拜登签署《改善国家网络安全的行政命令》 附全文翻译

徐运红 头部观察

编者按

美国总统拜登于当地时间5月12日签署了《改善国家网络安全的行政命令》（Executive Order on Improving the Nation’s Cybersecurity），其中包括九项关键举措，是美国在网络安全方面最详细的行政命令之一。该行政命令旨在通过保护联邦网络、改善美国政府与私营部门间在网络问题上的信息共享以及增强美国对事件发生时的响应能力,从而提高国家网络安全防御能力。

主要内容包括：

1. 政府与私营部门合作

联邦政府必须改进其工作，以识别、阻止、保护、检测和应对恶意网络行为和背后的攻击者。网络安全不仅仅需要政府的行动，还需要联邦政府与私营部门合作。联邦政府需要进行大胆的变革和重大投资，以捍卫支撑美国生活方式的重要机构。

2. 消除威胁信息共享的障碍

该行政命令要求更新联邦信息技术和运营技术服务合同条款，允许联邦政府与IT与OT服务商共享有关网络安全事件的威胁情报和信息。为了加快安全事件预防和响应工作，更有效地保护联邦政府收集、处理和维护的信息和系统，消除这些合同的障碍并加强有关此类威胁、事件和风险的信息共享是必要的步骤。

3. 联邦政府网络安全现代化

为使联邦政府能够更好地应对日益复杂的网络威胁，该行政命令要求联邦机构采取措施，使其网络安全方法现代化，在保护隐私和公民自由的同时提高联邦政府对威胁的可见性。

4. 加强软件供应链安全

联邦政府所使用的软件的安全对于联邦政府的重要职能至关重要。该行政命令呼吁为出售给政府的软件的开发建立基线安全标准，包括要求开发者更加透明，并公开软件相关安全数据。联邦政府必须迅速采取行动，提高软件供应链的安全性和完整性，并优先考虑关键软件问题。

5. 成立网络安全审查委员会

国土安全部部长应与司法部长协商，根据2002年《国土安全法》第871节设立网络安全审查委员会。该委员会由联邦政府官员和私营企业的利益相关者组成，将在重大网络事件发生后召开会议，负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、修复活动和机构响应。

6. 联邦政府网络安全漏洞和事件应急响应标准化

标准化的响应流程确保了更协调和集中的网络安全漏洞和事件应急响应记录，这可以帮助组织进行更成功的应急响应。根据行政命令，商务部的国家标准与技术研究所(NIST)的任务是发布软件供应链安全的标准行动手册。该手册将包括关于如何检查漏洞、如何发现缺陷证据以及如何确保源代码的最新出处的建议，以及使用自动化工具验证可信代码的说明。

7. 加强联邦政府网络中网络安全漏洞的检测能力

该行政命令要求FCEB机构在联邦政府范围内部署终端检测和响应(EDR)系统，以更好地检测联邦网络上的恶意网络活动，并改善联邦机构之间的信息共享。

8. 加强联邦政府网络安全事件的调查和补救能力

了帮助改善调查和补救工作，行政命令要求各机构及其IT服务提供商业务应根据适用法律收集和维护联邦信息系统上的网络和系统日志中的信息，必要时应对FCEB信息系统中的网络事件，并应CISA局长的要求向国土安全部部长或联邦调查局提供该等数据。

9. 国家安全系统

在该行政命令发布之日起 60 天内，国防部长应与国家情报局局长和国家安全局协调，并与亚太国家安全局协商，在国家安全系统中采用不低于本命令所规定的网络安全要求。

注：中文翻译版转载自公众号网信企业对外合作促进；如需美国《改善国家网络安全的行政命令》英文原文，请在头部观察公众号回复“改善国家网络安全的行政命令”。

全文翻译