数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是关于改进国家网络安全的第 14028 号行政命令?
2021 年 5 月 12 日,乔·拜登发布的第 14028 号行政命令 (EO)“改善国家网络安全”,指示多个机构通过各种软件和数据安全及完整性措施来改进网络安全。2020/21 年发生的数起备受瞩目的信息安全和勒索软件攻击引发了该命令,包括 SolarWinds 黑客攻击、MS Exchange 服务器漏洞以及针对公共和私营部门的 Pulse Connect Secure 攻击。
由于这些攻击,网络安全与基础设施安全局 (CISA) 发布了关于国家安全框架的指南。这是一份包含 74 条可执行指令的大型政策文件,共 15 页。其中 45 条指令有截止日期,其中一些指令取决于其他指令的执行。
谁会受到第 14028 号行政命令的影响?
向美国政府提供 IT 产品和服务的公司将受到该行政命令的影响。然而,这项新命令不仅仅是一套 IT 规则。在 EO 的前言和随附的 EO 事实说明书中,作者经常提到运营技术 (OT)。然后,它将注意力转向更广泛的术语“关键软件”,并制定了一套适用于向美国政府提供的所有软件的规则和指示。
总统令指示政府实体设定最佳安全程序的标准。然后,为了应对日益复杂的数字威胁,他们必须更新其策略。
联邦机构应优先考虑云采用、数据加密、满足扩展日志记录标准、识别敏感数据并升级数据保护措施,以及使用多因素身份验证。
联邦机构还必须创建和实施零信任策略。零信任的概念基于信任的概念,它指出网络中的参与者并非仅仅因为是网络的一部分就自动值得信任。
第 14028 号行政命令的要求是什么?
依次,有四个主要要求:
第一步是确保所有要求 IT 和 IT 安全公司共享威胁情报并报告事件的政府合同都已到位。该命令的第 2 节修改了联邦采购条例 (FAR) 和国防联邦采购条例 (DFAR),以确保保留网络事件数据,并将网络事件报告给网络安全与基础设施安全局 (CISA),并进行合作调查。
第二个标准是将民用政府机构提升到财富 1000 强水平。后续部分解释了如何满足这些要求:
第 3 节推动了云采用、零信任和多因素身份验证。
第 6 节的任务是让 CISA 创建一个事件响应手册。
第 7 节要求端点检测和响应 (EDR)。
第 8 节概述了日志记录标准。
第 9 节讨论了国家安全系统。
第三个主要要求是提高联邦政府软件的安全性。该法案的第 4 节要求美国国家标准与技术研究院 (NIST) 制定标准,并要求管理和预算办公室 (OMB) 执行这些标准。开发环境得到了重点强调,漏洞检查也得到了强调。
该命令的最后一个关键目的是研究事件发生的原因并分享结果。网络安全审查委员会将负责调查。这个新的组织,类似于国家运输安全委员会,将负责审查 Solar Winds 并提供长期解决方案。
第 14028 号行政命令的主要原则是什么?
该行政命令以七个不同的原则和义务的形式提出了要求,联邦政府及其公共和私营部门合作伙伴必须遵守这些原则和义务,以增强美国网络安全体系:
提高透明度
该命令包含多项措施,消除了政府与企业部门之间的沟通障碍。在某些情况下,合同义务限制被豁免,允许提供商交换有关风险和违规的信息。此外,通过与联邦网络安全和调查机构合作,IT 提供商现在可以在行业认可的标准下收集、保留和交换数据。
供应链软件安全性改进
EO 的一个关键重点似乎是软件供应链安全。该文件中约三分之一的政策声明与供应链安全相关。在 12 月份的 SolarWinds 攻击事件之后,这毫不奇怪,该攻击事件渗透了美国军方的所有五个部门,以及五角大楼、国务院、国家安全局、白宫以及大量其他知名目标。这种广泛的混乱注定会决定 EO 的基调。
成立网络安全安全审查委员会
根据 2002 年《国土安全法》第 871 条,EO 成立了一个网络安全安全委员会,该委员会由私营部门和政府参与者共同领导。委员会成员将来自国防部、司法部、联邦调查局、国家安全局、CISA 和企业界。在发生重大网络事件后,委员会始终会召开会议,评估情况并为未来的威胁提供建议。
端点检测和响应系统
第 14028 号行政命令在联邦网络系统中建立了一个政府范围内的端点检测和响应系统,以提高检测能力。促进不同当局之间有效的数据交换,可以更深入地了解识别恶意活动。
事件日志记录要求
标准化的响应方法确保事件在中心进行编目,并跟踪各机构在成功响应方面取得的进展。为了使调查人员能够检测和预防攻击,新规定要求各机构使用统一的事件记录方法。
第 14028 号行政命令的其他两个原则涉及“修订和数字化联邦政府的网络安全标准”以及“事件响应标准操作程序”。
结论
政府 ICS/OT 软件供应商(或向向政府提供服务的公司的供应商)面前有一些工作要做。在未来 365 天内,这些组织预计向客户提供的软件安全信息将发生巨大变化。值得注意的是,新的 EO 要求仅适用于“在此命令发布日期后购买的软件”。新规定发布后,公司将不会有六个月或十二个月的时间来遵守。
今天销售的任何软件都必须追溯到 2021 年 5 月 12 日,遵守尚未确定的规定。行政命令中没有明确说明 IT 或 OT 服务提供商必须何时遵守新的合同安排。根据以往的 FAR 规则变更流程,我们预计公众意见征集期将在 2021 年 12 月底结束,FAR 最终规则将在 2022 年底发布。
此日期之后签署的合同将受新的数据共享规则约束。
预计这项庞大的行政指令将极大地改变联邦政府处理网络安全的方式,影响所有向联邦政府销售 IT 或 IT 安全产品的企业。由于联邦政府是世界上最大的 IT 和 IT 安全消费者,因此对其他供应商也会产生溢出效应。
浏览量:177
