502(5)节所述的独立监管机构除外。
(b)“工件”一词是指通过手动或自动化手段生成的记录或数据,可用于证明符合既定的做法,包括用于安全软件开发。
(c)“人工智能”或“AI”一词的含义与《美国法典》第15编第9401(3)节所述的含义相同。
(d)“AI系统”一词是指任何全部或部分使用AI运行的数据系统、软件、硬件、应用程序、工具或实用程序。
(e)“认证”一词是指确定一个或多个用于声明数字身份的认证器(如密码)的有效性的过程。
(f)“边界网关协议”或“BGP”一词是指用于在构成互联网的数万个自治网络之间分发和计算路径的控制协议。
(g)“消费类物联网产品”一词是指主要用于消费者使用而非企业或工业使用的物联网产品。消费类物联网产品不包括美国食品药品监督管理局监管的医疗设备或美国国家公路交通安全管理局监管的机动车辆和机动车辆设备。
(h)“网络事件”一词的含义与《美国法典》第44编第3552(b)(2)节所述“事件”一词的含义相同。
(i)“致瘫影响系统”一词是指《美国法典》第44编第3553(e)(2)和3553(e)(3)节分别为国防部和情报界所描述的系统。
(j)“数字身份文件”一词是指由政府机构(如州政府颁发的移动驾照或电子护照)颁发的电子、可重复使用、可通过密码学验证的身份凭证。
(k)“数字身份验证”一词是指用户在线进行的身份验证。
(l)“端点”一词是指可以连接到计算机网络以创建数据通信的入口或出口点的任何设备。端点的示例包括台式计算机和笔记本电脑、智能手机、平板电脑、服务器、工作站、虚拟机和消费类物联网产品。
(m)“端点检测和响应”一词是指网络安全工具和功能,它们将端点数据(例如工作站、移动电话、服务器等联网计算设备)的实时连续监控和收集与基于规则的自动化响应和分析功能相结合。
(n)“联邦民用行政部门”或“FCEB部门”包括除国防部下属机构和情报界机构以外的所有机构。
(o)“联邦信息系统”一词是指由机构、机构承包商或代表机构运作的其他组织使用或操作的信息系统。
(p)“政府运营的身份验证系统”一词是指由联邦、州、地方、部落或领土政府机构拥有和运营的进行身份验证的系统,包括为多个机构提供服务的单机构系统和共享服务。
(q)“硬件信任根”一词是指一种固有的受信任的硬件和固件组合,有助于维护信息的完整性。
(r)“混合密钥建立”一词是指本身是密码密钥建立方案的两种或多种组件的组合而成的密钥建立方案。
(s)“身份验证”一词是指收集身份信息或证据,验证其合法性,并确认其与提供信息的真实个人相关联的过程。
(t)“情报界”一词的含义与《美国法典》第50编第3003(4)节所述的含义相同。
(u)“密钥建立”一词是指两个或多个实体之间安全共享密码密钥的过程。
(v)“最小权限”一词是指安全架构的设计原则,即每个实体仅被授予执行其功能所需的最小系统资源和授权。
(w)“机器可读”一词是指产品输出采用结构化格式,可以使用一致的处理逻辑由另一个程序进行消费。
(x)“国家安全系统”或“NSS”一词的含义与《美国法典》第44编第3552(b)(6)节所述的含义相同。
(y)“补丁”一词是指当安装时,直接修改与不同软件组件相关的文件或设备设置,而不更改相关软件组件的版本号或发布详情的软件组件。
(z)“以代码形式制定规则的方法”一词是指规则(例如立法、法规或政策中包含的规则)的编码版本,可由计算机理解和使用。
(aa)“安全启动”一词是指一种安全功能,可防止计算机系统在启动时运行恶意软件。该安全功能在启动序列期间执行一系列检查,有助于确保仅加载受信任的软件。
(bb)“安全控制结果”一词是指为信息系统或组织规定的保障措施或对策的性能或非性能的结果,以保护系统的机密性、完整性和可用性及其信息的机密性、完整性和可用性。
(cc)“零信任架构”一词的含义与《行政命令14028》中所述的含义相同。

第11条

 

通用条款

(a)本命令中的任何内容均不得解释为损害或以其他方式影响:
(i)法律授予行政部门或机构或其负责人的权力;
(ii)管理与预算局主任与预算、行政或立法建议有关的职能。
(b)本命令应以符合适用法律的方式实施,并受拨款情况的制约。
(c)本命令无意且不会为任何一方针对美国、其部门、机构或实体、其官员、雇员或代理人,或任何其他人员,创造任何可依法或衡平法强制执行的权利或利益,无论是实质性的还是程序性的。

约瑟夫•R•拜登

白宫

2025年1月16日

中英文版全文下载链接:
《关于加强和促进国家网络安全创新的行政命令》.docx
ExecutiveOrderonStrengtheningand Promoting Innovation in the Nation.docx

免责声明:本文内容仅供业界学习参考,文内所包含的信息或所表达的意见,均不代表杂志社的立场和态度。

 

 

 

首页    政策法规    法规标准    最新发布|拜登政府《关于加强和促进国家网络安全创新的行政命令》剑指中国和俄罗斯(全文翻译)
前一个:
后一个:
创建时间:2025-01-18 09:05
浏览量:0