美国《联邦政府网络与关键性基础设施网络安全强化》行政令修订草案中文版
E安全2月22日文 全球网络安全新传媒E安全曾于1月29日报到了《美国总统特朗普将发布一项为期60天的国家网络安全状况报告》的资讯。本来预计,特朗普会在1月31日签署网络安全行政令。为此,白宫当天还召开了一系列会议,并预计当天下午晚些时候会在美国总统办公室签署这项行政令,但是,最后一刻,在没有任何解释的情况下,签署决定取消。
安全专家猜测,特朗普政府推迟发布网络安全政策可能与科技公司对H1B签证(E安全注:美国签证的一种,指:特殊专业人员/临时工作签证,发放给美国公司雇佣的外国籍有专业技能的员工,属于非移民签证的一种。持有H1B签证者可以在美国工作三年,然后可以再延长三年,6年期满后如果签证持有者的身份还没有转化,就必须离开美国。)的争议有关。推迟发布还可能与幕后游说有关,或班农在命令签发之前未告知特朗普而修改国家安全委员会命令,特朗普为此倍感愤怒,因此特朗普推迟签署所有后续命令。
据传,特朗普下令所有新行政命令要经过扩展程序寻求更多政府部门为此献计献策。似乎正因为如此,网络安全行政令要求其它部门给予更多想法,最终形成了篇幅冗长的文档,看起来这份行政令是抱着不确定性结果在增加工作量。以下是E安全译制的这份行政令修订草案的中文版,如以下翻译内容有错漏,请与我们联系获取奖励。
《联邦政府网络与关键性基础设施网络安全强化》行政令草案
根据美利坚合众国宪法及各项法律赋予特朗普作为美国国家总统的权力,现发布以下行政令:
第一节 联邦政府网络安全
(a) 政策。联邦政府各行政部门代表美国人民运营自身网络。这些网络与其上所承载之数据应由美国政府尽可能负责并加以保护。总统应负责保证各级政府及机构行政负责人(即机构负责人)对其相关业务风险加以管理。另外,考虑到各机构负责人所制定的风险管理政策将对该行政机构的整体风险产生影响,此项政策亦将作为美国各级行政单元之网络风险管理依据。
(b) 调查结果。
(i)网络安全风险管理包括全方位相关活动,用以识别并保护信息及信息技术(简称IT)资产免受未授权访问及其它威胁的侵扰,维护网络威胁感知,检测异常活动与事故对IT资产之影响,同时针对此类事故进行影响缓解、应对与恢复。
(ii) 行政机构长久以来一直使用过时且难以维护的IT与信息系统。
(iii)有效的风险管理方案不仅需要保护现有网络与数据,同时还需要能够通过规划以简化未来维护需求,并以协调方式与适当的周期性实现改进与现代化转型。
(iv)已知但尚未得到解决的安全漏洞已经成为各级行政部门与机构(简称机构)面对的最高安全风险之一。已知安全漏洞中包含已经超出供应商支持周期,未安装供应商所提供的安全补丁或者未能遵循特定安全配置指导的操作系统或者硬件设备。
(v) 有效的风险管理方案要求各机构负责人领导由具备IT、安全、预算、采购、法律、隐私及人力资源等相关专业知识的高层领导者构建之综合性团队。
(c) 风险管理
(i) 机构负责人将承担由总统分配的责任,负责实施能够与非授权访问、使用、披露、破坏、修改或者摧毁信息或系统之恶意行为的危害程度相称的风险管理措施。美国总统亦将通过美国法典第44章第二节第35条的规定,根据信息安全管理流程以及相关策略、运营与预算流程对相关负责人进行责任追究。
(ii)立即生效,各机构负责人应利用由国家标准与技术研究院(简称NIST)发布的关键性基础设施网络安全改进框架(简称框架)或者任何后续文章,用以管理其所在机构内的网络风险。各机构负责人应当在本行政令对机构框架实施作出说明后的90天之内,向美国公共与预算管理办公室(简称OMB)主任及国土安全部(简称DHS)部长提交风险管理报告。此份风险管理报告应当至少记录各机构负责人所采取的风险缓解与应对选择。任何由未解决安全漏洞所引发之可接受风险都必须在报告中明确提出。此份报告可根据实际情况采取部分或者整体保密的处理方式。
(iii) 根据美国法典第44章第二节第35条之规定,美国公共与预算管理办公室主任应借助国土安全部部长之支持以评估各个机构提交的风险管理报告,并借此判断各对应机构负责人所作出之风险管理决策是否适合且适用于该行政机构所面临的网络风险(或称为其网络风险‘测定’)。
(iv) 美国公共与预算管理办公室应配合国土安全部部长并借助来自商务部长及总务管理层的适当支持,从而在收取各机构风险管理报告的60天之内将(ii)小节内的概述内容通过国土安全与反恐助理提交至美国总统。其决心与规划应可实现以下目标:
(A)充分保护行政部门并发现现有安全纰漏;
(B)建立定期重新评估与测定流程;
(C)根据管理层的测定划拨对应行政机构实现风险管理所未满足之必需预算额度;
(D)根据美国法典第44章第二节第35条及本份行政令澄清、协调及重新发布各相关政策、标准与指南; 以及
(E) 将上述政策、标准与指南与本框架进行协调。本行政令中所述之报告可根据需求进行全部或部分保密。
(v) 立即生效,此项政策旨在帮助美国建立起一套更为现代化、更为安全且更具弹性的行政机构IT架构。
(A) 各机构负责人应在法律允许的范围内表明其对于共享式IT服务的采购偏好,具体包括电子邮件、云计算以及网络安全服务。
(B) 负责政府部门间与技术措施的总统助理应协同向总统递交由商务部长、国土安全部长、管理与预算办公室主任以及总务局局长整理的关于联邦政府IT现代化转型的报告。此份报告应在本项行政令发布的至多150天内完成,具体内容说明如下:
(1) 全部政府机构单一或者多套统一网络架构过渡工作的技术可靠性与成本效益及其时间表与里程碑说明,同时包含任何实施此过渡阶段的法律、政策或者预算考量内容; 以及
(2) 所有政府机构在过渡阶段内各共享IT服务的技术可行性与成本效益及其时间表与里程碑说明,具体包括电子邮件、云服务以及网络安全服务,同时包含任何实施此过渡阶段的法律、政策或者预算考量内容。
根据(1)与(2)小节要求评估技术可行性,此报告应考虑过渡阶段对各政府机构内共享IT服务的信息安全所造成的实际影响,具体包括提供建议以确保合规性水平满足44 U.S.C. 3553所提出的政策与实践要求。各机构负责人应提供与其当前IT架构及计划相关且完成此份报告所必需的信息内容。
(C) 在国家安全系统方面, 美国国防部长与国家情报总监应在最大程度上切实落实这项行政令。国防部长与国家情报总监应在本项行政令生效之日起15天之内向总统助理提交国土安全与反恐报告,用以说明相关实施举措。本行政令中所述的报告可根据需求进行部分或者整体保密。
第二节 关键性基础设施网络安全
(a) 政策。此项政策旨在确保美国政府做好利用其职权与能力以协助保护由国土安全部部长负责确定的各个关键性基础设施正常运作的准备。
(b) 关键性基础设施支持。根据2013年2月12日第21号总统行政令,国土安全部部长应配合国防部长、总检察长、联邦调查局局长、国家情报总局局长、对应具体部门负责人以及其他由国土安全部部长指定之机构负责人,共同:
(i) 根据2013年2月12日发布之13636号总统行政令(改进关键性基础设施网络安全)第9节的内容,确定机构可用于支持关键性基础设施所有者及运营者的职能与能力,从而应对一切可能对区域性或者国家性公众健康或安全、经济安全或者国家安全(第9节)产生不良影响的高风险攻击活动;
(ii) 遵循第9节内容并提供适当投入,借以评估是否及如何利用当前职能与能力实现(i)小节内容,从而支持风险管理举措并解决由此引发的各类障碍; 以及
(iii) 在本项行政令签署之日起180天内通过总统国土安全与反恐助理向总统递交一份经过适当保密的附件,其中包含以下内容:
(A) 根据本行政令所确定的职能与能力;
(B) 根据本行政令之要求与整理及制定的结果; 以及
(C) 用以更好支持第9节网络安全相关要求的调查结果与建议。
(c) 市场透明度支持。国土安全部部长应协同商务部长在本项行政令生效之日起的90天内,通过国土安全与反恐顾问向总统递交一份报告,用以审查现有联邦政府政策与作法,旨在充分提升关键性基础设施实体所采用的网络风险管理实践的市场透明度,同时重点强调关键性基础设施实体的公开交易事务。
(d) 核心通信基础设施。商务部长应协同国土安全部长主导一项开放且透明实施流程,用以确定并敦促所有核心通信基础设施所有者、运营者及其他利益相关者对基础设施的恢复能力加以完善,旨在显著降低由自动化与分布式攻击(例如僵尸网络)引发之安全威胁。商务部长与国土安全部长应征求总检察长、联邦调查局局长、各具体部门机构负责人、核心通信基础设施所有者及运营商及其他与此类事务相关之利益相关者的建议与意见。在本项行政令生效之日起240天内,商务部长与国土安全部部长应公开发布有关此项工作的初步报告。在本行政令生效之日起的1年之内,两位部长应和总统提交此份报告的最终版本。
(e) 电力中断事故应对能力评估。由于此项行政令旨在提升关键性基础设施部门的安全性水平,因此国土安全部长应协同能源部长以及各地方、乡镇与区域政府及其他利益相关者评估:
(i) 美国电力领域可能面对的严重网络事故之潜在范围与持续时间;
(ii) 美国对于管理此类事故之后续影响的准备程度; 以及
(iii) 任何能够缓解此类事故后续影响的资产或能力所存在之差距或短缺。
此项评估结果应在本项行政令生效之日起90天内通过总统国土安全与反恐助理提交至总统处,且根据需求进行保密。
(f) 国防作战能力与工业基础部门。国防部长、国土安全部部长以及联邦调查局局长应协同国家情报总署署长在此项行政令生效之日起的90天之内,通过总统国家安全事务助理及国土安全与反恐助理向总统提供一份报告,用以探讨国防工业基础体系面临的各类网络安全风险,具体包括美国军事平台、系统、网络与能力,同时提供用于缓解这些风险的相关建议。
第三节 国家网络安全
(a) 政策。此项政策用于促进建立开放、交互、可靠且安全的互联网体系,从而保障效率、创新、沟通与经济繁荣,同时尊重隐私,防止干扰、欺许与盗窃等行为。
(b) 威慑与保护。在此项行政令生效之日起的90天内,美国国务卿、财政部长、国防部长、司法部长、商务部长、国土安全部长及美国贸易代表应协同国家情报总监联合向总统提交一份国家性战略报告,其中应包括可用于威慑对手并更好保护美国人民免受利用网络技术破坏或颠覆此项政策的方案选项。
(c) 互联网自由与治理。互联网是支撑美国力量、创新与价值实现的资源集合。在本项行政令生效之日起的10天内,美国国务卿、财政部长、国防部长、商务部长及国土安全部长应协同总检察长向总统递交报告,用以说明如何支持多方流程以确保互联网保有有价值、可靠且安全的发展前景。
第四节 一般性规定
(a) 本项行政令中的任何条文不得被解释为危害性或者其它负面影响方向;
(i) 法律赋予行政部门或机构,或机构负责人相关职权; 或者
(ii) 公共管理与预算办公室在预算、管理或立法建议层面的职能。
(b) 此项行政令应与适用法律保持一致,并须符合适用性原则。
(c) 根据本项行政令所采取的一切行动应符合保护情报及执法消息来源与实施方法的要求及职权。本项行政令的中任何条文不得被视为可替代法律中对情报与执法行动所授权直接执行之特定行为及相关团体的具体保护举措。
(d) 本项行政令并非旨在亦不会为美国政府、各部门、机构或者职能实体、官员、雇员或者特工乃至其他任何人员在法律或者其它等同层面提供任何实质性或者程序性权限或者特权。
E安全对新草案要求提交的报告总结如下:
1. 每个机构在90天内向美国行政管理和预算局(Office Of Management And Budget,OMB)局长递交风险管理报告,描述机构如何实施NIST(美国国家标准技术研究所)网络安全指南
2. 商务部、国土安全部和OMB以及美国总务管理局(GSA)在150天内向总统提交报告,汇报联邦政府IT系统的现代化进程。
3. 国防部长和国家情报总监(DNI)在150天内向总统的反恐顾问提交报告,说明他们将如何构建加固的网络架构。
4. DNS在180天内向总统提交报告,说明该机构如何支持关键基础设施企业:第九节所述的实体。
5. 国土安全部和商务部在90天内向总统提交报告,考察第九节所述实体的透明度和风险管理做法。
6. 国土安全部和商务部在240天内(与国防部、总检察长、联邦调查局、联邦通信委员会和贸易委员会讨论过后)向总统提交报告,汇报如何应对拒绝式服务攻击和僵尸网络。
7. 90天内,向总统的反恐顾问提交评估报告,对美国电网的网络攻击风险进行评估。
8. 国防部、国土安全部、国家情报总监和联邦调查局在90天内向总统提交报告,汇报美国国防和军事系统面临的网络安全风险。
9. 财政部、国防部、总检察长、商务部、国土安全部、国家情报总监在90天内向总统提交报告,说明威慑对手以及更好保护美国人民的战略方案。
10. 国务院、财政部、国防部、商务部、国土安全部和总检察长在180天内向总统提交报告,汇报如何支持多个利益相关方的决策过程,使互联网处于自由开放的状态。
假设这份草案不经修订就通过,这些需要大量跨部门协作的报告要如何完成?即使这些机构办到了,特朗普要处理至少6份网络安全报告,想想都不太现实。看来,特朗普政府要学习的地方还有很多。
相关阅读:
特朗普网络安全专题分析报告:评估《加强美国网络安全与能力》行政令草案
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。