美國政府簽署網路安全行政令將全面加強網路安全建設

5月11日，美國總統川普簽署一項行政指令，要求採取一系列措施來增強聯邦政府及關鍵基礎設施的網路安全。隨後，負責國土安全和反恐事務的總統國家安全事務助理波塞特在白宮新聞釋出會上稱，美國當前在網路空間安全問題上走在錯誤的方向上，包括美國盟友和敵人，主要是國家行為體但也包括非國家行為體，對美國的網路攻擊越來越多，這一行政指令將扭轉這一趨勢以確保美國民眾的安全。

該項名為“增強聯邦政府網路與關鍵性基礎設施網路安全”的行政指令，按聯邦政府、關鍵基礎設施和國家三個領域來規定將採取的增強網路安全的措施。

在聯邦政府網路安全方面，“指令”認為，已知但未得到處理的漏洞是行政部門所面臨的最嚴重的網路風險之一，這些漏洞包括使用開發商不再支援的過時作業系統或硬體，未及時安裝安全補丁或落實特定安全配置。

鑑此，該行政指令要求各聯邦政府機構在90天內製定風險管理報告，並提交給國土安全部部長和白宮行政管理與預算辦公室主任，描述該機構如何實施由美國國家標準技術研究所(NIST)制定的提升關鍵基礎設施網路安全框架。在收到報告60天內，行政管理與預算辦公室主任應通過負責國土安全和反恐事務的總統國家安全事務助理，向總統提交對各機構風險管理報告的評估意見及實施計劃。此外，以建立一個“現代、安全、更有韌性”行政部門資訊科技架構為目標，美國技術委員會主任應在90天內向總統提交各部門的轉型情況。國防部和情報系統等國家安全系統則應在150天內向負責國土安全和反恐事務的總統國家安全事務助理提交有關實施情況的報告。

在關鍵基礎設施網路安全方面，要求按奧巴馬政府時期頒佈的第21號總統行政指令中所規定的關鍵基礎設施名單，對之進行評估，並於180天內提交網路安全風險評估報告，隨後每年提交一次評估報告。2013年2月，奧巴馬簽發第21號總統政策指令，將化學、商業設施、通訊、關鍵製造、大壩、國防工業基礎、緊急服務、能源、金融部門、食品與農業、政府設施、醫療與公共健康、資訊科技、核反應堆與核材料及廢料、交通系統和水與汙水系統等16個領域劃入國家關鍵基礎設施名單。“指令”對這方面的整改、落實也有非常具體的要求。

在國家網路安全方面，“指令”稱，美國的政策是確保網際網路開放、互動、可靠和安全，在促進效率、創新、交流和經濟繁榮的同時，尊重隱私並防止欺騙、偷竊和破壞。要求國務院、財政部、國防部、司法部、商務部、國土安全部和美國貿易代表辦公室，在90天內聯合向總統報告懾止威脅和保護民眾的戰略選擇。要求國務院等機構在45天內提交該部門有關國際網路安全的優先議程，此後的90天內提交網路安全國際合作戰略。在網路人才培養上，要求商務部和國土安全部120天內聯合提交如何加強網路人才培養的計劃。要求國防部在150天內提交維護和增強國家安全相關領域網路能力的報告。

美國政府將聯邦政府資訊科技設施的落後視為一個嚴重安全問題。政府問責辦公室去年釋出的一份報告評估，美國聯邦政府資訊科技設施過時的狀況越來越嚴重，在一些部門使用的系統中，甚至還存在50年前使用的零部件，這些零部件現在已經缺乏技術支援。比如，在國家核力量行動指揮系統上，國防部甚至還在使用8英寸軟盤;美國財政部的部分系統軟體甚至可以追溯到1950年代，其中使用的計算機語言已經嚴重過時，並執行在“古老”的IBM主機上。

4月28日，川普也曾簽署一項行政命令，宣佈成立美國技術委員會並親任委員會主席，以統籌聯邦政府資訊科技設施的現代化建設。那份行政指令提到：“美國民眾應該享受來自政府的更好的數字化服務，為實施這項政策，聯邦政府必須要變革，讓其資訊科技現代化。”

波塞特在新聞釋出會上還介紹說，美國政府將向統一的雲安全技術這一一體化的解決方案轉移，而不是各個政府部門去碎片化管控網路安全風險。因為，190多個聯邦機構分別開發自己的網路防禦體系，“”顯然不明智”。

據悉，美國國土安全部將負責協調落實該行政命令。2018財年，美國國土安全部網路安全預算為3.19億美元，聯邦政府的網路安全總預算預計將增加15億美元。

本文轉自d1net（轉載）