【引言】
美国总统拜登签署了一项行政命令(EO 14028),旨在加强美国的网络安全实践,保护美国联邦政府系统。该命令"确保IT服务提供商能够与政府共享信息,并要求他们共享某些违规信息"。私人承包商和联邦政府机构之间任何与漏洞有关的数据共享都将"按照适用的隐私法律、法规和政策"进行。
以下是全文 :
美国总统拜登《关于改善国家网络安全的行政命令》
(2021年5月12日)
根据美利坚合众国宪法和法律赋予我作为总统的权力,特此命令如下:
第1条 政策
美国面临着持续的和日益复杂的恶意网络活动,这些活动威胁着公共部门和私营部门,并最终威胁着美国人民的安全和隐私。联邦政府必须改进其工作,以识别、阻止、保护、检测和应对这些行动和行为者。联邦政府还必须仔细检查在任何重大网络事件中发生的情况,并吸取其中的教训。但网络安全需要的不仅仅是政府行动。保护我们的国家免受恶意网络行为者的影响需要联邦政府与私营部门合作。私营部门必须适应不断变化的威胁环境,确保其产品的构建和安全运行,并与联邦政府合作,以促进一个更安全的网络空间。最后,我们对数字基础设施的信任应该与基础设施的可信任程度和透明度成正比,并与这种信任错位所带来的后果成正比。
渐进式的改进不会给我们带来所需的安全;相反,联邦政府需要进行大胆的变革和重大投资,以捍卫支撑美国生活方式的重要机构。联邦政府必须充分利用其权力和资源来保护和保障其计算机系统的安全,无论它们是基于云的、内部的还是混合的。保护和安全的范围必须包括处理数据的系统(信息技术(IT))和运行确保我们安全的重要机器的系统(操作技术(OT))。
我们政府的政策是,预防、检测、评估和补救网络事件是一个首要任务,这对国家和经济安全至关重要。联邦政府必须以身作则。所有联邦信息系统应达到或超过本命令中规定的和根据本命令发布的网络安全标准和要求。
第2条 消除共享威胁信息的障碍
(a) 联邦政府与IT和OT服务提供商签订合同,在联邦信息系统上执行一系列的日常功能。这些服务提供商,包括云服务提供商,对联邦信息系统的网络威胁和事件信息应当有特殊的访问和洞察力。同时,目前的合同条款或限制可能会限制服务提供商与负责调查或补救网络事件的行政部门和机构共享这类威胁或事件信息,如网络安全和基础设施安全局(CISA),联邦调查局(FBI)和情报界(IC)的其他成员单位。消除这些合同障碍,增加有关此类威胁、事件和风险的信息共享,是加快事件威慑、预防和应对工作的必要步骤,并使各机构的系统和由联邦政府收集、处理和维护的信息得到更有效的防御。
(b) 在本命令发布之日起60天内,管理和预算办公室(OMB)主任应与国防部长、司法部长、国土安全部长和国家情报局局长协商,审查《联邦采购条例》(FAR)和《国防联邦采购条例补编》中关于与IT和OT服务供应商签订合同的要求和条款,并向FAR委员会和其他适当机构建议更新这些要求和条款。这些建议应包括对拟议合同内容所涵盖的承包商的描述。
(c) 本节(b)款所述的建议合同内容和要求应旨在确保:
(i) 服务提供商按照机构的要求,在其控制的所有信息系统,包括代表机构运营的系统上,收集和保存与网络安全事件预防、检测、响应和调查有关的数据、信息和报告。
(ii) 服务提供商在与他们签订合同的任何机构有关的网络事件或潜在事件方面,直接与该机构和监察局局长在与国防部长、司法部长、国土安全部长和国家情报局局长协商后认为适当的任何其他机构分享这种数据、信息和报告,并应当符合适用的隐私法律、法规和政策。
服务供应商与联邦网络安全或调查机构合作,调查和应对联邦信息系统的事件或潜在事件,包括实施技术能力,如根据需要与他们支持的机构合作,监测网络的威胁;和
服务供应商应当与各机构分享网络威胁和事件信息,在可能的情况下,以行业认可的格式进行事件响应和补救。
(d) 在收到本节(b)款所述的建议后90天内,FAR委员会应审查拟议的合同内容和条款,并酌情公布对FAR的拟议更新,向公众征求意见。
(e) 在本命令发布之日起120天内,国土安全部部长和监察员办公室主任应采取适当步骤,最大限度地确保服务供应商与各机构、CISA和联邦调查局共享联邦政府应对网络威胁、事件和风险可能需要的数据。
(f) 联邦政府的政策是:
(i) 与各机构签订合同的信息和通信技术(ICT)服务提供商在发现涉及向这些机构提供的软件产品或服务或涉及向这些机构提供的软件产品或服务的支持系统的网络事件时,必须迅速向这些机构报告。
(ii) 信息和通信技术服务提供商在根据本节(f)(i)小节向联邦民事行政部门(FCEB)机构报告时,也必须同时向CISA报告,CISA必须集中收集和管理这些信息;以及
(iii) 与国家安全系统有关的报告,如本命令第10(h)节所定义,必须由根据本节(g)(i)(E)小节确定的适当机构接收和管理。
(g) 执行本节(f)小节中规定的政策。
(i) 在本命令发布之日起45天内,国土安全部部长在与通过国家安全局局长行事的国防部长、司法部长和监察局局长协商后,应向FAR委员会建议合同内容,以确定:
(A) 需要报告的网络事件的性质。
(B) 需要报告的有关网络事件的信息类型,以促进有效的网络事件响应和补救。
(C) 对隐私和公民自由的适当和有效保护。
(D) 承包商必须根据严重程度分级报告网络事件的时间段,最严重的网络事件的报告在最初发现后不得超过3天。
(E) 国家安全系统的报告要求;以及
(F) 拟议合同内容所涵盖的承包商和相关服务提供商的类型。
(ii) 在收到本节(g)(i)小节所述的建议后90天内,FAR委员会应审查这些建议,并公布对FAR的拟议更新,以征求公众意见。
(iii) 在本命令发布之日起90天内,国防部长通过国家安全局局长、司法部长、国土安全部部长和国家情报局局长行事,应联合制定程序,以确保网络事件报告在各机构之间迅速和适当地共享。
(h) 目前对非保密系统合同的网络安全要求主要是通过具体机构的政策和法规来实施,包括云服务网络安全要求。将各机构的共同网络安全合同要求标准化,将简化并改善供应商和联邦政府的合规性要求。
(i) 在本命令发布之日起60天内,国土安全部部长通过CISA主任行事,并与国防部长通过NSA主任行事,OMB主任和总务署署长协商,应审查目前作为法律、政策或合同事项存在的特定机构网络安全要求,并向FAR委员会建议适当的网络安全要求的标准化合同内容。这类建议应包括考虑拟议合同内容所涵盖的承包商和相关服务提供商的范围。
(j) 在收到根据本节(i)款制定的建议合同内容后60天内,FAR委员会应审查建议的合同内容,并公布对FAR的拟议更新,以征求公众意见。
(k) 在FAR委员会在本节(j)款所述的公众评论期之后对FAR进行的任何更新之后,各机构应更新其特定机构的网络安全要求,以删除任何与FAR更新相重复的要求。
(l)监察局局长应将根据本节制定的所有建议的成本分析纳入年度预算程序。
第3条 联邦政府网络安全的现代化
(a) 为了跟上今天动态和日益复杂的网络威胁环境的步伐,联邦政府必须采取果断措施,使其网络安全方法现代化,包括增加联邦政府对威胁的可视性,同时保护隐私和公民自由。联邦政府必须采用安全的最佳实践;向"零信任架构(Zero Trust Architecture)"迈进;加速向安全的云服务发展,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问,以推动识别和管理网络安全风险的分析;并投资于技术和人员以配合这些现代化的目标。
(b) 在本命令发布之日起60天内,各机构的负责人应当:
(i) 更新现有的机构计划,以优先考虑采用和使用云技术的资源,如OMB相关指南所述。
(ii) 制定实施"零信任架构"的计划,该计划应酌情纳入商务部下属的国家标准与技术研究所(NIST)在标准和指南中概述的迁移步骤,描述已经完成的任何此类步骤,确定将产生最直接安全影响的活动,并包括实施这些活动的时间表;以及
(iii) 向OMB主任和总统助理兼国家安全顾问(APNSA)提供一份报告,讨论根据本节(b)(i)和(ii)款要求的计划。
(c) 随着各机构继续使用云技术,它们应以协调、慎重的方式进行,使联邦政府能够预防、检测、评估和补救网络事件。为了促进这种方式,向云技术的迁移应在可行的情况下采用零信任架构。国土安全局应使其目前的网络安全计划、服务和能力现代化,以便在具有零信任架构的云计算环境中充分运作。国土安全部部长通过CISA主任,与总务署署长协商,通过总务署内的联邦风险和授权管理计划(FedRAMP),应制定管理云服务提供商(CSP)的安全原则,以纳入机构的现代化工作中。为了促进这项工作,应当做如下事情:
(i) 在本命令生效之日起90天内,行政管理和预算局局长应通过CISA局长与国土安全部部长协商,通过FedRAMP与总务署长协商,制定联邦云安全战略,并为相关机构提供相应的指导。该指导应寻求确保FCEB广泛了解并有效应对使用云服务给FCEB带来的风险,并确保FCEB机构向零信任架构靠拢。
(ii) 在本命令发布之日起90天内,国土安全部部长应通过CISA主任,与OMB主任和总务署署长(通过FedRAMP)协商,为FCEB制定并发布云安全技术参考架构文件,说明机构数据收集和报告的云迁移和数据保护的建议方法。
(iii) 在本命令发布之日起60天内,国土安全部部长应通过CISA主任为FCEB机构制定并发布一个云服务治理框架。该框架应根据事件的严重程度确定各机构可用的一系列服务和保护措施。该框架还应确定与这些服务和保护措施相关的数据和处理活动。
(iv) 在本命令发布之日起90天内,FCEB机构的负责人应与国土安全部部长协商,通过CISA局长行事,评估各自机构的非机密数据的类型和敏感性,并通过CISA局长向国土安全部部长和OMB局长提供一份基于此类评估的报告。该评估应优先确定该机构认为最敏感和受到最大威胁的非机密数据,以及这些数据的适当处理和存储方案。
(d) 在本命令发布之日起180天内,各机构应在符合联邦记录法和其他适用法律的最大范围内,对静态和传输中的数据采用多因素认证和加密。为此目的:
(i) FCEB机构的负责人应通过CISA主任、OMB主任和APNSA向国土安全部部长提供报告,说明其各自机构在对静态和传输中的数据采用多因素认证和加密方面的进展。这些机构应在本命令发布之日起每60天提供一次此类报告,直到该机构在全机构范围内全面采用多因素认证和数据加密。
(ii) 基于已确定的机构实施差距,CISA应采取一切适当步骤,最大限度地让FCEB机构采用技术和流程,对静止和传输中的数据进行多因素认证和加密。
(iii) 在本命令发布之日起180天内不能完全采用多因素认证和数据加密的FCEB机构负责人,应在180天期限结束时,通过CISA局长、OMB局长和APNSA向国土安全部长提供书面理由。
(e) 在本命令发布之日起90天内,国土安全部部长通过CISA局长,与司法部长、联邦调查局局长和总务署署长(通过FedRAMP局长)协商,应建立一个框架,就与FCEB云技术有关的网络安全和事件响应活动进行合作,以确保机构之间以及机构与CSP之间有效的信息共享。
(f) 在本命令发布之日起60天内,总务署署长在与OMB主任和总务署署长认为合适的其他机构负责人协商后,应开始通过以下方式实现FedRAMP的现代化:
(i) 建立一个培训计划,以确保各机构得到有效的培训和装备,以管理FedRAMP的请求,并提供培训材料,包括视频点播的机会。
(ii) 通过授权的每个阶段的信息自动化和标准化,改善与CSP的沟通。这些沟通可以包括状态更新、完成供应商当前阶段的要求、接下来的步骤,以及问题的联络点。
(iii) 在FedRAMP的整个生命周期中纳入自动化,包括评估、授权、持续监测和合规。
(iv) 对供应商需要完成的文件进行数字化和精简,包括通过在线访问和预填表格;以及
(v) 确定相关的合规框架,将这些框架映射到FedRAMP授权过程中的要求,并允许这些框架酌情用于替代授权过程的相关部分。
第4条 加强软件供应链安全
联邦政府使用的软件的安全性对于联邦政府履行其关键职能的能力至关重要。商业软件的开发往往缺乏透明度,对软件抵御攻击的能力缺乏足够的重视,也没有足够的控制措施来防止恶意行为的篡改。迫切需要实施更加严格和可预测的机制,以确保产品安全地运行,并符合预期。关键软件--执行对信任至关重要的功能的软件(如提供或要求提高系统权限或直接访问网络和计算资源)--的安全性和完整性是一个特别值得关注的问题。因此,联邦政府必须采取行动,迅速改善软件供应链的安全性和完整性,优先解决关键软件的问题。
(b) 在本命令发布之日起30天内,商务部长应通过NIST主任征求联邦政府、私营部门、学术界和其他适当行为者的意见,以确定现有的或开发新的标准、工具和最佳实践,以遵守本节(e)款的标准、程序或标准。这些准则应包括可用于评估软件安全的标准,包括评估开发商和供应商本身的安全实践的标准,并确定创新的工具或方法来证明符合安全实践。
(c) 在本命令发布之日起180天内,NIST主任应根据本节(b)小节所述的协商,并在可行的情况下借鉴现有文件,发布初步准则,以加强软件供应链安全,并满足本节的要求。
(d) 在本命令发布之日起360天内,NIST主任应发布补充准则,其中包括定期审查和更新本节(c)款所述准则的程序。
(e) 在根据本节(c)款公布初步准则的90天内,商务部长通过NIST主任行事,在与NIST主任认为适当的机构负责人协商后,应发布指南,确定加强软件供应链安全的做法。这种指导可以包括根据本节(c)和(i)小节发布的准则。这种指导应包括有关以下方面的标准、程序或准则:
(i) 安全的软件开发环境,包括以下行动:
(A) 使用行政上独立的构建环境。
(B) 审计信任关系。
(C) 在整个企业内建立多因素、基于风险的认证和有条件的访问。
(D) 记录并尽量减少对企业产品的依赖,这些产品是用于开发、构建和编辑软件的环境的一部分。
(E) 对数据进行加密;以及
(F) 监测操作和警报,并对企图发生和实际发生的网络事件作出反应。
(ii) 产生并在购买者要求时提供证明符合本节(e)(i)款规定的程序和要求。
(iii) 采用自动化工具或类似的程序,以维护可信的源代码供应链,从而确保代码的完整性。
(iv) 采用自动工具或类似程序,检查已知和潜在的漏洞并加以补救,这些工具或程序应定期运行,或至少在产品、版本或更新发布之前运行。
(v) 当购买者要求时,提供执行本节(e)(iii)和(iv)小节所述的工具和程序的工件,并公开提供关于完成这些行动的摘要信息,包括对评估和缓解的风险的摘要描述。
(vi) 保持准确和最新的数据、软件代码或组件的出处(即来源),以及对软件开发过程中出现的内部和第三方软件组件、工具和服务的控制,并经常性地对这些控制进行审计和执行。
(vii) 直接向购买者提供每个产品的软件材料清单(SBOM),或将其公布在公共网站上。
(viii) 参加包括报告和披露程序的漏洞披露计划。
(ix) 证明符合安全的软件开发实践;以及
(x) 在可行的范围内,确保并证明产品任何部分所使用的开放源码软件的完整性和来源。
(f) 在本命令发布之日起60天内,商务部长应与负责通信和信息的助理部长以及国家电信和信息管理局局长协调,公布SBOM的最低要求。
(g) 在本命令发布之日起45天内,商务部长应通过NIST主任,与通过NSA主任的国防部长、通过CISA主任的国土安全部长、OMB主任和国家情报局局长协商,公布 "关键软件 "一词的定义,以纳入根据本节(e)款发布的指南中。该定义应反映出功能所需的特殊权限或访问水平、与其他软件的整合和依赖性、对网络和计算资源的直接访问、对信任至关重要的功能的执行情况以及一旦受损的潜在危害。
(h) 在本节(g)款要求的定义公布后30天内,国土安全部部长通过CISA主任,与商务部部长通过NIST主任协商,应确定并向各机构提供一份正在使用或正在采购过程中的符合根据本节(g)款发布的关键软件定义的各类软件和软件产品清单。
(i) 在本命令发布之日起60天内,商务部长通过NIST主任,与国土安全部部长通过CISA主任和OMB主任协商,应发布指南,概述本节(g)款定义的关键软件的安全措施,包括应用最小特殊权限、网络分割和适当配置的实践。
(j) 在本节(i)小节所述指南发布后30天内,OMB主任应通过OMB内的电子政务办公室主任采取适当步骤,要求各机构遵守这些指南。
(k) 在本节(e)小节所述的指导意见发布后30天内,OMB局长应通过OMB内的电子政务办公室主任采取适当措施,要求各机构对在本命令发布后采购的软件遵守该指导意见。
(l) 各机构可要求延长遵守根据本节(k)款发布的任何要求。任何这样的请求应由OMB主任逐一考虑,并且只有在附有满足基本要求的计划的情况下才能考虑。OMB局长应每季度向APNSA提供一份报告,指出并解释所有批准的延期。
(m) 各机构可以要求豁免根据本节(k)款发布的任何要求。豁免应由OMB主任与APNSA协商后逐案考虑,并且只在特殊情况下和有限的时间内批准,并且只有在有相应的计划来减少任何潜在风险的情况下。
(n) 在本命令发布之日起1年内,国土安全部部长在与国防部长、司法部长、监察员办公室主任和监察员办公室内的电子政务办公室主任协商后,应向FAR委员会推荐合同语言,要求可供机构购买的软件供应商遵守并证明遵守根据本节(g)至(k)小节发布的任何要求。
(o) 在收到本节(n)小节所述的建议后,FAR委员会应审查这些建议,并酌情根据适用法律修订FAR。
(p) 在发布本节(o)款所述的修订《联邦采购条例》的最终规则后,各机构应酌情并在符合适用法律的情况下,将不符合修订后的《联邦采购条例》要求的软件产品从所有无限期交付无限期数量合同、联邦供应计划、整个联邦政府采购合同、一揽子采购协议和多重奖励合同中删除。
(q) OMB主任,通过OMB内的电子政府办公室主任行事,应要求采用本命令日期之前开发和采购的软件(遗留软件)的机构,要么遵守根据本节(k)款发布的任何要求,要么提供一份计划,概述补救或满足这些要求的行动。并应进一步要求寻求续签软件合同的机构,包括遗留软件,遵守根据本节(k)款发布的任何要求,除非根据本节(l)或(m)款批准延期或豁免。
(r) 在本命令发布之日起60天内,商务部长通过NIST主任,与国防部长通过NSA主任协商,应发布指南,建议供应商测试其软件源代码的最低标准,包括确定建议的手动或自动测试类型(如代码审查工具、静态和动态分析、软件构成工具和渗透测试)。
(s) 商务部长通过NIST主任行事,并与NIST主任认为适当的其他机构代表协调,应启动由现有消费品标签计划提供的试点计划,以帮助公众了解物联网(IoT)设备的安全能力和软件开发实践,并应考虑如何激励制造商和开发商参与这些计划。
(t) 在本命令发布之日起270天内,商务部长通过NIST主任,与联邦贸易委员会(FTC)主席和NIST主任认为合适的其他机构代表协调,应确定消费者标签计划的物联网网络安全标准,并应考虑这种消费者标签计划是否可以与任何符合适用法律的现有类似政府计划一起运作。这些标准应反映产品可能经历的越来越全面的测试和评估水平,并应使用或兼容制造商用来告知消费者其产品安全的现有标签计划。NIST主任应审查所有相关信息、标签和激励计划,并采用最佳做法。这项审查应着重于消费者的易用性,并确定可以采取哪些措施来最大限度地提高制造商的参与度。
(u) 在本命令发布之日起270天内,商务部长通过NIST主任行事,与FTC主席和NIST主任认为合适的其他机构的代表协调,应确定安全的软件开发实践或消费者软件标签计划的标准,并应考虑这种消费者软件标签计划是否可以与任何类似的现有政府计划一起运作或仿效,并符合适用法律。这些标准应反映安全实践的基准水平,如果可行,应反映产品可能经历的越来越全面的测试和评估水平。NIST主任应审查所有相关的信息、标签和激励计划,采用最佳实践,并确定、修改或开发一个建议的标签,或在可行的情况下,开发一个分级的软件安全评级系统。这项审查应着重于消费者的易用性,并确定可以采取哪些措施来最大限度地提高参与度。
(v) 这些试点项目应以符合OMB通告A-119和NIST特别出版物2000-02(联邦机构的符合性评估考虑)的方式进行。
(w) 在本命令发布之日起1年内,NIST主任将对试点项目进行审查,与私营部门和相关机构协商,以评估项目的有效性,确定今后可以做出哪些改进,并向APNSA提交一份总结报告。
(x) 在本命令发布之日起1年内,商务部长应与商务部长认为合适的其他机构负责人协商,通过亚太国家安全局向总统提供一份报告,审查根据本节取得的进展,并概述为确保软件供应链安全所需的其他步骤。
第5条 网络安全审查委员会
(a) 国土安全部部长应与司法部长协商,根据《2002年国土安全法》(6 U.S.C. 451)第871条,建立网络安全审查委员会(以下简称“委员会”)。
(b) 委员会应审查和评估,关于影响FCEB信息系统或非联邦系统的重大网络事件(根据2016年7月26日总统政策指令41(美国网络事件协调)(PPD 41)的定义)、威胁活动、漏洞、缓解活动和机构反应。
(c) 国土安全部部长应在重大网络事件发生后,按照PPD-41第V(B)(2)节的规定成立网络统一协调小组(UCG);在总统通过APNSA指示的任何时候;或在国土安全部部长认为必要的任何时候召开委员会会议。
(d) 委员会的初步审查应与促使在2020年12月成立UCG的网络活动有关,委员会应在委员会成立后的90天内,向国土安全部部长提供本节(i)款所述的改进网络安全和事件应对实践的建议。
(e) 委员会的成员应包括联邦官员和私营部门实体的代表。委员会应包括国防部、司法部、CISA、国家安全局和联邦调查局的代表,以及国土安全部部长确定的适当私营部门网络安全或软件供应商的代表。当正在审查的事件涉及到国土安全部信息系统时,国土安全部的代表应参加委员会的活动,这一点由国土安全部部长决定。国土安全部部长可根据所审查事件的性质,在个案基础上邀请其他人参与。
国土安全部部长应每两年从委员会成员中指定一名委员会主席和副主席,其中包括一名联邦成员和一名私营部门成员。
委员会应在符合适用法律的情况下,保守与之共享的敏感的执法、业务、商业和其他保密信息。
(h) 国土安全部部长应通过亚太国家安全局向总统提供咨询意见、信息或建议,以便在委员会完成对适用事件的审查后改进网络安全和事件应对实践和政策。
(i) 在完成本节(d)款所述的初步审查后30天内,国土安全部部长应通过亚太国家安全局向总统提供委员会基于初步审查的建议。这些建议应说明:
(i) 在委员会的组成或权限方面发现的差距和选择。
(ii) 委员会的拟议任务、范围和责任。
(iii) 私营部门代表的成员资格标准。
(iv) 委员会的治理结构,包括与行政部门和总统行政办公室的互动。
(v) 将被评估的网络事件类型的门槛和标准。
(vi) 在符合适用法律和政策的情况下,应向委员会提供的信息来源。
(vii)为保护提供给委员会的信息和确保受影响的美国个人和实体在委员会审查事件时的合作的方法;以及
(viii)委员会运作所需的行政和预算成本。
(j) 国土安全部部长在与司法部长和APNSA协商后,应审查根据本节(i)款通过APNSA提供给总统的建议,并采取步骤酌情实施这些建议。
(k)除非总统另有指示,国土安全部部长应根据《2002年国土安全法》第871条,在国土安全部部长认为适当的情况下,每2年延长一次委员会的任期。
第6条 使联邦政府应对网络安全漏洞和事件的手册标准化
(a) 目前用于识别、补救和恢复影响其系统的漏洞和事件的网络安全漏洞和事件响应程序在各机构之间有所不同,阻碍了牵头机构更全面地分析各机构的漏洞和事件的能力。标准化的反应过程可以确保对事件进行更加协调和集中的编目,并跟踪各机构在成功反应方面的进展。
(b) 在本命令发布之日起120天内,国土安全部部长通过CISA主任,与OMB主任、联邦首席信息官委员会和联邦首席信息安全委员会协商,并与国防部长通过国家安全局局长、司法部长和国家情报局局长协调,应制定一套标准的操作程序(手册),用于规划和开展针对FCEB信息系统的网络安全漏洞和事件响应活动。该操作手册应包括:
(i) 纳入所有适当的NIST标准。
(ii) 由FCEB各机构使用;以及
(iii) 阐明事件响应的所有阶段的进展和完成情况,同时允许灵活性,以便它可用于支持各种响应活动。
(c) 监察员办公室主任应发布关于机构使用该手册的指导。
(d) 拥有网络安全漏洞或事件响应程序的机构,只有在与OMB主任和APNSA协商并证明这些程序符合或超过手册中提出的标准后,才能使用这些程序。
(e) CISA局长在与NSA局长协商后,应每年审查和更新该手册,并向OMB局长提供信息,以便将其纳入指导更新中。
(f) 为确保事件应对活动的全面性,并建立对未经授权的网络行为者不再能够访问FCEB信息系统的信心,该手册应在符合适用法律的情况下,规定CISA主任在一个机构完成事件应对后审查和验证FCEB机构的事件应对和补救结果。CISA主任可以酌情建议使用另一个机构或第三方的事件响应小组。
(g) 为确保对网络事件和一个机构的网络安全状况有共同的理解,该手册应定义关键术语,并在可行的范围内与这些术语的任何法定定义一致地使用这些术语,从而为使用该手册的机构提供一个共享的词汇。
第7条 改进对联邦政府网络的网络安全漏洞和事件的检测
(a) 联邦政府应利用所有适当的资源和权力,最大限度地早期发现其网络上的网络安全漏洞和事件。这种方法应包括提高联邦政府对机构网络的网络安全漏洞和威胁的可见度和检测,以加强联邦政府的网络安全工作。
(b) 联邦经济委员会各机构应部署一个终端检测和响应(EDR)举措,以支持主动检测联邦政府基础设施内的网络安全事件,积极进行网络猎杀、遏制和补救,以及对事件的响应。
(c) 在本命令发布之日起30天内,国土安全部部长应通过CISA主任向OMB主任提供关于实施EDR倡议的备选方案的建议,集中支持FCEB信息系统的主机级可见性、归因和响应。
(d) 在收到本节(c)款所述的建议后90天内,OMB主任应与国土安全部部长协商,发布对联邦经济和社会事务部机构的要求,以采用联邦政府范围内的EDR方法。这些要求应支持国土部长的能力,通过CISA主任行事,从事网络狩猎、检测和响应活动。
(e) OMB主任应与国土安全部部长和机构负责人合作,确保各机构有足够的资源来遵守根据本节(d)款发布的要求。
(f) 捍卫FCEB信息系统要求国土安全部部长通过CISA主任,可以访问与威胁和脆弱性分析有关的机构数据,以及用于评估和威胁猎杀目的。在本命令发布之日起75天内,各机构应与CISA建立或更新持续诊断和缓解计划的协议备忘录,以确保在符合适用法律的情况下,向CISA提供和访问MOA中定义的对象级数据。
(g) 在本命令发布之日起45天内,国家安全局局长作为国家安全系统的国家管理者应向国防部长、国家情报局局长和国家安全系统委员会(CNSS)建议采取适当行动,在适用法律允许的范围内改进对影响国家安全系统的网络事件的检测,包括有关EDR方法的建议,以及这些措施是由各机构操作还是通过国家管理者提供共同关注的集中服务。
(h) 在本命令发布之日起90天内,国防部长、国家情报局局长和国家安全局应审查根据本节(g)款提交的建议,并酌情制定符合适用法律的政策,以落实这些建议。
(i) 在本命令发布之日起90天内,CISA主任应向OMB主任和APNSA提供一份报告,说明根据公法116-283第1705条授予的权力是如何实施的,即在未经机构事先授权的情况下在FCEB网络上进行威胁猎杀活动。该报告还将建议确保关键任务系统不被破坏的程序,通知系统所有者脆弱的政府系统的程序,以及在测试FCEB信息系统时可使用的技术范围。CISA主任应向APNSA和OMB主任提供季度报告,说明根据公法116-283第1705条采取的行动。
(j) 为确保国防部信息网络(DODIN)指令与FCEB信息系统指令之间的一致性,国防部长和国土安全部长在与监察局局长协商后,应采取如下行动:
(i)在本命令发布之日起60天内,建立国防部和国土安全部的程序,以便立即相互共享适用于各自信息网络的国防部事件响应指令或国土安全部紧急指令和具有约束力的操作指令。
(ii) 评估是否采用另一部门发布的命令或指令中的指导意见,并符合有关共享机密信息的规定;以及
(iii) 在收到根据本节(j)(i)款规定的程序发布的命令或指令的通知后7天内,将本节(j)(ii)款所述的评价通知亚太国家安全局和监察局内的电子政务办公室主任,包括是否采用另一部门发布的指导意见的决定,该决定的理由,以及适用于该指令的时间表。
第8条 提高联邦政府的调查和补救能力
(a) 来自联邦信息系统的网络和系统日志的信息(包括内部系统和第三方托管的连接,如CSP)对于调查和补救都是非常宝贵的。各机构及其信息技术服务提供商必须收集和维护这些数据,并在必要时处理联邦经济委员会信息系统的网络事件,根据要求通过CISA主任向国土安全部部长提供这些数据,并根据适用法律向联邦调查局提供。
(b) 在本命令发布之日起14天内,国土安全部部长在与司法部长和OMB内的电子政府办公室主任协商后,应向OMB主任提供关于记录事件和保留机构系统和网络内其他相关数据的要求的建议。这些建议应包括需要维护的日志类型,保留日志和其他相关数据的时间段,机构启用建议的日志和安全要求的时间段,以及如何保护日志。日志应通过加密方法进行保护,以确保收集后的完整性,并在整个保留期间定期对哈希值进行验证。应以符合所有适用的隐私法律和法规的方式保留数据。FAR理事会在根据本命令第2节颁布规则时也应考虑这些建议。
(c) 在收到本节(b)小节所述建议的90天内,OMB主任应与商务部长和国土安全部长协商,为各机构制定政策,以确立对日志记录、日志保留和日志管理的要求,这应确保每个机构的最高级别安全操作中心的集中访问和可视性。
(d) OMB主任应与机构负责人合作,确保各机构有足够的资源来遵守本节(c)小节中确定的要求。
(e) 为应对网络风险或事件,包括潜在的网络风险或事件,根据本节(b)小节发布的拟议建议应包括一些要求,以确保各机构根据要求,通过CISA主任向国土安全部部长提供日志,并根据适用法律向联邦调查局提供日志。这些要求的设计应允许各机构在需要和适当时与其他联邦机构共享网络风险或事件的日志信息。
第9条 国家安全系统
(a) 在本命令发布之日起60天内,国防部长通过国家管理人行事,与国家情报局局长和国家安全局协调,并与亚太国家安全局协商,应通过国家安全系统的要求,这些要求相当于或超过本命令中规定的网络安全要求,否则不适用于国家安全系统。这种要求可以规定在独特的任务需要所需的情况下的例外情况。这种要求应编入国家安全备忘录(NSM)。在国家安全备忘录发布之前,根据本命令制定的方案、标准或要求不应适用于国家安全系统。
(b) 本命令中的任何内容都不能改变国家经理在1990年7月5日第42号国家安全指令(国家安全电信和信息系统安全的国家政策)(NSD-42)中定义的国家安全系统方面的权力。FCEB网络应继续属于国土安全部部长通过CISA主任行事的权力范围。
第10条 定义
为了本命令的目的:
(a) 术语 "机构 "具有《美国法典》第44章第3502条赋予它的含义。
(b) 术语 "审计信任关系 "是指两个或多个系统元素之间商定的关系,该关系由安全互动、行为和与资产保护有关的结果的标准所支配。
(c) 术语 "网络事件 "具有44 U.S.C. 3552(b)(2)所赋予的 "事件 "的含义。
(d) 术语 "联邦文职行政部门机构 "或 "联邦文职行政部门机构 "包括除国防部和情报界机构之外的所有机构。
(e) "联邦文职行政部门信息系统 "或 "FCEB信息系统 "是指由联邦文职行政部门机构运作的那些信息系统,但不包括国家安全系统。
(f) "联邦信息系统 "一词是指由一个机构或一个机构的承包商或由另一个组织代表一个机构使用或操作的信息系统,包括联邦文职行政部门信息系统和国家安全系统。
(g) "情报界 "或 "IC "一词具有50 U.S.C. 3003(4)所赋予的含义。
(h) 术语"国家安全系统 "是指《美国法典》第44篇第3552(b)(6)、3553(e)(2)和3553(e)(3)中定义的信息系统。
(i) "日志 "一词是指对一个组织的系统和网络内发生的事件的记录。日志由日志条目组成,每个条目包含与系统或网络内发生的特定事件有关的信息。
(j) 术语 "软件材料清单 "或 "SBOM "是指包含用于构建软件的各种组件的细节和供应链关系的正式记录。软件开发者和供应商经常通过组装现有的开放源码和商业软件组件来创造产品。SBOM列举了产品中的这些组件。它类似于食品包装上的成分列表。SBOM对那些开发或制造软件的人、选择或购买软件的人以及操作软件的人都很有用。开发者经常使用可用的开放源码和第三方软件组件来创建产品;SBOM允许建设者确保这些组件是最新的,并对新的漏洞作出快速反应。买方可以使用SBOM来进行漏洞或许可证分析,这两种分析都可以用来评估产品的风险。那些操作软件的人可以使用SBOMs来快速、方便地确定他们是否处于新发现的漏洞的潜在风险中。一个广泛使用的、机器可读的SBOM格式可以通过自动化和工具集成获得更大的利益。当SBOMs集体存储在一个可以被其他应用程序和系统轻松查询的资源库中时,就会获得更大的价值。了解软件的供应链,获得SBOM,并利用它来分析已知的漏洞,对管理风险至关重要。
(k) 术语 "零信任架构 "是指一种安全模型、一套系统设计原则以及协调的网络安全和系统管理战略,其基础是承认威胁存在于传统网络边界内外。零信任安全模型消除了对任何一个元素、节点或服务的隐性信任,而是要求通过来自多个来源的实时信息对运行情况进行持续验证,以确定访问和其他系统反应。从本质上讲,零信任架构允许用户完全访问,但只允许他们执行工作所需的最低限度的访问。如果一个设备被破坏,零信任可以确保损害被控制。零信任架构的安全模型假定漏洞是不可避免的,或者很可能已经发生,所以它不断地限制访问,只访问需要的东西,并寻找异常或恶意的活动。零信任架构将全面的安全监控、基于风险的细化访问控制和系统安全自动化以一种协调的方式嵌入到基础设施的所有方面,以便在动态的威胁环境中专注于实时保护数据。这种以数据为中心的安全模型允许将最小权限访问的概念应用于每一个访问决策,其中对谁、什么、何时、何地和如何等问题的回答对于根据严重程度适当地允许或拒绝对资源的访问至关重要。
第11条 一般规定
(a) 在根据公法116-283第1752条任命国家网络主任并在总统行政办公室内设立相关办公室后,本命令的部分内容可被修改,以使国家网络主任能够充分履行其职责和责任。
(b) 本命令的任何内容都不得被解释为损害或以其他方式影响
(i) 法律赋予行政部门或机构或其负责人的权力;或
(ii) 管理和预算办公室主任有关预算、行政或立法建议的职能。
(c) 本命令应以符合适用法律的方式执行,并视拨款情况而定。
(d) 本命令无意也没有创造任何可由任何一方在法律或衡平法上对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人强制执行的实质性或程序性权利或利益。
(e)本命令中的任何内容都没有授权干涉或指导刑事或国家安全调查、逮捕、搜查、扣押或破坏行动,也没有授权改变要求一个机构保护在刑事或国家安全调查过程中获得的信息的法律限制。
约瑟夫-R-拜登
白宫
2021年5月12日
声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。