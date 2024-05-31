美国政府问责局近日发布了一份更新报告，说明了旨在提升国家网络安全的第 14028 号行政命令的执行进展。
2021 年，白宫明确了改善联邦 IT 系统网络安全需要满足的 55 项领导与监督要求，所有系统均需达到或超越规定标准。这项关于提升国家网络安全的行政命令（第 14028 号）详细阐述了制定要求的必要性，指出“预防、检测、评估与应对网络事件是保障国家及经济安全的首要任务和核心要素”。
此外，该行政命令 (EO) 指出，完成这些要求至关重要，因为政府应以身作则，激励私营部门同样降低网络安全漏洞与攻击的风险。
EO 明确了负责实施各项要求的机构：国土安全部网络安全和基础设施安全局 (CISA)、美国国家标准与技术研究院 (NIST) 以及管理与预算办公室 (OMB)。
此项行政命令的关键要求聚焦于以下网络安全解决方案：
尽管更新报告肯定了相关机构在提升联邦网络安全方面的努力，但结论部分强调完成剩余要求的重要性。
五项未完成要求如下：
管理与预算办公室 (OMB) 虽已将成本分析部分纳入年度预算流程，但未能提供证明其全面落实该行政命令中所有领导与监督要求的详细实施证据。
CISA 与 OMB 已协助 NIST 制定联邦政府软件安全措施的准则与指南。三家机构还共同界定了关键软件的定义，并草拟了符合该定义的常见软件类别初步清单。但 CISA 未能在 2023 年 9 月的截止日期前发布该常见软件类别清单。
CISA 未能提供通过改进建议来优化运作的具体实施证据。更新报告指出，此步骤是保障委员会未来有效开展事件审查工作的关键。
尽管 OMB 报告称其已在向各机构发布的预算编制指南中纳入端点检测与响应 (EDR) 要求，并将 EDR 列入 2023 财年《联邦信息安全现代化法案》 (FISMA) 评估指标清单，但该机构未能提供相关文件证明。更新报告对此表示担忧：若缺乏证明，各机构的 EDR 计划可能无法获得充足资金。
OMB 已向各机构发布关于日志记录、留存及管理的指导文件。然而，OMB 未能证明各机构已具备实施日志记录、留存及管理所需的充足资源。
更新报告针对五项未完成要求提出了具体的行政措施建议，要求最晚于 2024 年 12 月 31 日前落实。