拜登政府《改善國家網路安全行政令》簡析

綠盟科技發表於2021-05-26

2021年5月12日,美國總統拜登簽發了《改善國家網路安全行政令》(Executive Order on Improving the Nation’s Cybersecurity)(以下簡稱行政令),該行政令是拜登政府上臺以來簽發的為數不多的網路安全總統令之一,其內容或能部分地反映出拜登政府在網路安全管理領域的基本態度。


一、背景分析

2020年底以來,國外多家知名媒體先後對發生在美國的重大網路安全攻擊事件進行了報導,其中影響較大的包括“Solar winds”(太陽風供應鏈攻擊事件)、“Colonial Pipeline”(科洛尼爾輸油管攻擊事件)等。2020年12月發生的“Solar Winds”事件中,基礎網路管理軟體供應商SolarWinds 的Orion 軟體更新包被駭客植入後門,致使包括政府部門、關鍵基礎設施以及多家全球500強企業在內的機構受到波及,損失無法估量。而發生在2021年5月的“Colonial Pipeline”事件,則是因駭客透過勒索軟體攻擊了美國最大的成品油管道系統“Colonial Pipeline”,幾乎切斷了美國東海岸45%的燃料供給。


這幾起事件集中反映了網路安全攻擊的新特點,也暴露了目前美國網路安全保障體系的短板。一方面,網路安全攻擊在攻擊物件、攻擊手段上不斷擴充。從攻擊物件看,駭客攻擊行為除了持續青睞關鍵基礎設施以謀求擴大聲勢、獲取高額經濟收益外,還加大了對關鍵供應鏈環節的攻擊,如針對某些通用性較強的基礎關鍵產品發起網路攻擊,可以產生巨大連帶作用和級聯效應,使得攻擊獲得事半功倍的效果。另一方面,這些攻擊事件的成功實施,也充分暴露了當前美國網路安全體系中存在亟待完善的環節,如資訊共享、管理協同、應急處置等等,這也是催生本次行政令的重要動因之一。


二、內容要點分析

該行政令共11條,其中第一條到第八條是行政令的核心部分,集中、詳細闡述了拜登政府對加強和完善美國網路安全管理的總體思路和具體要求。第一條到第八條的主要內容分別是:第1條 政策原則;第2條 共享威脅資訊;第3條 聯邦政府網路安全的現代化;第4條 加強軟體供應鏈安全;第5條 成立網路安全審查委員會;第6條 規範聯邦政府的網路安全漏洞和事件的應對方案;第7條 加強對聯邦政府網路上網路安全漏洞和事件的檢測;第8條 提高聯邦政府的調查和補救能力。


綜合來看,該行政令與美國政府以往的網路安全管理法規政策相比,創新和突出強調的內容主要有以下五個方面,結合行政令相關條文內容,分析如下。


(一)強化公私合作,加強威脅資訊共享和健全網路安全審查機制

一是透過修訂供應商合同,強化威脅資訊公私共享。針對政府當前與供應商之間威脅資訊共享不暢通的情況,行政令將其歸結為合同授權條款可能限制相關部門對供應商掌握的威脅資訊共享,因此,行政令具體明確了需要審查修改部分通用合同條款、以實現相關主管部門能共享威脅資訊,提高應對效率的目的。行政令要求“在本命令頒佈後的60天內,行政管理和預算局(OMB)局長鬚與國防部長、司法部長、國土安全部長和國家情報總監進行討論,審查《聯邦採購條例》(FAR)和《聯邦採購條例國防部補充規定》中與IT和OT服務提供商相關的合同要求和語言,並就此類要求和語言的更新向FAR委員會和其他相關機構提出建議”,以實現“確保服務提供商與各機構、CISA和FBI共享資料,以便聯邦政府應對網路威脅、事件和風險”的目的。同時,行政令對擬修改合同條款,還詳細提出了在用語規範性、內容導向、程式進度等方面的具體要求。


二是建立網路安全審查委員會機制。從該委員會的人員構成來看,也充分體現了公私合作,這是美國在網路安全審查機制方面區別於前的一個重要特點。行政令明確了將私營部門代表納入審查委員會,“須由國防部、司法部、CISA、NSA和FBI的代表以及由國土安全部長確定的私營部門的網路安全代表或軟體供應商組成”。同時,審查委員會的審查內容也有擴大,不僅涵蓋聯邦網路系統,還擴大到相關的非聯邦網路系統,“對影響FCEB(聯邦文職行政部門)資訊系統或非聯邦系統的重大網路事件、威脅活動、漏洞、緩解活動和機構響應進行稽核和評估”、“對重大網路事件促使成立網路統一協調小組(UCG)”。


(二)錨定關鍵軟體,強化軟體供應鏈安全管理

聯邦政府基於對軟體供應鏈重要性的認識,以及當前商業軟體開發缺乏足夠安全意識和安全管控的情況,在行政令中對軟體供應鏈提出了全面安全管控要求。一是部署“關鍵軟體”界定工作,明確軟體供應鏈安全管理重心。“在本命令頒佈45天內,商務部長鬚與國防部長、國土安全部長、OMB局長和國家情報總監協商釋出“關鍵軟體”一詞的定義,該定義須說明功能所需的許可權或訪問級別、與其他軟體的整合和依賴性、對網路和計算資源的直接訪問、信任的關鍵功能的效能以及受到入侵時導致的潛在損害”。二是部署開展系列標準指南編制,強化軟體供應鏈全方位安全指引。明確提出標準指南要涵蓋軟體供應鏈的關鍵環節,包括:開發環境、工件(artifacts)證明、原始碼保護、軟體物料清單(SBOM)、漏洞披露機制等;還要求相關部門出臺監管類規範指南,明確軟體原始碼最低測試標準、相關軟體採購合同文字修訂、相關安全要求的追溯效力等。三是透過示範試點,引導和鼓勵對相關標準規範的貫徹普及。“基於現有消費品標識計劃啟動試點計劃,為公眾提供關於物聯網裝置安全能力和軟體開發實踐的培訓,並考慮如何鼓勵製造商和開發人員參與這些計劃”。


(三)加強技術應用引導和統一部署,提高聯邦網路安全整體能力

行政令提出推進聯邦政府網路安全的“現代化”。重點突出聯邦網路對雲端計算的應用部署、以及加強對資料儲存和傳輸的加密認證。“聯邦政府必須採取果斷措施,現代化其網路安全方法,比如,在保護隱私和公民自由的同時,加強對威脅的檢測”,“為簡化過程,各機構須儘可能採用零信任架構向雲技術遷移。CISA須現代化其現有的網路安全計劃、服務和能力,以便在使用零信任架構的雲端計算環境中充分發揮功能”;“在本命令頒佈後180天內,各機構應對靜態和傳輸資料採用多重認證和加密”。同時,行政令還要求相關部門制定出臺“聯邦雲安全戰略”,制定和釋出“雲安全技術參考架構文件”等政策規範。


推行網路安全風險識別和響應流程的統一化。行政令重點對網路安全風險、事件的識別、應對提出了統一化要求。明確要求制定標準操作流程方案,並出臺配套使用指南,確保聯邦能夠以“一致和集中的方式對事件進行分類並跟蹤各機構成功響應的進度”。行政令要求“在本命令頒佈後120天內,國土安全部長(透過CISA局長)須與OMB局長、聯邦資訊長理事會和聯邦首席資訊保安委員會協商並聯合國防部長(透過NSA局長)、司法部長和國家情報總監,制定一套標準的操作流程,用於規劃和實施FCEB資訊系統相關的網路安全漏洞和事件響應活動。”,並要求“OMB局長鬚釋出方案使用指南”。此外,還對流程方案的適用條件及稽核提出了要求。


(四)部署推進EDR應用,提高網路安全監測發現能力

行政令要求推進EDR的部署,謀求提升網路安全保障中的事先發現能力。要點包括三方面,一是主推EDR,“部署端點檢測和響應(EDR)計劃,支援對聯邦政府基礎架構內網路安全事件的主動檢測、主動的網路捕獲、遏制和補救措施以及事件響應”。二是強調“體系化”部署推進,不僅部署了EDR“工作方案”(以主機級別識別、歸因和響應為重點),也對相關機構推進部署提出“工作要求”,還對推進過程中相關機構資料的訪問共享許可權機制提出了重要關注。三是實現民口和軍口“全覆蓋”。在部署民口主管機構系統全面推進EDR的同時,行政指令還透過意見協同、會商協同的方式,加強國防系統在EDR部署方面特殊性的關注,主要涉及系統機密性、資訊機密性考慮等。“為確保國防部資訊網路(DODIN)指令與FCEB資訊系統指令之間的一致性,國防部長和國土安全部長鬚與OMB局長進行協商”、“根據有關機密資訊共享的法規,評估是否採納其他部門釋出的命令或指令中包含的指南”。


(五)強化日誌資訊管理,提高網路安全補救能力

行政令明確以日誌管理為抓手,全面部署提升聯邦政府系統的網路安全溯源補救能力。對日誌資訊的管理要求主要包括三個方面。一是強調對日誌資訊的維護和共享。“來自聯邦資訊系統(用於本地系統和雲服務提供商等第三方託管的連線)的網路和系統日誌資訊對於調查和補救非常重要。各機構及其IT服務提供商必須收集和維護此類資料,並在有必要處理FCEB資訊系統上的網路事件時,根據適用法律、按照要求向國土安全部長(透過CISA局長)和聯邦調查局提供這些資料”。二是部署推進日誌管理相關規範要求,“要維護的日誌型別、儲存日誌的時間段和其他相關資料、各機構啟用建議的日誌和安全要求的時間段以及日誌保護方法”,“日誌收集後,須用加密手段保護其完整性,在整個儲存期間,還須定期驗證雜湊值。資料須按照所有適用的隱私法律法規進行儲存”。三是加強行政推進,落實規範實施,並強化共享。“制定政策,要求各機構制定日誌記錄、日誌儲存和日誌管理要求,確保每個機構最高階別的安全行動中心的集中訪問和可視性”,“這些要求的設計應允許機構根據需要酌情與其他聯邦機構就網路風險或事件共享日誌資訊”。


三、影響和走勢分析

從執行期來看,該行政令提出的各項要求最長的落實期為270天,時間週期不長。但從行政令提出的內容來看,其覆蓋面較廣,其反映出的網路安全思路也極有可能貫穿拜登政府的整個執政週期。該行政令對美國網路安全發展至少會產生以下影響。


(一)進一步推動美國網路安全“以攻為守”策略的修正回撥

自克林頓時代起,網路安全逐漸被納入美國的國家戰略體系中,並在不同總統執政時期呈現出不同的發展風格,基本上遵循了由“防”到“攻”的發展脈絡。川普執政時期,美國網路安全“攻”的特點達到階段頂峰,“以攻為守”的網路安全策略在立法、政策、外交等諸多領域得到推行,擴張進攻的內容明顯高於其鞏固內部防禦的內容比重。而去年以來發生的幾起重大攻擊事件,恰恰給這種“以攻為守”策略一個反思,也成為本次行政令的出臺重要考慮因素。預計這種策略的轉變和調整,很大機率上將持續、深化。


(二)加強對私營部門的管控,將成為聯邦政府強化關鍵基礎設施網路安全的重要突破口

眾所周知,美國大多數關鍵基礎設施及其網路由私營部門負責運營,而政府長久以來只強調發揮輔助作用,這樣一來,發生網路攻擊的很多時候政府都無法第一時間掌握全面的情況,防護和應對效果必然大打折扣。本次行政令的內容透露出一個重要傾向,就是政府將透過供應商選擇權這一“殺手鐧”,以修訂合同條款的手段迫使相關供應商聽從於管理要求,逐步推進資訊共享,從而確保政府相關網路安全管理舉措和機制的落地。可以預計,如果此次行政令內容得以順利實施,該“殺手鐧”將會被更多的應用到網路安全管理,乃至逐步擴充套件用於“理順”美國聯邦與私營部門之間的關係。


(三)擴充採用新技術和加強配套規範指導,將在強化聯邦政府網路安全保障中“大有作為”

從行政令的內容比重來看,聯邦政府在技術支撐和配套規範的部署上可謂濃墨重彩,雲端計算、零信任架構、EDR、多因子加密認證等技術和應用均被納入行政令的視野,並加以具體部署。因此,該行政令甚至也被解讀為是一部技術政策。細究原因,我們不難發現,一方面美國是資訊科技巨頭,在許多技術創新領域保持著對其他國家的絕對領先優勢,而“以用促研、以用促產”則是保持這種領先優勢的不二法門,加強應用部署也能夠為美國相應的供應方提供巨大的市場,培育技術供給和儲備、實現供需的良性互動。另一方面,加強配套技術規範的編制及貫徹,對於加強聯邦相關部門之間、聯邦機構與私營部門之間的溝通協調等,都具有積極意義,有助於理順和最佳化聯邦當前網路安全管理體系,拜登政府也可藉此逐步由點及面、最佳化和完善其執政基礎。


(四)“兩手抓、兩手硬”將成為加強供應鏈安全管理的新基調

川普執政期間其對供應鏈的管理主要呈現出“對外打壓”的“一手”。拜登政府此次釋出行政令,內容上看雖然更多地體現出“對內管控”的“另一手”,但從其執政以來在對外遏制上的態度來看,其也大機率還會持續以維護供應鏈安全為由,遏制潛在的競爭威脅,以謀求維護美國在全球科技、戰略等諸多領域的繼續領先。供應鏈安全將成為美國持續推行對外打壓、對內管控“兩手抓”的重要“陣地”。

 

《改善國家網路安全行政命令》的釋出,無疑是美國網路安全管理的一個里程碑,也將成為美國網路安全保障體系發展的一個風向標。

點選連結,檢視行政令完整版翻譯:

https://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=2650412901&idx=5&sn=65c5a645ee774db509942b12a30d4f89&chksm=bec94ece89bec7d83f11aec8bab390dc63819f8d4ef05fdfa0b2538847164f67d536a3227cca&mpshare=1&scene=1&srcid=05178TpYZI2odgQsvonpWxNK&sharer_sharetime=1621250211827&sharer_shareid=22c138cd1fda9ab30e692767f203ba34&notreplace=true&version=3.0.36.2008&platform=win#rd

 


相關文章