拜登簽署總統令 增強軟件供應鏈安全

零信任安全不再只是聯邦機構的一個選項。

拜登政府于5月12日發布了一項業界期待已久的網絡安全行政命令（EO），要求聯邦機構制定一個零信任安全架構的實施計劃，旨在采用“大膽的舉措”提升美國政府網絡安全現代化、軟件供應鏈安全、事件檢測和響應以及對威脅的整體抵御能力。

（圖片來源網絡）

在最近發生的網絡攻擊事件之后，這項授權屬于對聯邦網絡安全現代化的更大推動，這些攻擊通過利用承包商SolarWinds制作的軟件和缺陷損害了聯邦機構。

"行政命令有助于推動聯邦政府確保云服務和零信任架構的安全，并授權在特定時間段內部署多因素身份驗證和數據加密，"有關該命令的概況介紹中寫道。"過時的安全模型和未加密的數據導致公共和私營部門的系統遭到破壞。聯邦政府必須帶頭，增加對安全最佳實踐的采用，包括采用零信任安全模式，加快安全云服務的移動，并持續部署基礎安全工具，如多因素身份驗證和數據加密。”

在60天內，機構負責人必須更新其現有計劃，"優先利用和使用云技術的資源"，并根據國家標準和技術研究所（NIST）的指導，發布關于向零信任轉移的新計劃。

除此之外，管理和預算辦公室將在未來90天內與國土安全部和總務管理局合作，制定和發布聯邦云安全戰略和指導意見。

而且，在180天內，民事機構將需要"對云服務中靜態和傳輸中的數據采用多因素身份驗證和數據加密，最大限度地符合聯邦記錄法和其他適用法律。

它還呼吁政府與私營部門之間加強威脅信息的共享，拜登總統行政命令的一大關鍵措施是強化供應鏈安全，要求所有聯邦政府軟件供應商都遵守有關網絡安全的嚴格規則，否則有被列入黑名單的風險。最終，該總統命令計劃創建一個“能源之星”標簽，以便政府和公共購買者都可以快速輕松地查看軟件是否遵循了安全開發規范。

拜登政府一位高級官員："目前市場對構建、銷售和修補的開發意味著我們經常將具有重大漏洞的軟件安裝到一些最關鍵的系統和基礎設施中。"維持現狀的代價是完全不能接受的。

此外，該命令還要求設立一個類似于國家運輸安全委員會的國家網絡安全審查委員會，并制定應對網絡安全事件的劇本。為此，行政當局命令各機構"利用一切適當資源和當局，通過改進終端檢測和應對措施，最大限度地盡早發現其網絡上的網絡安全漏洞和事件"。

眾議院國土安全委員會的民主黨人對拜登的行政命令表示贊許。

"網絡安全是一個國家安全問題，我們贊揚政府以這種方式確定優先級。SolarWinds 供應鏈攻擊暫時關閉了 5500 英里的天然氣管道，網絡攻擊危及我們的國家和經濟安全，"紐約州眾議員本尼·湯普森和紐約州眾議員伊維特·克拉克說，"過去六個月發生的網絡事件表明，今天和將來需要采取大膽行動來保衛我們的網絡。總統今天簽署的行政命令就是這樣。”

本次總統令提出六大舉措：

1. 政策支持。拜登指出，漸進式的改進不會給我們提供所需的安全性；相反，聯邦政府需要做出大膽的改變并進行大量投資，以捍衛支撐美國生活方式的重要機構。
2. 消除威脅信息共享的障礙
3. 增強軟件供應鏈安全
4. 增強軟件供應鏈安全
5. 成立網絡安全審查委員會
6. 聯邦政府網絡安全事件預案標準化