美備忘錄提升國安、國防和情報系統網絡安全 - 網安 - 專業的網絡安全產業、社區、知識平臺

美國總統喬拜登今日簽署了一份國家安全備忘錄，旨在改善國家安全、國防部和情報社區系統網絡安全。

根據拜登2021年5月的行政命令，該備忘錄要求國家安全系統“采用與聯邦民用網絡所要求的相同的網絡網絡安全措施”。它還賦予國家安全局監督網絡安全改進的新權力，該機構現在還將收集有關影響國家安全系統的事件的報告。NSA將有權發布自己的緊急指令，并要求其管轄范圍內的機構按照2022年制定的具體時間表采取具體行動減輕網絡威脅。白宮在一份情況說明書中表示，該備忘錄“建立在拜登政府保護我們國家免受來自民族國家行為者和網絡犯罪分子的復雜惡意網絡活動的工作的基礎上”。官員們表示，該備忘錄“提高了我們最敏感系統的網絡安全標準”。

該指令詳細說明了2021年行政命令的規定如何適用于“國家安全系統”，該系統將由NSA局長Paul Nakasone指定。它還為如何實施這些要求制定了時間表和指南。參議院情報特別委員會主席、弗吉尼亞州民主黨參議員馬克·華納贊揚了這份備忘錄，但呼吁立法提高影響關鍵基礎設施的網絡事件的透明度。“在其他優先事項中，這項 NSM 要求聯邦機構報告網絡犯罪分子和國家資助的黑客破壞其系統的努力，”華納在新聞稿中說。“現在是國會采取行動的時候了，通過我們的兩黨立法，要求關鍵基礎設施所有者和運營商在 72 小時內報告此類網絡入侵。”

頂級網絡安全專家表示，這份備忘錄對聯邦網絡來說是富有成效的一步。“美國網絡空間被圍困。我從未見過如此系統性的沖擊，”VMware網絡安全戰略負責人、美國特勤局網絡調查咨詢委員會成員湯姆·凱勒曼(Tom Kellermann)說。“這份備忘錄具有戰略意義，將顯著提高我們國家安全系統的長期安全性。”

周二，美國國家安全局網絡安全主管羅布喬伊斯在推特上說：“這份國家安全備忘錄有很好的工具，可以幫助美國國家安全局作為聯邦團隊的一部分保護最敏感的網絡！”同樣在推特上，國家網絡總監Chris Inglis 寫道，該備忘錄標志著網絡政策的“聯邦一致性”又向前邁出了一步。同樣，全球網絡聯盟總裁兼首席執行官、國土安全部國家網絡安全中心前主任 Phil Reitinger 表示：“在使用與其相關的云系統方面賦予 NSA 更大的責任和權力是相當有意義的，就像增加專注于零信任架構。”

備忘錄組件

白宮官員表示，該備忘錄將通過要求機構識別其國家安全系統并向美國國家安全局報告發生在其上的網絡事件，來幫助提高“網絡安全事件的可見性”。NSA 被認為是美國機密系統的“國家管理者”。該備忘錄還要求各機構采取行動保護或減輕對這些系統的網絡威脅。也就是說，它授權 NSA 制定“具有約束力的操作指令”，要求機構針對已知或可疑的安全威脅和漏洞采取行動。政府官員表示，該指令的授權模仿了國土安全部通過 CISA 監督民間政府網絡的努力。該備忘錄還“指示NSA和DHS共享指令并相互學習，以確定一個機構指令中的任何要求是否應該被另一個機構采用。”

該備忘錄還要求各機構確保跨域解決方案或在機密和非機密系統之間傳輸數據的工具的安全。政府官員補充說：“對手可以尋求利用這些工具來訪問我們的機密網絡，而NSM會采取果斷行動來減輕這種威脅。”白宮補充說，將要求相關機構清點他們的跨域解決方案，美國國家安全局將制定安全標準和測試要求，以更好地保護這些系統。根據備忘錄，國防部、聯邦調查局、中央情報局和國家情報總監辦公室將有責任創建一個框架，以對國家安全系統進行事件響應活動。到 3 月，擁有處理敏感或機密國家安全數據系統的機構必須更新其零信任和云采用計劃。到 4 月，國家安全系統委員會將為云中的國家安全 IT 系統建立“最低”安全控制。到 7 月，機構將被要求確認其相關系統正在使用多因素身份驗證和加密協議來處理靜態數據和傳輸中的數據。

該指令還為國防和情報機構提供六個月的時間來記錄可能不合規或未能使用 NSA 批準的加密算法的系統。他們還將負責設定更換時間表。周三發布的情況說明書稱，“網絡安全是拜登政府的國家安全和經濟安全的當務之急”，拜登政府繼續“以前所未有的方式優先考慮和提升網絡安全”。

官員們指出，為改善電力和管道行業的網絡安全而采取的“突飛猛進”措施已經讓為 9000 萬美國人提供服務的大約 150 家公用事業公司承諾部署特定的網絡安全控制措施。他們補充說，拜登還發布了一份備忘錄，建立了自愿的網絡安全目標，并對關鍵基礎設施的供應商抱有期望。

官員們表示：“我們將繼續與私營部門密切合作，將網絡安全作為其維持業務連續性努力的核心部分。”

備忘錄全文機翻如下：

提高國家安全、國防部和情報社區系統的網絡安全

本備忘錄規定了相當于或超過2021年5月12日第14028號行政命令（改善國家網絡安全）中規定的聯邦信息系統網絡安全要求的國家安全系統 (NSS) 要求，并確立了確保例外情況的方法特殊任務需要所必需的情況。第14028號行政命令規定，聯邦政府必須通過大膽的變革和對網絡安全的重大投資，加大力度識別、阻止、防范、檢測和應對惡意網絡活動及其參與者。

根據14028號行政命令，NSS應包括44 USC 3552(b)(6)中定義為NSS的系統以及所有其他國防部和情報界系統，如44 USC 3553(e)(2) 和3553(e)(3)。

第1節執行國家安全系統的第14028號行政命令。

(a) 第14028號行政命令的第1節和第2節應全部適用于NSS，但管理和預算辦公室主任和國土安全部部長在第2節中行使的權力應由國家經理行使關于NSS。

(b) 與第14028號行政命令第3節一致：

(i) 在本備忘錄發布之日起 90 天內，國家安全系統委員會 (CNSS) 應制定并發布指南，除了 CNSS 指令 (CNSSI) 1253，關于與云遷移和操作相關的最低安全標準和控制對于 NSS，考慮到商務部內的國家標準與技術研究院 (NIST) 在標準和指南中概述的遷移步驟。

(ii) 在本備忘錄發布之日起 60 天內，擁有或運營 NSS 的每個執行部門或機構（機構）的負責人應根據其法定權限：

(A) 更新現有機構計劃，優先考慮采用和使用云技術的資源，包括在可行的情況下采用零信任架構；

(B) 制定實施零信任架構的計劃，其中應酌情納入：

(1) NIST 特別出版物 800-207 指南（零信任架構）；
(2) 關于零信任參考架構的 CNSS 指令；
(3) 其他有關企業架構、內部威脅和訪問管理的 CNSS 指令、指令和政策；

(iii) 在本備忘錄發布之日起 180 天內，各機構應對 NSS 靜態數據和傳輸中的數據實施多因素認證和加密。在機構負責人確定機構無法實施這些措施的情況下，機構負責人應根據本備忘錄第 3 節規定的程序授權例外。

(iv) 為確保 NSS 之間廣泛的密碼互操作性，所有機構應使用 NSA 批準的、基于公共標準的密碼協議。如果任務唯一要求排除使用基于公共標準的加密協議，則可以使用 NSA 批準的任務唯一協議。機構不得授權不使用經批準的加密算法和實施的新系統運行，除非機構負責人根據本備忘錄第 3 節授權的例外情況。

(A) 自本備忘錄發布之日起 30 天內，NSA 應審查 CNSS 政策 15，并向 CNSS 提供有關已批準的商業國家安全算法 (CNSA) 列表的任何更新或修改。
(B) 自本備忘錄簽署之日起 60 天內，國家安全局應修訂并向首席信息官提供 CNSS 咨詢備忘錄 01-07（信息保障加密設備現代化）以及任何相關附件和有關現代化規劃、使用的相關參考資料不受支持的加密、批準的任務獨特協議、抗量子協議以及必要時使用抗量子密碼的計劃。
(C) 在本備忘錄簽署之日起 90 天內，CNSS 應確定并優先更新所有與密碼相關的政策、指令和發布，并且 CNSS 應向國防部長、國家情報總監和國家安全局提供酌情管理重新發布這些政策的時間表，不超過 6 個月。
(D) 在本備忘錄發布之日起 180 天內，機構應根據第 1(b)(iv)(A) 節在適當的情況下識別任何不符合 NSA 批準的量子抗性算法或 CNSA 的加密實例，以及(B) 本備忘錄，并應以不超過絕密//SI//NOFORN 的機密級別向國家經理報告：
(1) 使用不合規加密的系統，包括在現有豁免或例外情況下運行的系統；
(2) 將這些系統轉換為使用合規加密的時間表，包括抗量子加密；
(3) 根據本備忘錄第 3 節，從過渡到合規加密的任何例外情況，應由國家經理額外審查，并每季度向國防部長和國家情報總監報告各自管轄范圍內的系統。如果共同確定共同風險，國家經理在與系統所有者協調并僅在參與之后才可以包括其他相關機構。

(v) 自本備忘錄簽署之日起 90 天內，國家經理應與國家情報局局長、中央情報局局長、聯邦調查局局長和有關部門負責人協調國防部長，開發一個框架來協調和協作與 NSS 商業云技術相關的網絡安全和事件響應活動，以確保機構、國家經理和云服務提供商 (CSP) 之間的有效信息共享。

(a) 國家經理應與國土安全部部長協調，確保按照框架的規定，國土安全部部長和國家經理在商業 CSP 網絡安全方面的努力和協作是聯邦統一的和事件管理，與每個機構對聯邦民事行政部門 (FCEB) 和 NSS 網絡安全的職責一致，并確保跨 CSP 環境快速和徹底的端到端風險緩解。

(b) 國家經理應確保框架的最終版本與國家情報局局長、中央情報局局長、聯邦調查局局長和部門相關部門負責人協調的防御。

(i) 除非法律另有授權，或機構負責人根據本備忘錄第 3 節授權的例外情況，否則機構應遵守根據第 14028 號行政命令第 4 節制定的用于任何軟件的標準此類軟件適用的 NSS。

(ii) 在本備忘錄發布之日起 60 天內，國家經理應與國防部長和國家情報總監協調，審查管理和預算辦公室根據第 4(i) 節發布的指導意見14028 號行政命令，并應發布類似指南。

(iii) 機構可以要求國家經理延長與滿足本備忘錄第 1(c)(ii) 節中發布的適用要求相關的時間期限，國家經理將根據具體情況考慮- 以案例為基礎，并且僅附帶滿足要求的計劃。國家經理應向國防部長和國家情報總監提交一份季度報告，說明在其各自管轄范圍內授予系統的所有擴展以及這樣做的理由。如果共同確定共同風險，國家經理在與系統所有者協調并僅在參與之后才可以包括其他相關機構。

(d) 第 14028 號行政命令第 6 節應適用于 NSS 所有者和運營商，在機構根據行政命令第 6(f) 節完成事件響應后，利用國家經理審查和驗證機構的事件響應和補救結果14028。

(e) 行政命令 14028 的第 7 節應適用于行政命令中特別提及的 NSS 所有者和運營商，附加要求如本備忘錄第 2(b) 節所述。

(f) 在本備忘錄日期的 14 天內，國家經理應與國防部長和國家情報總監協調，向 CNSS 提供第 14028 號行政命令第 8(b) 節所述的建議。

(i) 在收到根據本備忘錄第 1(f) 節發布的建議后 90 天內，CNSS 應制定政策，供機構建立此類要求，確保最高級別安全運營中心的集中訪問和可見性每個機構的。

(ii) 為協助響應已知或可疑的 NSS 危害，根據本備忘錄第 1(f) 節發布的建議應包括要求機構應要求允許特定指定個人或基于國家經理與機構負責人或指定人員之間商定的特定 NSA 網絡防御任務角色。

2. 與國家安全系統有關的國家管理機構。

(a) 國家安全系統的指定和識別。

(i) 國家經理應促進整個聯邦政府指定 NSS。每個機構應繼續負責識別、指定、認證和保護在其所有或控制下的所有 NSS，包括代表該機構運營和/或維護的 NSS。國家經理可能會定期向運營 NSS 的機構請求訪問有關指定和識別此類系統的 NSS 信息。
(ii) 在本備忘錄發布之日起 30 天內，國家經理應制定流程，以協助機構識別和清點那些構成或可能構成 NSS 的信息系統，并應向支持機構發布指導以做出這些決定機構首席信息官。NSS 應以足以了解社區范圍網絡安全風險的詳細程度進行盤點，由國家經理確定，并且此類信息不得超過絕密//SI//NOFORN 的分類級別。
(iii) 在本備忘錄發布之日起 90 天內，各機構應通過本備忘錄第 2(a)(ii) 節中指定的流程確定并維護指定為 NSS 的那些系統的清單。機構應保留自己的清單，以供指定的個人訪問，或根據國家經理與機構負責人或指定人員之間的協議，根據特定的 NSA 網絡防御任務角色進行訪問。
(iv) 如果國家經理對確定一個系統是否構成 NSS 有疑慮，國家經理應聘請相關機構的負責人以解決指定問題。如果國家經理和機構負責人無法達成雙方都能接受的解決方案，國家經理可以要求機構負責人將分歧報告給國防部長和國家情報總監，以便進一步考慮內部系統各自的管轄范圍。如果共同確定共同風險，國家經理在與系統所有者協調并僅在參與之后才可以包括其他相關機構。
(v) 一旦一個系統被確定并指定為 NSS，將需要通知國家經理、國防部長和國家情報總監，對于在其各自管轄范圍內的系統，將這些系統重新指定為非 NSS。如果共同確定共同風險，國家經理在與系統所有者協調并僅在參與之后才可以包括其他相關機構。

(b) 事件報告。

(i) 為促進威脅檢測和響應，以及對 NSS 網絡安全狀態的全面了解，機構應在機構檢測或承包商（包括信息和通信技術服務提供商）或其他聯邦或非聯邦實體，如果已知或疑似泄露或以其他方式未經授權訪問 NSS，請通過相應的聯邦網絡中心或其他指定的中央部門聯絡點向國家經理報告此類泄露或未經授權的訪問。機構還應根據根據本備忘錄第 1(f) 節制定的政策向國家經理提供相關信息。

(ii) 機構在檢測到或向機構報告后，還應通過其適當的聯邦網絡中心或其他指定的中央部門聯系點向國家經理報告托管跨域解決方案的網絡的任何損害或未經授權的訪問（ CDS），當 CDS 的一側連接到由機構或代表機構運營的 NSS 時。

(iii) 在本備忘錄發布之日起 90 天內，國家經理應與國家情報局局長和中央情報局局長協調，制定報告已知或疑似 NSS 危害或未經授權訪問NSS，其中應包括：

(A) 閾值、所需信息和其他標準；
(B) 檢測到 NSS 面臨迫在眉睫的威脅時的應急程序；
(C) 對受影響機構啟動響應活動的及時性預期；
(D) 國家經理和受影響機構之間的威脅和妥協報告機制；
(E) 國家經理對根據本節收到的任何信息的保護和處理的期望，包括有關保護情報來源和方法以及進行反情報調查的任何考慮；
(F) 期望在機構未報告已知或疑似 NSS 危害的情況下，就其各自管轄范圍內的系統向國防部長和國家情報總監提供建議；和
(G) 如果共同確定共同風險，國家經理與系統所有者協調并僅在其參與后才將其他相關機構包括在內的程序。

(iv) 本節要求的任何報告的接收者可能僅限于指定的指定個人，或者根據特定的 NSA 網絡防御任務角色，由國家經理和機構負責人或指定人員商定。在特殊情況下，如果機構負責人認為為了保護情報來源和方法、反情報調查或執法敏感信息而限制報告是可取的，則報告可能會由機構保留，但受本備忘錄第 2(a)(iii) 條。

(i) 緊急指令。為響應已知或合理懷疑的信息安全威脅、漏洞或對 NSS 的信息安全構成重大威脅的事件，或對手能力和針對 NSS 的意圖的情報，國家經理可以發布國家經理緊急指令，以機構負責人，通過該機構的首席信息官、首席信息安全官或該機構負責人指定的官員，就本備忘錄中定義的該 NSS 的運營采取任何合法行動，包括此類由另一個實體代表機構使用或操作的系統，目的是保護 NSS 免受或減輕威脅、脆弱性或風險。
(ii) 具有約束力的操作指令。為保護 NSS 免受已知或合理懷疑的信息安全威脅、漏洞或風險，國家經理可與國防部長和國家情報總監協調，針對各自管轄范圍內的系統發布國家經理對機構負責人的約束性運營指令，通過該機構的首席信息官、首席信息安全官或機構負責人指定的官員，就該 NSS 的運營采取任何合法行動，如定義在本備忘錄中，包括由其他實體代表機構使用或運營的此類系統，目的是保護 NSS 免受或減輕威脅、脆弱性或風險。此外，
(iii) 實施程序。在本備忘錄發布之日起 30 天內，國家經理應與國防部長和國家情報總監協調，制定有關根據本款發布指令的程序，其中應包括：
(A) 閾值和其他標準；
(B) 向可能受影響的第三方發出通知；
(C) 要求采取行動的原因和指令的持續時間；
(D) 隱私和公民自由保護；
(E) 采取措施確保在這種情況下對運營產生最小影響的 NSS；和
(F) 將指令限制在可行的最短期限內。

(iv) 通知和協助。國家經理應在發布緊急指令或具有約束力的行動指令后立即以書面形式通知任何受影響機構的負責人、國防部長、國土安全部長和國家情報總監，并應提供技術和對執行機構的業務援助。

(v) 指令的協調和調整。為確保 NSS 和 FCEB 信息系統指令的國家經理指令一致，國家經理和國土安全部長與國防部長和國家情報總監協調，應：

(A) 在本備忘錄簽署之日起 60 天內，制定程序讓國家經理和國土安全部部長立即相互分享國家經理約束性操作指令和緊急指令，以及國土安全部緊急指令和約束性操作指令指令，適用于各自管轄范圍內的信息網絡。該程序應充分處理適用的信息共享指南，包括保護機密信息、保護情報來源和方法以及保護其他機構來源的信息；
(B) 評估是否采用根據本備忘錄第 2(c)(v)(A) 節規定的程序收到的指令中包含的任何要求或指導，與法律、行政命令、聯邦法規和指令相一致共享機密信息；和
(C) 在收到根據本備忘錄第 2(c)(v)(A) 節規定的程序發布的指令通知的 7 天內，通知總統國家安全事務助理 (APNSA) 或其指定人員本備忘錄第 2(c)(v)(B) 節中描述的評估、是否采用收到的指令中包含的要求或指南的決定、決定的理由以及采用要求的時間表或指導（如果適用）。
(D) 跨域解決方案。

(i) 由于 CDS 分離并支持不同安全域之間的受控信息交換，它們是需要集中可見性的重要 NSS。

(ii) 在運營國家跨域戰略和管理辦公室（NCDSMO）時，國家經理應是 NSS 跨域能力和任務需求的焦點，并應：

(A) 作為 NSS 所有者跨域能力的主要顧問；
(B) 制定和維護社區外展計劃和論壇；
(C) 為CDS開發和建立改進的安全解決方案、遠程管理和監控、網絡防御、過濾要求以及標準和技術；
(D) 運行跨域安全測試程序，確保統一的綜合測試。

(iii) 在本備忘錄發布之日起 60 天內，國家經理應與情報界首席信息官協調，向所有運營與 NSS 連接的 CDS 的機構發出指令，以提供有關這些部署和應制定收集和接收此類信息的時間表，要求各機構：

(A) 驗證來自 CDS、支持系統和連接系統的日志是否由機構收集和存檔，足以支持調查和事件響應活動，并確保日志完整且機器可讀，并可以訪問該信息根據本備忘錄第 2(b) 節提供給國家經理；
(B) 確認已為部署的 CDS 安裝了最新的授權補丁；
(C) 報告升級到其 CDS 的 Raise-the-Bar (RTB) 兼容版本的狀態；
(D) 更新或制定所有 CDS 安裝的行動計劃和里程碑，以符合 NCDSMO CDS 安全要求，并將這些計劃提供給國家經理，包括已確定的可能妨礙 RTB 合規的資金障礙。

(iv) 在本備忘錄簽署之日起 90 天內，相關機構負責人應為其管轄范圍內的所有 CDS 部署建立和維護 CDS 部署清單，但須由指定的個人訪問，或基于特定的 NSA 網絡防御任務角色，由國家經理和機構負責人或指定人員商定。與國防部長和國家情報總監協調，國家經理應定義保持準確庫存不超過絕密//SI//NOFORN分類級別所需的基本信息要素，應定義初始和持續機構報告期望，并應向 CDS 所有者提供報告和更新所需的流程。

3. 例外。(a) 每當機構負責人確定獨特的任務需要需要將任何 NSS 或 NSS 類別排除在行政命令 14028 或本備忘錄的任何規定之外時，機構負責人可以授權此類例外，前提是此類例外可以僅在以下方面獲得授權：

(i) 在機構負責人確定實施這些要求不可行或違反國家安全的情況下，有助于支持或開展軍事、情報或敏感執法活動的系統；
(ii) 對美國政府的歸屬模糊不清，并且由于執行這些要求而導致這種歸屬受到合理威脅的系統；或者
(iii) 為漏洞研究、測試或評估目的而采購的信息系統或軟件，這些信息系統或軟件不打算在機構運營網絡中使用。

(b) 如果機構負責人根據本備忘錄第 3(a) 節選擇授權例外，機構負責人應通知國家經理并提供：

(i) 對所討論的一個或多個系統的功能的一般描述；
(ii) 接受由例外導致的網絡安全風險增加的理由；
(iii) 描述該 NSS 可能受到的任務影響和機構響應；
(iv) 證明已經或將要實施所有可行的風險緩解措施。

(i) 發布例外規定流程，包括：報告時間表預期；格式；允許在一個例外中組合在一起的系統類別；和其他所需的信息元素，包括本備忘錄第 3(b) 節中描述的那些元素。例外情況應足夠詳細，以建立和保持適當水平的全社區風險意識，并適當刪減以保護敏感的情報來源或方法，并且分類不得超過絕密//SI//NOFORN；和
(ii) 與各機構協調，為每個機構建立一個權威資料庫，以維護該機構授權的所有例外情況的綜合清單，但須由指定的個人或基于特定的 NSA 網絡防御任務角色訪問，如國家之間達成的協議經理和機構負責人或指定人員。

(d) 機構的首席信息官應保留有關系統異常的內部記錄，該記錄足夠詳細，以有效和及時地識別和緩解可能影響這些系統的任何網絡安全問題。

(e) 如果國家經理和機構負責人無法就例外理由的充分性、影響的描述、響應、緩解措施的充分性或對風險增加的總體接受程度達成一致，國家經理應要求機構負責人將差異報告給國防部長和國家情報總監，以進一步考慮其各自管轄范圍內的系統。如果共同確定共同風險，國家經理在與系統所有者協調并僅在參與之后才可以包括其他相關機構。

4. NSS 政策制定或調整行動總結。在本備忘錄發布之日起 90 天內，CNSS 應與國家經理協商，審查本備忘錄并向 APNSA 提交 NSS 政策制定或調整行動及其實施時間表的摘要。本摘要將包括以前未在本備忘錄中針對國家經理或機構的任何其他項目。

5. 一般規定。

(a) 本備忘錄旨在補充 NSD-42。
(b) 本備忘錄中的任何內容均不得解釋為更改或取代：
(i) 法律授予行政部門或機構或其負責人的權力，包括保護情報來源和方法；
(ii) 管理和預算辦公室主任與預算、行政或立法提案有關的職能。
(c) 本備忘錄中的任何內容均未授權干預或指導反情報、人員、刑事或國家安全調查、逮捕、搜查、扣押或破壞行動，或更改要求機構保護信息的法律限制在反情報、人事、刑事或國家安全調查過程中學到的知識。
(d) 本備忘錄應以符合適用法律的方式實施，并應視撥款情況而定。任何實施措施均不得妨礙情報活動的進行或支持，所有此類實施措施均應旨在保護情報來源和方法。
(e) 本備忘錄無意也不會創造任何權利或利益，無論是實質性的還是程序性的，任何一方在法律上或衡平法上都可以針對美國、其部門、機構或實體、其官員、雇員執行，或代理人，或任何其他人。