喬·拜登週四發布了一項強有力的新行政命令(EO),這是他作為總統的最後一次官方行動之一,旨在加強國家網路安全。這項全面的指令制定了一項全面的策略,以解決網路安全、隱私和身份驗證等多方面的數位身分挑戰。
該行政命令以拜登 2021 年 5 月 12 日的行政命令為基礎,改善國家網路安全,以及在國家網路安全戰略。
很多,該行政命令指示發放贈款的聯邦機構考慮支持各州開發行動駕駛執照 (mDL),並規定這些憑證不應監視或追蹤使用數位 ID 的交互作用。
透過加強軟體供應鏈、加強身分管理、利用新興技術和促進協作,新的行政命令旨在保護國家的數位基礎設施免受不斷變化的威脅,並在日益互聯的世界中保護美國人的安全和隱私。
行政命令警告說,“敵對國家和犯罪分子繼續針對美國和美國人開展網絡活動”,“中華人民共和國對美國政府、私營部門、和關鍵基礎設施網絡。”
拜登說:「這些活動擾亂了全國關鍵服務的提供,耗資數十億美元,並損害了美國人的安全和隱私。必須採取更多措施來提高國家的網路安全以應對這些威脅。
拜登週四的核心關於加強和促進國家網路安全創新的行政命令是對第三方軟體供應鏈中漏洞的識別。聯邦系統和關鍵基礎設施經常依賴外部提供者的軟體,其中一些提供者無法解決已知的安全缺陷,從而使這些系統容易被利用。為了減輕這種風險,EO 強制要求嚴格的安全軟體開發實務。
在簽署新行政命令後 30 天內,管理和預算辦公室必須與美國國家標準技術研究院 (NIST) 以及網路安全和基礎設施安全局 (CISA) 協調,推薦合約語言,要求軟體供應商提交安全由CISA 管理的集中存儲庫的軟體證明。該存儲庫將包括機器可讀的證明、高級工件和聯邦客戶清單。聯邦採購監理委員會(FAR 委員會)的任務是迅速實施這些要求,強調軟體安全的透明度和問責制。
為了實施這些改革,行政命令為聯邦機構和私營部門利益相關者制定了明確的時間表和可行的步驟。例如,商務部長透過 NIST 負責更新安全軟體開發框架,以包括有關安全軟體交付和操作的詳細指南。同樣,鼓勵 FAR 理事會通過臨時規則以確保合規性。這些措施將減少軟體漏洞並建立嚴格的第三方風險管理實務。
雖然安全軟體開發實踐構成了該計劃的關鍵組成部分,但它們本身無法緩解民族國家行為者構成的高級威脅。認識到這一點,行政命令呼籲聯邦民事機構增強端點檢測和回應能力。
在拜登發布 EO 後 180 天內,CISA 必須與聯邦首席資訊長和首席資訊安全官委員會協調,制定用於存取端點遙測資料的協議。這種存取將實現威脅搜尋、異常檢測以及針對多個機構的網路活動的協調回應。為了維護隱私和完整性,這些活動將遵循「最小特權」原則並採用強大的存取控制。
身份驗證和身份管理是網路安全的支柱。該命令強調了在聯邦系統中採用 WebAuthn 等防網路釣魚身分驗證機制的重要性。在先前部署的基礎上,各機構被指示試點這些技術,為身分、憑證和存取管理的長期策略提供資訊。該指令還強調了對加密金鑰進行安全管理的必要性,並提出了在雲端環境中使用加密金鑰的更新指南。這些措施旨在阻止未經授權的存取並增強對數位互動的信任。
該行政命令也涉及聯邦通訊的安全問題。預設情況下,機構需要實施加密的網域名稱系統協定並確保安全的電子郵件傳輸。這些措施保護政府通信的機密性和完整性免遭攔截和篡改。此外,該命令要求增強語音和視訊會議平台的安全性,並提倡端對端加密,同時保持遵守聯邦記錄管理要求。
行政命令指出,量子計算對現有密碼系統構成重大風險。因此,行政命令概述了向後量子密碼學 (PQC) 標準的過渡計劃,以確保聯邦系統對與密碼分析相關的量子電腦保持彈性。各機構需要優先考慮 PQC 就緒技術,並與國際合作夥伴合作,鼓勵全球採用。這種前瞻性方法旨在預防未來的漏洞,同時保持美國技術的競爭力。
開源軟體是現代運算的基石,也是該行政命令的另一個焦點。雖然它的使用提供了創新和成本效益,但它也帶來了獨特的風險。該行政命令指示聯邦機構透過採用安全評估、及時應用修補程式以及為更廣泛的網路安全生態系統做出貢獻,以更好地管理對開源軟體的依賴。這些行動旨在增強開源軟體的安全性和彈性,同時保留其優勢。
該行政命令進一步授權研究和試點計劃,利用人工智慧進行威脅偵測、漏洞管理和自動回應。透過優先考慮網路防禦資料集和推進安全人工智慧系統設計,該指令旨在利用人工智慧的潛力,同時解決其風險,包括產生不安全程式碼和對手利用人工智慧漏洞。
為了打擊網路犯罪和欺詐,該行政命令強調安全的數位身分系統。鼓勵聯邦機構接受 mDL 和其他數位身分文件,前提是它們遵守隱私、互通性和資料最小化的原則。透過啟用「是/否」驗證服務,政府可以在保護使用者隱私的同時增強身分驗證。試點計畫將探索提醒個人潛在身分濫用的技術,使他們能夠防止詐欺性交易。
該辦公室還負責解決太空系統的網路安全問題,該系統在國家安全和全球基礎設施中發揮越來越重要的作用。聯邦機構的任務是更新民用空間系統的合約要求,以包括強有力的網路安全措施。這些要求包括安全命令和控制機制、異常檢測和安全軟體開發實務。此外,聯邦太空地面系統將接受全面審查,以找出差距並改善防禦。
在整個行政命令中,透明度和協作是反覆出現的主題。聯邦機構必須相互之間以及與私營部門合作夥伴共享網路安全訊息,以建立集體防禦。 EO 為特定技術(例如端點偵測和回應解決方案)建立工作小組,確保機構和供應商遵循最佳實務。此外,它鼓勵國際合作應對全球網路威脅,並認識到網路安全超越國界。
行政命令的實施將受到嚴格監督和持續評估的指導。國家網路總監與 CISA 和其他利害關係人協調,負責監控合規性並公開揭露結果。這種問責制旨在確保行政命令中概述的措施轉化為網路安全的實際改進。
文章主題
|||||||
