2021年5月12日,美国总统拜登签署名为“加强我国网络信息安全的行政规章”(Executive Order on Improving the Nation’s Cybersecurity)以加强互联网网络信息安全和维护美国联邦政府互联网。文中关键整理了该行政规章的9个关键一部分內容。
SolarWinds供应链管理进攻事情、微软公司exchange系统漏洞、COLONIAL PIPELINE输油管线事情等最近产生的网络安全问题促使美政府和人民意识到来源于互联网的繁杂故意主题活动,也显现出网络信息安全防御力不够等问题,促使公与私单位促使更易于遭受有关事情的危害。
行政规章9个关键一部分內容:
(1)现行政策
(2)清除危害资源共享的阻碍
(3)美国联邦政府网络信息安全智能化
(4)提高手机软件供应链管理的安全性
(5)创立网络信息安全核查联合会
(6)美国联邦政府网络信息安全系统漏洞和事件应急处置规范化
(7)加强美国联邦政府互联网中网络信息安全缺陷的检验工作能力
(8)加强美国联邦政府网络安全问题的调研
(9)修补工作能力、我国安全管理系统
1. 现行政策
政府部门与利益相关者协作:
美国联邦政府务必勤奋鉴别、阻拦、预防、发觉和解决故意互联网个人行为和其背后的网络攻击。网络信息安全不仅必须政府部门的行为,还必须美国联邦政府与利益相关者协作。利益相关者务必融入持续变动的危害自然环境,保证其商品的设计方案和运作是可靠的,并与美国联邦政府协作,以推动网络安全的安全性。
增加项目投资:
美国联邦政府必须在网络信息安全层面增加项目投资,尤其是支撑点英国人民衣食住行的关键组织。美国联邦政府务必灵活运用自身的职权和資源来维护计算机软件的安全性,包含根据云计算技术的、当地的和混和的计算机软件。实际包含解决信息的系统软件(信息科技(IT))和运作保证安全的主要设备的系统软件(实际操作技术性(OT))。
拜登政府部门的网络信息安全现行政策:
拜登政府部门的网络信息安全现行政策是:防止、检验、评定和修补网络安全问题是我国和经济发展安全性的头等大事。美国联邦政府务必言传身教。全部联邦政府信息管理系统最少应达到本指令中要求和公布的网络信息安全规范和规定。
2. 清除阻碍
清除危害资源共享的阻碍:
美国联邦政府与IT和OT服务提供商签署合同在联邦政府信息管理系统上实行一系列平时作用。包含云服务提供商以内的服务提供商对联邦政府信息管理系统上的网络威胁和事件信息内容具备与众不同的调研工作能力。与此同时,现行标准合同文本或限定有可能会限定与承担调研或弥补互联网事情的实行机构和组织共享资源该类危害或事情信息内容,例如如网络信息安全和基础设施建设安全局(CISA),中情局(FBI)和别的情报组织(IC)。清除这种合同书中的困难并加强相关该类危害、事情和隐患的资源共享,是加快安全事故防止和回应工作中,更合理地维护美国联邦政府搜集、解决、维护保养的消息和系统软件的必需流程。
行政规章签署后60日内,管理方法和费用预算公司办公室(OMB)负责人与国防部长、总检察长、国土安全局长度国家情报局厅长商议核查《联邦采购条例》(FAR)和《国防部联邦采购条例》补充合同规定,便于与IT和OT服务提供商签署合同,并向FAR联合会和其它有关组织提议升级该类规定。
3. 网络信息安全当代
美国联邦政府网络信息安全智能化:
为了更好地紧跟现如今动态性和日渐繁杂的网络威胁自然环境的脚步,美国联邦政府务必采用坚决对策,使其网络信息安全方式智能化,在保护隐私和公民自由的一起提升美国联邦政府对危害的由此可见性。
美国联邦政府务必选用安全性最佳实践;向零信任构架奋进;加速云服务器安全性化的脚步,包含saas模式(SaaS)、基础设施建设即服务项目(IaaS)和网站即服务项目(PaaS);集中化和简单化对网络信息安全数据信息的浏览,以促进鉴别和管理方法网络信息安全风险性的剖析;并在技术水平和工作人员上实现项目投资,以保持这种智能化总体目标。
指令签署后的60日内,有关组织领导干部应:
- 将原有的采购方案依照OMB有关手册的要求升级,即优先选择考虑到云计算技术的购买和应用;
- 制订执行零信任构架的方案,该计划应酌情处理国家行业标准与技术性研究室(NIST)在规范和手册中简述的转移流程,并表明已经完成的一切该类流程,明确将对安全性造成最立即危害的主题活动,并包含执行这种运动的时刻表;
- 向OMB负责人和美国总统助手兼国防安全咨询顾问(APNSA)给予一份汇报,探讨这节规定的具体内容的方案。
4. 供应链管理安全性
加强手机软件供应链管理安全性:
美国联邦政府应用的电脑软件的安全性针对美国联邦政府进行关键作用而言是十分关键的。软件开发平台的研发欠缺透光性,不关心抵御进攻的工作能力,及其避免故意个人行为者伪造的工作能力。因而,急需解决执行更为严苛的体制,以保证 设备的可靠运作。实行对信赖尤为重要的基本功能的 “重要手机软件”的安全系数和一致性是一个非常让人关心的问题。因而,美国联邦政府务必付诸行动,快速提升手机软件供应链管理的安全系数和一致性,并择优处理重要手机软件问题。
指令公布的30日内,商务部长应根据NIST征询美国联邦政府、利益相关者、学界和其它有关公司的建议,以明确目前或开发的规范、专用工具和最佳实践,以符合规定、程序流程、程序和标准。手册应包含可用来评定手机软件安全系数的规范,评定开发者和经销商本身安全性实践活动的规范,并明确证实合乎安全性实践活动的自主创新专用工具或方式。
NIST 应在指令公布的180日内公布依据征询建议公布手册原稿;360日内公布包括按时核查和升级规则的程序流程以内的别的规则。
5. 创立联合会
创立“网络信息安全核查联合会”:
国土安全局科长应与司法部长商议,依据2002年《国土安全法》第871节开设网络信息安全核查联合会。委员会承担审核和评定危害联邦政府信息管理系统或者非联邦政府系统软件的重要互联网事情、危害主题活动、系统漏洞、修补主题活动和组织回应。
联合会人员应包含联邦政府高官和私企的意味着。实际包含国防部长、司法部门、CISA、NSA和FBI的意味着,及其国土安全局长明确的适度私营企业网络信息安全或手机软件经销商的意味着。当核查中的事情涉及到国土安全局科长明确的FCEB信息管理系统时,OMB意味着也应参与联合会主题活动。国土安全局科长可依据核查事情的特性和详细情况邀约别人参加。
6. 规范化
美国联邦政府网络信息安全系统漏洞和事件应急处置规范化:
现阶段用以鉴别、修补和修复网络信息安全系统漏洞和事件的回应程序流程因组织而异,这一定水平上干扰了带头组织更全方位地剖析各组织的系统漏洞和事件的工作能力。规范化的回应全过程保证了网络信息安全系统漏洞和事件应急处置更融洽和专业化的纪录,可以协助组织开展更为取得成功的应急处置。
在本指令公布生效日120日内,国土安全局长应根据CISA厅长与OMB局长、联邦政府首席信息官联合会和联邦政府总裁网络信息安全联合会商议,与国防部长根据国家安全局厅长、总检察长和国家情报局局长融洽,制订一套规范操作流程(行为指南),用以整体规划和进行相关FCEB信息管理系统的互联网安全系统漏洞和事件回应主题活动。
规范操作指南应:
- 包括全部相匹配的NIST规范;
- 可以被全部FCEB组织应用;
- 在事情反应的全部环节表明进展和成功状况,与此同时容许一定的操作灵活性,便于用以适用各种应急处置主题活动。
7. 加强检验工作能力
加强美国联邦政府互联网中网络信息安全缺陷的检验工作能力:
美国联邦政府应运用一切合理的資源和权利,尽量早地发觉美国联邦政府互联网上的互联网安全系统漏洞和进攻事情。该办法应包含提升美国联邦政府对网络信息安全系统漏洞和组织网络威胁的由此可见性和检验工作能力,以加强美国联邦政府的网络信息安全工作中。
FCEB组织应布署节点检验和回应(EDR)方案,以适用在美国联邦政府基础设施建设内的网络安全问题积极检验、积极网络扫描、抵制和修补及其事情回应。
指令公布30日内,国土安全局科长应根据CISA厅长向OMB局长给予有关执行EDR方案的提议,该方案坐落于核心部位,以适用与FCEB信息管理系统有关的服务器级由此可见性、所属和回应。
8. 加强调研修补
加强美国联邦政府网络安全问题的调研和恢复工作能力:
联邦政府信息管理系统上的网上和事件日志中的消息针对调研网络信息安全系统漏洞和事件及其修补和还原系统全是十分关键的。因而,各单位和其IT服务给予商业服务应依据法律适用搜集和维护保养该类数据信息,在有必要时解决FCEB信息管理系统上的互联网事情,并应规定根据CISA厅长向国土安全局长或向FBI给予那些数据信息。
指令公布14日内,国土安全局科长应与司法部长和电子器件政府办公室行政官(OMB属下)商议,向OMB负责人明确提出有关纪录系统日志和事件的需求的提议,并在组织系统软件和互联网中保存别的有关数据信息。
实际提议应包含:
- 要留下的系统日志种类、保存系统日志和其它有关信息的时间范围、组织开启提议的系统日志和安全性需要的时间范围及其怎样维护系统日志。
- 日志应根据加密方法开展维护,以保证 在储存期内搜集并按时认证hach的一致性。
- 数据信息应以合乎全部适用个人隐私相关法律法规的形式储存。
9. 我国安全管理系统
指令公布60日内,国防部长应与我国情报局长和CNSS融洽,并与APNSA商议,在我国安全管理系统中选用不低于本指令中要求的网络信息安全规定。