看拜登政府网络安全行政令的七大方案
发布时间:2021-06-09 10:22:30 所属栏目:安全 来源:互联网
导读:尽管缺乏明确的定义,但拜登政府新发布的行政令可能比过去的更为有效,尤其是在Colonial Pipeline攻击之后。 主要石油管道供应商Colonial Pipeline遭受勒索软件攻击瘫痪。在经历了戏剧性的一周之后,拜登政府发布了备受关注的《改善国家网络安全行政令》,或
|
尽管缺乏明确的定义,但拜登政府新发布的行政令可能比过去的更为有效,尤其是在Colonial Pipeline攻击之后。
主要石油管道供应商Colonial Pipeline遭受勒索软件攻击瘫痪。在经历了戏剧性的一周之后,拜登政府发布了备受关注的《改善国家网络安全行政令》,或产生深远而复杂的影响。该行政令旨在描绘“改善国家网络安全和保护联邦政府网络的新路线”。
这份雄心勃勃的文件从SolarWinds和Microsoft Exchange供应链攻击,以及Colonial Pipeline勒索软件感染出发,提出了一系列最小化此类网络安全事件频率和后果的举措。
这些举措包括:
1. 消除政府与私营行业之间共享威胁信息的障碍,重点确保IT服务提供商能够与美国联邦政府共享安全事件信息。
2. 现代化并实现更强的联邦政府网络安全标准,包括迁移到云服务和零信任架构,以及采用多因子身份验证(MFA)和强制加密。
3. 提升软件供应链安全,包括为出售给政府的软件制定软件开发基线安全标准。美国商务部必须公布软件材料清单(SBOM)的必备要素,跟踪构成软件的各个组件。
4. 建立由政府和私营产业专家组成的网络安全安全审查委员会,在发生重大网络安全事件后召开会议,提出建议,就像国家运输安全委员会(NTSB)在发生重大运输事故后所做的那样。
5. 创建事件响应标准行动手册,确保所有联邦机构都参照标准的行动手册和事件响应定义行事。
6. 启用政府范围的端点检测与响应(EDR)系统,改进联邦政府内部的信息共享,从而提升联邦政府各网络上的网络安全事件检测。
7. 为所有联邦机构建立网络安全事件日志要求,改善调查与修复能力。
▶ 立法者盛赞这项行政令
立法者对此项行政令的最初反应是正面的。国会议员 Jim Langevin 是众议院网络安全、创新技术和信息系统军事小组委员会主席,也是网络空间日光浴室委员会成员,他发表声明说:“网络安全是我们国家最紧迫的国家安全挑战,我赞成拜登总统在任期初期采取行动,解决和消除突出的弱点。”
参议院情报委员会主席、弗吉尼亚州民主党参议员Mark Warner认为,行政令的发布是“良好的第一步”。马萨诸塞州民主党参议员Edward J. Markey和加利福尼亚州民主党国会议员Ted W. Lieu称赞这项行政令创建了新的试点项目,可以“教育公众熟悉物联网(IoT)设备的安全能力。”·
▶ 专家指出定义挑战
然而,这项行政令包含了46个限期完成的目标,目前尚缺乏关于如何实现这许多目标的详细说明。Wiley Rein律师事务所合伙人Megan Brown向媒体透露:“行政令给美国国家标准与技术研究院(NIST)和联邦采购管理委员会(FAR)留下了许多未定义的内容,并赋予了巨大的自由裁量权。”该行政令要求NIST制定实现零信任架构的计划,并要求其定义关键软件并制定评估软件安全的指南。
根据行政令,NIST被进一步分配了一系列任务,敲定物联网消费品安全标签计划的关键组成部分,包括建立试点计划和确定计划中使用的物联网网络安全标准。联邦采购管理委员会则被分配了许多与信息共享要求相关的合约语言开发任务。
 (编辑:呼伦贝尔站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
