張曉玉

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

2021年5月12日，美國(guó)總統(tǒng)拜登簽署《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》（以下簡(jiǎn)稱《行政命令》），旨在采用大膽舉措提升美國(guó)政府網(wǎng)絡(luò)安全現(xiàn)代化、軟件供應(yīng)鏈安全、事件檢測(cè)和響應(yīng)以及對(duì)威脅的整體抵御能力[1]。該《行政命令》指出，美國(guó)需要徹底改變其處理網(wǎng)絡(luò)安全和保護(hù)國(guó)家基礎(chǔ)設(shè)施的方式，對(duì)網(wǎng)絡(luò)事件的預(yù)防、檢測(cè)、評(píng)估和補(bǔ)救是國(guó)家和經(jīng)濟(jì)安全的首要任務(wù)和必要條件，也是拜登政府網(wǎng)絡(luò)安全政策的當(dāng)前核心。同時(shí)明確指出，聯(lián)邦政府必須以身作則，所有聯(lián)邦信息系統(tǒng)應(yīng)達(dá)到或超過(guò)該命令規(guī)定和發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和要求。

1 《行政命令》的出臺(tái)背景

該《行政命令》的出臺(tái)是美國(guó)政府對(duì)所發(fā)生的SolarWinds供應(yīng)鏈攻擊、微軟Exchange漏洞攻擊以及Colonial Pipeline輸油管道勒索攻擊等一連串備受矚目的重大網(wǎng)絡(luò)安全事件的響應(yīng)，這些事件使美國(guó)震驚地發(fā)現(xiàn)，越來(lái)越多的公共和私營(yíng)部門實(shí)體面臨來(lái)自國(guó)家行為者和網(wǎng)絡(luò)犯罪分子的持續(xù)且日益復(fù)雜的惡意網(wǎng)絡(luò)攻擊。這些事件也充分暴露了美國(guó)網(wǎng)絡(luò)安全防御能力的不足。在簽署該《行政命令》之前，拜登政府以及國(guó)會(huì)已撥款10億美元，用于改善聯(lián)邦政府的IT基礎(chǔ)架構(gòu)并使其現(xiàn)代化。該《行政命令》充分體現(xiàn)了拜登政府試圖采取關(guān)鍵舉措來(lái)解決美國(guó)在上述事件中所暴露出的安全問(wèn)題的決心，明確指出需要做出大膽改變并進(jìn)行大量投資，為聯(lián)邦政府提出一系列全面行動(dòng)策略，以改善并支撐美國(guó)重要機(jī)構(gòu)以及國(guó)家網(wǎng)絡(luò)的安全性。

2 《行政命令》的主要內(nèi)容

該《行政命令》是美國(guó)政府為實(shí)現(xiàn)國(guó)家網(wǎng)絡(luò)防御現(xiàn)代化而采取的眾多雄心勃勃措施中的第一步，涵蓋了許多網(wǎng)絡(luò)安全問(wèn)題，其重點(diǎn)內(nèi)容主要包括如下七個(gè)方面。

2.1 消除共享威脅信息的障礙

要求消除政府和私營(yíng)部門之間共享威脅信息的障礙。行政命令確保信息技術(shù)服務(wù)提供商能夠與政府共享信息，并要求他們共享某些違規(guī)信息。但在實(shí)際情況中，信息技術(shù)提供商通常會(huì)猶豫不決，或者無(wú)法主動(dòng)分享受損信息。同時(shí)，現(xiàn)行合同條款可能會(huì)限制提供商與負(fù)責(zé)調(diào)查或補(bǔ)救網(wǎng)絡(luò)事件的執(zhí)行部門和機(jī)構(gòu)共享此類威脅或事件信息。消除這些合同中的障礙，并加強(qiáng)有關(guān)此類威脅、事件和風(fēng)險(xiǎn)的信息共享，要求提供商共享可能影響政府網(wǎng)絡(luò)的違規(guī)信息，對(duì)聯(lián)邦部門實(shí)現(xiàn)更有效的防御和提高整個(gè)國(guó)家的網(wǎng)絡(luò)安全是必要的。

2.2 聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化

為適應(yīng)當(dāng)今動(dòng)態(tài)和日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境，聯(lián)邦政府必須采取果斷措施，使其網(wǎng)絡(luò)安全方法現(xiàn)代化，包括提高聯(lián)邦政府對(duì)威脅的可視性，同時(shí)保護(hù)隱私和公民自由。為此，要求在聯(lián)邦政府中更新和實(shí)施更強(qiáng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。該《行政命令》有助于推動(dòng)聯(lián)邦政府保護(hù)云服務(wù)和零信任架構(gòu)，并要求在特定時(shí)間段內(nèi)部署多因素身份驗(yàn)證和加密。過(guò)時(shí)的安全模型和未加密的數(shù)據(jù)會(huì)導(dǎo)致公共和私營(yíng)部門的系統(tǒng)遭到破壞。聯(lián)邦政府必須走在前面，并提高其對(duì)安全最佳實(shí)踐的采用，包括采用零信任安全模型，加快向安全云服務(wù)的轉(zhuǎn)移，并始終如一地部署多因素身份驗(yàn)證和加密等基礎(chǔ)安全工具。

2.3 提高軟件供應(yīng)鏈的安全性

當(dāng)前商業(yè)軟件的開(kāi)發(fā)缺乏透明性，不關(guān)注抵抗攻擊的能力，以及防止惡意行為者篡改的能力。因此，迫切需要實(shí)施更加嚴(yán)格的機(jī)制，以確保產(chǎn)品的安全運(yùn)行?！瓣P(guān)鍵軟件”的安全性和完整性是一個(gè)需要特別關(guān)注的問(wèn)題?！瓣P(guān)鍵軟件”指的是執(zhí)行關(guān)鍵功能的軟件。因此，聯(lián)邦政府必須采取行動(dòng)，迅速提高軟件供應(yīng)鏈的安全性和完整性，并優(yōu)先解決關(guān)鍵軟件問(wèn)題。該行政命令將為出售給政府的軟件開(kāi)發(fā)建立基線安全標(biāo)準(zhǔn)來(lái)提高軟件的安全性，包括要求開(kāi)發(fā)人員保持對(duì)其軟件的更大可見(jiàn)性，并公開(kāi)安全數(shù)據(jù)，建立一個(gè)并行的公私合作過(guò)程，開(kāi)發(fā)新的和創(chuàng)新的方法來(lái)保護(hù)軟件開(kāi)發(fā)，利用聯(lián)邦政府的購(gòu)買力來(lái)推動(dòng)市場(chǎng)從頭開(kāi)始將安全性構(gòu)建到所有軟件中。

2.4 建立網(wǎng)絡(luò)安全審查委員會(huì)

設(shè)立了一個(gè)由政府和私營(yíng)部門領(lǐng)導(dǎo)共同主持的網(wǎng)絡(luò)安全審查委員會(huì)，該委員會(huì)負(fù)責(zé)審查和評(píng)估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網(wǎng)絡(luò)事件、威脅活動(dòng)、漏洞、修復(fù)活動(dòng)和機(jī)構(gòu)響應(yīng)。委員會(huì)成員包括聯(lián)邦官員和私營(yíng)企業(yè)的代表，具體包括國(guó)防部、司法部、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、美國(guó)國(guó)家安全局（NSA）和美國(guó)聯(lián)邦調(diào)查局（FBI）的代表，以及國(guó)土安全部長(zhǎng)確定的適當(dāng)私營(yíng)網(wǎng)絡(luò)安全或軟件供應(yīng)商的代表。當(dāng)審查中的事件涉及國(guó)土安全部部長(zhǎng)確定的聯(lián)邦文職行政部門信息系統(tǒng)時(shí)，美國(guó)管理和預(yù)算辦公室（OMB）代表也應(yīng)參加委員會(huì)活動(dòng)。國(guó)土安全部部長(zhǎng)可根據(jù)審查事件的性質(zhì)和具體情況邀請(qǐng)其他人員參與。

2.5 使美聯(lián)邦政府《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè)》標(biāo)準(zhǔn)化

為聯(lián)邦部門和機(jī)構(gòu)的網(wǎng)絡(luò)事件響應(yīng)創(chuàng)建了標(biāo)準(zhǔn)行動(dòng)手冊(cè)。網(wǎng)絡(luò)事件表明，用于識(shí)別、補(bǔ)救和恢復(fù)網(wǎng)絡(luò)安全事件和漏洞響應(yīng)的程序因機(jī)構(gòu)而異，阻礙了牽頭機(jī)構(gòu)更全面地分析各機(jī)構(gòu)的漏洞和事件的能力。該行動(dòng)手冊(cè)將確保所有聯(lián)邦機(jī)構(gòu)達(dá)到一定的門檻，并準(zhǔn)備采取統(tǒng)一的步驟來(lái)識(shí)別和減輕威脅。標(biāo)準(zhǔn)化響應(yīng)過(guò)程確保了網(wǎng)絡(luò)安全漏洞和事件應(yīng)急響應(yīng)更協(xié)調(diào)和集中化記錄，可以幫助機(jī)構(gòu)進(jìn)行更加成功的應(yīng)急響應(yīng)。該標(biāo)準(zhǔn)行動(dòng)手冊(cè)應(yīng)具有以下功能：包含所有對(duì)應(yīng)的NIST標(biāo)準(zhǔn)；可以被所有聯(lián)邦文職行政部門使用；在事件響應(yīng)的所有階段闡明進(jìn)度和完成情況，同時(shí)允許一定的靈活性，以便用于支持各類應(yīng)急響應(yīng)活動(dòng)。

2.6 加強(qiáng)聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全漏洞的檢測(cè)能力

聯(lián)邦政府應(yīng)動(dòng)用一切適當(dāng)?shù)馁Y源和權(quán)力，快速且最大限度地發(fā)現(xiàn)網(wǎng)絡(luò)中的安全漏洞和事件。聯(lián)邦文職行政部門應(yīng)部署端點(diǎn)檢測(cè)和響應(yīng)（EDR）計(jì)劃，以支持在聯(lián)邦政府基礎(chǔ)設(shè)施內(nèi)的網(wǎng)絡(luò)安全事件主動(dòng)檢測(cè)、主動(dòng)網(wǎng)絡(luò)掃描、遏制和修復(fù)以及事件響應(yīng)。聯(lián)邦政府應(yīng)在網(wǎng)絡(luò)安全方面發(fā)揮領(lǐng)導(dǎo)作用，而強(qiáng)大的政府范圍端點(diǎn)檢測(cè)和響應(yīng)部署以及強(qiáng)大的政府內(nèi)部信息共享至關(guān)重要。

2.7 提高聯(lián)邦政府的調(diào)查和補(bǔ)救能力

該《行政命令》認(rèn)為聯(lián)邦信息系統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)日志信息對(duì)調(diào)查和補(bǔ)救而言都是無(wú)價(jià)的。各機(jī)構(gòu)及其IT服務(wù)提供商必須收集和維護(hù)此類數(shù)據(jù)，并在處理FCEB信息系統(tǒng)上的網(wǎng)絡(luò)事件時(shí)，根據(jù)適用法律，通過(guò)基礎(chǔ)設(shè)施安全局向國(guó)土安全部和聯(lián)邦調(diào)查局提供這些數(shù)據(jù)。

3 幾點(diǎn)認(rèn)識(shí)

主要從美認(rèn)識(shí)到其為何在信息共享方面存在障礙，美政府對(duì)未來(lái)新網(wǎng)絡(luò)架構(gòu)的調(diào)整，如何強(qiáng)力保障軟件供應(yīng)鏈的安全，以及美網(wǎng)絡(luò)安全行業(yè)對(duì)該《行政命令》的看法等角度提出幾點(diǎn)認(rèn)識(shí)。

3.1 美國(guó)缺少“吹哨人”，鼓勵(lì)勇做并保護(hù)“吹哨人”

該《行政命令》強(qiáng)烈要求消除信息障礙，致力于解決美國(guó)政府與私營(yíng)部門之間長(zhǎng)期存在的信息共享問(wèn)題。從合同入手，要求消除當(dāng)前禁止聯(lián)邦機(jī)構(gòu)和私營(yíng)部門共享威脅情報(bào)和其他與網(wǎng)絡(luò)安全相關(guān)的信息的合同障礙。應(yīng)該說(shuō)，SolarWinds供應(yīng)鏈?zhǔn)录o美國(guó)所有科技公司和政府機(jī)構(gòu)敲響警鐘。為深刻反思該事件，美國(guó)國(guó)會(huì)曾連開(kāi)兩場(chǎng)聽(tīng)證會(huì)來(lái)復(fù)盤。會(huì)中，最早發(fā)現(xiàn)入侵證據(jù)的火眼（FireEye）公司CEO提出反問(wèn)：“我們美國(guó)的吹哨人呢？”在SolarWinds攻擊事件發(fā)生時(shí)，美國(guó)各大科技公司并沒(méi)有第一時(shí)間預(yù)警響應(yīng)、互通信息，而是開(kāi)始了“花式拉踩”[2]。

公司間的“花式拉踩”讓國(guó)會(huì)開(kāi)始反思，為什么不共享威脅情報(bào)呢？如果在事件發(fā)生時(shí)有“吹哨人”對(duì)入侵第一時(shí)間做出反應(yīng)，各公司互通持有的情報(bào)，應(yīng)能更早查明原因，縮小影響范圍，甚至提前防范。美國(guó)認(rèn)為必須要有一種機(jī)制，讓感應(yīng)到攻擊的“吹哨人”能迅速共享情報(bào)和數(shù)據(jù)，以保護(hù)國(guó)家和行業(yè)。吹哨人有義務(wù)將威脅情報(bào)分享給政府機(jī)構(gòu)，同時(shí)必須保護(hù)吹哨人，使其無(wú)畏于各種阻礙和披露，這樣才能快速掌握情報(bào)，并展開(kāi)調(diào)查。因此，不難理解為什么該行政命令將消除政府與私營(yíng)部門之間信息共享的障礙放在首位。后續(xù)美國(guó)很可能還要更新其《2015年網(wǎng)絡(luò)安全信息共享法案》，促進(jìn)各部門和科技企業(yè)之間的信息流通，以便對(duì)入侵事件做出快速反應(yīng)，同時(shí)鼓勵(lì)勇做“吹哨人”，保護(hù)“吹哨人”。

3.2 零信任是當(dāng)務(wù)之急，未來(lái)將成為美國(guó)政府新的網(wǎng)絡(luò)架構(gòu)

該《行政命令》要求聯(lián)邦機(jī)構(gòu)創(chuàng)建“零信任”環(huán)境，要求政府部門向云技術(shù)的遷移應(yīng)在可行的情況下采用零信任架構(gòu)。零信任架構(gòu)已成為美國(guó)防部尋求的更先進(jìn)的網(wǎng)絡(luò)安全架構(gòu)，并將零信任視為網(wǎng)絡(luò)安全的未來(lái)。緊隨該行政命令，2021年5月，美國(guó)防信息系統(tǒng)局（DISA）在其官網(wǎng)上發(fā)布《國(guó)防部零信任參考架構(gòu)》，詳細(xì)列出了國(guó)防部大規(guī)模采用零信任的戰(zhàn)略目的、原則、相關(guān)標(biāo)準(zhǔn)和其他技術(shù)細(xì)節(jié)，零信任從基于網(wǎng)絡(luò)的防御轉(zhuǎn)變?yōu)橐詳?shù)據(jù)為中心的模型，并且不授予隱含的信任用戶以防止?jié)撛诘膼阂庑袨檎咴诰W(wǎng)絡(luò)中移動(dòng)。同年5月，美政府發(fā)布《2022財(cái)年預(yù)算案》，要求撥款6.15億美元用于與零信任網(wǎng)絡(luò)安全架構(gòu)相關(guān)的工作。同年9月，美國(guó)管理和預(yù)算辦公室發(fā)布《聯(lián)邦零信任戰(zhàn)略》草案，核心目的是指導(dǎo)、牽引、推動(dòng)政府機(jī)構(gòu)將其網(wǎng)絡(luò)安全架構(gòu)從傳統(tǒng)架構(gòu)向零信任架構(gòu)轉(zhuǎn)變。該文件是對(duì)《行政命令》的支持，并表明美國(guó)聯(lián)邦政府已經(jīng)正式開(kāi)啟零信任戰(zhàn)略，代表了美國(guó)防部思維方式的轉(zhuǎn)變。此外，美空軍開(kāi)發(fā)了跨部門零信任的成熟度模型，該模型將幫助整個(gè)空軍的網(wǎng)絡(luò)管理員和IT專業(yè)人員使其架構(gòu)符合零信任要求。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）推出特別出版物800-207零信任架構(gòu)。零信任產(chǎn)品也在2021年5月17日召開(kāi)的RSA大會(huì)上成為業(yè)界關(guān)注的焦點(diǎn)，其中IBM、微軟、黑莓、One Identity、CrowdStrike等公司都展示了其零信任藍(lán)圖、方案及產(chǎn)品。種種舉措和行動(dòng)表明，未來(lái)零信任將成為美國(guó)政府新的網(wǎng)絡(luò)架構(gòu)。

3.3 推出迄今為止為保護(hù)軟件供應(yīng)鏈安全而采取的最強(qiáng)勁措施

SolarWinds供應(yīng)鏈黑客攻擊事件大大突破了當(dāng)今美國(guó)頂級(jí)安全公司及政府機(jī)構(gòu)所具有的防御能力，對(duì)美國(guó)供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施安全防御體系富有極大的沖擊性，充分暴露了美國(guó)網(wǎng)絡(luò)防御能力建設(shè)的相對(duì)滯后乃至不足。因此，該《行政命令》明確提出要增強(qiáng)美國(guó)聯(lián)邦政府的軟件供應(yīng)鏈安全，要求向美國(guó)聯(lián)邦政府出售軟件的任何企業(yè)，提供軟件本身的同時(shí)，還必須提供軟件物料清單（SBOM），明確該軟件的組成成分。要求所有聯(lián)邦政府軟件供應(yīng)商都遵守有關(guān)網(wǎng)絡(luò)安全的嚴(yán)格規(guī)則，否則有被列入黑名單的風(fēng)險(xiǎn)。要求創(chuàng)建一個(gè)“能源之星”標(biāo)簽，以便政府和公共購(gòu)買者都可以快速輕松地查看軟件是否遵循了安全開(kāi)發(fā)規(guī)范。同時(shí)要求NIST在6個(gè)月內(nèi)發(fā)布軟件供應(yīng)鏈安全指南，并在1年內(nèi)發(fā)布最終指南。該行政命令彰顯了美國(guó)致力于保護(hù)軟件供應(yīng)鏈安全的決心和強(qiáng)勁措施，首次引入“關(guān)鍵軟件”概念，側(cè)重于網(wǎng)絡(luò)安全影響，主要是與系統(tǒng)特權(quán)或直接訪問(wèn)網(wǎng)絡(luò)、計(jì)算機(jī)資源相關(guān)的軟件，將供應(yīng)鏈安全問(wèn)題深化和細(xì)化，關(guān)切點(diǎn)正在聚焦到特定IT產(chǎn)品和服務(wù)。反觀我國(guó)，當(dāng)前在軟件供應(yīng)鏈安全方面的基礎(chǔ)比較薄弱，亟需從國(guó)家、行業(yè)、機(jī)構(gòu)、企業(yè)各個(gè)層面建立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的發(fā)現(xiàn)、分析、處置和防護(hù)等能力，整體提升軟件供應(yīng)鏈安全管理水平[3]。

3.4 行政命令的具體政策如何落地成為美網(wǎng)絡(luò)安全行業(yè)討論的焦點(diǎn)

該《行政命令》一經(jīng)發(fā)布，美國(guó)各大主要媒體均刊登了美國(guó)網(wǎng)絡(luò)安全業(yè)內(nèi)專家對(duì)該行政命令的看法，總體上持歡迎態(tài)度，但對(duì)具體政策的落地效果持保留意見(jiàn)。美國(guó)參議院情報(bào)委員會(huì)主席認(rèn)為：“這項(xiàng)行政命令是邁出的第一步?！毙畔⒓夹g(shù)產(chǎn)業(yè)委員會(huì)主席兼首席執(zhí)行官說(shuō)：“我們贊賞在此行政命令中對(duì)公私合作的關(guān)注，以及為使聯(lián)邦信息系統(tǒng)、網(wǎng)絡(luò)和供應(yīng)鏈現(xiàn)代化和簡(jiǎn)化而采取的有意義的步驟。”Tenable公司CEO認(rèn)為：“雖然很高興看到網(wǎng)絡(luò)安全在拜登總統(tǒng)的政策倡議中發(fā)揮了突出的作用，但現(xiàn)在必須把注意力集中在該行政命令的可操作性上?！卑Ｉ馨踩聵I(yè)部高級(jí)董事總經(jīng)理認(rèn)為：“有了這一行政命令，政府和企業(yè)可以針對(duì)出現(xiàn)的威脅做出更快、更明智的決策?！盉lueVoyant全球?qū)I(yè)服務(wù)負(fù)責(zé)人認(rèn)為：“盡管該命令突出了我們國(guó)家安全中的許多弱點(diǎn)，但其內(nèi)容冗長(zhǎng)且提出的行動(dòng)通常無(wú)法實(shí)現(xiàn)。例如，情報(bào)信息共享已經(jīng)討論了多年，但目前還沒(méi)有產(chǎn)出一個(gè)真正可行的計(jì)劃?！?/p>

大部分專家認(rèn)為該行政命令的范圍很廣，而且美國(guó)政府制定的時(shí)間表也很激進(jìn)，下一步該如何實(shí)施、貫徹和執(zhí)行將成為絕對(duì)關(guān)鍵。美國(guó)政府必須改善與行業(yè)合作的方式，各機(jī)構(gòu)還需檢查其是否具有足夠財(cái)力和人力來(lái)執(zhí)行該行政命令的任務(wù)，代理商可能需要根據(jù)該行政命令制定新的法規(guī)，私營(yíng)科技公司還須做出重大改變以滿足聯(lián)邦政府的要求等，這些還需要白宮采取進(jìn)一步行動(dòng)，包括美國(guó)土安全部預(yù)計(jì)在未來(lái)幾個(gè)月內(nèi)根據(jù)行政命令制定新的立法。

4 結(jié) 語(yǔ)

總體而言，該《行政命令》是拜登政府致力于改善國(guó)家網(wǎng)絡(luò)安全及保護(hù)聯(lián)邦政府網(wǎng)絡(luò)而制定的新路線和戰(zhàn)略方向。在改善美國(guó)政府與私營(yíng)部門在網(wǎng)絡(luò)上的信息共享問(wèn)題，實(shí)現(xiàn)國(guó)家網(wǎng)絡(luò)防御現(xiàn)代化，促進(jìn)零信任的落地和實(shí)施，審查和評(píng)估網(wǎng)絡(luò)安全重大事件，增強(qiáng)美國(guó)對(duì)事件發(fā)生時(shí)的響應(yīng)能力等方面尋求突破，力圖提高其國(guó)家網(wǎng)絡(luò)安全防御能力，這些重要舉措對(duì)我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的政策制定和實(shí)施有著重要的借鑒意義。