乔·拜登周四发布了一项强有力的新行政命令(EO),这是他作为总统的最后一次官方行动之一,旨在加强国家网络安全。这项全面的指令制定了一项全面的战略,以解决网络安全、隐私和身份验证等多方面的数字身份挑战。
该行政命令以拜登 2021 年 5 月 12 日的行政命令为基础,改善国家网络安全,以及在国家网络安全战略。
很多,该行政命令指示发放赠款的联邦机构考虑支持各州开发移动驾驶执照 (mDL),并规定这些凭证不应监视或跟踪使用数字 ID 的交互。
通过加强软件供应链、加强身份管理、利用新兴技术和促进协作,新的行政命令旨在保护国家的数字基础设施免受不断变化的威胁,并在日益互联的世界中保护美国人的安全和隐私。
行政命令警告说,“敌对国家和犯罪分子继续针对美国和美国人开展网络活动”,“中华人民共和国对美国政府、私营部门、和关键基础设施网络。”
拜登说:“这些活动扰乱了全国关键服务的提供,耗资数十亿美元,并损害了美国人的安全和隐私。必须采取更多措施来提高国家的网络安全以应对这些威胁。”
拜登周四的核心关于加强和促进国家网络安全创新的行政命令是对第三方软件供应链中漏洞的识别。联邦系统和关键基础设施经常依赖外部提供商的软件,其中一些提供商无法解决已知的安全缺陷,从而使这些系统容易被利用。为了减轻这种风险,EO 强制要求严格的安全软件开发实践。
在签署新行政命令后 30 天内,管理和预算办公室必须与美国国家标准技术研究院 (NIST) 以及网络安全和基础设施安全局 (CISA) 协调,推荐合同语言,要求软件提供商提交安全由 CISA 管理的集中存储库的软件证明。该存储库将包括机器可读的证明、高级工件和联邦客户列表。联邦采购监管委员会(FAR 委员会)的任务是迅速实施这些要求,强调软件安全的透明度和问责制。
为了实施这些改革,行政命令为联邦机构和私营部门利益相关者制定了明确的时间表和可行的步骤。例如,商务部长通过 NIST 负责更新安全软件开发框架,以包括有关安全软件交付和操作的详细指南。同样,鼓励 FAR 理事会通过临时规则以确保合规性。这些措施将减少软件漏洞并建立严格的第三方风险管理实践。
虽然安全软件开发实践构成了该计划的关键组成部分,但它们本身无法缓解民族国家行为者构成的高级威胁。认识到这一点,行政命令呼吁联邦民事机构增强端点检测和响应能力。
在拜登发布 EO 后 180 天内,CISA 必须与联邦首席信息官和首席信息安全官委员会协调,制定用于访问端点遥测数据的协议。这种访问将实现威胁搜寻、异常检测以及对针对多个机构的网络活动的协调响应。为了维护隐私和完整性,这些活动将遵循“最小特权”原则并采用强大的访问控制。
身份验证和身份管理是网络安全的支柱。该命令强调了在联邦系统中采用 WebAuthn 等防网络钓鱼身份验证机制的重要性。在先前部署的基础上,各机构被指示试点这些技术,为身份、凭证和访问管理的长期战略提供信息。该指令还强调了对加密密钥进行安全管理的必要性,并提出了在云环境中使用加密密钥的更新指南。这些措施旨在阻止未经授权的访问并增强对数字交互的信任。
该行政命令还涉及联邦通信的安全问题。默认情况下,机构需要实施加密的域名系统协议并确保安全的电子邮件传输。这些措施保护政府通信的机密性和完整性免遭拦截和篡改。此外,该命令要求增强语音和视频会议平台的安全性,提倡端到端加密,同时保持遵守联邦记录管理要求。
行政命令指出,量子计算对现有密码系统构成重大风险。因此,行政命令概述了向后量子密码学 (PQC) 标准的过渡计划,以确保联邦系统对与密码分析相关的量子计算机保持弹性。各机构需要优先考虑 PQC 就绪技术,并与国际合作伙伴合作,鼓励全球采用。这种前瞻性方法旨在预防未来的漏洞,同时保持美国技术的竞争力。
开源软件是现代计算的基石,也是该行政命令的另一个焦点。虽然它的使用提供了创新和成本效益,但它也带来了独特的风险。该行政命令指示联邦机构通过采用安全评估、及时应用补丁以及为更广泛的网络安全生态系统做出贡献,更好地管理对开源软件的依赖。这些行动旨在增强开源软件的安全性和弹性,同时保留其优势。
该行政命令进一步授权研究和试点计划,利用人工智能进行威胁检测、漏洞管理和自动响应。通过优先考虑网络防御数据集和推进安全人工智能系统设计,该指令旨在利用人工智能的潜力,同时解决其风险,包括生成不安全代码和对手利用人工智能漏洞。
为了打击网络犯罪和欺诈,该行政命令强调安全的数字身份系统。鼓励联邦机构接受 mDL 和其他数字身份文件,前提是它们遵守隐私、互操作性和数据最小化的原则。通过启用“是/否”验证服务,政府可以在保护用户隐私的同时增强身份验证。试点计划将探索提醒个人潜在身份滥用的技术,使他们能够防止欺诈性交易。
该办公室还负责解决空间系统的网络安全问题,该系统在国家安全和全球基础设施中发挥着越来越重要的作用。联邦机构的任务是更新民用空间系统的合同要求,以包括强有力的网络安全措施。这些要求包括安全命令和控制机制、异常检测和安全软件开发实践。此外,联邦太空地面系统将接受全面审查,以找出差距并改善防御。
在整个行政命令中,透明度和协作是反复出现的主题。联邦机构必须相互之间以及与私营部门合作伙伴共享网络安全信息,以建立集体防御。 EO 为特定技术(例如端点检测和响应解决方案)建立工作组,确保机构和供应商遵循最佳实践。此外,它鼓励国际合作应对全球网络威胁,认识到网络安全超越国界。
行政命令的实施将受到严格监督和持续评估的指导。国家网络总监与 CISA 和其他利益相关者协调,负责监控合规性并公开披露结果。这种问责制旨在确保行政命令中概述的措施转化为网络安全的切实改进。
文章主题
|||||||
