一纸政令保平安:特朗普终于签下网安行政令
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月12日讯 当地时间周四,特朗普终于签署了搁置已久的网络安全行政令,并表示,政府将开始在整个美国政府机构范围内管理网络风险,让联邦机构各自负责保护自身网络,并将实现联邦IT现代化作为加强计算机安全的核心。
负责国土安全和反恐事务的总统国家安全事务助理托马斯·博塞特在白宫新闻发布会上称,美国当前在网络空间安全问题上走在错误的方向上,包括美国盟友和敌人,主要是国家行为体但也包括非国家行为体,对美国的网络攻击越来越多,白宫花了大量时间和资金保护陈旧过时的系统,这一行政指令将扭转这一趋势以确保美国民众的安全。
今年1月,这份行政令本应签署,但那时特朗普最后却取消签署,之后白宫就开始制定越来越详细的草案。
相关阅读:
目前,白宫还未从FBI局长科米被解职突发事件中抽离出来,而周四突然宣布签署网络安全行政令,令人始料未及。
十几家大型网络安全公司与科技公司定期与白宫讨论这份网络安全行政令。据两名了解反馈程序的知情人士透露,这些公司之前并不知道特朗普会在周四签署这份行政令。
当被问及这份行政令为何会搁置如此长的时间,博塞特回复称,特朗普政府因急于推出例如移民禁令等政策而面临批评。他表示,政府会因太过仓促做决定而被批评,而如今也许会因为动作太过拖沓而被指责,因此在这个时间签署网络安全行政令这可能是最佳时机。
集中管理有风险
博塞特表示,除了实现联邦IT现代化,特朗普政府保护联邦网络安全的策略核心在于将整个联邦政府视为一个企业,这份行政令决定将风险集中,并集中制定安全优先决策。如果不这样做,联邦政府将无法充分了解存在的风险以及相应的缓解措施。
“时间”原则
博塞特指出,每个部门或机构有责任保护自身网络,但是,它们同样有责任将风险报告给白宫、总统,以便他们能审视并决定是否需要采取额外的措施降低风险。每个机构的负责人应在90天内向行政管理和预算办公室(OMB)主任和国土安全部长提交风险管理报告。
特朗普还要求在90天内提交如何提升政府安全采购协议透明度的报告,此外,他还将重心集中在以下特定威胁中:
特朗普希望商务部和国土安全部长在240天内提交僵尸网络威胁报告。报告将在一年后发布,可能会适当修改,以便公众能了解美国如何打击威胁。
能源部长和国土安全部须在90天内提交国家电力系统遭受的黑客威胁。
国防部长、国土安全部长和FBI局长须在90天内审查国家军事和工业基地的攻击弹性。
为了确保互联网对子孙后代具有价值,执行部门应制定政策促进开放、互操作、可靠的安全互联网,从而促进效率、创新、通信和经济繁荣,同时尊重隐私并防范破坏、欺诈和盗窃等行为。为了确保实现该目标,特朗普希望国务卿、财政部长、国防部长、商务部、国土安全部、司法部长、美国商务代表和国家情报总监在接下来90天内提供保护互联网安全的报告。
此外,特朗普还希望国务卿、财政部长、国防部长、商务部长、国土安全部长与司法部长和FBI局长协调在45天内提交美国如何与他国合作保护互联网安全的报告。
商务部长、国土安全部长、国防部长、劳工部长、教育部长、人事管理办公室主任或其它机构负责人还需在120天内提供国内培训理念。为了实现该目标,国家情报总监需在60天内提供报告,分析其它国家培训IT安全人员所做的努力,此外,国家情报总监还需与国防部长、商务部长和国土安全部长合作在150天内报告如何维持美国在网络安全领域的地位。
共享服务存争议
博塞特表示,特朗普政府还决定采取集中化方式“优先选择共享服务”保护网络安全,即多个部门或机构使用同样的IT基础设施,例如电子邮件系统或网络安全工具。他指出,联邦机构必须转移到云端保护自身,而不是打破安全态势。如果不转移到共享服务,190家机构都试图开发自身的防御措施,这不是一个明智的方法。
博塞特承认,实现现代化以及转移至共享服务将是一项非常困难的任务。
Fidelis Cybersecurity的威胁研究经理约翰·班纳克指出,集中式服务优劣并存。如果能集中管理网络安全,那么只需要让一家机构聘用最优秀的人才,从而让整个联邦政府受益。但其风险在于为所有联邦政府机构提供了一个攻击点。如果攻击者能访问共享IT基础设施,那么就能如鱼得水入侵任何联邦机构。
网络安全行政令摘要
该项名为“增强联邦政府网络与关键性基础设施网络安全”的行政指令,按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。
联邦政府网络安全
在联邦政府网络安全方面,“指令”认为,已知但未得到处理的漏洞是行政部门所面临的最严重的网络风险之一,这些漏洞包括使用开发商不再支持的过时操作系统或硬件,未及时安装安全补丁或落实特定安全配置。
美国政府问责办公室去年发布的一份报告评估,美国联邦政府信息技术设施过时的状况越来越严重,在一些部门使用的系统中,甚至还存在50年前使用的零部件,这些零部件现在已经缺乏技术支持。比如,在国家核力量行动指挥系统上,国防部甚至还在使用8英寸软盘;美国财政部的部分系统软件甚至可以追溯到1950年代,其中使用的计算机语言已经严重过时,并运行在“古老”的IBM主机上。
鉴此,该行政指令要求各联邦政府机构在90天内制定风险管理报告,并提交给国土安全部部长和白宫行政管理与预算办公室主任,描述该机构如何实施由美国国家标准技术研究所(NIST)制定的提升关键基础设施网络安全框架。在收到报告60天内,行政管理与预算办公室主任应通过负责国土安全和反恐事务的总统国家安全事务助理,向总统提交对各机构风险管理报告的评估意见及实施计划。此外,以建立一个“现代、安全、更有韧性”行政部门信息技术架构为目标,美国技术委员会(E安全注:白宫在5月1日发布了 特朗普关于组建美国技术委员会的政令。)主任应在90天内向总统提交各部门的转型情况。国防部和情报系统等国家安全系统则应在150天内向负责国土安全和反恐事务的总统国家安全事务助理提交有关实施情况的报告。
关键基础设施网络安全
这项行政令要求采取一系列措施来增强联邦政府及关键基础设施的网络安全。按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。
在关键基础设施网络安全方面,要求按奥巴马政府时期颁布的第21号总统行政指令中所规定的关键基础设施名单进行评估,并于180天内提交网络安全风险评估报告,之后每年重新评估并提交一次评估报告。
2013年2月,奥巴马签发第21号总统政策指令,将化学、商业设施、通信、关键制造、大坝、国防工业基础、紧急服务、能源、金融部门、食品与农业、政府设施、医疗与公共健康、信息技术、核反应堆与核材料及废料、交通系统和水与污水系统等16个领域划入国家关键基础设施名单。“指令”对这方面的整改、落实也有非常具体的要求。
这项行政令要求审视政府机构应在哪些方面为重要行业的私有部门和运营商(例如银行、通信和水电等公共事业)提供更多帮助。
McAfee首席技术官史蒂夫·格博曼在声明中表示,指导决策者与关键基础设施公司协作了解如何以正确的方式更好地保护安全。他支持政府将私有部门视为客户,而政府扮演服务提供商的角色。
美国国会与行业组织也普遍赞成这种做法。美国电信对这一重要步骤表示欢迎,并表示将继续与政府所有部门合作。
国家网络安全
在国家网络安全方面,“行政令”称,美国的政策是确保互联网开放、互动、可靠和安全,在促进效率、创新、交流和经济繁荣的同时,尊重隐私并防止欺骗、偷窃和破坏。要求国务院、财政部、国防部、司法部、商务部、国土安全部和美国贸易代表办公室,在90天内联合向总统报告慑止威胁和保护民众的战略选择。要求国务院等机构在45天内提交该部门有关国际网络安全的优先议程,此后的90天内提交网络安全国际合作战略。在网络人才培养上,要求商务部和国土安全部120天内联合提交如何加强网络人才培养的计划。要求国防部在150天内提交维护和增强国家安全相关领域网络能力的报告。
E安全要闻简讯
官网:
2017年5月