1. 政策背景与目标
命令开篇指出,敌对国家和犯罪分子持续对美国及其公民进行网络攻击,导致关键服务中断、经济损失巨大,并威胁到美国人的安全和隐私。为此,联邦政府必须采取更多措施,提升国家网络安全能力,特别是在应对来自东方大国的威胁方面。命令基于2021年5月12日发布的第14028号行政命令(改善国家网络安全)和《国家网络安全战略》,进一步提出了加强网络安全的行动计划。
2. 软件供应链安全
命令强调了联邦政府和关键基础设施对软件提供商的依赖,指出不安全的软件是当前的主要挑战之一。为此,联邦政府需要采用更严格的软件采购实践,并要求软件提供商遵循安全的软件开发实践,以减少软件漏洞的数量和严重性。具体措施包括:
认证与验证:要求软件提供商提交机器可读的安全开发认证和验证工件,并通过CISA的软件认证和工件存储库(RSAA)进行集中管理。
合同语言更新:联邦采购法规委员会(FAR委员会)将修订《联邦采购条例》(FAR),要求软件提供商遵守安全开发实践。
开源软件管理:联邦机构需更好地管理开源软件的使用,并为其安全评估和补丁管理提供最佳实践。
3. 联邦系统网络安全
命令要求联邦政府采用行业已验证的安全实践,特别是在身份和访问管理方面,以提高网络威胁的可见性并加强云安全。具体措施包括:
防钓鱼认证:联邦民事行政分支(FCEB)机构应开始使用防钓鱼认证标准(如WebAuthn),并逐步扩大部署。
威胁搜寻能力:CISA将开发技术能力,以实时访问FCEB机构的端点检测和响应(EDR)数据,识别跨联邦企业的网络威胁。
云服务安全:联邦风险和授权管理计划(FedRAMP)将更新政策,要求云服务提供商提供安全的配置基线,以保护联邦数据。
4. 联邦通信安全
命令指出,联邦政府必须实施强身份验证和加密,以保护通信免受敌对国家和犯罪分子的攻击。具体措施包括:
互联网路由安全:FCEB机构需确保其互联网编号资源(如IP地址块)在区域互联网注册管理机构中注册,并发布路由起源授权(ROA)以防止路由劫持。
加密DNS:联邦机构需启用加密DNS协议,以保护域名系统(DNS)流量的机密性和完整性。
电子邮件加密:联邦机构需强制执行电子邮件的传输加密,并在可行的情况下使用端到端加密。
5. 量子计算与后量子密码学
命令指出,量子计算机对现有公钥密码学构成重大威胁,联邦政府必须为过渡到后量子密码学(PQC)做好准备。具体措施包括:
PQC产品列表:CISA将发布支持PQC的产品类别列表,并要求联邦机构在采购相关产品时优先选择支持PQC的产品。
国际合作:国务院和商务部将与国际合作伙伴合作,推动全球向PQC算法的过渡。
6. 打击网络犯罪与身份欺诈
命令提出了一系列措施,以应对网络犯罪和身份欺诈问题,特别是针对公共福利计划的欺诈行为。具体措施包括:
数字身份验证:联邦政府鼓励使用数字身份文件(如移动驾驶执照)进行身份验证,以保护隐私并减少欺诈。
“是/否”验证服务:联邦机构将开发隐私保护的“是/否”验证服务,以确认申请人提供的身份信息是否与官方记录一致。
反欺诈技术试点:财政部将研究并试点一种技术,用于在身份信息被用于欺诈交易时通知个人和实体,并阻止潜在欺诈行为。
7. 人工智能与网络安全
命令强调了人工智能(AI)在网络防御中的潜力,并提出了一系列措施以加速AI在网络安全中的应用。具体措施包括:
AI试点计划:能源部将与国防部和国土安全部合作,启动一项试点计划,使用AI增强能源部门关键基础设施的网络防御。
AI漏洞管理:国防部、国土安全部和国家情报总监办公室将把AI软件漏洞管理纳入现有的漏洞管理流程。
数据集与研究资助:联邦机构将优先资助用于网络防御研究的大规模标记数据集的开发,并推动AI与网络安全交叉领域的研究。
8. 国家安全系统与致残性影响系统
命令指出,国家安全系统(NSS)和致残性影响系统需要采用最先进的安全措施。具体措施包括:
空间系统网络安全:国家安全系统委员会(CNSS)将更新与空间系统网络安全相关的政策和指南,并要求在联邦政府采购的空间系统中实施网络防御措施。
系统清册:联邦机构需清点其主要信息系统,并将清册提供给CISA、国防部或国家管理者,以确保有效的监督和管理。
9. 应对重大恶意网络活动
命令进一步修订了第13694号行政命令,以应对日益增长的网络威胁,包括勒索软件攻击、关键基础设施破坏和选举干扰。修订后的命令授权财政部长封锁与重大恶意网络活动相关的个人和实体的财产。
10. 总结
该行政命令全面覆盖了联邦政府网络安全的各个方面,从软件供应链安全到新兴技术的应用,旨在提升国家应对网络威胁的能力。通过加强监管、促进技术创新和国际合作,命令为联邦政府设定了明确的网络安全目标,并为未来的网络安全工作提供了框架。
【闲话简评】
拜登总统发布的网络安全行政命令得到了网络安全专家和行业领袖的广泛认可。该命令为特朗普政府提供了详细的网络安全蓝图,体现了政策的连续性和责任感。命令重点包括加强软件供应链安全、推动后量子密码学(PQC)应用、利用AI提升网络防御能力,以及改善云安全和通信加密。这些举措被认为是对抗东方大国等国家网络威胁的关键步骤。然而,专家也指出,命令的实施可能面临挑战,特别是特朗普政府对监管的潜在抵触。尽管如此,命令的制度化最佳实践和跨党派合作精神为未来的网络安全政策奠定了坚实基础,有望在应对日益复杂的全球威胁中发挥重要作用。
参考资源
1、https://www.whitehouse.gov/briefing-room/presidential-actions/2025/01/16/executive-order-on-strengthening-and-promoting-innovation-in-the-nations-cybersecurity/
2、https://www.darkreading.com/threat-intelligence/biden-cybersecurity-eo-trump-blueprint-defense
3、https://www.nextgov.com/cybersecurity/2025/01/biden-signs-executive-order-inspired-lessons-recent-cyberattacks/402228/?oref=ng-home-top-story
点赞关注,后台获取行政命令中文精译版和英文原版。
