90天内出计划!全面保障最敏感国家安全系统!拜登《加强国家安全、国防部和情报系统网络安全》备忘录全文
2019学术大礼包丨加入学术plus丨2018学术大礼包丨2017不可以错过的重磅报告们
2022年1月19日,美国总统拜登签署名为“加强国家安全、国防部和情报系统网络安全的备忘录”(Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems)具体规定了国家安全系统(政府内最敏感的信息技术系统)应如何遵守2021年5月的行政命令。
本备忘录阐明了国家安全系统(NSS)的要求,该要求相当于或超过2021年5月12日第14028号行政命令(加强国家网络安全)中对联邦信息系统的网络安全要求。并为特殊任务需要制定了确保例外的方法。本文主要梳理了该国家安全备忘录的4个主要部分内容。
拜登签署加强国家安全、国防部和情报系统网络安全的备忘录
作者:学术plus观察员 冰墩墩与雪容融
总统此次将联邦政府的网络安全标准提高到一个与国家安全机构及其系统一致且更高的水平,并利用国家安全局卓越的网络安全专业知识,扩大其在保卫国家方面的作用。—— Cloudera 现任总裁,凯里
这标志着美国政府在网络攻击方面迈出了重要一步。——国家情报局局长办公室前网络国家情报经理,吉姆·里奇伯格
国家安全备忘录4个主要部分内容:
1.14028号行政命令:制订发布云技术安全标准和控制指南;制订实施零信任架构的计划;多因素认证和加密;使用NSA批准的、基于公共标准的加密协议
2.国家管理部门的国家安全系统(NSS):要求指定国家安全系统,促进该类系统的威胁检测与响应,制定国家级别各项紧急指令(旨在保护机密信息与情报来源)
3.特殊授权的三种情况
4.90天内国家安全系统委员会(CNSS)将向美国国家安全局提交国家安全系统(NSS)政策调整与实施时间表,值得进一步跟踪关注
内容主要整理自外文网站相关资料
仅供学习参考,欢迎交流指正!文章观点不代表本机构立场*****阅读英文原文/完整报告请点击文末:阅读原文
实施国家安全系统14028号行政命令
1.1 制订发布云技术安全标准和控制指南
国家安全系统委员会(CNSS)应制定并发布与NSS云迁移和运营相关的最低安全标准和控制指南。考虑到商务部下属的国家标准与技术研究所(NIST)在标准和指南中概述的迁移步骤。
拥有或经营国家安全保障系统的每个行政部门或机构(机构)的负责人优先考虑采用和使用云技术的资源,包括在可行的情况下采用零信任架构。
制定实施零信任架构的计划,包括NIST特别出版物800-207指南(零信任架构),CNSS零信任参考体系结构说明,其他有关企业架构、内部威胁和访问管理的CNSS指令、指令和政策。
在本备忘录发布之日起180天内各机构应对NSS的静止数据和传输数据实施多因素认证和加密。在一个机构的负责人确定该机构无法实施这些措施的情况下,该机构的负责人应根据本备忘录第3条规定的程序授权例外。
为确保NSS之间广泛的加密互操作性,所有机构应使用NSA批准的、基于公共标准的加密协议。如果任务唯一的要求排除了使用基于公共标准的密码协议,则可以使用美国国家航空航天局批准的任务唯一协议。除机构负责人根据本备忘录第3条授权的例外情况外,机构不得授权未使用经批准的加密算法和实现的新系统运行。
在本备忘录发出之日起90天内,国家部门应与国家情报总监、中央情报局局长、联邦调查局局长以及国防部相关部门负责人协调,制定一个框架来协调和合作与NSS商业云技术相关的网络安全和事件响应活动,以确保各机构、国家部门和云服务提供商(CSP)之间的有效信息共享。
关于国家管理部门的
国家安全系统(NSS)
2.1 国家安全系统
机构负责人可授权以下三类例外:
支持或开展军事、情报或敏感执法活动的系统,其中机构负责人确定执行这些要求不切实际或违反国家安全; 由于在美国政府内归属难以界定的系统,若因实施上述要求会导致其归属受到威胁; 为漏洞研究、测试或评估目的而采购的信息系统或软件,不用于机构运营网络。
NSS政策制定或调整行动总结
(全文完)
声明:版权归原作者所有。文章观点不代表本机构立场。图片均来自于网络。
《中国电子科学研究院学报》欢迎各位专家、学者赐稿!
投稿链接 http://kjpl.cbpt.cnki.net
邮箱:dkyxuebao@vip.126.com