拜登網絡安全行政命令實施進度報告

拜登頒布的這個對全球網絡安全產業都有著巨大影響力的行政令進展順利嗎？

2021年5月12日，在上任頭幾個月接連遭遇令人震驚的重大網絡安全事件后，美國總統拜登發布了一項全面的網絡安全行政命令（EO 14028），主題為“改善國家網絡安全”。該命令是美國迄今頒布的最詳細、專業、“接地氣”的網絡安全政策，也被看作是影響美國乃至全球未來數年網絡安全產業發展的重要事件。

總統行政令給幾個聯邦政府機構的最后期限非常緊迫，以制定滿足嚴格網絡安全要求的新規則和指南，白宮希望這些規則和指南能夠更好地保護其政府機構免受惡意數字活動的侵害。此外，拜登總統令還激勵聯邦政府硬件和軟件供應商加大安全力度，以遵守政府合同。拜登希望通過政府預算的指揮棒作用，通過聯邦政府的新規則對私營部門組織產生積極的溢出效應。

網絡安全總統令要求采取46項行動

總統令要求美國商務部、國土安全部(DHS)、國防部(DOD)、管理和預算辦公室(OMB)、國家安全局(NSA)、局長、國家情報局、司法部長、聯邦采購監管(FAR)委員會和其他政府相關實體采取46項行動。而總統令分配的幾乎所有任務都需要多個政府機構的合作。

一些政府機構，特別是美國國家安全局，幾乎沒有對總統令有關的部分或者全部任務發表過公開評論。因此，目前要衡量某些任務的進度并不容易，其中至少11項任務的最后期限尚未到來。

迄今為止已完成的網絡安全總統令任務

以下總結了迄今為止已知已完成的19項任務的狀態，按規定的截止日期排序：

• 2021年5月26日，關于事件記錄的要求和建議。該命令的第8(b)節要求DHS秘書與司法部長和OMB內電子政府辦公室的管理員協商，向OMB主任提供關于記錄機構的系統和網絡事件和保留其他相關數據的要求的建議。此外，FAR委員會必須考慮這些建議。盡管關于此要求的公開信息很少，但國防部已經注意到，截至8月4日，FAR和國防采辦條例的工作人員正在研究此要求。
• 2021年6月11日，關于加強軟件供應鏈安全的外部擴展。該命令的第4(b)節要求商務部的國家標準與技術研究所(NIST)征求聯邦政府、私營部門、學術界和其他適當參與者的意見，以確定現有的或開發新的標準、工具、最佳實踐以及其他增強軟件供應鏈安全性的指南。NIST通過舉辦軟件安全研討會和征求有關標準和指南的立場文件來完成這項任務。
• 2021年6月11日，EDR實施建議。該命令的第7(c)節指示國土安全部秘書通過CISA主管向OMB主管提供有關實施擴展檢測和響應(EDR)計劃的選項的建議，這些計劃位于中心位置以支持主機級別的可見性、歸因、和對聯邦文職行政部門(FCEB)信息系統的回應。盡管這不是一項面向公眾的任務，但CSO確認它已完成。
• 2021年6月26日，確定網絡安全事件報告的組成部分。總統令的第2g(i)節要求美國國土安全部部長與國防部長通過NSA主任、司法部長和OMB主任協商，向FAR委員會推薦合同語言，以識別政府承包商的網絡安全事件報告。盡管沒有任何政府機構公開表示此要求，但國防部指出，21年8月4日，FAR和國防采辦條例的工作人員正在研究此要求。
• 2021年6月26日，關鍵軟件的定義。該命令的第4(g)和4(h)節要求商務部長通過NIST主任與國防部長通過NSA主任、國土安全部部長、CISA主任、OMB主任協商，以及通過國家情報總監發布關于關鍵軟件的定義。6月24日，NIST發布了此定義，并于2021年10月13日發布了修訂該定義的白皮書。同一天，NIST還提前發布了一份被認為是總統令關鍵軟件類別的初步（采購）清單。
• 2021年7月11日，SBOMS的最低要素。在總統令的第4(f)節中，商務部長必須與通信和信息部助理部長以及國家電信和信息管理局(NTIA)的管理員協調，發布軟件材料清單的最低元素(SBOM)。因此，商務部于2021年7月12日發布了一份28頁的文件，其中包含這些最低限度的要素。
• 2021年7月11日，關鍵軟件的安全措施。該命令的第4(i)節要求商務部長通過NIST總監與國土安全部部長通過CISA總監和OMB總監協商，發布關鍵軟件安全措施的概述指南。7月8日，NIST發布了一份包含這些安全措施的文件。
• 2021年7月11日，軟件源代碼測試的最低標準。總統令第4(r)節要求商務部長通過NIST總監與國防部長協商，通過NSA總監發布指南，為供應商測試其軟件源代碼的最低標準推薦最低標準。相應地，10月12日，NIST發布了一份文件，《軟件開發人員驗證最低標準指南》。
• 2021年7月11日，適當網絡安全要求的合同語言。該命令的第(2)(F)(i)節要求國土安全部部長通過CISA主任與國防部長通過NSA主任、OMB主任和總務署署長協商，審查機構是當前作為法律、政策或合同存在的特定網絡安全要求，并向FAR委員會推薦適當的網絡安全要求的標準化合同語言。盡管這不是一項面向公眾的任務，但CSO確認其已完成。
• 2021年7月11日，FCEB機構的云服務治理框架。該命令的第(3)(c)(iii)節指示國土安全部秘書通過CISA主管為FCEB機構制定和發布云服務治理框架。此任務已確認完成，并且該框架類似于CISA公開發布的云技術參考架構（見下文）。
• 2021年7月26日，關于持續診斷和緩解計劃的MOA。總統令第(7)(f)節要求國土安全部秘書通過CISA主管訪問與威脅和漏洞分析和評估以及威脅搜尋目的相關的機構數據。該命令還要求各機構與CISA建立或更新關于持續診斷和緩解計劃的協議備忘錄(MOA)，以確保CISA可以根據適用法律獲得和訪問對象級數據。該任務已確認完成，所有23個相關機構MOA均已簽署。
• 2021年8月10日，云計算和零信任架構。根據總統令第3(c)節，國土安全部秘書通過CISA主任與通過聯邦風險和授權管理計劃(FedRAMP)在總務管理局內行事的總務管理員協商，需要將云服務提供商(CSP)納入機構現代化開發安全工作的管理原則，特別關注實際可行的零信任架構。9月7日，CISA開發了零信任成熟度模型，以幫助機構實施零信任架構。8月，CISA發布云安全技術參考架構。
• 2021年8月10日，聯邦云安全戰略。該命令的第3(i)節要求OMB主管與通過CISA主管行事的DHS秘書和通過FedRAMP行事的總務管理員協商，制定聯邦云安全策略并使機構更接近零信任架構。8月，OMB發布了一份備忘錄草案，將美國政府推向零信任網絡安全原則。
• 2021年8月10日，云安全技術參考架構。該命令的第3(ii)節要求DHS秘書通過CISA主管與OMB主管和通過FedRAMP行事的一般服務管理員協商，制定和發布FCEB云安全技術參考架構文檔，說明為機構數據收集和報告推薦的云遷移和數據保護方法。9月初，CISA發布了其云安全技術參考架構以征詢公眾意見。
• 2021年8月10日，關于如何實施威脅搜尋活動的報告。該命令的第(7)(i)節要求CISA主任向OMB主任和總統國家安全事務助理(APNSA)提供一份報告，說明根據公法116-28第1705節授予的權力如何執行正在實施未經機構事先授權在FCEB網絡上進行的威脅搜尋活動。該報告還要求推薦確保關鍵任務系統不被中斷的程序、通知系統所有者易受攻擊的政府系統的程序以及在FCEB信息系統測試期間可以使用的技術范圍。CISA董事還必須向APNSA和OMB董事提供關于根據公法116-283第1705節采取的行動的季度報告。盡管這不是一項面向公眾的任務，但CSO確認它已完成。
• 2021年8月24日，提高調查和補救能力。總統令第8(c)節要求OMB主任與商務部長和DHS部長協商，為機構制定政策，以建立日志記錄、日志保留和日志管理的要求，以確保集中訪問和可見性每個機構的最高級別的安全運營中心。因此，8月27日，OMB代理主任Shalanda Young發布了一份關于提高聯邦政府與網絡安全事件相關的調查和補救能力的備忘錄，其中包括建議的事件日志管理成熟度模型以及機構實施要求。
• 2021年9月9日，促進機構與CIS和FBI共享數據的步驟。該命令的第(2)(e)節要求DHS秘書和OMB主任采取適當措施，以最大程度地確保服務提供商與聯邦政府可能需要的機構、CISA和FBI共享數據以應對網絡威脅、事件和風險。盡管這不是一項面向公眾的任務，但CSO確認它已完成。CISA此前還向FAR委員會提供了建議，以進一步消除承包商與聯邦政府之間信息共享的障礙。
• 2021年9月9日，開發用于漏洞和事件響應活動的手冊。該命令的第(6)(b)節要求國土安全部部長通過CISA主任行事，與OMB主任、聯邦首席信息官委員會和聯邦首席信息安全委員會協商，并與國防部長協調通過NSA局長、司法部長和國家情報局局長，制定一套標準的操作程序（劇本），用于規劃和實施與FCEB信息系統相關的網絡安全漏洞和事件響應活動。盡管這不是一項面向公眾的任務，但CSO確認它已完成。
• 2021年8月11日，增強軟件供應鏈安全性。總統令第4(c)節要求NIST主任根據聯邦政府、私營部門、學術界的意見和現有文件發布初步指南，以增強軟件供應鏈安全性。10月28日，NIST在其800-161文件“網絡安全供應鏈風險管理實踐的系統及組織”的修訂版附錄F中公布了這些準則和指南。