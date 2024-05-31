安全

第 14028 号行政命令对联邦网络安全产生了哪些实际影响？

美国政府问责局近日发布了一份更新报告，说明了旨在提升国家网络安全的第 14028 号行政命令的执行进展

2021 年，白宫明确了改善联邦 IT 系统网络安全需要满足的 55 项领导与监督要求，所有系统均需达到或超越规定标准。这项关于提升国家网络安全的行政命令（第 14028 号）详细阐述了制定要求的必要性，指出“预防、检测、评估与应对网络事件是保障国家及经济安全的首要任务和核心要素”。

此外，该行政命令 (EO) 指出，完成这些要求至关重要，因为政府应以身作则，激励私营部门同样降低网络安全漏洞与攻击的风险。

EO 明确了负责实施各项要求的机构：国土安全部网络安全和基础设施安全局 (CISA)、美国国家标准与技术研究院 (NIST) 以及管理与预算办公室 (OMB)。

此项行政命令的关键要求聚焦于以下网络安全解决方案：

  • 消除威胁信息共享障碍
  • 推动联邦政府网络安全现代化
  • 加强软件供应链安全
  • 设立网络安全审查委员会
  • 规范联邦政府应对网络安全漏洞与事件的标准化流程
  • 提升联邦政府调查与修复能力

要求实施进展更新

2024 年 4 月的更新报告显示，三家责任机构已完成 49 项要求。其中，规范网络安全漏洞与事件应对流程的要求被判定为不适用。此外，其余五项要求已部分完成。

在关键要求中，“推动联邦政府网络安全现代化”是唯一被全面达成的目标。该领域的工作包括：为联邦机构实施或启动零信任架构部署、保障云服务安全，以及集中整合网络安全数据访问权限。

其他举措涵盖：处理非密级数据、推进多重身份验证加密技术 实施，以及制定云安全技术参考架构文档。

尚未完成的要求

尽管更新报告肯定了相关机构在提升联邦网络安全方面的努力，但结论部分强调完成剩余要求的重要性。

五项未完成要求如下：

1. 将本节措施的成本分析纳入年度预算流程。

管理与预算办公室 (OMB) 虽已将成本分析部分纳入年度预算流程，但未能提供证明其全面落实该行政命令中所有领导与监督要求的详细实施证据。

2. 确定并面向各机构发布符合“关键软件”定义的、正在使用或采购中的软件与软件产品类别清单。

CISA 与 OMB 已协助 NIST 制定联邦政府软件安全措施的准则与指南。三家机构还共同界定了关键软件的定义，并草拟了符合该定义的常见软件类别初步清单。但 CISA 未能在 2023 年 9 月的截止日期前发布该常见软件类别清单。

3. 审查提交给总统的改进委员会运作建议，并酌情采取措施予以落实。

CISA 未能提供通过改进建议来优化运作的具体实施证据。更新报告指出，此步骤是保障委员会未来有效开展事件审查工作的关键。

4. 确保各机构拥有足够资源以满足采用端点检测与响应 (EDR) 方法的要求。

尽管 OMB 报告称其已在向各机构发布的预算编制指南中纳入端点检测与响应 (EDR) 要求，并将 EDR 列入 2023 财年《联邦信息安全现代化法案》 (FISMA) 评估指标清单，但该机构未能提供相关文件证明。更新报告对此表示担忧：若缺乏证明，各机构的 EDR 计划可能无法获得充足资金。

5. 与各机构负责人协同确保机构拥有充足资源以满足日志记录、日志留存及日志管理要求。

OMB 已向各机构发布关于日志记录、留存及管理的指导文件。然而，OMB 未能证明各机构已具备实施日志记录、留存及管理所需的充足资源。

更新报告针对五项未完成要求提出了具体的行政措施建议，要求最晚于 2024 年 12 月 31 日前落实。

