美国总统拜登于当地时间5月12日签署一项行政命令,旨在通过保护联邦网络、改善美国政府与私营部门间在网络问题上的信息共享以及增强美国对事件发生时的响应能力,从而提高国家网络安全防御能力。全文如下:
2021年5月12日•总统行动
根据美利坚合众国宪法和法律赋予我的总统权力,兹命令如下:
美国面临着持续不断、日益复杂的恶意网络活动,这些活动威胁着公共部门、私营部门的安全,并最终威胁到美国人民的安全和隐私。联邦政府必须加强识别、威慑、防范、检测和应对这些行为及威胁者,仔细检视重大网络事件过程中发生的情况并吸取教训。但网络安全不仅需要政府采取行动。要保护国家免受恶意网络行为者的侵害,联邦政府需要与私营部门合作。私营部门必须适应不断变化的威胁环境,确保其产品安全构建和运行,并与联邦政府合作,建立更安全的网络空间。归根结底,只有数字基础设施本身可信且透明,我们才能信任它,若其不可信但我们却误以为其可信,则会产生相应后果。
渐进式的改进不会为我们提供所需的安全感。联邦政府需要做出大胆改变,进行大量投资,以捍卫支撑美国生活方式的重要机构。联邦政府必须充分利用其权力和资源来保护自己的计算机系统,无论是基于云的系统,还是本地或混合系统。安全保护和保障的范围须包括处理数据的系统(信息技术(IT))和确保我们安全的重要机器系统(运营技术(OT))。
预防、检测、评估和补救网络事件是头等大事,对国家和经济安全至关重要,这也是本届政府的政策。联邦政府必须以身作则。所有联邦信息系统均应满足或优于本命令规定和发布的网络安全标准和要求。
(a)联邦政府与IT和OT服务提供商签订合同,授权后者在联邦信息系统上执行一系列日常功能。这些服务提供商(包括云服务提供商)对联邦信息系统具有特定访问权限,可深入了解这些系统中的网络威胁和事件信息。同时,现行合同条款或约束可能会限制服务提供商与负责调查或补救网络事件的执行部门和机构(如网络安全和基础设施安全局(CISA)、联邦调查局(FBI)以及情报体系(IC)其他部门)共享此类威胁或事件信息。消除这些合同障碍并促进此类威胁、事件和风险的信息共享,对于加强威慑和预防、提升事件响应速度以及更有效地保护各机构系统和联邦政府收集、处理、维护的信息非常必要。
(b)在本命令颁布后的60天内,行政管理和预算局(OMB)局长须与国防部长、司法部长、国土安全部长和国家情报总监进行讨论,审查《联邦采购条例》(FAR)和《联邦采购条例国防部补充规定》中与IT和OT服务提供商相关的合同要求和语言,并就此类要求和语言的更新向FAR委员会和其他相关机构提出建议。建议须说明拟用合同语言所涵盖的承包商。
(c)本条(b)款所述的建议合同语言和要求须确保:
(i)服务提供商按各机构要求收集并保存其控制的所有信息系统(包括代表机构运行的系统)的网络安全事件预防、检测、响应和调查数据、信息和报告;
(ii)服务提供商按照适用的隐私法律、法规和政策,直接与其所服务的机构以及OMB局长和国防部长、司法部长、国土安全部长、国家情报总监协商认定的其他机构分享所服务机构的(潜在)网络安全事件数据、信息和报告;
(iii)服务提供商与联邦网络安全或调查机构合作,调查、响应与联邦信息系统相关的(潜在)事件,包括实施技术能力(例如,根据需要与所支持的机构合作,监控网络中的威胁);
(iv)进行事件响应和补救时,服务提供商尽可能以业界公认的格式与机构共享网络威胁和事件信息。
(d)在收到本条(b)款所述建议后的90天内,FAR委员会须审查拟用合同语言和条件,并酌情发布对FAR的拟议更新,公开征求意见。
(e)在本命令颁布后的120天内,国土安全部长和OMB局长须采取适当措施,尽可能确保服务提供商与各机构、CISA和FBI共享数据,以便联邦政府应对网络威胁、事件和风险。
(f)联邦政府采取如下政策:
(i)与机构签订合同的信息和通信技术(ICT)服务提供商在发现提供给相关机构的软件产品或服务或提供给该机构的软件产品或服务的支持系统发生网络事件时,必须立即向该机构上报事件;
(ii)当ICT服务提供商根据本条第(f)(i)款向联邦文职行政部门(FCEB)机构报告事件时,也必须直接向CISA上报,CISA必须集中收集和管理此类信息;
(iii)本命令第10(h)款中定义的与国家安全系统有关的报告必须由本条第(g)(i)(E)款确定的对应机构接收和管理。
(g)为执行本条第(f)款中政策:
(i)在本命令颁布后的45天内,国土安全部长须与国防部长(通过国家安全局(NSA)局长)、司法部长和OMB局长沟通,向FAR委员会建议合同语言,以确定:
(A)须上报网络事件的性质;
(B)须上报网络安全事件的信息类型,以推动网络事件有效响应和补救;
(C)保护隐私和公民自由的恰当、有效措施;
(D)承包商上报网络事件的时间要求,该时间基于事件的严重性确定,最严重的网络事件须在首次发现后3天之内上报;
(E)国家安全系统上报要求;
(F)拟用合同语言涵盖的承包商和相关服务提供商的类型。
(ii)在收到本条(g)(i)款所述建议后的90天内,FAR委员会须对该建议进行审查,并公布对FAR的拟议更新,公开征求意见。
(iii)在本命令颁发后90天内,国防部长(通过NSA局长)、司法部长、国土安全部长和国家情报总监须共同制定程序,确保各机构之间及时、妥当地共享网络事件报告。
(h)当前非机密系统合同的网络安全要求(包括云服务网络安全要求)主要通过机构各自的政策和法规来实现。将各机构的通用网络安全合同要求标准化,会简化操作,促进厂商和联邦政府的合规性。
(i)在本命令颁发后60天内,国土安全部长(通过CISA局长)须与国防部长(通过NSA局长)、OMB局长和总务署署长沟通,审查目前作为法律、政策或合同存在的各机构的网络安全要求,并就相关网络安全要求向FAR委员会建议标准化合同语言。此类建议须考虑拟用合同语言所涵盖的承包商和相关服务提供商的范围。
(j)在收到根据本条(i)款所提出的合同语言建议后,FAR委员会须在60天内对该建议进行审查,并公布对FAR的拟议更新,公开征求意见。
(k)若FAR委员会在本条(j)款所述的征求意见期后对FAR进行了任何更新,各机构须更新自己的网络安全要求,删除与该FAR更新重复的要求。
(l)根据本条要求提出的所有建议要进行成本分析,OMB局长须在年度预算过程中纳入该成本分析。
(a)当今网络威胁环境日益复杂,要与时俱进,联邦政府必须采取果断措施,现代化其网络安全方法,比如,在保护隐私和公民自由的同时,加强对威胁的检测。联邦政府必须采用最佳安全实践;向零信任架构迈进;加快云服务安全步伐,包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS);集中和简化对网络安全数据的访问,推动网络安全风险识别和管理分析;在技术和人员上进行投资,以实现这些现代化目标。
(b)在本命令颁布后60天内,各机构负责人须:
(i)更新现有机构计划,按照OMB相关指南的规定,划拨资源,优先用于云技术的部署和使用;
(ii)制定零信任架构实施计划,该计划应酌情纳入商务部国家标准与技术研究院(NIST)标准和指南中阐述的迁移步骤,说明哪些步骤已完成,确定哪些活动会对安全产生最直接影响,以及实施这些活动的时间表;
(iii)向OMB局长和总统助理兼国家安全顾问(APNSA)提供一份报告,讨论本条第(b)(i)和(ii)款所要求的计划。
(c)各机构在使用云技术的过程中,须协调行动,审慎行事,以便联邦政府预防、检测、评估和补救网络事件。为简化过程,各机构须尽可能采用零信任架构向云技术迁移。CISA须现代化其现有的网络安全计划、服务和能力,以便在使用零信任架构的云计算环境中充分发挥功能。国土安全部长(通过CISA局长)须与总务署署长协商(通过联邦风险和授权管理计划(FedRAMP)),制定云服务提供商(CSP)安全原则,作为机构现代化工作的一部分。为促进这项工作的完成:
(i)在本命令颁布后90天内,OMB局长须与国土安全部长(通过CISA局长)和总务署署长(通过FedRAMP)协商,制定联邦云安全战略,向各机构提供相应指导。该类指导须尽量确保FCEB广泛了解并有效应对使用云服务给FCEB带来的风险,并确保FCEB机构向零信任架构靠拢。
(ii)在本命令颁布后90天内,国土安全部长(通过CISA局长)须与OMB局长和总务署署长(通过FedRAMP)沟通,为FCEB制定和发布云安全技术参考架构文档,提供建议,指导机构向云迁移并在收集、上报数据过程中保护数据。
(iii)在本命令颁布后60天内,国土安全部长(通过CISA局长)须为FCEB机构制定并发布云服务治理框架。该框架须列出各种服务和保护措施,各机构应根据事件严重程度选用。框架还应明确哪些数据和处理活动与这些服务和保护措施相关。
(iv)在本命令颁布后90天内,FCEB机构负责人须与国土安全部长(通过CISA局长)协商,评估其各自机构非机密数据的类型和敏感性,且须向国土安全部长(通过CISA局长)和OMB局长提供相关评估报告。评估应重点确定机构认为最敏感和受到最大威胁的非机密数据,以及这些数据的合理处理和存储方案。
(d)在本命令颁布后180天内,各机构应尽量按照联邦记录法和其他适用法律,对静态和传输数据采用多重认证和加密。为此目的:
(i)FCEB机构负责人须向国土安全部长(通过CISA局长)、OMB局长和APNSA报告各自对静态和传输数据采用多重认证和加密方面的进展。FCEB机构须在本命令颁布后每60天提供一次此类报告,直到全机构完全采用多重认证和数据加密。
(ii)针对机构的实施差距,CISA须采取各种适当措施,使FCEB机构最大限度地采用技术和流程,对静态和传输数据实施多重认证和加密。
(iii)在本命令颁布后180天内无法完全采用多重认证和数据加密的FCEB机构,其负责人须在180天期限结束时,向国土安全部长(通过CISA局长)、OMB局长和APNSA提交书面理由。
(e)在本命令颁布后90天内,国土安全部长(通过CISA局长)须与司法部长、FBI局长和总务署署长(通过FedRAMP主任)协商,建立框架,就FCEB云技术相关的网络安全和事件响应活动进行合作,确保各机构之间以及各机构与CSP之间可有效共享信息。
(f)在本命令颁布后60天内,总务署署长须与OMB局长和总务署署长认为适当的其他机构负责人沟通,通过以下方式启动FedRAMP的现代化:
(i)制定培训计划,确保机构得到有效的培训和配置,能够管理FedRAMP请求,并提供培训材料(包括视频);
(ii)通过在各授权阶段实现消息的自动化和标准化,改进与CSP的通信。这些通信包括状态更新、完成厂商当前阶段的要求、后续步骤及/或问题联系人;
(iii)在FedRAMP的整个生命周期中纳入自动化,包括评估、授权、持续监控和合规;
(iv)数字化和梳理厂商须完成的文件,包括提供在线访问方式和预填写表格;
(v)确定相关的合规框架,将这些框架与FedRAMP授权过程中的需求进行对照,允许根据情况用这些框架替代授权过程中的相关部分。
(a)联邦政府所使用软件的安全性对联邦政府履行其关键职能的能力至关重要。商业软件的开发通常缺乏透明度,缺乏对软件抵抗攻击能力的足够关注,也缺乏对恶意行为者篡改的足够控制。迫切需要实施更加严格且可预测的机制,确保产品如期安全运行。“关键软件”的安全性和完整性尤其需要关注,“关键软件”执行的功能对信任至关重要,例如提供或要求系统提权或直接访问网络和计算资源。因此,联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,优先解决关键软件问题。
(b)在本命令颁布后30天内,商务部长(通过NIST院长)须征求联邦政府、私营部门、学术界和其他相关人士的意见,确定现有或开发新的标准、工具和最佳实践,以符合本条(e)款所述的标准、程序和规范。指南须包括可用于评估软件安全性的标准(包括评估开发人员和供应商自身安全实践的标准),并列出可证明符合安全实践的创新工具或方法。
(c)在本命令颁布后180天内,NIST院长须根据本条(b)款所述的协商要求以及可利用的现有文件,发布初步指南,以增强软件供应链的安全性,满足本条要求。
(d)在本命令颁布后360天内,NIST院长须发布补充指南,规范本条(c)款所述指南的定期审查和更新程序。
(e)在根据本条(c)款发布初步指南的90天内,商务部长(通过NIST院长)须与相应机构负责人协商,发布指导文件,规范实践,加强软件供应链的安全。该指导文件可包含根据本条(c)、(i)款发布的指南,同时须包括如下各方面的标准、过程或规范:
(i)安全的软件开发环境,涉及以下行动:
(A)利用独立管理的构建环境;
(B)审核信任关系;
(C)在整个企业中建立基于风险的多因素认证和有条件访问;
(D)记录对构成软件开发,构建和编辑环境的企业产品的依赖并尽量减少依赖;
(E)加密数据;和
(F)监控操作和告警,对网络攻击尝试和实际发生的网络事件作出响应;
(ii)生成并应买方要求提供工件证明其符合本条(e)(i)款所述程序;
(iii)采用自动化工具或类似流程维护可信的源代码供应链,确保代码完整性;
(iv)利用自动工具或类似过程检查已知和潜在漏洞并进行修复,须定期或者至少在产品、版本或更新发布前运行此类工具或过程;
(v)若买方要求,提供本条(e)(iii)和(iv)款所述的工具和流程的执行工件,并在完成这些操作时公开发布摘要信息,对评估和缓解的风险进行概要性描述;
(vi)维护准确的最新数据、软件代码或组件的来源(即源自何处)以及针对软件开发过程中使用的内部和第三方软件组件、工具和服务的控制措施,并反复检查和执行这些控制措施;
(vii)为买方直接提供或在公共网站上发布每个产品的软件物料清单(SBOM);
(viii)参与涉及报告和披露过程的漏洞披露计划;
(ix)证明符合安全的软件开发实践;和
(x)在切实可行的情况下,确保并证明产品的任一部分使用的开源软件的完整性和来源。
(f)在本命令颁布后60天内,商务部长须与通信和信息部的助理部长和国家电信和信息管理局的局长联合发布SBOM的基本要素。
(g)在本命令颁布45天内,商务部长(通过NIST院长)须与国防部长(通过NSA局长)、国土安全部长(通过CISA局长)、OMB局长和国家情报总监协商发布“关键软件”一词的定义,在根据本条(e)款发布的指南中列明。该定义须说明功能所需的权限或访问级别、与其他软件的集成和依赖性、对网络和计算资源的直接访问、信任的关键功能的性能以及受到入侵时导致的潜在损害。
(h)在本条(g)款的定义发布后30天内,国土安全部长(通过CISA局长)须与商务部长(通过NIST院长)协商确定并向各机构提供符合基于本条(g)款发布的关键软件定义的所使用或采购流程涉及的软件和软件产品的类别列表。
(i)在此命令颁布后60天内,商务部长(通过NIST院长)须与国土安全局局长(通过CISA局长)和OMB局协商发布本条(g)款定义的关键软件的安全措施指南,包括应用最小权限原则,对网络分段管理和进行合理配置。
(j)在本条(i)款所述指南发布后30天内,OMB局长(通过OMB的电子政务办公室主任)须采取适当措施要求各机构遵循该指南。
(k)在本条(e)款所述指南发布后30天内,OMB局长(通过OMB的电子政务办公室主任)须采取适当措施要求各机构遵循本命令颁布后采购软件的相关指南。
(l)各机构可要求延期遵循根据本条(k)款发布的任何要求。任何此类请求均须由OMB局长逐一审核,并且须附有遵循要求的计划。OMB局长应向APNSA提供季度报告,明确每个批准的延期并进行解释。
(m)各机构可要求豁免根据本条(k)款发布的任何要求。OMB局长须在与APNSA协商基础上逐项考虑豁免,并且仅在特殊情况下和有限期限内且须附有任何潜在风险的缓解计划时才授予豁免权。
(n)本命令颁布后一年内,国土安全部长须与国防部长、司法部长、OMB局长和OMB的电子政务办公室主任协商向FAR委员会提供合同语言方面的建议,要求各机构的软件供应商遵循根据本条(g)至(k)款发布的任何要求且提供遵循证明。
(o)FAR委员会收到本条(n)款所述建议后应审查这些建议并且根据适用法律对FAR酌情修改。
(p)在根据本条(o)款规定的FAR修改的任何最终规则发布后,各机构须根据适用法律从不定期交付/不确定数量的合同中相应地删除不符合FAR修改要求的软件产品;联邦供应计划;联邦政府范围内的采购合同;一揽子购买协议;和多项授标合同。
(q)OMB局长(通过OMB的电子政务办公室主任)须要求使用本命令颁布日期之前开发和采购的软件(旧版软件)的机构遵循基于本条(k)款发布的任何要求或提供计划列明弥补行动或满足这些要求的行动,并应进一步要求寻求续签软件合同(包括旧版软件)的各机构遵循根据本条(k)款发布的任何要求,除非根据本条(l)或(m)款批准延期或豁免。
(r)在本命令颁布后60天内,商务部长(通过NIST院长)须与国防部长(通过NSA局长)协商发布指南,就厂商软件源代码的最低测试标准提供建议,包括明确推荐的手动或自动测试类型(例如,代码审查工具,静态和动态分析,软件组成分析工具及渗透测试)。
(s)商务部长(NIST院长)须与NIST院长认为相关的其他机构代表协调,基于现有消费品标识计划启动试点计划,为公众提供关于物联网设备安全能力和软件开发实践的培训,并应考虑如何鼓励制造商和开发人员参与这些计划。
(t)在本命令颁发后270天内,商务部长(通过NIST院长)须与FTC主席以及NIST院长认为相关的其他机构代表协调,明确客户标识计划的物联网网络安全标准,并应考虑是否可在遵循适用法律的情况下将该客户标识计划与任何类似的现有政府计划结合使用或参照这些计划制定。该标准应反映出产品的测试和评估可能越来越全面,并且应利用或符合制造商用于向客户展示产品安全的标识计划。NIST院长须审查所有相关信息、标识和激励计划,并采用最佳做法。审查须聚焦客户的易用性,并确定可采取哪些措施最大化地提升制造商的参与度。
(u)在本命令颁发后270天内,商务部长(通过NIST院长)须与FTC主席以及NIST院长认为相关的其他机构的代表协调,明确客户软件标识计划的安全的软件开发实践或标准,并应考虑是否可在遵循适用法律的情况下将该客户标识计划与任何类似的现有政府计划结合使用或参照这些计划制定。该标准须反映安全措施的基线水平,并且在可行情况下表明产品的测试和评估可能越来越全面。NIST院长须审查所有相关信息、标识和激励计划,采用最佳做法,确定、修改或制定推荐的标签或在可行的情况下开发分层的软件安全评估系统。审查应聚焦客户的易用性,并确定可采取哪些措施最大化地提升参与度。
(v)这些试点计划执行时应遵循OMB通告A-119和NIST特刊2000-02(联邦机构合规性评估考虑因素)。
(w)在本命令颁布后1年内,NIST院长须对试点计划进行审查,并与私营部门和相关机构进行磋商,评估计划有效性,明确后续可进行哪些改进,然后向APNSA提交摘要报告。
(x)在本命令颁布后一年内,商务部长须与其认为相关的其他机构负责人协商,通过APNSA向总统提供报告,概要介绍根据本条进行的改进以及所需的其他软件供应链保护措施。
(a)国土安全部长须与司法部长协商,根据2002年通过的《国土安全法案》(6 USC 451)第871条设立网络安全审查委员会(委员会)。
(b)委员会须对影响FCEB信息系统或非联邦系统的重大网络事件(根据2016年7月26日签发的第41号总统政策指令(美国网络事件协调)(PPD 41)定义)、威胁活动、漏洞、缓解活动和机构响应进行审核和评估。
(c)在重大网络事件促使根据PPD-41第V(B)(2)条规定成立网络统一协调小组(UCG)后,国土安全部长须召集委员会会议;在总统(通过APNSA)指示的任何时间;或国土安全部长认为的任何必要情况。
(d)委员会的初审应涉及促使2020年12月成立UCG的网络活动,委员会须在委员会成立后90天内向国土安全部长就如何改进本条(i)款所述的网络安全和事件响应措施提供建议。
(e)委员会成员须包括联邦官员和私营部门实体的代表。委员会须由国防部、司法部、CISA、NSA和FBI的代表以及由国土安全部长确定的私营部门的网络安全代表或软件供应商组成。当审查的事件涉及国土安全部长确定的FCEB信息系统时,OMB的代表须参加委员会的活动。国土安全部长可根据所审查事件的性质,按照每个事件的不同情况邀请其他人参加。
(f)国土安全部长须每两年从委员会成员中任命委员会主席和副主席,其中包括一名联邦成员和一名私营部门成员。
(g)委员会须根据适用法律对共享的敏感执法数据、运营和业务数据以及其他机密信息进行保护。
(h)国土安全部长须在完成相应事件审核后,通过APNSA向总统提供关于改进网络安全和事件响应实践及政策的任何意见、信息或建议。
(i)在完成本条(d)款所述的初次审核后30天内,国土安全部长须通过APNSA向总统提供委员会对初次审核的建议。这些建议须涉及:
(i)委员会组成或职权方面的缺口和备选方案;
(ii)委员会的拟议任务、范围和职责;
(iii)私营部门代表的成员资格标准;
(iv)委员会的施政结构,包括与行政部门和总统行政办公室的互动;
(v)要评估的各类网络事件的阈值和标准;
(vi)根据适用法律和政策应向委员会提供的信息来源;
(vii)一种方法,用于保护提供给委员会的信息并确保受影响的美国个人和实体在委员会审查事件时进行合作;和
(viii)委员会运作所需的行政和预算事宜。
(j)国土安全部长须与司法部长和APNSA协商,根据本条(i)款审查通过APNSA向总统提供的建议,并采取措施酌情予以实施。
(k)除非总统另有指示,国土安全部长须根据2002年《国土安全部法案》第871条,在国土安全部长认为的适当情况下,每两年延长委员会成员的任期。
(a)当前,各个机构采取不同的网络安全漏洞和响应流程对影响系统的漏洞和事件进行识别、修复和恢复,这使得牵头机构无法对各机构的漏洞和事件进行更全面分析。采取标准化响应流程可确保以较为一致和集中的方式对事件进行分类并跟踪各机构成功响应的进度。
(b)在本命令颁布后120天内,国土安全部长(通过CISA局长)须与OMB局长、联邦首席信息官理事会和联邦首席信息安全委员会协商并联合国防部长(通过NSA局长)、司法部长和国家情报总监,制定一套标准的操作流程(方案),用于规划和实施FCEB信息系统相关的网络安全漏洞和事件响应活动。方案须:
(i)涵盖NIST所有相关标准;
(ii)供FCEB机构使用;
(iii)描述事件响应各阶段的进度和完成情况,同时具有灵活性可为各种响应活动提供支持。
(c)OMB局长须发布机构方案使用指南。
(d)网络安全漏洞或事件响应程序偏离方案的机构只有在咨询OMB局长和APNSA并证明这些程序符合或超过方案中提出的标准后,才能使用这些程序。
(e)CISA局长须与NSA局长协商,每年对方案进行审查和更新,并向OMB局长提供信息,辅助指南更新。
(f)为确保事件响应活动的全面性、确信未经授权的网络参与者再也不能访问联邦文职行政部门(FCEB)信息系统,方案须根据适用法律,要求CISA局长在机构完成事件响应后审查和验证FCEB机构的事件响应和补救结果。CISA局长可酌情建议使用其他机构或第三方事件响应团队。
(g)为确保对网络事件和机构的网络安全状况有一个共同的理解,方案须定义关键术语,并在可行的范围内依据法定定义使用术语,从而在使用方案的机构之间提供一个共享的术语词典。
(a)联邦政府须利用一切适当的资源和权力,最大限度地尽早发现其网络上的网络安全漏洞和事件。此方法须包括加强联邦政府对网络安全漏洞和机构网络威胁的认识和检测,以支持联邦政府的网络安全工作。
(b)FCEB机构须部署端点检测和响应(EDR)计划,支持对联邦政府基础架构内网络安全事件的主动检测、主动的网络捕获、遏制和补救措施以及事件响应。
(c)在本命令颁布后30天内,国土安全部长(通过CISA局长)须向OMB局长提供关于执行EDR计划的备选方案的建议。备选方案的重点是支持与FCEB信息系统有关的主机级别的认识、归因和响应。
(d)在收到本条第(c)款所述建议后90天内,OMB局长须与国土安全部长协商,发布对FCEB机构采用联邦政府EDR方法的要求。这些要求须支持国土安全部长(通过CISA局长)参与网络捕获、检测和响应活动。
(e)OMB局长须与国土安全部长和机构负责人合作,确保各机构有足够的资源遵守本条第(d)款规定的要求。
(f)保卫FCEB信息系统要求国土安全部长(通过CISA局长)访问与威胁和漏洞分析、评估和威胁捕获有关的机构数据。在本命令颁布后75天内,各机构须根据适用法律,与CISA就持续诊断和缓解计划建立或更新《谅解备忘录》,确保《谅解备忘录》所界定的对象级别数据可供CISA查阅和使用。
(g)在本命令颁布后45天内,作为国家安全系统的负责人(国家安全负责人),NSA局长须向国防部长、国家情报总监和国家安全系统委员会(CNSS)建议采取适当行动,在适用法律允许的范围内加强对影响国家安全系统的网络事件的检测。这包括关于EDR方法的建议,以及建议这些措施须由各机构负责、还是须通过国家安全负责人提供的共同关心的集中服务来实施。
(h)在本命令颁布后90天内,国防部长、国家情报总监和CNSS须审查本条第(g)款提交的建议,并酌情制定符合适用法律的政策,将这些建议落到实处。
(i)在本命令颁布后90天内,CISA局长须向OMB局长和APNSA提供一份报告,说明公法116-283第1705条授予的在未经机构事先授权的情况下在FCEB网络上进行威胁捕获活动的权力是如何实施的。报告还须就确保关键系统不会中断的程序、通知脆弱政府系统所有者的程序以及在测试FCEB信息系统时可以使用的技术提供建议。CISA局长须向APNSA和OMB局长提供季度报告,说明根据公法116-283第1705条采取的行动。
(j)为确保国防部信息网络(DODIN)指令与FCEB信息系统指令之间的一致性,国防部长和国土安全部长须与OMB局长就下列事宜进行协商:
(i)在本命令颁布后60天内,为国防部和国土安全部制定程序,以便立即相互分享适用于各自信息网络的国防部事件响应命令或国土安全部紧急指令和约束性操作指令。
(ii)根据有关机密信息共享的法规,评估是否采纳其他部门发布的命令或指令中包含的指南。
(iii)在收到根据本条第(j)(i)款制定的程序发出的命令或指令的通知后7天内,将本条第(j)(ii)款所述评价告知APNSA和OMB的电子政务办公室主任,包括决定是否采纳其他部门发布的指南、该决定的依据以及该适用指令的应用时间表。
(a)来自联邦信息系统(用于本地系统和云服务提供商等第三方托管的连接)的网络和系统日志信息对于调查和补救非常重要。各机构及其IT服务提供商必须收集和维护此类数据,并在有必要处理FCEB信息系统上的网络事件时,根据适用法律、按照要求向国土安全部长(通过CISA局长)和联邦调查局提供这些数据。
(b)在本命令颁布后14天内,国土安全部长须与司法部长和OMB的电子政务办公室主任协商,就记录事件、在机构的系统和网络内保存其他相关数据的要求向OMB局长提供建议。这些建议须涉及要维护的日志类型、保存日志的时间段和其他相关数据、各机构启用建议的日志和安全要求的时间段以及日志保护方法。日志收集后,须用加密手段保护其完整性,在整个保存期间,还须定期验证哈希值。数据须按照所有适用的隐私法律法规进行保存。FAR委员会在根据本命令第2条颁布规则时也须审议这些建议。
(c)在收到本条第(b)款所述建议后90天内,OMB局长须与商务部长和国土安全部长协商,制定政策,要求各机构制定日志记录、日志保存和日志管理要求,确保每个机构最高级别的安全行动中心的集中访问和可视性。
(d)OMB局长须与机构负责人合作,确保各机构有足够的资源遵守本条第(c)款中确定的要求。
(e)为应对(潜在)网络风险或事件,根据本条第(b)款提出的建议须包括要求确保各机构根据适用法律、按照要求向国土安全部长(通过CISA局长)和联邦调查局长提供日志。这些要求的设计应允许机构根据需要酌情与其他联邦机构就网络风险或事件共享日志信息。
(a)本命令颁布后60天内,国防部长(通过国家安全负责人)须与国家情报总监和CNSS协调、与APNSA协商,采纳相当于或超过本命令中规定的网络安全要求的国家安全系统要求。这些要求在其他方面不适用于国家安全系统。这些要求可能会因独特任务需要而在某些情况下出现例外。这些要求须编入国家安全备忘录(NSM)。在NSM发布之前,根据本命令制定的计划、标准或要求不适用于国家安全系统。
(b)本命令不得改变国家安全负责人对1990年7月5日《第42条国家安全指令》(《国家安全电信与信息系统安全政策》)(NSD-42)中界定的国家安全系统的权威。FCEB网络须继续由国土安全部长(通过CISA局长)控制。
在本命令中:
(a)术语“机构”的含义参见《美国法典》第44篇第3502条。
(b)术语“审核信任关系”是指两个或两个以上系统要素之间的商定关系。这种关系受与资产保护相关的安全互动标准、行为和结果的制约。
(c)术语“网络事件”的含义参见《美国法典》第44篇第3552条第(b)(2)款。
(d)术语“联邦文职行政部门机构(FCEB机构)”包括除国防部和情报体系机构以外的所有机构。
(e)术语“联邦文职行政部门信息系统(FCEB信息系统)”是指由联邦文职行政部门机构运营的信息系统,不包括国家安全系统。
(f)术语“联邦信息系统”是指机构或机构承包商或代表机构的组织使用或操作的信息系统,包括FCEB信息系统和国家安全系统。
(g)术语“情报体系(IC)”的含义参见《美国法典》第50篇第3003条第(4)款。
(h)术语“国家安全系统”是指《美国法典》第44篇第3552条第(b)(6)款、第3553条第(e)(2)款和第3553条第(e)(3)款定义的信息系统。
(i)术语“日志”是对组织内的系统和网络中发生的事件的记录。日志由日志条目组成。每个日志条目包含系统或网络内发生的特定事件的信息。
(j)术语“软件物料清单(SBOM)”是指包含软件构建中使用的各种组件的详细信息和供应链关系的正式记录。软件开发人员和供应商通常通过组合现有的开源和商用软件组件来创建产品。SBOM在产品中列举这些组件,类似于食品包装上的成分列表,对开发或制造软件、选择或购买软件以及操作软件的人来说都很有用。开发人员通常使用可用的开源和第三方软件组件来创建产品。SBOM使软件构建人员能够确保这些组件是最新的,并能快速响应新的漏洞。购买人员可以使用SBOM执行漏洞或许可证分析,以评估产品中的风险。软件操作人员可以使用SBOM快速轻松地确定他们是否面临新发现的漏洞的潜在风险。广泛使用的机器可读SBOM格式通过自动化和工具集成可带来更大的收益。当多个SBOM共同存储在一个存储库中时,SBOM将获得更大的价值,而存储库很容易被其他应用程序和系统查询到。了解软件的供应链、获取SBOM、使用SBOM来分析已知漏洞,对于风险管理至关重要。
(k)术语“零信任架构”是指一种安全模型、一套系统设计原则以及一种协调的网络安全和系统管理战略。该架构承认传统网络边界内外存在威胁。零信任安全模型消除了对任何一个要素、节点或服务的隐性信任,要求通过多个来源的实时信息对行动场景进行持续验证,以确定访问权限和其他系统响应。从本质上讲,零信任架构允许用户完全访问,但只能达到执行工作所需的最低限度。如果设备受到损害,零信任可以确保损失得到控制。零信任架构安全模型假定违规不可避免或可能已经发生,因此不断将访问权限限制在必要的范围,并查找异常或恶意活动。零信任架构包含全面的安全监控、基于风险的细颗粒式访问控制、在基础设施的各个方面协调系统安全自动化,以便专注于在动态威胁环境中实时保护数据。这种以数据为中心的安全模型允许将最小权限访问的概念应用于每个访问决策,其中,对谁、什么、何时、何地以及如何的问题的回答,对适当允许或拒绝访问基于服务器组合的资源至关重要。
(a)根据公法116-283第1752条,在任命国家网络总监(NCD)和在总统行政办公室内设立相关办事处之后,可以修改本命令的部分内容,使NCD能够充分履行其职责。
(b)本命令中任何内容的解释不得损害或以其他方式影响:
(i)法律赋予行政部门或机构或其负责人的权力。
(ii)OMB局长与预算、行政或立法提案有关的职能。
(c)本命令须按照适用法律执行,并视经费情况而定。
(d)本命令并非意在且不会赋予任何一方实质性或程序性且法律或衡平法可执行的任何权利或利益使其对抗美国及其部门、机构或实体、官员、雇员或代理人或任何其他人。
(e)本命令中任何内容都无权干涉或指挥刑事或国家安全调查、逮捕、搜查、扣押或破坏行动,无权改变要求机构保护在刑事或国家安全调查过程中获得的信息的法律限制。
小约瑟夫·罗宾内特·拜登
白宫
2021年5月12日