美国《增强联邦政府网络与关键性基础设施网络安全》行政令中文版全文
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月19日文 当地时间周四,特朗普终于签署了搁置已久的网络安全行政令,并表示,政府将开始在整个美国政府机构范围内管理网络风险,让联邦机构各自负责保护自身网络,并将实现联邦IT现代化作为加强计算机安全的核心。
负责国土安全和反恐事务的总统国家安全事务助理托马斯·博塞特在白宫新闻发布会上称,美国当前在网络空间安全问题上走在错误的方向上,包括美国盟友和敌人,主要是国家行为体但也包括非国家行为体,对美国的网络攻击越来越多,白宫花了大量时间和资金保护陈旧过时的系统,这一行政指令将扭转这一趋势以确保美国民众的安全。
今年1月,这份行政令本应签署,但那时特朗普最后却取消签署,之后白宫就开始制定越来越详细的草案。
相关阅读:
目前,白宫还未从FBI局长科米被解职突发事件中抽离出来,而周四突然宣布签署网络安全行政令,令人始料未及。
十几家大型网络安全公司与科技公司定期与白宫讨论这份网络安全行政令。据两名了解反馈程序的知情人士透露,这些公司之前并不知道特朗普会在周四签署这份行政令。
当被问及这份行政令为何会搁置如此长的时间,博塞特回复称,特朗普政府因急于推出例如移民禁令等政策而面临批评。他表示,政府会因太过仓促做决定而被批评,而如今也许会因为动作太过拖沓而被指责,因此在这个时间签署网络安全行政令这可能是最佳时机。
集中管理有风险
博塞特表示,除了实现联邦IT现代化,特朗普政府保护联邦网络安全的策略核心在于将整个联邦政府视为一个企业,这份行政令决定将风险集中,并集中制定安全优先决策。如果不这样做,联邦政府将无法充分了解存在的风险以及相应的缓解措施。
“时间”原则
博塞特指出,每个部门或机构有责任保护自身网络,但是,它们同样有责任将风险报告给白宫、总统,以便他们能审视并决定是否需要采取额外的措施降低风险。每个机构的负责人应在90天内向行政管理和预算办公室(OMB)主任和国土安全部长提交风险管理报告。
特朗普还要求在90天内提交如何提升政府安全采购协议透明度的报告,此外,他还将重心集中在以下特定威胁中:
特朗普希望商务部和国土安全部长在240天内提交僵尸网络威胁报告。报告将在一年后发布,可能会适当修改,以便公众能了解美国如何打击威胁。
能源部长和国土安全部须在90天内提交国家电力系统遭受的黑客威胁。
国防部长、国土安全部长和FBI局长须在90天内审查国家军事和工业基地的攻击弹性。
为了确保互联网对子孙后代具有价值,执行部门应制定政策促进开放、互操作、可靠的安全互联网,从而促进效率、创新、通信和经济繁荣,同时尊重隐私并防范破坏、欺诈和盗窃等行为。为了确保实现该目标,特朗普希望国务卿、财政部长、国防部长、商务部、国土安全部、司法部长、美国商务代表和国家情报总监在接下来90天内提供保护互联网安全的报告。
此外,特朗普还希望国务卿、财政部长、国防部长、商务部长、国土安全部长与司法部长和FBI局长协调在45天内提交美国如何与他国合作保护互联网安全的报告。
商务部长、国土安全部长、国防部长、劳工部长、教育部长、人事管理办公室主任或其它机构负责人还需在120天内提供国内培训理念。为了实现该目标,国家情报总监需在60天内提供报告,分析其它国家培训IT安全人员所做的努力,此外,国家情报总监还需与国防部长、商务部长和国土安全部长合作在150天内报告如何维持美国在网络安全领域的地位。
共享服务存争议
博塞特表示,特朗普政府还决定采取集中化方式“优先选择共享服务”保护网络安全,即多个部门或机构使用同样的IT基础设施,例如电子邮件系统或网络安全工具。他指出,联邦机构必须转移到云端保护自身,而不是打破安全态势。如果不转移到共享服务,190家机构都试图开发自身的防御措施,这不是一个明智的方法。
博塞特承认,实现现代化以及转移至共享服务将是一项非常困难的任务。
Fidelis Cybersecurity的威胁研究经理约翰·班纳克指出,集中式服务优劣并存。如果能集中管理网络安全,那么只需要让一家机构聘用最优秀的人才,从而让整个联邦政府受益。但其风险在于为所有联邦政府机构提供了一个攻击点。如果攻击者能访问共享IT基础设施,那么就能如鱼得水入侵任何联邦机构。
网络安全行政令摘要
该项名为“增强联邦政府网络与关键性基础设施网络安全”的行政指令,按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。
联邦政府的网络安全
在联邦政府网络安全方面,“指令”认为,已知但未得到处理的漏洞是行政部门所面临的最严重的网络风险之一,这些漏洞包括使用开发商不再支持的过时操作系统或硬件,未及时安装安全补丁或落实特定安全配置。
美国政府问责办公室去年发布的一份报告评估,美国联邦政府信息技术设施过时的状况越来越严重,在一些部门使用的系统中,甚至还存在50年前使用的零部件,这些零部件现在已经缺乏技术支持。比如,在国家核力量行动指挥系统上,国防部甚至还在使用8英寸软盘;美国财政部的部分系统软件甚至可以追溯到1950年代,其中使用的计算机语言已经严重过时,并运行在“古老”的IBM主机上。
鉴此,该行政指令要求各联邦政府机构在90天内制定风险管理报告,并提交给国土安全部部长和白宫行政管理与预算办公室主任,描述该机构如何实施由美国国家标准技术研究所(NIST)制定的提升关键基础设施网络安全框架。在收到报告60天内,行政管理与预算办公室主任应通过负责国土安全和反恐事务的总统国家安全事务助理,向总统提交对各机构风险管理报告的评估意见及实施计划。此外,以建立一个“现代、安全、更有韧性”行政部门信息技术架构为目标,美国技术委员会(E安全注:白宫在5月1日发布了 特朗普关于组建美国技术委员会的政令。)主任应在90天内向总统提交各部门的转型情况。国防部和情报系统等国家安全系统则应在150天内向负责国土安全和反恐事务的总统国家安全事务助理提交有关实施情况的报告。
关键基础设施的网络安全
这项行政令要求采取一系列措施来增强联邦政府及关键基础设施的网络安全。按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。
在关键基础设施网络安全方面,要求按奥巴马政府时期颁布的第21号总统行政指令中所规定的关键基础设施名单进行评估,并于180天内提交网络安全风险评估报告,之后每年重新评估并提交一次评估报告。
2013年2月,奥巴马签发第21号总统政策指令,将化学、商业设施、通信、关键制造、大坝、国防工业基础、紧急服务、能源、金融部门、食品与农业、政府设施、医疗与公共健康、信息技术、核反应堆与核材料及废料、交通系统和水与污水系统等16个领域划入国家关键基础设施名单。“指令”对这方面的整改、落实也有非常具体的要求。
这项行政令要求审视政府机构应在哪些方面为重要行业的私有部门和运营商(例如银行、通信和水电等公共事业)提供更多帮助。
McAfee首席技术官史蒂夫·格博曼在声明中表示,指导决策者与关键基础设施公司协作了解如何以正确的方式更好地保护安全。他支持政府将私有部门视为客户,而政府扮演服务提供商的角色。
美国国会与行业组织也普遍赞成这种做法。美国电信对这一重要步骤表示欢迎,并表示将继续与政府所有部门合作。
国家网络安全
在国家网络安全方面,“行政令”称,美国的政策是确保互联网开放、互动、可靠和安全,在促进效率、创新、交流和经济繁荣的同时,尊重隐私并防止欺骗、偷窃和破坏。要求国务院、财政部、国防部、司法部、商务部、国土安全部和美国贸易代表办公室,在90天内联合向总统报告慑止威胁和保护民众的战略选择。要求国务院等机构在45天内提交该部门有关国际网络安全的优先议程,此后的90天内提交网络安全国际合作战略。在网络人才培养上,要求商务部和国土安全部120天内联合提交如何加强网络人才培养的计划。要求国防部在150天内提交维护和增强国家安全相关领域网络能力的报告。
以下是E安全译制的这份行政令的中文版,如以下翻译内容有错漏,请与我们联系获取奖励。
增强联邦政府网络与关键性基础设施网络安全
行政令
- - - - - - -
根据《宪法》及美利坚合众国法律赋予我的总统权力,为了保护美国的创新能力与价值取向,兹发布行政令如下:
第一节 联邦政府网络安全
(a) 政策
行政部门代表美国人民运营其信息技术(简称IT)体系。美国政府应尽其所能负责对IT与数据加以保护。总统将监督各行政部门及各机构(机构负责人)负责管理其相关网络安全风险。另外,考虑到各机构负责人所作出之风险管理决策可能对整体行政体系之风险水平乃至国家安全造成影响,此项政策亦要求将网络安全风险作为各行政部门的业务加以管理。
(b) 调查结果
(i) 网络安全风险管理包括为保护IT及数据免受未授权访问及其它网络威胁侵扰所采取的一切行动,旨在维护网络威胁意识并检测可能对IT及数据造成影响的异常及事故状况,同时以降低此类事故的影响为目的进行响应与恢复。应以信息共享方式促进并支持上述保护行动。
(ii) 各级行政部门的现有IT系统早已过时且难以维护。
(iii) 有效的风险管理方案不仅应涵盖并保护当前使用的IT与数据,同时协调/配合应经过规划以适当监管确保维护、改进与现代化升级的顺利实现。
(iv) 已知但尚未得到解决的漏洞应被各级行政部门及机构视为最高级别安全风险。已知漏洞包括使用供应商已不再提供技术支持的操作系统或硬件、拒绝采用供应商提供的安全补丁程序或者无法实现安全性配置指导等情况。
(v) 有效的风险管理方案要求各机构负责人建立起具备IT、安全、预算、采购、法律、隐私以及人力资源等方面专业知识的高级管理成员的综合性团队。
(c) 风险管理
(i)
各机构负责人将根据总统行政令负责承担风险管理措施相关责任,且要求相关举措与未授权访问、使用、披露、中断、修改或者破坏IT及数据所造成的危害及风险相适应。总统还将负责根据《美国法典》第44条第二章第35节内容确保网络安全风险管理流程符合战略、运营及预算规划流程。
(ii) 立即生效,各机构负责人应利用国家标准技术研究所制定的关键性基础设施网络安全改进框架(以下简称框架)或任何后续文件管理机构内的网络安全风险。各机构负责人应在本行政令发布之日起90天内向国土安全部部长及预算管理局(简称OMB)局长递交风险管理报告。
此风险管理报告应:
(A) 记录各机构负责人在本行政令发布之日起所制定的风险缓解与接受决策,具体包括:
(1) 决策当中所考量的战略、运营及预算条件;
(2) 任何已接受风险,及无法解决的漏洞带来的风险.
(B) 描述机构对实施此框架所制定之行动规划。
(iii) 国土安全部部长与OMB局长应根据《美国法典》第44条第二章第35节内容共同评估各机构递交的风险管理报告,旨在决定其中是否对风险缓解及接受选择作出合理规定,且足以管理各行政部门之内的实际网络安全风险(以下简称决定)。
(iv) OMB局长应配合国土安全部部长,由商务部部长及总务司司长给予适当支持,确保在在收到(c)小节(ii)要求的风险管理报告后60天内通过总统国土安全与反恐事务助理将其递交至总统处,具体递交材料包括:
(A) 该“决定”
(B) 相关计划:
(1) 充分保护各行政分支机构,确定当前安全薄弱因素;
(2) 确定管理行政部门风险事务时尚未得到解决的预算需求;
(3) 建立一项经常性流程以重新评估、酌情重新确立并应对未来可能出现的常规性未解决预算需求,旨在管理行政部门风险问题;
(4) 在必要时根据法律所允许的范围澄清、协调并重新发布任何符合《美国法典》第44条第二章第35节内的全部政策、标准及准则,并在法律允许的范围内发布相关政策、标准与指导方针以促进相关工作;
(5) 保持这些政策、标准与指导方针与“框架”一致。
(v) (c)小节(ii)中提到的机构风险管理报告以及(c)小节(iii)与(iv)中描述的“决定”与规划应根据具体情况进行部分或者全部保密处理。
(vi) 立即生效,本项面向各行政部门的政策旨在建立并维护一套现代、安全且更具弹性的行政机构IT架构。
(A) 各机构负责人应在法律允许的范围内阐述其对于共享式IT服务的采购偏好,具体包括电子邮件、云以及网络安全服务。
(B) 美国技术委员会主席应协同国土安全部部长、OMB局长以及总务司司长同商务部部长进行协商,酌情商讨联邦政府IT体系的现代化进程。此报告应:
(1) 在本行政令发布之日起90天内完成;
(2) 阐述全部机构或者特定部分机构之法律、政策及预算考量,以及技术可行性及成本效益(包括时间表与里程碑设置),从而:
(aa) 确定一套或者多套综合性网络架构;
(bb) 包括电子邮件、云以及网络安全服务在内的各类共享式IT服务。
(C)
本节(c)小节(vi)与(B)内提及的此份报告应评估全部机构或者特定部分机构立足网络安全考量进行共享式IT服务过渡所带来的具体影响,包括提出相关方法以确保符合《国土安全法》(6
U.S.C.
148)第227条以及《美国法典》第44条第3553节发布的政策与实践合规性要求。全部机构负责人均应提供与其当前IT架构及规划相关的信息,以及时完成此份报告。
(vii)
对于《美国法典》第44条3552(b)(6)节内定义的任何国家安全系统,国防部部长及国家情报局局长(而非国土安全部部长及OMB局长)应尽可能最大限度执行此项命令。国防部长与国家情报总署署长应向总统国家安全事务及国土安全与反恐助理递交报告,具体如(c)小节中所述,时限为本行政令发布之日起150天之内。此小节内提到的报告应包含一切未能符合(c)小节要求的具体理由,并可酌情进行全部或者部分保密。
第二节 关键性基础设施网络安全
(a) 政策
此项政策面向各行政部门,要求其酌情利用职能与权力以支持各国家关键性基础设施所有者及运营商的网络安全风险管理工作(详见〈美国法典〉第42条5195c(e)节定义的内容,以下简称‘关键性基础设施实体’)。
(b) 支持风险等级最高的关键性基础设施
国土安全部部长应根据2013年2月12日发布的总统行政令(关键性基础设施安全性与弹性),协同国防部长、总检察长、国家情报总署署长、联邦调查局局长以及各适用的专门机构负责人(以下简称为‘各专门机构’),在经国土安全部部长确认之下:
(i)
确定各机构可采用的职能与权力,以支持根据2013年2月12日第1363号总统行政令(改进关键性基础设施网络安全)第9节所确定的关键性基础设施实体网络安全保障工作,具体包括可能对特定地区区域或者国家整体的公共卫生或安全、经济安全乃至国家安全造成灾难性后果的高攻击风险基础设施;
(ii) 参照第9节部分内容并酌情征求意见,旨在评估是否,以及如何根据本节(b)小节(i)部分确定的职能与权力以支持网络安全风险管理工作并解决可能出现的一切障碍;
(iii) 在本行政令发布之日起180天内通过总统国土安全与反恐事务助理向总统递交报告(可酌情进行部分或者全部保密),其具体内容包括:
(A) 根据本节(b)小节(i)部分内容确定职能与权力;
(B) 根据本节(b)小节(ii)部分内容确定参与方式与决策结果;
(C) 根据第9节要求通过调查结果与建议更好地支持网络安全风险管理工作;
(iv) 此后每年向总统提交最新报告。
(c) 支持市场透明度
国土安全部长应协同商务部长通过总统国土安全与反恐事务助理向总统提交报告,旨在审查现有联邦政府政策及实践的充分性,通过促进市场透明化以改善关键性基础设施实体的网络安全风险管理实践,并高度关注关键性基础设施实体的公开交易。此报告应在本行政令发布之日起90天内提交。
(d) 针对僵尸网络及其它自动化分布式威胁的弹性
商务部长及国土安全部长应协同领导一项公开且透明的流程,旨在确定并促进相关利益方的行动,借以改善互联网与通信生态系统弹性水平,同时鼓励合作并大幅降低自动化及分布式攻击(例如僵尸网络)所造成的危害。商务部长与国土安全部长应与国防部长、总检察长、联邦调查局局长、各专门机构负责人、联邦通信委员会主席、联邦贸易委员会主席以及其他有意参与的机构负责人与利益相关者就本小节内容开展讨论。在本项行政令发布之日起240日内,商务部长与国土安全部长应发布与此项工作相关的初步报告。在本行政令发布之日起1年内,各部长应向总统提交本份报告的最终版本。
(e) 电力中断事件响应能力评估
能源部长及国土安全部长应与国家情报总署署长进行协商,同时配合各国家、地方、乡镇及区域政府与其它有关部门,共同评估:
(i) 根据2016年7月26日第41号总统行政令(美国网络事件协调)中所界定的与重大网络事件相关的长时间电力中断的潜在范围与持续时间,对美国电力机构进行审查;
(ii) 美国在管理此类事故后续影响方面的准备水平;
(iii) 在缓解此类事故后果时所存在的资产或者能力方面的任何差距或者缺陷。
本份报告应在此总统行政令发布之日起的90天内通过总统国土安全与反恐事务助理向总统提交,并可酌情进行部分或者全部保密。
(f) 国防部作战能力与工业基础
在本份总统行政令发布后的90天内,国防部长、国土安全部长、联邦调查局局长以及国家情报总署署长应协商并通过总统国土安全事务助理及国土安全与反恐事务助理向总统提交报告,阐述美国国防工业基础当前所面临的网络安全风险,具体包括其供应链、美国军事平台、系统、网络、能力以及缓解此类风险之具体建议。报告可酌情对部分及全部内容进行保密。
第三节 国家网络安全
(a) 政策
为了确保互联网能够持续为子孙后代提供价值,此政策要求各行政部门共同促进互联网的开放性、互操作性、可靠性与安全性,提升效率、创新、沟通与经济繁荣度,同时尊重隐私并防范中断、欺诈与盗窃等行为。另外,美国致力于支持网络安全相关技术人才的培养与维持,相关领域将成为实现网络空间保障目标的关键性基础。
(b) 威慑与保护
在本行政令发布之日起的90天内,国务卿、国防部长、总检察长、商务部长、国土安全部长以及美国贸易代表亦协同国家情报总署署长通过总统国家安全事务助理及国土安全与反恐事务助理向总统提交报告,旨在介绍美国当前的战略性对抗选项,从而更好地保护美国民众免受网络威胁侵扰。
(c) 国际合作
作为一个拥有活跃外交联系的国家,美国高度依赖于全球互联网的安全性与弹性,且必须与盟国及其它合作伙伴协同努力以维持本节中所陈述的政策。在本总统行政令发布之日起的45天内,美国国务卿、财政部长、国防部长、商务部长及国土安全部长应协同总检察长与联邦调查局局长,共同向总统提交与国际网络安全优先级事务——包括调查、归因、网络威胁信息共享、响应、能力建设以及合作等相关报告。在报告提交后的90天内,本节中所列出之各机构负责人应与其它各相关机构负责人进行协商,并由国务卿通过总统国土安全与反恐事务助理向总统提交报告,此报告负责记录美国在网络安全层面的国际合作参与战略。
(d) 人力资源发展
为了确保美国始终拥有长期网络安全优势:
(i) 商务部长与国土安全部长应协同国防部长、劳工局局长、教育部部长、人事管理办公室主任、国务卿以及其他由商务部长与国土安全部长确定的机构负责人:
(A) 共同评估美国未来网络安全人才的教育与培养工作的范围及充分性水平,包括从小学到高等教育引入网络安全相关教育课程、培训与学员计划;
(B) 在本总统行政令发布的120天之内通过总统国土安全及反恐事务助理向总统提交报告,旨在面向公共及私营部门提出与支持国家网络安全人力资源增长及维持相关的调查结果与建议。
(ii) 国家情报总署署长及其确定的其他机构负责人应通过协商以:
(A) 审查潜在的国外网络人力发展规划,旨在帮助美国敲定可能对未来网络安全竞争力发展具备积极意义的相关实践;
(B) 在本总统行政令发布之日起的60天内,通过总统国土安全与反恐事务助理向总统递交一份报告,旨在根据本节(d)小节(iii)(A)部分汇报评估结果与建议。
(iii) 国防部长与商务部长应协同国土安全部长及国家情报总署署长,共同处理以下事项:
(A) 评估美国相关努力的范围及充分性水平,以确保美国能够在国家安全相关网络能力层面保持或提升自身优势;
(B) 在本总统行政令发布之日起150天内通过总统国土安全与反恐事务助理向总统提交一份报告,旨在根据本节(d)小节(iii)(A)部分汇报评估结果与建议。
(iv) 本条内所提及的报告可酌情进行部分或者全部保密。
第四节 定义
本项总统行政令目的:
(a) 条款中所提及的“适当利益相关方”系指经商务部长及国土安全部长根据本行政令2节(d)小节内容经公开透明流程所挑选的行政机构人员或职能实体。
(b) 条款中所提及的“信息技术(简称IT)”系指《美国法典》第40条第11101(6)节对该术语定义,同时包含负责对物理设备及流程加以监视与控制的各机构的硬件与软件系统。
(c) 条款中所提及的“IT架构”系指机构之内所整合并实施的信息技术。
(d) 条款中所提及的“网络架构”系指负责实现或者促进两类或者多类IT资产间通信的IT架构组成部分。
第五节 一般规定
(a) 本总统行政令中的任何内容均不得解释为损害或者影响:
(i) 法律授予行政部门或机构及其负责人的权力;
(ii) OMB局长在预算、行政或者立法建议层面的职能。
(b) 本总统行政令的执行符合适用的法律规定,且具体适用性视情况而定。
(c) 根据本项总统行政令所采取的一切行动应符合情报保护原则,亦不可影响执法方的方法要求及权限约束。此项总统行政令不可被解释为取代法律规定条款内用于保护情报或者执法活动中各类特定作法及相关事务的安全性与完整性的对应内容。
(d) 本项总统行政令不应亦不会为美国各政府部门、机构或实体,及其官员与工作人员,代理机构或者任何其他个人或实体提供实质性或者程序性权利或利益。
唐纳德 J. 特朗普
白宫
2017年5月11日
关于行政令褒贬不一
特朗普政府的网络安全行政令搁置超过3个月,而这样的搁置意图赢得普遍好评,其或许是因为特朗普先前迫不及待清理上届政府的政治遗产,结果颁布的几道行政令饱受争议。
有些专家认为这项行政令是一个“良好开端”,另外,包括网络安全评级公司BitSight副总裁雅各布·奥尔科特、参议院商务委员会前法律顾问以及众议院国土安全委员会顾问在内的一些专家认为,这项行政令的优势远远不止是开了一个好头。
奥尔科特将其称之为“这届政府推出的明智政策与巨大胜利”。
保罗·罗森维格,国土安全和隐私解决方案公司Red Branch Consulting的创始人,国土安全部政策副助理部长
这份行政令涉及的行动不多,只有15个报告要求,也许这项行政令只是一项好政策的开端,而仅仅只是开端。
雅各布·奥尔科特,BitSight副总裁
奥尔科特在一份书面声明赞许这份顶行政令关注了多个重要领域:
——联邦机构的网络安全。他指出,这项行政令要求评估当前情况,并聚焦领导问责制,并提出实施国家标准与技术研究院(NIST)框架中描述的标准保护措施。
——国防部承包商和政府的第三方厂商通常是安全中最薄弱的环节,这是美国政府广泛忽略的问题,其在白宫优先事项中长期未兑现。
——关键基础设施。这份行政令呼吁通过基于市场的方法驱动安全性,并特别指出,投资者的透明度是推进网络安全的重要驱动力。
奥尔科特指出,特朗普上任初期就能签署的行政令屈指可数,这足以说明网络安全新政令达到要求。他表示,这份行政令提出领导问责制,保护第三方生态系统,并通过基于市场的方法保护关键基础设施安全,这些正是网络安全目前需要的。
埃迪·哈比比,PAS首席执行官兼创始人
哈比比表示,网络安全行政令关注了正确的事项--升级联邦系统、关键基础设施、威慑、员工教育等。让人欣慰的事,当局继续将保护关键基础设施视为高优先级处理事项。
他补充称,看到威慑被列为优先事项,他们倍受鼓励。国家对炼油厂工业控制系统发起网络攻击造成物理破坏或损害无异于向炼油厂丢了一颗炸弹。只要归因明确,后果必定包含相应的动力响应 。
乔·韦斯,Applied Control Solutions的管理合伙人
韦斯是工业控制系统(ICS)专家。他对政府关注关键基础设施予以赞许,但同时也指出,这份行政令甚至未提及控制系统和数据采集与监视控制系统(SCADA)。
他认为政府的核心关注点是对的,但更偏重IT。这份行政令提到国土安全部、司法部长、国防部长、FBI、国家情报总监,如果要保护控制系统,这些都不是适合的组织机构。这是一个很大的漏洞。
迈克尔·奥弗力,Foley & Lardner合作伙伴
奥弗力认为这项行政令 “为制定国家网络政策迈出坚实、周到的第一步”,简言之,就是问责制。
他还赞扬了这份行政令纳入NIST框架来改善关键基础网络安全,但是,他指出,NIST框架旨在解决关键基础设施的安全问题,但并非适合所有企业的指南。
他还赞许了这份行政令关注升级或替换过时政府计算机系统,然而,他也表示,由于预算限制,这项任务相当艰巨。
德纳·斯蒙博科夫,AvePoint的首席合规风险官
她认为,这项行政令是联邦机构评估并改进内部网络计划的机会,而且还考虑到了在教育和企业的投资,以提高下一代的隐私和安全意识,并鼓励公司加大技术投资。
艾德·麦克尼古拉斯,盛德律师事务所隐私、数据安全与信息法实践小组的联合创始人,克林顿总统的前助理顾问
麦克尼古拉斯表示,这项要求联邦政府共享资源和合作的指令是“可靠的举措”,让每个机构开展自身网络安全计划会造成低效,同时需要无休止的协调。
他还赞扬政府使用NIST框架保护关键基础设施安全。如果政府和行业都在使用同样的NIST框架。企业将发现与政府合作相对容易得多。
格雷格·马丁,JASK首席执行官
马丁认为签署这项行政令是明智之举,但真正需要的是资金,不一定需要更多报告或策略规划。
基础设施支出法案需要改善过时系统的网络安全,这项举措相当昂贵,并且困难重重,但却必须要执行。
他指出,政府需在某些领域加大力度,包括帮助私有部门处理国家威胁。他还提到,这份行政令未解决新兴领域出现的新风险,例如物联网。
亚历山大·亚姆珀斯金,SecurityScorecard首席执行官
亚姆珀斯金对这项行政令的评价是“明智”,并给出以下原因:
——实施NIST框架,这不是“灵丹妙药”,因为NIST框架不会自动保障安全,相反,确保安全并不意味着完全遵守NIST,然而框架设定了门槛。
——领导问责制。他指出,“安全项目”经常与“商业项目”争抢优先级,而“安全项目”通常被视为“二等公民”。
——解决第三方供应链的风险。他表示,如今有超过70%的泄露事件与供应链风险有关。
——解决过时计算机软件和系统中的已知、但未解决的漏洞。亚姆珀斯金指出,厂商不再为“寿终正寝”的软件打补丁,这为黑客提供了可乘之机。
亚伦·坦特勒弗,Foley & Lardner网络实践合作伙伴
坦特勒弗表示,这项行政令往正确的方向迈出一步,并制定了规划策略。但最终,仍是一项计划,从某种程度上讲,令人失望。这份行政令缺乏新元素,只是推进了前两届政府的政策。
他补充称,鉴于目前资源不足,以及缺乏网络安全专业人才,目前尚不清楚是否可以实现任务。但他对此持乐观态度,但表示仍有很长的路要走。
汤姆·裴吉勒尔,Neustar首席风险官兼首席安全官
他指出,让人乐观的是,特朗普政府将网络安全和采用企业风险管理方法作为优先事项。然而,这项行政令也存在一些问题。这份行政令强调政府机构应遵守NIST框架,然而大多数机构已经在这样做,因此这不是改善网络安全的新举措。更大的担忧在于,这份命令未提及用于升级工具并聘用合格人才的资金。正如许多机构所了解的,这些都是保护基础设施安全的最大挑战。因此,缺乏预算可能无法改变大多数机构的安全态势。
克里斯·皮尔森,Viewpost总顾问兼首席安全官
网络安全的关键在于确定所有者。每个联邦机构负责人被要求担负起保护机构网络安全的责任,这是至关重要的第一步。
这份行政令重点关注高风险关键基础设施,例如国防工业基础(DIB)、能源和电信。要防御或帮助每个行业不现实,所以集中精力保护某些行业是明智的选择。
此外,要求合并与更新IT是实现系统现代化、利用强有力安全控制、并最小化数据散播和泄露的关键。
特拉维斯·费若,Anomali安全策略总监
这份行政令要求共享信息设施,并支持网络安全风险管理的方方面面---从保护数据到检测异常和事件。一个组织(包括联邦政府)单枪匹马时,可能会错过通过情报共享和关键信息获取的宝贵价值。威胁情报共享应作为强有力网络安全计划的支柱,借助更强大的网络威胁信息共享协议,美国政府机构可以更好地利用资源防御网络攻击。
然而,包括科技政策智库“信息技术与创新基金会”(ITIF)副总裁丹尼尔·卡斯特罗在内的专家对此行政令颇感失望。卡斯特罗称这项行政令“主要是政府制定的计划,而非私有部门主导的可行议程”。
丹尼尔·卡斯特罗,信息技术与创新基金会(ITIF)副总裁
卡斯特罗提到奥巴马政府创立的委员会对新政府留下了一套综合行动项,这应该是这项行政令的起点。虽然这项行政令囊括了大多数关键点,但它通常能扬汤止沸,而非采取任何决定性的行动。
卡斯特罗表示,令他惊讶的是,特朗普如此看重私有部门,但这份行政令却过度依赖政府。私有部门拥有资深的网络安全人才,因此联邦政府将可能需要开拓视野看待这些问题。
一个比较中庸的看法
利奥·塔德欧,Cyxtera Technologies首席信息安全官
塔德欧指出,这份网络安全行政令囊括的内容如下:
• 该行政令的第一部分要求联邦机构负责人负责机构内部的网络风险管理。虽然机构负责人一直在负责,但这份行政令明确了责任。
• 要求机构负责人实施NIST《风险管理框架》,制定评估和计划。这是在联邦政府内将风险管理程序正规化的重要步骤。这项要求还推动了NIST方法,私有部门今后也可能会广泛采用。
• 这份行政令要求机构负责人展示IT共享服务的采购偏好,包括电子邮件、云和网络安全服务。虽然推动共享服务并不新鲜,但值得注意的是,这份网安行政令强调了“云”。这一点有所变化,在过去,IT专业人士避免使用云服务,因为云的安全性遭到质疑。特朗普对“云”的认可表明,如今,云能带来更佳的安全性。提供云安全解决方案企业的联邦服务业务会有所提升,例如Cyxtera。
• 这份行政令在第二节要求审查联邦政策,提高上市关键基础设施实体网络安全风险管理的市场透明度。这一点似乎是允许投资者更好地利用其投资基础设施公司面临的网络风险。这是一种新颖的“市场”方法,可用于对基础设施实体提供财务刺激,以采取措施保护自身网络。
• 这项行政令要求联邦机构推动利益相关者对僵尸网络采取行动。这是一个前瞻性目标,因为物联网中被劫持设备带来的威胁已崭露头角。遗憾的是,要看到具体的解决方案还需要等待计划出台。
这份行政令未涉及的主题:
• 这份行政令不是一份解决联邦政府网络安全挑战的计划。相反,这是一项要求联邦机构实施NIST框架的指令,以评估机构的网络风险,并制定缓解计划。评价评估和计划的任务就落到了国土安全部和政府管理预算局身上。考虑到国土安全部在网络安全方面的成绩,这样的举措颇具冒险性。
• 这份行政令未提及新的网络安全支出。评估和计划耗资相对较少,当让系统更具弹性的唯一途径是花费大量资金构建新基础设施,并聘用高技能人才时,真正的痛苦便会不期而至。这些决定悬而未决,何时解决,只能拭目以待。
总而言之,这项行政令似乎迈出了重要的第一步,强调了网络安全问题;让机构负责人承担起责任,评估风险,并制定缓解计划。这种举措可靠,但问题是联邦机构是否能在合理的支出范围内执行计划。
相关阅读:
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。