前沿观察 | 拜登发布任期最后一份网络安全行政令,意欲何为?(附中文翻译)
2025-1-17 11:19:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

 扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

2025年1月16日,拜登政府发布任期最后一份“网络安全行政令”(以下简称“行政令”)。作为2021年5月发布的首份网络安全行政令的延续,拜登政府通过“首尾呼应”,继续强化软件供应链安全,筑牢联邦信息系统安全,加强联邦通信安全等相关措施,并推动后量子密码过渡,利用人工智能提升网络防御能力,改善云服务安全,意图为下任政府提供“网络安全工具箱”。

一、主要内容

“行政令”将防御数字基础设施作为重中之重,要求确保数字领域最关键的服务和能力的安全。具体包括:

(一)提高第三方软件供应链的透明度和安全性。“行政令”认为美国联邦政府和关键基础设施深度依赖于软件提供商,不安全的软件使联邦政府和关键基础设施系统容易受到恶意网络事件的影响。要求联邦政府采用安全的软件采购做法,以及严格的第三方风险管理做法,并制定合同要求软件提供商必须通过美国网络安全和基础设施安全局(CISA)的“软件证明与工件库”(RSAA);要求将网络安全供应链风险管理计划纳入全机构的风险管理活动中。
(二)改善联邦系统的网络安全。“行政令”要求联邦政府必须采用经过验证的企业界安全实践(包括身份和访问管理),以提高网络威胁的可视性和加强云安全。通过试点部署或更大规模地部署践行商业防钓鱼标准(如WebAuthn)。要求美国防部和国土安全部加强威胁信息共享,以加强国防部和民用网络的集体防御。
(三)加强联邦通信安全。一是身份认证和加密。“行政令”要求联邦政府必须在切实可行的范围内,使用现代、标准化和市售的算法和协议实施强大的身份认证和加密。二是互联网路由安全。要求联邦政府必须采取措施,确保所有分配的互联网号码资源(IP地址块和自治系统号码)被美国互联网号码注册局或其他适当的区域互联网注册局覆盖。
(四)解决网络犯罪和欺诈问题。“行政令”要求NIST通过与国家网络安全卓越中心合作,发布实用的实施指南,以支持使用数字身份文件进行远程数字身份验证。社会保障专员应考虑采取措施开发或修改与政府运营的身份验证系统和公共福利项目相关的服务。
(五)利用和促进人工智能安全。“行政令”要求联邦政府必须加速AI的开发和部署,探索利用AI提高关键基础设施网络安全的方法,并加速AI与网络安全交叉领域的研究。要求能源部启动一项试点计划,与私营部门关键基础设施实体合作,利用AI增强能源部门关键基础设施的网络防御,并在试点计划完成后进行评估。要求国防部长建立一项利用高级AI模型进行网络防御的计划。鼓励为开发大规模标记数据集的计划提供资金。

二、基本特点

“行政令”延续了拜登政府在关基保护、公私合作等方面的主要举措,关注美国网络安全防护的“痛点”,意图推动美网安政策的转向。

(一)强调实践操作,压实市场主体责任。“行政令”倡导“利用监管来支持国家安全”,压实市场主体责任。特别是在确保软件安全方面,“行政令”重点关注企业在提交合规证明时的公开宣传工作,要求软件提供商向网络安全与基础设施安全局提交机器可读的安全软件开发证明、高级工件以及联邦文职行政机构软件客户清单。
(二)注重落地执行,利用预算推动联邦网络安全现代化改革。为落实拜登政府首份《国家网络安全战略》中旨在利用购买力推动整个私营部门采纳政府制定的安全标准,“行政令”要求美国白宫行政管理和预算局在未来三年修订2016年版A-130号通告,利用预算推动各联邦机构更加注重采用现代网络安全实践,包括迁移到零信任架构和实施关键要素,如端点检测和响应(EDR)功能、加密、网络分段和防网络钓鱼多因素身份验证。
(三)强调“补漏洞”,关注美国网络安全防护的“痛点”。“行政令”基于防范所谓对手国家网络攻击威胁,要求填补美国联邦政府中的网络安全漏洞。对此,“行政令”指示必须对传输中的电子邮件和云端的信息进行加密,并在可行的情况下使用端到端加密,以保护邮件免受危害。“行政令”还指示政府制定更好的安全指南以保护云软件承包商所使用的加密密钥。

(四)布局前沿技术,筑牢下一代网络防御基础。“行政令”大部分内容是沿袭拜登政府《国家网络安全战略》中“投资于韧性未来”的内容,意图通过战略投资和协调合作的行动,建立一个更安全、更有韧性、更保护隐私、更公平的数字生态系统。“行政令”的主要举措也回应了《国家网络安全战略》中要求“保护互联网的技术基础”“为后量子时代的未来做好准备”“支持发展数字身份生态系统”等内容。除安全软件、云安全、身份认证和后量子密码学等前沿技术领域外,“行政令”重点关注人工智能赋能于网络安全领域,正式发起“加速下一代网络防御人工智能模型”的试点项目。

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664234997&idx=1&sn=c9b826a623c23da947351da666448f0f&chksm=8b59fd0cbc2e741aaf786189b61aac69ce1263615c348834a6d43f8cdd21eecbf9f6738bf297&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh