拜登签署《关于改善国家安全、国防和情报系统网络安全的备忘录》
时间:2023-10-26 22:25:04 来源:小苹果范文网 本文已影响 人 
樊伟
拜登签署《关于改善国家安全、国防和情报系统网络安全的备忘录》
2022年1月19日,美国总统拜登签署《关于改善国家安全、国防和情报系统网络安全的备忘录》(以下简称《备忘录》),旨在改善国家安全系统的网络安全。该《备忘录》是落实第14028号《改善国家网络安全》行政令的政策文件,提出国家安全系统的多项网络安全新要求,旨在强化美国家安全局、国防部、情报机构和其他联邦机构的网络安全保护能力,推进新形势下美国网络安全防御现代化。
2020年以来,美国网络事件频发。2020年12月发生的太阳风事件中,基础网络管理软件供应商太阳风公司的Orion软件更新包被黑客植入后门,波及包括政府部门、关键基础设施以及多家全球500强企业在内的机构,损失难以估量。2021年5月发生的科洛尼尔输油管攻击事件中,黑客通过勒索软件攻击了美国最大的成品油管道系统,几乎切断了美国东海岸45%的燃料供给,给美国工业造成重大损失。美网络空间领域安全事件频发,暴露了美国网络安全的短板,引起了很多部门的重视,这也加快了《备忘录》签署的进度。
此外,2021年5月,拜登签署关于加强国家网络安全的行政令,要求保护联邦政府网络、改善政府与私营机构网络领域信息共享及增强网络事件响应能力,全面提升美国网络安全防御能力,為《备忘录》编写制定提供了指导。
《备忘录》从明确网络安全技术落地应用时间安排与指导方针、强化国家安全局对国家安全系统的管理与指导地位、确保跨域解决方案安全性、提升网络安全风险感知能力、构建国家安全系统云技术网络安全和事件响应协作机制、引入基于特殊任务需求的例外情况等六大维度,加强网络安全保障,细化美国家安全系统的网络安全标准。
《备忘录》是基于2021年5月《联邦政府网络安全行政令》出台的,要求联邦政府在60天内达到国家安全系统的要求。《备忘录》旨在使军事机构和情报界的网络安全要求与民用机构的网络安全要求保持一致。《备忘录》阐述了网络安全行政令如何适用于由政府机构使用的国家安全系统,指出国家安全系统至少应具有与该行政命令下的联邦民用网络相同的安全保护。
《关于改善国家安全、国防和情报系统网络安全的备忘录》封面
《备忘录》要求各机构采取行动保护或减轻对国家安全系统的网络威胁。《备忘录》授权国家安全局,通过其作为国家安全系统国家管理者的角色,制定具有约束力的操作指令,从而要求各机构针对已知或可疑的网络安全威胁和漏洞采取具体行动。该指令以国土安全部网络安全和基础设施安全局对民用网络的约束性操作指令授权为蓝本,可命令各机构对易受已知漏洞威胁或当前受到攻击的系统进行快速更新,从而减轻潜在的网络威胁或漏洞。
《备忘录》还指示国家安全局和国土安全部共享指令并相互学习,以确定一个机构指令中的任何要求是否能够被另一个机构采用。在60天内,美国土安全部和国家安全局必须在制定和颁布此类指令时,制定涵盖信息共享和保护机密信息和情报来源的程序。
加强国家安全系统网络事件态势感知《备忘录》要求提高国家安全系统网络安全事件的可见性,要求各机构识别其国家安全系统并将其上发生的网络事件报告给国家安全局,这将提高政府识别、感知能力,并减轻所有国家安全系统网络风险。《备忘录》称,美国防部和情报机构的首席信息官还必须保留系统异常的内部记录,该记录需足够详细,以有效识别网络安全问题。《备忘录》还要求国防部和情报机构的首席信息官保留一份国家安全系统的信息系统清单。
《备忘录》赋予国家安全局制定秘密和绝密云系统网络安全和事件响应框架的任务,以促进联邦机构、商业云供应商和国家安全局之间的信息共享。《备忘录》要求美国家安全局、中央情报局、联邦调查局、国防部分支机构和情报界开发一个框架,以更好地协调国家安全云技术的网络安全和事件响应工作。
国家安全局是美国政府机密系统的国家管理者。《备忘录》称,文件签署后90天内,国家管理者应与国家情报总监、中央情报局局长、联邦调查局局长以及国防部相关部门的负责人,开发一个框架来协调与国家安全系统商业云技术相关的网络安全和事件响应行动,以确保各机构、国家管理者和云服务提供商之间的有效信息共享。《备忘录》还呼吁国土安全部与国家安全局协调对国家安全系统和联邦民事行政部门系统产生影响的云网络安全事件。
《备忘录》概述了2021年5月《网络安全行政令》如何适用于机密系统和非机密系统之间移动数据交换,并列出了更新零信任、多因素身份验证和云安全的政策和计划时间安排。《备忘录》还要求,文件发布后60天内,运营国家安全系统的机构必须更新计划,优先考虑资源并采用和使用云计算以实施零信任架构;文件发布后90天内,国家安全系统委员应制定和发布与国家安全系统云迁移和运营相关的最低安全标准和控制指南;文件发布后180天内,各机构需要对国家安全系统中存储或移动的数据实施多因素身份验证和加密。《备忘录》还规定了机密系统加密的要求,重点是过渡到抗量子加密标准。
《备忘录》要求各机构确保跨域解决方案(在机密和非机密系统之间传输数据的工具)。对手可以寻求利用这些工具来访问美国机密网络,而《备忘录》指示采取果断行动以应对此类威胁。《备忘录》要求各机构清点跨域解决方案,并指示国家安全局建立安全标准和测试要求,以更好地保护上述关键系统。
当机构负责人认为在涉及军事、情报或执法的系统中应用《备忘录》不可行或违反国家安全时,可以适用一些例外情况。明确用于漏洞研究且不属于机构运营网络的系统也可以豁免。另一项豁免适用于对国家归属模糊不清,并且由于实施这些要求而导致脱离美国控制的系统。
保罗·M·中曾根,是情报系统出身的上将。现任美网络司令部司令、国家安全局局长兼中央保密署署长
根据研判分析,美国家安全系统管理工作由于涉及国家安全数据处理,应采取更高级别的数据安全保护措施,通常在网络安全总统指令范围之内不会提及。《备忘录》首次明确指出,网络安全总统指令中规定的关于非国家安全系统的网络安全要求同样适用于国家安全系统,这将进一步规范美国家安全系统网络安全管理工作,对维护美国家安全具有重要现实意义。
美国各界对《备忘录》反响不一,但总体持积极态度。《备忘录》发布后,美国立法界、政界和业界对其反响不一,总体上持积极态度。美国家安全局局长表示,将通过国家安全系统密码标准,在促进用户间密码协议互操作性方面发挥重要作用;美参议院情报特别委员会主席建議国会基于《备忘录》进行专门立法,要求关键基础设施所有者和运营商在72小时内报告此类网络安全事件。
总体来看,《备忘录》产生诸多积极意义,但也存在考虑不全面的问题。一方面,美国联邦政府将国家安全系统定义为“其功能、操作或使用涉及情报活动;涉及与国家安全相关的密码学活动;涉及军队的指挥和控制;涉及作为武器或武器系统组成部分的设备;或对直接执行军事或情报任务至关重要。”但是,不能仅因某个系统被认定为国家安全系统就认为比其他非机密系统更安全,“军用级”并不意味着更好或更安全。另一方面,《备忘录》旨在帮助国家安全局在管理政府网络机密系统方面发挥作用,进一步推动各机构采用零信任架构,但零信任并不能完全防范某些特殊漏洞风险,会给国家安全系统的网络防护工作埋下隐患。此外,对例外情况的管理将决定《备忘录》实施的效果,多因素身份验证、加密等技术落地有严格目标设置,若一机构无法满足时间安排要求可提出申请,而对此类例外情况的评估与验收至关重要,若无相应监督管理机制,《备忘录》的规定将难以落地。
责任编辑:王宇璇
猜你喜欢 安全局备忘录网络安全 全国多地联动2020年国家网络安全宣传周启动计算机世界(2020年36期)2020-09-27新量子通信线路保障网络安全科学大众(中学)(2019年2期)2019-04-08民主党版备忘录遭白宫怒怼环球时报(2018-02-26)2018-02-26保护个人信息安全,还看新法瞭望东方周刊(2017年22期)2017-06-22中国网络安全产业联盟正式成立计算机世界(2016年1期)2016-02-24澳大利亚无人机操作规定多人民周刊(2016年1期)2016-01-09干什么工作意林(2010年24期)2010-11-22年终总结微型计算机·Geek(2009年12期)2009-01-19