2021年5月12日,美国总统拜登签发了《改善国家网络安全行政令》(Executive Order on Improving the Nation’s Cybersecurity)(以下简称行政令),该行政令是拜登政府上台以来签发的为数不多的网络安全总统令之一,其内容或能部分地反映出拜登政府在网络安全管理领域的基本态度。
一、背景分析
2020年底以来,国外多家知名媒体先后对发生在美国的重大网络安全攻击事件进行了报道,其中影响较大的包括“Solar winds”(太阳风供应链攻击事件)、“Colonial Pipeline”(科洛尼尔输油管攻击事件)等。2020年12月发生的“Solar Winds”事件中,基础网络管理软件供应商SolarWinds 的Orion 软件更新包被黑客植入后门,致使包括政府部门、关键基础设施以及多家全球500强企业在内的机构受到波及,损失无法估量。而发生在2021年5月的“Colonial Pipeline”事件,则是因黑客通过勒索软件攻击了美国最大的成品油管道系统“Colonial Pipeline”,几乎切断了美国东海岸45%的燃料供给。
这几起事件集中反映了网络安全攻击的新特点,也暴露了目前美国网络安全保障体系的短板。一方面,网络安全攻击在攻击对象、攻击手段上不断拓展。从攻击对象看,黑客攻击行为除了持续青睐关键基础设施以谋求扩大声势、获取高额经济收益外,还加大了对关键供应链环节的攻击,如针对某些通用性较强的基础关键产品发起网络攻击,可以产生巨大连带作用和级联效应,使得攻击获得事半功倍的效果。另一方面,这些攻击事件的成功实施,也充分暴露了当前美国网络安全体系中存在亟待完善的环节,如信息共享、管理协同、应急处置等等,这也是催生本次行政令的重要动因之一。
二、内容要点分析
该行政令共11条,其中第一条到第八条是行政令的核心部分,集中、详细阐述了拜登政府对加强和完善美国网络安全管理的总体思路和具体要求。第一条到第八条的主要内容分别是:第1条 政策原则;第2条 共享威胁信息;第3条 联邦政府网络安全的现代化;第4条 加强软件供应链安全;第5条 成立网络安全审查委员会;第6条 规范联邦政府的网络安全漏洞和事件的应对方案;第7条 加强对联邦政府网络上网络安全漏洞和事件的检测;第8条 提高联邦政府的调查和补救能力。
综合来看,该行政令与美国政府以往的网络安全管理法规政策相比,创新和突出强调的内容主要有以下五个方面,结合行政令相关条文内容,分析如下。
(一)强化公私合作,加强威胁信息共享和健全网络安全审查机制
一是通过修订供应商合同,强化威胁信息公私共享。针对政府当前与供应商之间威胁信息共享不畅通的情况,行政令将其归结为合同授权条款可能限制相关部门对供应商掌握的威胁信息共享,因此,行政令具体明确了需要审查修改部分通用合同条款、以实现相关主管部门能共享威胁信息,提高应对效率的目的。行政令要求“在本命令颁布后的60天内,行政管理和预算局(OMB)局长须与国防部长、司法部长、国土安全部长和国家情报总监进行讨论,审查《联邦采购条例》(FAR)和《联邦采购条例国防部补充规定》中与IT和OT服务提供商相关的合同要求和语言,并就此类要求和语言的更新向FAR委员会和其他相关机构提出建议”,以实现“确保服务提供商与各机构、CISA和FBI共享数据,以便联邦政府应对网络威胁、事件和风险”的目的。同时,行政令对拟修改合同条款,还详细提出了在用语规范性、内容导向、程序进度等方面的具体要求。
二是建立网络安全审查委员会机制。从该委员会的人员构成来看,也充分体现了公私合作,这是美国在网络安全审查机制方面区别于前的一个重要特点。行政令明确了将私营部门代表纳入审查委员会,“须由国防部、司法部、CISA、NSA和FBI的代表以及由国土安全部长确定的私营部门的网络安全代表或软件供应商组成”。同时,审查委员会的审查内容也有扩大,不仅涵盖联邦网络系统,还扩大到相关的非联邦网络系统,“对影响FCEB(联邦文职行政部门)信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、缓解活动和机构响应进行审核和评估”、“对重大网络事件促使成立网络统一协调小组(UCG)”。
(二)锚定关键软件,强化软件供应链安全管理
联邦政府基于对软件供应链重要性的认识,以及当前商业软件开发缺乏足够安全意识和安全管控的情况,在行政令中对软件供应链提出了全面安全管控要求。一是部署“关键软件”界定工作,明确软件供应链安全管理重心。“在本命令颁布45天内,商务部长须与国防部长、国土安全部长、OMB局长和国家情报总监协商发布“关键软件”一词的定义,该定义须说明功能所需的权限或访问级别、与其他软件的集成和依赖性、对网络和计算资源的直接访问、信任的关键功能的性能以及受到入侵时导致的潜在损害”。二是部署开展系列标准指南编制,强化软件供应链全方位安全指引。明确提出标准指南要涵盖软件供应链的关键环节,包括:开发环境、工件(artifacts)证明、源代码保护、软件物料清单(SBOM)、漏洞披露机制等;还要求相关部门出台监管类规范指南,明确软件源代码最低测试标准、相关软件采购合同文本修订、相关安全要求的追溯效力等。三是通过示范试点,引导和鼓励对相关标准规范的贯彻普及。“基于现有消费品标识计划启动试点计划,为公众提供关于物联网设备安全能力和软件开发实践的培训,并考虑如何鼓励制造商和开发人员参与这些计划”。
(三)加强技术应用引导和统一部署,提高联邦网络安全整体能力
行政令提出推进联邦政府网络安全的“现代化”。重点突出联邦网络对云计算的应用部署、以及加强对数据存储和传输的加密认证。“联邦政府必须采取果断措施,现代化其网络安全方法,比如,在保护隐私和公民自由的同时,加强对威胁的检测”,“为简化过程,各机构须尽可能采用零信任架构向云技术迁移。CISA须现代化其现有的网络安全计划、服务和能力,以便在使用零信任架构的云计算环境中充分发挥功能”;“在本命令颁布后180天内,各机构应对静态和传输数据采用多重认证和加密”。同时,行政令还要求相关部门制定出台“联邦云安全战略”,制定和发布“云安全技术参考架构文档”等政策规范。
推行网络安全风险识别和响应流程的统一化。行政令重点对网络安全风险、事件的识别、应对提出了统一化要求。明确要求制定标准操作流程方案,并出台配套使用指南,确保联邦能够以“一致和集中的方式对事件进行分类并跟踪各机构成功响应的进度”。行政令要求“在本命令颁布后120天内,国土安全部长(通过CISA局长)须与OMB局长、联邦首席信息官理事会和联邦首席信息安全委员会协商并联合国防部长(通过NSA局长)、司法部长和国家情报总监,制定一套标准的操作流程,用于规划和实施FCEB信息系统相关的网络安全漏洞和事件响应活动。”,并要求“OMB局长须发布方案使用指南”。此外,还对流程方案的适用条件及审核提出了要求。
(四)部署推进EDR应用,提高网络安全监测发现能力
行政令要求推进EDR的部署,谋求提升网络安全保障中的事先发现能力。要点包括三方面,一是主推EDR,“部署端点检测和响应(EDR)计划,支持对联邦政府基础架构内网络安全事件的主动检测、主动的网络捕获、遏制和补救措施以及事件响应”。二是强调“体系化”部署推进,不仅部署了EDR“工作方案”(以主机级别识别、归因和响应为重点),也对相关机构推进部署提出“工作要求”,还对推进过程中相关机构数据的访问共享权限机制提出了重要关注。三是实现民口和军口“全覆盖”。在部署民口主管机构系统全面推进EDR的同时,行政指令还通过意见协同、会商协同的方式,加强国防系统在EDR部署方面特殊性的关注,主要涉及系统机密性、信息机密性考虑等。“为确保国防部信息网络(DODIN)指令与FCEB信息系统指令之间的一致性,国防部长和国土安全部长须与OMB局长进行协商”、“根据有关机密信息共享的法规,评估是否采纳其他部门发布的命令或指令中包含的指南”。
(五)强化日志信息管理,提高网络安全补救能力
行政令明确以日志管理为抓手,全面部署提升联邦政府系统的网络安全溯源补救能力。对日志信息的管理要求主要包括三个方面。一是强调对日志信息的维护和共享。“来自联邦信息系统(用于本地系统和云服务提供商等第三方托管的连接)的网络和系统日志信息对于调查和补救非常重要。各机构及其IT服务提供商必须收集和维护此类数据,并在有必要处理FCEB信息系统上的网络事件时,根据适用法律、按照要求向国土安全部长(通过CISA局长)和联邦调查局提供这些数据”。二是部署推进日志管理相关规范要求,“要维护的日志类型、保存日志的时间段和其他相关数据、各机构启用建议的日志和安全要求的时间段以及日志保护方法”,“日志收集后,须用加密手段保护其完整性,在整个保存期间,还须定期验证哈希值。数据须按照所有适用的隐私法律法规进行保存”。三是加强行政推进,落实规范实施,并强化共享。“制定政策,要求各机构制定日志记录、日志保存和日志管理要求,确保每个机构最高级别的安全行动中心的集中访问和可视性”,“这些要求的设计应允许机构根据需要酌情与其他联邦机构就网络风险或事件共享日志信息”。
三、影响和走势分析
从执行期来看,该行政令提出的各项要求最长的落实期为270天,时间周期不长。但从行政令提出的内容来看,其覆盖面较广,其反映出的网络安全思路也极有可能贯穿拜登政府的整个执政周期。该行政令对美国网络安全发展至少会产生以下影响。
(一)进一步推动美国网络安全“以攻为守”策略的修正回调
自克林顿时代起,网络安全逐渐被纳入美国的国家战略体系中,并在不同总统执政时期呈现出不同的发展风格,基本上遵循了由“防”到“攻”的发展脉络。特朗普执政时期,美国网络安全“攻”的特点达到阶段顶峰,“以攻为守”的网络安全策略在立法、政策、外交等诸多领域得到推行,扩张进攻的内容明显高于其巩固内部防御的内容比重。而去年以来发生的几起重大攻击事件,恰恰给这种“以攻为守”策略一个反思,也成为本次行政令的出台重要考虑因素。预计这种策略的转变和调整,很大概率上将持续、深化。
(二)加强对私营部门的管控,将成为联邦政府强化关键基础设施网络安全的重要突破口
众所周知,美国大多数关键基础设施及其网络由私营部门负责运营,而政府长久以来只强调发挥辅助作用,这样一来,发生网络攻击的很多时候政府都无法第一时间掌握全面的情况,防护和应对效果必然大打折扣。本次行政令的内容透露出一个重要倾向,就是政府将通过供应商选择权这一“杀手锏”,以修订合同条款的手段迫使相关供应商听从于管理要求,逐步推进信息共享,从而确保政府相关网络安全管理举措和机制的落地。可以预计,如果此次行政令内容得以顺利实施,该“杀手锏”将会被更多的应用到网络安全管理,乃至逐步扩展用于“理顺”美国联邦与私营部门之间的关系。
(三)拓展采用新技术和加强配套规范指导,将在强化联邦政府网络安全保障中“大有作为”
从行政令的内容比重来看,联邦政府在技术支撑和配套规范的部署上可谓浓墨重彩,云计算、零信任架构、EDR、多因子加密认证等技术和应用均被纳入行政令的视野,并加以具体部署。因此,该行政令甚至也被解读为是一部技术政策。细究原因,我们不难发现,一方面美国是信息技术巨头,在许多技术创新领域保持着对其他国家的绝对领先优势,而“以用促研、以用促产”则是保持这种领先优势的不二法门,加强应用部署也能够为美国相应的供应方提供巨大的市场,培育技术供给和储备、实现供需的良性互动。另一方面,加强配套技术规范的编制及贯彻,对于加强联邦相关部门之间、联邦机构与私营部门之间的沟通协调等,都具有积极意义,有助于理顺和优化联邦当前网络安全管理体系,拜登政府也可借此逐步由点及面、优化和完善其执政基础。
(四)“两手抓、两手硬”将成为加强供应链安全管理的新基调
特朗普执政期间其对供应链的管理主要呈现出“对外打压”的“一手”。拜登政府此次发布行政令,内容上看虽然更多地体现出“对内管控”的“另一手”,但从其执政以来在对外遏制上的态度来看,其也大概率还会持续以维护供应链安全为由,遏制潜在的竞争威胁,以谋求维护美国在全球科技、战略等诸多领域的继续领先。供应链安全将成为美国持续推行对外打压、对内管控“两手抓”的重要“阵地”。
《改善国家网络安全行政命令》的发布,无疑是美国网络安全管理的一个里程碑,也将成为美国网络安全保障体系发展的一个风向标。
点击链接,查看行政令完整版翻译: