【公益譯文】美國總統拜登簽署改善國家網路安全行政命令

綠盟科技發表於2021-05-17
國總統拜登於當地時間5月12日簽署一項行政命令,旨在透過保護聯邦網路、改善美國政府與私營部門間在網路問題上的資訊共享以及增強美國對事件發生時的響應能力,從而提高國家網路安全防禦能力。全文如下:

2021512總統行動

根據美利堅合眾國憲法和法律賦予我的總統權力,茲命令如下

 

1政策。

美國面臨著持續不斷、日益複雜的惡意網路活動這些活動威脅著公共部門、私營部門的安全並最終威脅到美國人民的安全和隱私。聯邦政府必須加強識別、威懾、防範、檢測和應對這些行為及威脅者,仔細檢視重大網路事件過程中發生的情況並吸取教訓。但網路安全不僅需要政府採取行動。要保護國家免受惡意網路行為者的侵害,聯邦政府需要與私營部門合作。私營部門必須適應不斷變化的威脅環境,確保其產品安全構建和執行,並與聯邦政府合作,建立更安全的網路空間。歸根結底,只有數字基礎設施本身可信且透明,我們才能信任它,若其不可信但我們卻誤以為其可信,則會產生相應後果。

 

漸進式的改進不會為我們提供所需的安全感。聯邦政府需要做出大膽改變進行大量投資以捍衛支撐美國生活方式的重要機構。聯邦政府必須充分利用其權力和資源來保護自己的計算機系統,無論是基於雲的系統,還是本地或混合系統。安全保護和保障的範圍須包括處理資料的系統(資訊科技(IT))和確保我們安全的重要機器系統(運營技術(OT))。

 

預防、檢測、評估和補救網路事件是頭等大事對國家和經濟安全至關重要這也是本屆政府的政策。聯邦政府必須以身作則。所有聯邦資訊系統均應滿足或優於本命令規定和釋出的網路安全標準和要求。

 

第2條 清除障礙,共享威脅資訊。

(a)聯邦政府與IT和OT服務提供商簽訂合同,授權後者在聯邦資訊系統上執行一系列日常功能。這些服務提供商(包括雲服務提供商)對聯邦資訊系統具有特定訪問許可權,可深入瞭解這些系統中的網路威脅和事件資訊。同時,現行合同條款或約束可能會限制服務提供商與負責調查或補救網路事件的執行部門和機構(如網路安全和基礎設施安全域性(CISA)、聯邦調查局(FBI)以及情報體系(IC)其他部門)共享此類威脅或事件資訊。消除這些合同障礙並促進此類威脅、事件和風險的資訊共享,對於加強威懾和預防、提升事件響應速度以及更有效地保護各機構系統和聯邦政府收集、處理、維護的資訊非常必要。

(b)在本命令頒佈後的60天內,行政管理和預算局(OMB)局長鬚與國防部長、司法部長、國土安全部長和國家情報總監進行討論,審查《聯邦採購條例》(FAR)和《聯邦採購條例國防部補充規定》中與IT和OT服務提供商相關的合同要求和語言,並就此類要求和語言的更新向FAR委員會和其他相關機構提出建議。建議須說明擬用合同語言所涵蓋的承包商。

(c)本條(b)款所述的建議合同語言和要求須確保:

(i)服務提供商按各機構要求收集並儲存其控制的所有資訊系統包括代表機構執行的系統的網路安全事件預防、檢測、響應和調查資料、資訊和報告

(ii)服務提供商按照適用的隱私法律、法規和政策直接與其所服務的機構以及OMB局長和國防部長、司法部長、國土安全部長、國家情報總監協商認定的其他機構分享所服務機構的潛在網路安全事件資料、資訊和報告

(iii)服務提供商與聯邦網路安全或調查機構合作調查、響應與聯邦資訊系統相關的潛在事件包括實施技術能力例如根據需要與所支援的機構合作監控網路中的威脅);

(iv)進行事件響應和補救時服務提供商儘可能以業界公認的格式與機構共享網路威脅和事件資訊。

(d)在收到本條(b)款所述建議後的90天內,FAR委員會須審查擬用合同語言和條件,並酌情釋出對FAR的擬議更新,公開徵求意見。

(e)在本命令頒佈後的120天內,國土安全部長和OMB局長鬚採取適當措施,儘可能確保服務提供商與各機構、CISA和FBI共享資料,以便聯邦政府應對網路威脅、事件和風險。

(f)聯邦政府採取如下政策:

(i)與機構簽訂合同的資訊和通訊技術(ICT)服務提供商在發現提供給相關機構的軟體產品或服務或提供給該機構的軟體產品或服務的支援系統發生網路事件時必須立即向該機構上報事件

(ii)ICT服務提供商根據本條第(f)(i)款向聯邦文職行政部門(FCEB)機構報告事件時也必須直接向CISA上報,CISA必須集中收集和管理此類資訊

(iii)本命令第10(h)款中定義的與國家安全系統有關的報告必須由本條第(g)(i)(E)款確定的對應機構接收和管理。

(g)為執行本條第(f)款中政策:

(i)在本命令頒佈後的45天內國土安全部長鬚與國防部長透過國家安全域性(NSA)局長、司法部長和OMB局長溝通FAR委員會建議合同語言以確定

(A)須上報網路事件的性質

(B)須上報網路安全事件的資訊型別以推動網路事件有效響應和補救

(C)保護隱私和公民自由的恰當、有效措施

(D)承包商上報網路事件的時間要求該時間基於事件的嚴重性確定最嚴重的網路事件須在首次發現後3天之內上報

(E)國家安全系統上報要求

(F)擬用合同語言涵蓋的承包商和相關服務提供商的型別。

(ii)在收到本條(g)(i)款所述建議後的90天內,FAR委員會須對該建議進行審查並公佈對FAR的擬議更新公開徵求意見。

(iii)在本命令頒發後90天內國防部長透過NSA局長、司法部長、國土安全部長和國家情報總監須共同制定程式確保各機構之間及時、妥當地共享網路事件報告。

(h)當前非機密系統合同的網路安全要求(包括雲服務網路安全要求)主要透過機構各自的政策和法規來實現。將各機構的通用網路安全合同要求標準化,會簡化操作,促進廠商和聯邦政府的合規性。

(i)在本命令頒發後60天內,國土安全部長(透過CISA局長)須與國防部長(透過NSA局長)、OMB局長和總務署署長溝通,審查目前作為法律、政策或合同存在的各機構的網路安全要求,並就相關網路安全要求向FAR委員會建議標準化合同語言。此類建議須考慮擬用合同語言所涵蓋的承包商和相關服務提供商的範圍。

(j)在收到根據本條(i)款所提出的合同語言建議後,FAR委員會須在60天內對該建議進行審查,並公佈對FAR的擬議更新,公開徵求意見。

(k)若FAR委員會在本條(j)款所述的徵求意見期後對FAR進行了任何更新,各機構須更新自己的網路安全要求,刪除與該FAR更新重複的要求。

(l)根據本條要求提出的所有建議要進行成本分析,OMB局長鬚在年度預算過程中納入該成本分析。

 

3 聯邦政府網路安全的現代化

(a)當今網路威脅環境日益複雜,要與時俱進,聯邦政府必須採取果斷措施,現代化其網路安全方法,比如,在保護隱私和公民自由的同時,加強對威脅的檢測。聯邦政府必須採用最佳安全實踐;向零信任架構邁進;加快雲服務安全步伐,包括軟體即服務(SaaS)、基礎設施即服務(IaaS)和平臺即服務(PaaS);集中和簡化對網路安全資料的訪問,推動網路安全風險識別和管理分析;在技術和人員上進行投資,以實現這些現代化目標。

(b)在本命令頒佈後60天內,各機構負責人須:

(i)更新現有機構計劃按照OMB相關指南的規定劃撥資源優先用於雲技術的部署和使用

(ii)制定零信任架構實施計劃該計劃應酌情納入商務部國家標準與技術研究院(NIST)標準和指南中闡述的遷移步驟說明哪些步驟已完成確定哪些活動會對安全產生最直接影響以及實施這些活動的時間表

(iii)OMB局長和總統助理兼國家安全顧問(APNSA)提供一份報告討論本條第(b)(i)(ii)款所要求的計劃。

(c)各機構在使用雲技術的過程中,須協調行動,審慎行事,以便聯邦政府預防、檢測、評估和補救網路事件。為簡化過程,各機構須儘可能採用零信任架構向雲技術遷移。CISA須現代化其現有的網路安全計劃、服務和能力,以便在使用零信任架構的雲端計算環境中充分發揮功能。國土安全部長(透過CISA局長)須與總務署署長協商(透過聯邦風險和授權管理計劃(FedRAMP)),制定雲服務提供商(CSP)安全原則,作為機構現代化工作的一部分。為促進這項工作的完成:

(i)在本命令頒佈後90天內,OMB局長鬚與國土安全部長透過CISA局長和總務署署長透過FedRAMP協商制定聯邦雲安全戰略向各機構提供相應指導。該類指導須儘量確保FCEB廣泛瞭解並有效應對使用雲服務給FCEB帶來的風險,並確保FCEB機構向零信任架構靠攏。

(ii)在本命令頒佈後90天內國土安全部長透過CISA局長須與OMB局長和總務署署長透過FedRAMP)溝通,FCEB制定和釋出雲安全技術參考架構文件提供建議指導機構向雲遷移並在收集、上報資料過程中保護資料。

(iii)在本命令頒佈後60天內國土安全部長透過CISA局長須為FCEB機構制定併發布雲服務治理框架。該框架須列出各種服務和保護措施,各機構應根據事件嚴重程度選用。框架還應明確哪些資料和處理活動與這些服務和保護措施相關。

(iv)在本命令頒佈後90天內,FCEB機構負責人須與國土安全部長透過CISA局長協商評估其各自機構非機密資料的型別和敏感性且須向國土安全部長透過CISA局長OMB局長提供相關評估報告。評估應重點確定機構認為最敏感和受到最大威脅的非機密資料,以及這些資料的合理處理和儲存方案。

(d)在本命令頒佈後180天內,各機構應儘量按照聯邦記錄法和其他適用法律,對靜態和傳輸資料採用多重認證和加密。為此目的:

(i)FCEB機構負責人須向國土安全部長透過CISA局長OMB局長和APNSA報告各自對靜態和傳輸資料採用多重認證和加密方面的進展。FCEB機構須在本命令頒佈後每60天提供一次此類報告,直到全機構完全採用多重認證和資料加密。

(ii)針對機構的實施差距,CISA須採取各種適當措施使FCEB機構最大限度地採用技術和流程對靜態和傳輸資料實施多重認證和加密。

(iii)在本命令頒佈後180天內無法完全採用多重認證和資料加密的FCEB機構其負責人須在180天期限結束時向國土安全部長透過CISA局長OMB局長和APNSA提交書面理由。

(e)在本命令頒佈後90天內,國土安全部長(透過CISA局長)須與司法部長、FBI局長和總務署署長(透過FedRAMP主任)協商,建立框架,就FCEB雲技術相關的網路安全和事件響應活動進行合作,確保各機構之間以及各機構與CSP之間可有效共享資訊。

(f)在本命令頒佈後60天內,總務署署長鬚與OMB局長和總務署署長認為適當的其他機構負責人溝通,透過以下方式啟動FedRAMP的現代化:

(i)制定培訓計劃,確保機構得到有效的培訓和配置,能夠管理FedRAMP請求,並提供培訓材料(包括影片);

(ii)透過在各授權階段實現訊息的自動化和標準化,改進與CSP的通訊。這些通訊包括狀態更新、完成廠商當前階段的要求、後續步驟及/或問題聯絡人;

(iii)在FedRAMP的整個生命週期中納入自動化,包括評估、授權、持續監控和合規;

(iv)數字化和梳理廠商須完成的檔案,包括提供線上訪問方式和預填寫表格;

(v)確定相關的合規框架,將這些框架與FedRAMP授權過程中的需求進行對照,允許根據情況用這些框架替代授權過程中的相關部分。

 

4 加強軟體供應鏈安全。

(a)聯邦政府所使用軟體的安全性對聯邦政府履行其關鍵職能的能力至關重要。商業軟體的開發通常缺乏透明度,缺乏對軟體抵抗攻擊能力的足夠關注,也缺乏對惡意行為者篡改的足夠控制。迫切需要實施更加嚴格且可預測的機制,確保產品如期安全執行。“關鍵軟體”的安全性和完整性尤其需要關注,“關鍵軟體”執行的功能對信任至關重要,例如提供或要求系統提權或直接訪問網路和計算資源。因此,聯邦政府必須採取行動,迅速提高軟體供應鏈的安全性和完整性,優先解決關鍵軟體問題。

(b)在本命令頒佈後30天內,商務部長(透過NIST院長)須徵求聯邦政府、私營部門、學術界和其他相關人士的意見,確定現有或開發新的標準、工具和最佳實踐,以符合本條(e)款所述的標準、程式和規範。指南須包括可用於評估軟體安全性的標準(包括評估開發人員和供應商自身安全實踐的標準),並列出可證明符合安全實踐的創新工具或方法。

(c)在本命令頒佈後180天內,NIST院長鬚根據本條(b)款所述的協商要求以及可利用的現有檔案,釋出初步指南,以增強軟體供應鏈的安全性,滿足本條要求。

(d)在本命令頒佈後360天內,NIST院長鬚釋出補充指南,規範本條(c)款所述指南的定期審查和更新程式。

(e)在根據本條(c)款釋出初步指南的90天內,商務部長(透過NIST院長)須與相應機構負責人協商,釋出指導檔案,規範實踐,加強軟體供應鏈的安全。該指導檔案可包含根據本條(c)、(i)款釋出的指南,同時須包括如下各方面的標準、過程或規範:

 

          i安全的軟體開發環境涉及以下行動

              A利用獨立管理的構建環境

              B稽核信任關係

              C在整個企業中建立基於風險的多因素認證和有條件訪問

              D記錄對構成軟體開發構建和編輯環境的企業產品的依賴並儘量減少依賴

              E加密資料

              F監控操作和告警對網路攻擊嘗試和實際發生的網路事件作出響應;

          ii生成並應買方要求提供工件證明其符合本條e)(i款所述程式  

          iii採用自動化工具或類似流程維護可信的原始碼供應鏈確保程式碼完整性

          iv利用自動工具或類似過程檢查已知和潛在漏洞並進行修復須定期或者至少在產品、版本或更新發布前執行此類工具或過程

          v若買方要求提供本條e)(iiiiv)款所述的工具和流程的執行工件並在完成這些操作時公開發布摘要資訊對評估和緩解的風險進行概要性描述

          (vi)維護準確的最新資料、軟體程式碼或元件的來源即源自何處以及針對軟體開發過程中使用的內部和第三方軟體元件、工具和服務的控制措施並反覆檢查和執行這些控制措施

          vii為買方直接提供或在公共網站上釋出每個產品的軟體物料清單SBOM);

          viii參與涉及報告和披露過程的漏洞披露計劃

          ix證明符合安全的軟體開發實踐

          x在切實可行的情況下確保並證明產品的任一部分使用的開源軟體的完整性和來源。

     f在本命令頒佈後60天內商務部長鬚與通訊和資訊部的助理部長和國家電信和資訊管理局的局長聯合釋出SBOM的基本要素。

     g在本命令頒佈45天內商務部長透過NIST院長國防部長透過NSA局長、國土安全部長透過CISA局長OMB局長和國家情報總監協商釋出關鍵軟體一詞的定義在根據本條e款釋出的指南中列明該定義說明功能所需的許可權或訪問級別、與其他軟體的整合和依賴性、對網路和計算資源的直接訪問、信任的關鍵功能的效能以及受到入侵時導致的潛在損害。

     h在本條g款的定義釋出後30天內國土安全部長透過CISA局長)須與商務部長透過NIST院長協商確定並向各機構提供符合基於本條g款釋出的關鍵軟體定義的所使用或採購流程涉及的軟體和軟體產品的類別列表。

     i在此命令頒佈後60天內商務部長透過NIST院長)須與國土安全域性局長透過CISA局長OMB局協商釋出本條g款定義的關鍵軟體的安全措施指南包括應用最小許可權原則對網路分段管理和進行合理配置。

     j在本條i款所述指南釋出後30天內OMB局長透過OMB的電子政務辦公室主任)須採取適當措施要求各機構遵循該指南。

     k在本條e款所述指南釋出後30天內OMB局長透過OMB的電子政務辦公室主任)須採取適當措施要求各機構遵循本命令頒佈後採購軟體的相關指南。

     l各機構可要求延期遵循根據本k釋出的任何要求任何此類請求均須由OMB局長逐一稽核,並且須附有遵循要求的計劃OMB局長應向APNSA提供季度報告,明確每個批准的延期並進行解釋。

     (m)各機構可要求豁免根據本條(k)款釋出的任何要求。OMB局長鬚在與APNSA協商基礎上逐項考慮豁免,並且僅在特殊情況下和有限期限內且須附有任何潛在風險的緩解計劃時才授予豁免權。

     n本命令頒佈後一年內國土安全部長鬚與國防部長、司法部長、OMB局長和OMB的電子政務辦公室主任協商向FAR委員會提供合同語言方面的建議要求各機構的軟體供應商遵循根據本條gk)款釋出的任何要求且提供遵循證明。

     oFAR委員會收到本條n)款所述建議後應審查這些建議並且根據適用法律對FAR酌情修改。

     p在根據本條o)款規定的FAR修改的任何最終規則釋出後各機構須根據適用法律從不定期交付/不確定數量的合同中相應地刪除不符合FAR修改要求的軟體產品聯邦供應計劃聯邦政府範圍內的採購合同一攬子購買協議和多項授標合同。

     qOMB局長透過OMB的電子政務辦公室主任須要求使用本命令頒佈日期之前開發和採購的軟體舊版軟體的機構遵循基於本條k款釋出的任何要求或提供計劃列明彌補行動或滿足這些要求的行動並應進一步要求尋求續簽軟體合同包括舊版軟體的各機構遵循根據本條k)款釋出的任何要求除非根據本條lm)款批准延期或豁免。

     r在本命令頒佈後60天內商務部長透過NIST院長)須與國防部長透過NSA局長協商釋出指南就廠商軟體原始碼的最低測試標準提供建議包括明確推薦的手動或自動測試型別例如程式碼審查工具靜態和動態分析軟體組成分析工具及滲透測試

     s商務部長NIST院長NIST院長認為相關的其他機構代表協調基於現有消費品標識計劃啟動試點計劃為公眾提供關於物聯網裝置安全能力和軟體開發實踐的培訓並應考慮如何鼓勵製造商和開發人員參與這些計劃。

     t在本命令頒發後270天內商務部長透過NIST院長)須FTC主席以及NIST院長認為相關的其他機構代表協調明確客戶標識計劃的物聯網網路安全標準並應考慮是否可在遵循適用法律的情況下將該客戶標識計劃與任何類似的現有政府計劃結合使用或參照這些計劃制定。該標準應反映出產品的測試和評估可能越來越全面,並且應利用或符合製造商用於向客戶展示產品安全的標識計劃。NIST院長鬚審查所有相關資訊、標識和激勵計劃,並採用最佳做法。審查須聚焦客戶的易用性,並確定可採取哪些措施最大化地提升製造商的參與度。

     u在本命令頒發後270天內商務部長透過NIST院長)須FTC主席以及NIST院長認為相關的其他機構的代表協調明確客戶軟體標識計劃的安全的軟體開發實踐或標準並應考慮是否可在遵循適用法律的情況下將該客戶標識計劃與任何類似的現有政府計劃結合使用或參照這些計劃制定。該標準須反映安全措施的基線水平,並且在可行情況下表明產品的測試和評估可能越來越全面。NIST院長鬚審查所有相關資訊、標識和激勵計劃,採用最佳做法,確定、修改或制定推薦的標籤或在可行的情況下開發分層的軟體安全評估系統。審查應聚焦客戶的易用性,並確定可採取哪些措施最大化地提升參與度。

     v這些試點計劃執行時應遵循OMB通告A-119NIST特刊2000-02聯邦機構合規性評估考慮因素

     w在本命令頒佈後1年內NIST院長鬚對試點計劃進行審查並與私營部門和相關機構進行磋商評估計劃有效性明確後續可進行哪些改進然後向APNSA提交摘要報告。

     x在本命令頒佈後一年內商務部長鬚與其認為相關的其他機構負責人協商透過APNSA向總統提供報告概要介紹根據本條進行的改進以及所需的其他軟體供應鏈保護措施。

 

5 成立網路安全審查委員會。

    a國土安全部長與司法部長協商根據2002年透過的《國土安全法案》6 USC 451871條設立網路安全審查委員會委員會

    b委員會對影響FCEB資訊系統或非聯邦系統的重大網路事件根據2016726日簽發的第41號總統政策指令美國網路事件協調)(PPD 41定義、威脅活動、漏洞、緩解活動和機構響應進行稽核和評估。

    c在重大網路事件促使根據PPD-41VB)(2條規定成立網路統一協調小組UCG國土安全部長召集委員會會議在總統透過APNSA指示的任何時間或國土安全部長認為的任何必要情況

    d委員會的初審應涉及促使202012月成立UCG的網路活動委員會在委員會成立後90天內向國土安全部長就如何改進本條i款所述的網路安全和事件響應措施提供建議。

    e委員會成員包括聯邦官員和私營部門實體的代表委員會由國防部、司法部、CISANSAFBI的代表以及由國土安全部長確定的私營部門的網路安全代表或軟體供應商組成當審查的事件涉及國土安全部長確定的FCEB資訊系統時,OMB的代表須參加委員會的活動國土安全部長可根據所審查事件的性質,按照每個事件的不同情況邀請其他人參加

    f國土安全部長每兩年從委員會成員中任命委員會主席和副主席其中包括一名聯邦成員和一名私營部門成員。

    g委員會根據適用法律對共享的敏感執法資料、運營和業務資料以及其他機密資訊進行保護

    h國土安全部長在完成相應事件稽核後透過APNSA向總統提供關於改進網路安全和事件響應實踐及政策的任何意見、資訊或建議

    i在完成本條d款所述的初次稽核後30天內國土安全部長透過APNSA向總統提供委員會對初次稽核的建議這些建議須涉及:

           i委員會組成或職權方面的缺口和備選方案

          ii委員會的擬議任務、範圍和職責

          iii私營部門代表的成員資格標準

          iv委員會的施政結構包括與行政部門和總統行政辦公室的互動

          v要評估的各類網路事件的閾值和標準

          vi根據適用法律和政策應向委員會提供的資訊來源

          vii一種方法用於保護提供給委員會的資訊並確保受影響的美國個人和實體在委員會審查事件時進行合作

          viii委員會運作所需的行政和預算事宜。

    j國土安全部長與司法部長和APNSA協商根據本條i款審查透過APNSA向總統提供的建議並採取措施酌情予以實施。

   k除非總統另有指示國土安全部長根據2002年《國土安全部法案》第871在國土安全部長認為的適當情況下每兩年延長委員會成員的任期。

 

6 規範聯邦政府的網路安全漏洞和事件的應對方案

    a當前各個機構採取不同的網路安全漏洞和響應流程對影響系統的漏洞和事件進行識別、修復和恢復這使得牽頭機構無法對各機構的漏洞和事件進行更全面分析採取標準化響應流程可確保以較為一致和集中的方式對事件進行分類並跟蹤各機構成功響應的進度

    b在本命令頒佈後120天內國土安全部長透過CISA局長OMB局長、聯邦資訊長理事會和聯邦首席資訊保安委員會協商並聯合國防部長透過NSA局長、司法部長和國家情報總監制定一套標準的操作流程方案),用於規劃和實施FCEB資訊系統相關的網路安全漏洞和事件響應活動方案

          i涵蓋NIST所有相關標準

          iiFCEB機構使用

        iii描述事件響應各階段的進度和完成情況同時具有靈活性可為各種響應活動提供支援。

 

(c)OMB局長鬚釋出機構方案使用指南。

(d)網路安全漏洞或事件響應程式偏離方案的機構只有在諮詢OMB局長和APNSA並證明這些程式符合或超過方案中提出的標準後,才能使用這些程式。

(e)CISA局長鬚與NSA局長協商,每年對方案進行審查和更新,並向OMB局長提供資訊,輔助指南更新。

(f)為確保事件響應活動的全面性、確信未經授權的網路參與者再也不能訪問聯邦文職行政部門(FCEB)資訊系統,方案須根據適用法律,要求CISA局長在機構完成事件響應後審查和驗證FCEB機構的事件響應和補救結果。CISA局長可酌情建議使用其他機構或第三方事件響應團隊。

(g)為確保對網路事件和機構的網路安全狀況有一個共同的理解,方案須定義關鍵術語,並在可行的範圍內依據法定定義使用術語,從而在使用方案的機構之間提供一個共享的術語詞典。

 

7 加強對聯邦政府網路上網路安全漏洞和事件的檢測。

(a)聯邦政府須利用一切適當的資源和權力,最大限度地儘早發現其網路上的網路安全漏洞和事件。此方法須包括加強聯邦政府對網路安全漏洞和機構網路威脅的認識和檢測,以支援聯邦政府的網路安全工作。

(b)FCEB機構須部署端點檢測和響應(EDR)計劃,支援對聯邦政府基礎架構內網路安全事件的主動檢測、主動的網路捕獲、遏制和補救措施以及事件響應。

(c)在本命令頒佈後30天內,國土安全部長(透過CISA局長)須向OMB局長提供關於執行EDR計劃的備選方案的建議。備選方案的重點是支援與FCEB資訊系統有關的主機級別的認識、歸因和響應。

(d)在收到本條第(c)款所述建議後90天內,OMB局長鬚與國土安全部長協商,釋出對FCEB機構採用聯邦政府EDR方法的要求。這些要求須支援國土安全部長(透過CISA局長)參與網路捕獲、檢測和響應活動。

(e)OMB局長鬚與國土安全部長和機構負責人合作,確保各機構有足夠的資源遵守本條第(d)款規定的要求。

(f)保衛FCEB資訊系統要求國土安全部長(透過CISA局長)訪問與威脅和漏洞分析、評估和威脅捕獲有關的機構資料。在本命令頒佈後75天內,各機構須根據適用法律,與CISA就持續診斷和緩解計劃建立或更新《諒解備忘錄》,確保《諒解備忘錄》所界定的物件級別資料可供CISA查閱和使用。

(g)在本命令頒佈後45天內,作為國家安全系統的負責人(國家安全負責人),NSA局長鬚向國防部長、國家情報總監和國家安全系統委員會(CNSS)建議採取適當行動,在適用法律允許的範圍內加強對影響國家安全系統的網路事件的檢測。這包括關於EDR方法的建議,以及建議這些措施須由各機構負責、還是須透過國家安全負責人提供的共同關心的集中服務來實施。

(h)在本命令頒佈後90天內,國防部長、國家情報總監和CNSS須審查本條第(g)款提交的建議,並酌情制定符合適用法律的政策,將這些建議落到實處。

(i)在本命令頒佈後90天內,CISA局長鬚向OMB局長和APNSA提供一份報告,說明公法116-283第1705條授予的在未經機構事先授權的情況下在FCEB網路上進行威脅捕獲活動的權力是如何實施的。報告還須就確保關鍵系統不會中斷的程式、通知脆弱政府系統所有者的程式以及在測試FCEB資訊系統時可以使用的技術提供建議。CISA局長鬚向APNSA和OMB局長提供季度報告,說明根據公法116-283第1705條採取的行動。

(j)為確保國防部資訊網路(DODIN)指令與FCEB資訊系統指令之間的一致性,國防部長和國土安全部長鬚與OMB局長就下列事宜進行協商:

(i)在本命令頒佈後60天內為國防部和國土安全部制定程式以便立即相互分享適用於各自資訊網路的國防部事件響應命令或國土安全部緊急指令和約束性操作指令。

(ii)根據有關機密資訊共享的法規評估是否採納其他部門釋出的命令或指令中包含的指南。

(iii)在收到根據本條第(j)(i)款制定的程式發出的命令或指令的通知後7天內將本條第(j)(ii)款所述評價告知APNSAOMB的電子政務辦公室主任包括決定是否採納其他部門釋出的指南、該決定的依據以及該適用指令的應用時間表。

 

8 提高聯邦政府的調查和補救能力。

(a)來自聯邦資訊系統(用於本地系統和雲服務提供商等第三方託管的連線)的網路和系統日誌資訊對於調查和補救非常重要。各機構及其IT服務提供商必須收集和維護此類資料,並在有必要處理FCEB資訊系統上的網路事件時,根據適用法律、按照要求向國土安全部長(透過CISA局長)和聯邦調查局提供這些資料。

(b)在本命令頒佈後14天內,國土安全部長鬚與司法部長和OMB的電子政務辦公室主任協商,就記錄事件、在機構的系統和網路內儲存其他相關資料的要求向OMB局長提供建議。這些建議須涉及要維護的日誌型別、儲存日誌的時間段和其他相關資料、各機構啟用建議的日誌和安全要求的時間段以及日誌保護方法。日誌收集後,須用加密手段保護其完整性,在整個儲存期間,還須定期驗證雜湊值。資料須按照所有適用的隱私法律法規進行儲存。FAR委員會在根據本命令第2條頒佈規則時也須審議這些建議。

(c)在收到本條第(b)款所述建議後90天內,OMB局長鬚與商務部長和國土安全部長協商,制定政策,要求各機構制定日誌記錄、日誌儲存和日誌管理要求,確保每個機構最高階別的安全行動中心的集中訪問和可視性。

(d)OMB局長鬚與機構負責人合作,確保各機構有足夠的資源遵守本條第(c)款中確定的要求。

(e)為應對(潛在)網路風險或事件,根據本條第(b)款提出的建議須包括要求確保各機構根據適用法律、按照要求向國土安全部長(透過CISA局長)和聯邦調查局長提供日誌。這些要求的設計應允許機構根據需要酌情與其他聯邦機構就網路風險或事件共享日誌資訊。

 

9 國家安全系統。

(a)本命令頒佈後60天內,國防部長(透過國家安全負責人)須與國家情報總監和CNSS協調、與APNSA協商,採納相當於或超過本命令中規定的網路安全要求的國家安全系統要求。這些要求在其他方面不適用於國家安全系統。這些要求可能會因獨特任務需要而在某些情況下出現例外。這些要求須編入國家安全備忘錄(NSM)。在NSM釋出之前,根據本命令制定的計劃、標準或要求不適用於國家安全系統。

(b)本命令不得改變國家安全負責人對1990年7月5日《第42條國家安全指令》(《國家安全電信與資訊系統安全政策》)(NSD-42)中界定的國家安全系統的權威。FCEB網路須繼續由國土安全部長(透過CISA局長)控制。

 

10 定義。

在本命令中

(a)術語“機構”的含義參見《美國法典》第44篇第3502條。

(b)術語“稽核信任關係”是指兩個或兩個以上系統要素之間的商定關係。這種關係受與資產保護相關的安全互動標準、行為和結果的制約。

(c)術語“網路事件”的含義參見《美國法典》第44篇第3552條第(b)(2)款。

(d)術語“聯邦文職行政部門機構(FCEB機構)”包括除國防部和情報體系機構以外的所有機構。

(e)術語“聯邦文職行政部門資訊系統(FCEB資訊系統)”是指由聯邦文職行政部門機構運營的資訊系統,不包括國家安全系統。

(f)術語“聯邦資訊系統”是指機構或機構承包商或代表機構的組織使用或操作的資訊系統,包括FCEB資訊系統和國家安全系統。

(g)術語“情報體系(IC)”的含義參見《美國法典》第50篇第3003條第(4)款。

(h)術語“國家安全系統”是指《美國法典》第44篇第3552條第(b)(6)款、第3553條第(e)(2)款和第3553條第(e)(3)款定義的資訊系統。

(i)術語“日誌”是對組織內的系統和網路中發生的事件的記錄。日誌由日誌條目組成。每個日誌條目包含系統或網路內發生的特定事件的資訊。

(j)術語“軟體物料清單(SBOM)”是指包含軟體構建中使用的各種元件的詳細資訊和供應鏈關係的正式記錄。軟體開發人員和供應商通常透過組合現有的開源和商用軟體元件來建立產品。SBOM在產品中列舉這些元件,類似於食品包裝上的成分列表,對開發或製造軟體、選擇或購買軟體以及操作軟體的人來說都很有用。開發人員通常使用可用的開源和第三方軟體元件來建立產品。SBOM使軟體構建人員能夠確保這些元件是最新的,並能快速響應新的漏洞。購買人員可以使用SBOM執行漏洞或許可證分析,以評估產品中的風險。軟體操作人員可以使用SBOM快速輕鬆地確定他們是否面臨新發現的漏洞的潛在風險。廣泛使用的機器可讀SBOM格式透過自動化和工具整合可帶來更大的收益。當多個SBOM共同儲存在一個儲存庫中時,SBOM將獲得更大的價值,而儲存庫很容易被其他應用程式和系統查詢到。瞭解軟體的供應鏈、獲取SBOM、使用SBOM來分析已知漏洞,對於風險管理至關重要。

(k)術語“零信任架構”是指一種安全模型、一套系統設計原則以及一種協調的網路安全和系統管理戰略。該架構承認傳統網路邊界內外存在威脅。零信任安全模型消除了對任何一個要素、節點或服務的隱性信任,要求透過多個來源的實時資訊對行動場景進行持續驗證,以確定訪問許可權和其他系統響應。從本質上講,零信任架構允許使用者完全訪問,但只能達到執行工作所需的最低限度。如果裝置受到損害,零信任可以確保損失得到控制。零信任架構安全模型假定違規不可避免或可能已經發生,因此不斷將訪問許可權限制在必要的範圍,並查詢異常或惡意活動。零信任架構包含全面的安全監控、基於風險的細顆粒式訪問控制、在基礎設施的各個方面協調系統安全自動化,以便專注於在動態威脅環境中實時保護資料。這種以資料為中心的安全模型允許將最小許可權訪問的概念應用於每個訪問決策,其中,對誰、什麼、何時、何地以及如何的問題的回答,對適當允許或拒絕訪問基於伺服器組合的資源至關重要。

 

第11條 總則。

(a)根據公法116-283第1752條,在任命國家網路總監(NCD)和在總統行政辦公室內設立相關辦事處之後,可以修改本命令的部分內容,使NCD能夠充分履行其職責。

(b)本命令中任何內容的解釋不得損害或以其他方式影響:

(i)法律賦予行政部門或機構或其負責人的權力。

(ii)OMB局長與預算、行政或立法提案有關的職能。

(c)本命令須按照適用法律執行,並視經費情況而定。

(d)本命令並非意在且不會賦予任何一方實質性或程式性且法律或衡平法可執行的任何權利或利益使其對抗美國及其部門、機構或實體、官員、僱員或代理人或任何其他人。

(e)本命令中任何內容都無權干涉或指揮刑事或國家安全調查、逮捕、搜查、扣押或破壞行動,無權改變要求機構保護在刑事或國家安全調查過程中獲得的資訊的法律限制。

 

小約瑟夫·羅賓內特·拜登

 

白宮

2021年5月12日


相關文章