5月11日,美国总统特朗普签署一项行政指令,要求采取一系列措施来增强联邦政府及关键基础设施的网络安全。随后,负责国土安全和反恐事务的总统国家安全事务助理波塞特在白宫新闻发布会上称,美国当前在网络空间安全问题上走在错误的方向上,包括美国盟友和敌人,主要是国家行为体但也包括非国家行为体,对美国的网络攻击越来越多,这一行政指令将扭转这一趋势以确保美国民众的安全。
该项名为“增强联邦政府网络与关键性基础设施网络安全”的行政指令,按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。
在联邦政府网络安全方面,“指令”认为,已知但未得到处理的漏洞是行政部门所面临的最严重的网络风险之一,这些漏洞包括使用开发商不再支持的过时操作系统或硬件,未及时安装安全补丁或落实特定安全配置。
鉴此,该行政指令要求各联邦政府机构在90天内制定风险管理报告,并提交给国土安全部部长和白宫行政管理与预算办公室主任,描述该机构如何实施由美国国家标准技术研究所(NIST)制定的提升关键基础设施网络安全框架。在收到报告60天内,行政管理与预算办公室主任应通过负责国土安全和反恐事务的总统国家安全事务助理,向总统提交对各机构风险管理报告的评估意见及实施计划。此外,以建立一个“现代、安全、更有韧性”行政部门信息技术架构为目标,美国技术委员会主任应在90天内向总统提交各部门的转型情况。国防部和情报系统等国家安全系统则应在150天内向负责国土安全和反恐事务的总统国家安全事务助理提交有关实施情况的报告。
在关键基础设施网络安全方面,要求按奥巴马政府时期颁布的第21号总统行政指令中所规定的关键基础设施名单,对之进行评估,并于180天内提交网络安全风险评估报告,随后每年提交一次评估报告。2013年2月,奥巴马签发第21号总统政策指令,将化学、商业设施、通信、关键制造、大坝、国防工业基础、紧急服务、能源、金融部门、食品与农业、政府设施、医疗与公共健康、信息技术、核反应堆与核材料及废料、交通系统和水与污水系统等16个领域划入国家关键基础设施名单。“指令”对这方面的整改、落实也有非常具体的要求。
在国家网络安全方面,“指令”称,美国的政策是确保互联网开放、互动、可靠和安全,在促进效率、创新、交流和经济繁荣的同时,尊重隐私并防止欺骗、偷窃和破坏。要求国务院、财政部、国防部、司法部、商务部、国土安全部和美国贸易代表办公室,在90天内联合向总统报告慑止威胁和保护民众的战略选择。要求国务院等机构在45天内提交该部门有关国际网络安全的优先议程,此后的90天内提交网络安全国际合作战略。在网络人才培养上,要求商务部和国土安全部120天内联合提交如何加强网络人才培养的计划。要求国防部在150天内提交维护和增强国家安全相关领域网络能力的报告。
美国政府将联邦政府信息技术设施的落后视为一个严重安全问题。政府问责办公室去年发布的一份报告评估,美国联邦政府信息技术设施过时的状况越来越严重,在一些部门使用的系统中,甚至还存在50年前使用的零部件,这些零部件现在已经缺乏技术支持。比如,在国家核力量行动指挥系统上,国防部甚至还在使用8英寸软盘;美国财政部的部分系统软件甚至可以追溯到1950年代,其中使用的计算机语言已经严重过时,并运行在“古老”的IBM主机上。
4月28日,特朗普也曾签署一项行政命令,宣布成立美国技术委员会并亲任委员会主席,以统筹联邦政府信息技术设施的现代化建设。那份行政指令提到:“美国民众应该享受来自政府的更好的数字化服务,为实施这项政策,联邦政府必须要变革,让其信息技术现代化。”
波塞特在新闻发布会上还介绍说,美国政府将向统一的云安全技术这一一体化的解决方案转移,而不是各个政府部门去碎片化管控网络安全风险。因为,190多个联邦机构分别开发自己的网络防御体系,“”显然不明智”。
据悉,美国国土安全部将负责协调落实该行政命令。2018财年,美国国土安全部网络安全预算为3.19亿美元,联邦政府的网络安全总预算预计将增加15亿美元。
本文转自d1net(转载)