附译文全文 | 拜登签署行政命令增强国家网络安全学术资讯

点击上方“CIE智库”订阅，了解更多数字经济、工业互联网、人工智能、区块链和智慧社会领域资讯！

前言

近期，SolarWinds供应链攻击事件、微软exchange漏洞事件、Colonial Pipeline输油管道公司被黑客攻击等美国网络安全事件频发。5月12日，美国总统拜登签署了名为增强国家网络安全的行政命令（Executive Order on Improving the Nation’s Cybersecurity），以加强网络网络安全和保护联邦政府网络。命令共分为11个部分，要点如下：

一是政府与私营部门合作。私营部门必须适应不断变化的威胁环境，确保其产品的设计和运行是安全的，并与联邦政府合作，以促进网络空间的安全。

二是在网络安全方面加大投资。保护计算机系统的安全，包括基于云计算的、本地的和混合的计算机系统。具体包括处理数据的系统（信息技术（IT））和确保重要机器运行的系统（运营技术（OT））。

三是移除威胁信息共享的障碍。消除现行合同条款中的障碍并加强与负责调查或补救网络事件的执行部门和机构共享威胁、事件和风险的信息。

四是加强软件供应链安全。商业软件的开发缺乏透明性，不关注抵抗攻击的能力，以及防止恶意行为者篡改的能力。联邦政府必须采取行动，迅速提高软件供应链的安全性和完整性，并优先解决关键软件问题。

五是成立“网络安全审查委员会”。负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、修复活动和机构响应。委员会成员应包括联邦官员和私营企业的代表。具体包括国防部、司法部、CISA、NSA和FBI的代表，以及国土安全部长确定的适当私营网络安全或软件供应商的代表。

附：

增强国家网络安全的行政命令

（译文仅供参考）

根据美利坚合众国宪法和法律赋予我的总统授权，现命令如下：

第1节。政策。美国面临着持续不断且日益复杂的恶意网络运动，这些运动威胁着公共部门，私营部门，并最终威胁着美国人的安全和隐私。联邦政府必须加大努力，以识别，制止，防止，发现和响应这些行动和行动的实施者。联邦政府还必须仔细检查任何重大网络事件期间发生的情况，并吸取经验教训。但是，网络安全不仅需要政府采取行动。保护我们的国家不受恶意网络参与者的侵害，要求联邦政府与私营部门合作。私营部门必须适应不断变化的威胁环境，确保其产品安全构建和运行，并与联邦政府合作建立更安全的网络空间。最后，我们对数字基础架构的信任程度应与基础架构的可信度和透明度成正比，并与这种信任关系放错位置所带来的后果成正比。

宪法赋予了我总统权力，我们所需要的安全不会通过逐步改善获得；联邦政府需要做出大胆的改变并进行大量投资，以捍卫支撑美国生活方式的重要机构。联邦政府必须充分利用其权限和资源来保护其计算机系统，无论它们是基于云的，本地的还是混合的。保围必须包括处理数据的系统（信息技术（IT））和确保我们安全的重要机械运行的系统（运营技术（OT））。

预防，发现，评估和补救网络事件是本届政府的头等大事，他们对国家和经济安全至关重要。联邦政府必须以身作则。所有联邦信息系统均应达到或超过该命令规定和发布的网络安全标准和要求。

第2节消除共享威胁信息的障碍

（a）联邦政府与IT和OT服务提供商签订合同，以在联邦信息系统上执行一系列日常功能。这些服务提供商（包括云服务提供商）拥有对联邦信息系统上的网络威胁和事件信息的独特访问和洞察力。同时，当前的合同条款或限制可能会妨碍负责对网络事件进行调查或补救的执行部门、机构，如网络安全和基础架构安全局（CISA）、联邦调查局（FBI）和情报界（IC）的其他部门，共享此类威胁或事件信息。消除这些合同障碍并增加有关此类威胁，事件和风险的信息共享是加快对事件威慑，预防和响应的必要步骤，并能更有效地保护机构系统以及联邦政府收集、处理和维护的信息。

（b）在命令发布之日起60天内，管理和预算办公室（OMB）主任与国防部长，总检察长，国土安全部长和国家情报局局长协商，应审查《联邦采购条例》（FAR）和《国防部联邦采购条例》补充合同要求和语言，以便与IT和OT服务提供商签订合同，并向FAR委员会和其他相关机构建议更新此类要求和语言。建议应包括拟用合同语言涵盖的承包商说明。

（c）本节（b）所述的推荐合同语言和要求应旨在确保：

（i）服务提供商收集并保存与网络安全事件预防，检测，响应和调查有关的数据，信息和报告，这些数据，信息和报告与他们控制的所有信息系统（包括代表代理商操作的，符合代理商要求的系统）有关；

（ii）服务提供商共享与网络事件或与同其签约的任何机构有关的潜在事件有关的数据，信息和报告。这些机构在预算管理（OMB）主任与国防部长，总检察长，国土安全部长和国家情报局局长协商后认为适当，并与适用的隐私法律，法规和政策保持一致的情况下，这些机构可与任何其他机构共享；

（iii）服务提供商与联邦网络安全或调查机构合作，对联邦信息系统上的事件或潜在事件进行调查和响应，包括通过实施技术功能，例如根据需要与其支持的机构合作，监控威胁网络；和

（iv）服务提供商与代理商共享网络威胁和事件信息，并在可能的情况下以行业认可的格式进行事件响应和补救。

（d）收到本节（b）所述建议的90天内，FAR委员会应审查拟议的合同语言和条件，并应酌情发布对FAR的建议更新以征询公众意见。

（e）在本命令发出之日起120天内，国土安全部部长和OMB局长应采取适当措施，最大限度地确保服务提供商与联邦政府应对网络威胁、事件和风险所需的机构、CISA和FBI共享数据。

（f）联邦政府的政策是：

（i）与机构签订合同的信息和通信技术（ICT）服务提供商在发现涉及提供给此类机构的软件产品或服务或涉及提供给此类机构的软件产品或服务的支持系统的网络事件时，必须立即向此类机构报告；

（ii）ICT服务提供商在根据本节（f）（i）小节向联邦民政执行部门（FCEB）机构报告时也必须直接向CISA报告，并且CISA必须集中收集和管理此类信息；和

（iii）必须根据本节（g）（i）（E）款确定的适当机构接收和管理本命令第10（h）节中定义的与国家安全系统有关的报告。

（g）实施本节（f）规定的政策：

（i）在本命令发出之日起45天内，国土安全部长应与国防部长协商，通过国家安全局局长、总检察长和OMB局长，向FAR委员会推荐合同语言，以确定：

（A）需要报告的网络事件的性质；

（B）有关网络事件的信息类型，需要报告以促进有效的网络事件响应和补救；

（C）对隐私和公民自由的适当和有效的保护；

（D）承包商必须根据等级的严重程度报告网络事件的时间段，其中最严重的网络事件的报告时间应不超过初次发现后三天；

（E）国家安全系统的报告要求；和

（F）拟议合同语言应涵盖的承包商和相关服务提供商的类型。

（ii）FAR委员会在收到本节（g）（i）所述建议的90天内，应审查这些建议并发布有关FAR的建议更新以征询公众意见。

（iii）自本命令发布之日起90天内，国防部长应通过国家安全局局长、总检察长、国土安全部长和国家情报局长共同制定程序，确保各机构之间及时、适当地共享网络事件报告。

（h）当前未分类系统合同的网络安全要求主要通过特定于机构的政策和法规来实施，包括云服务网络安全要求。跨机构标准化通用网络安全合同要求将简化并提高供应商和联邦政府的合规性。

（i）在命令发布之日起60天内，国土安全部部长通过CISA主任，并与国防部长通过NSA主任，OMB主任和总干事进行磋商服务部门应审查法律，政策或合同方面目前存在的针对特定机构的网络安全要求，并向FAR理事会建议标准化合同语言以了解适当的网络安全要求。此类建议应包括考虑拟议合同语言应涵盖的承包商和相关服务提供商的范围。

（j）FAR委员会在收到根据本节（i）小节制定的推荐合同语言之日起60天内，应审查推荐合同语言并发布对FAR的建议更新以征询公众意见。

（k）在本节（j）小节所述的公众意见征询期之后，FAR委员会对FAR进行了任何更新之后，代理商应更新其特定于代理商的网络安全要求，以删除与此类FAR更新重复的任何要求。

（l）OMB主任应将根据本节提出的所有建议的成本分析纳入年度预算流程。

第3节现代化联邦政府网络安全

（a）为了跟上当今动态和日益复杂的网络威胁环境的步伐，联邦政府必须采取果断步骤，现代化其网络安全方法，包括提高联邦政府对威胁的可见性，同时保护隐私和公民自由。联邦政府必须采用最佳安全实践；迈向零信任架构；加快向安全云服务的转移，这些云服务包括软件即服务（SaaS），基础架构即服务（IaaS）和平台即服务（PaaS）；集中和简化对网络安全数据的访问，以识别和管理网络安全风险；并在技术和人员上进行投资以实现这些现代化目标。

（b）在该命令发出之日起60天内，每个代理机构的负责人应：

（i）更新现有的机构计划，以按照OMB相关指南中的概述，为采用和使用云技术确定资源的优先级；

（ii）制定实施零信任体系结构的计划，该计划应酌情纳入商务部国家标准与技术研究所（NIST）在标准和指南中概述的迁移步骤，并说明已完成的任何此类步骤，确定将对安全产生最直接影响的活动，并包括实施这些活动的时间表；和

（iii）向OMB主任以及总统助理和国家安全顾问（APNSA）提供报告，讨论本节（b）（i）和（ii）子节要求的计划。

（c）随着各机构继续使用云技术，它们应以协调、审慎的方式这样做，使联邦政府能够预防、检测、评估和补救网络事件。为了促进这种方法，向云技术的迁移应尽可能采用零信任架构。CISA应使其现有的网络安全计划、服务和能力现代化，以便在具有零信任架构的云计算环境中充分发挥功能。国土安全部部长通过CISA局长与总务署署长协商，通过总务署内的联邦风险和授权管理计划（FedRAMP）行事，应制定管理云服务提供商（CSP）的安全原则，以纳入机构现代化工作。为了促进这项工作：

（i）在命令发布之日起90天内，OMB主任应与通过CISA主任行事的国土安全部部长和通过FedRAMP行事的总务署长协商，制定联邦云安全性战略并相应地为机构提供指导。此类指南应努力确保广泛理解和有效解决使用基于云的服务给FCEB带来的风险，并使FCEB代理机构更接近零信任架构。

（ii）在此命令发布之日起90天内，通过CISA主任行事的国土安全部部长应与OMB主任和通过FedRAMP行事的总务署署长协商，为FCEB制定和发布云安全技术参考体系结构文档，说明用于代理数据收集和报告的云迁移和数据保护的推荐方法。

（iii）在此命令发布之日起60天内，通过CISA主任行事的国土安全部部长应为FCEB代理制定并发布云服务治理框架。该框架应根据事件的严重性，确定可用于机构的一系列服务和保护。该框架还应确定与这些服务和保护有关的数据和处理活动。

（iv）在该命令发布之日起90天内，FCEB机构负责人在与国土安全部部长通过CISA主任协商后，应评估各自机构未分类数据的类型和敏感性，并应提供通过CISA主任提交给国土安全部部长，并向OMB主任提交基于此类评估的报告。评估应优先确定机构认为最敏感和受到最大威胁的未分类数据，并为这些数据提供适当的处理和存储解决方案。

（d）机构应在此命令发出之日起180天内，对静态数据和传输中的数据采用多因素身份验证和加密，最大程度地符合联邦记录法和其他适用法律。为此：

（i）FCEB机构负责人应通过CISA主管，OMB主管和APNSA向国土安全部部长提供有关各自机构在采用静态和传输中的多因素身份验证和数据加密方面的进展的报告。此类机构应在下达命令之日起每60天提供此类报告，直到该机构完全采用全机构范围的多因素身份验证和数据加密为止。

（ii）根据发现的机构实施方面的差距，CISA应采取所有适当步骤，以最大程度地利用FCEB机构采用的技术和流程对静态数据和传输中的数据实施多因素身份验证和加密。

（iii）无法在此命令发布之日起180天内完全采用多因素身份验证和数据加密的FCEB机构负责人，应在180天期限结束时向国土部长提供书面理由通过CISA主任，OMB主任和APNSA进行安全保护。

（e）在命令发布之日起90天内，国土安全部部长通过CISA主任行事，并与总检察长，联邦调查局局长和通过FedRAMP主任行事的总务署署长协商，应建立一个框架，以在与FCEB云技术相关的网络安全和事件响应活动方面进行协作，以确保各机构之间以及各机构与CSP之间的有效信息共享。

（f）在此命令发布之日起60天内，总务署署长应与OMB局长和总务署长认为适当的其他机构负责人协商，开始通过以下方式使FedRAMP现代化：

（i）建立培训计划，以确保对机构进行有效的培训和配备，以管理FedRAMP的要求，并提供包括视频点播在内的培训材料；

（ii）在授权的每个阶段通过消息的自动化和标准化来改善与CSP的通信。这些通信可能包括状态更新，完成供应商当前阶段的要求，后续步骤以及问题联系点；

（iii）在FedRAMP的整个生命周期中纳入自动化，包括评估，授权，持续监控和合规性；

（iv）数字化和简化要求卖方完成的文档，包括通过在线访问和预先填写的表格；和

（v）识别相关的合规框架，将这些框架映射到FedRAMP授权过程中的要求，并酌情允许这些框架替代授权过程的相关部分。

第4节增强软件供应链安全性

（a）联邦政府使用的软件的安全性对联邦政府履行其关键职能的能力至关重要。商业软件的开发通常缺乏透明度，对软件抵抗攻击的能力缺乏足够的关注，并且没有足够的控制措施来防止恶意行为者的篡改。迫切需要实施更加严格和可预测的机制，以确保产品安全地运行并按预期运行。特别重要的是“关键软件”（执行对信任至关重要的功能（如提供或要求提升的系统特权或直接访问网络和计算资源）的软件）的安全性和完整性。因此，联邦政府必须采取行动迅速改善软件供应链的安全性和完整性，并优先处理关键软件。

（b）在下达命令之日起30天内，通过NIST主任行事的商务部长应征询联邦政府，私营部门，学术界和其他适当角色的意见，以识别现有或开发新的标准，工具，以及符合本节（e）小节中的标准，程序或标准的最佳做法。准则应包括可用于评估软件安全性的标准，包括评估开发人员和供应商自身的安全实践并确定创新工具或方法以证明符合安全实践的标准。

（c）在发出此命令之日起的180天内，NIST主任应根据本节（b）款所述的协商并在可行的情况下利用现有文件，发布初步指南，增强软件供应链的安全性以符合本节的要求。

（d）在该命令发布之日起的360天内，NIST主任应发布其他指南，其中包括定期审核和更新本节（c）小节中所述指南的程序。

（e）在根据本节（c）小节发布初步指南的90天内，商务部长应通过NIST主任行事，并与NIST主任认为适当的机构负责人进行磋商。发布指南，确定可增强软件供应链安全性的做法。此类指南可能包含根据本节（c）和（i）小节发布的指南。此类指南应包括有关以下方面的标准，程序或准则：

（i）安全的软件开发环境，包括以下措施：

（A）使用管理上独立的构建环境；

（B）审核信任关系；

（C）在整个企业中建立基于多因素，基于风险的身份验证和有条件的访问；

（D）记录和最小化对企业产品的依赖，企业产品是用于开发，构建和编辑软件的环境的一部分；

（E）对数据加密；和

（F）监控操作和警报，响应未遂和实际的网络事件；

（ii）生成并应买方要求提供证明符合本节（e）（i）所述程序的工件；

（iii）采用自动化工具或类似的流程来维护可信赖的源代码供应链，从而确保代码的完整性；

（iv）使用自动工具或类似过程来检查已知和潜在的漏洞并进行补救，这些漏洞应定期运行，或者至少在产品，版本或更新发布之前运行；

（v）当买方要求时，提供本节（e）（iii）和（iv）所述的工具和流程的执行工件，并在完成这些操作后向公众提供摘要信息，包括对评估和减轻的风险的简要描述；

（vi）维护准确和最新的数据，软件代码或组件的出处（即来源）以及对软件开发过程中存在的内部和第三方软件组件，工具和服务的控制，并执行审核和反复执行这些控制措施；

（vii）为购买者直接或通过在公共网站上发布每种产品提供软件物料清单（SBOM）；

（viii）参与包括报告和披露过程的漏洞披露计划；

（ix）证明符合安全软件开发惯例；和

（x）在切实可行的范围内，确保并证明产品的任何部分所使用的开源软件的完整性和出处。

（f）在该命令发布之日起60天内，商务部长应与通信和信息助理部长以及国家电信和信息管理局局长协调，发布SBOM的最低要求。

（g）在此命令发出之日起45天内，商务部长通过NIST主任与国防部长通过NSA主任进行协商，国土安全部部长通过NIST主任进行协商。CISA，OMB总监和国家情报总监应发布“关键软件”一词的定义，以包含在根据本节（e）小节发布的指南中。该定义应反映功能所需的特权或访问级别，与其他软件的集成和依赖性，对网络和计算资源的直接访问，对信任至关重要的功能的性能以及受到损害时的潜在危害。

（h）在发布本节（g）要求的定义之日起30天内，通过CISA主任行事的国土安全部长应与通过NIST主任行事的商务部长协商后，确定并向代理商提供符合本节（g）小节所定义的关键软件定义的使用中或购买过程中的软件和软件产品类别列表。

（i）在此命令发布之日起60天内，通过NIST局长行事的商务部长应与通过CISA局长行事的国土安全局局长以及OMB局长进行磋商，并发布概述安全的指南。本节（g）小节中定义的关键软件的措施，包括应用最低特权，网络分段和适当配置的实践。

（j）在发布本节（i）所述的指南后的30天内，OMB主任通过OMB内的电子政府办公室管理员行事，应采取适当步骤，要求代理机构遵守该指南。

（k）在发布本节（e）所述的指南后的30天内，OMB主任通过OMB内的电子政府办公室管理员行事，应采取适当步骤，要求在此命令日期之后各机构遵守有关购买的软件的信息准则。

（l）代理商可以要求延期以遵守根据本节（k）小节发布的任何要求。任何此类请求均应由OMB主任逐案考虑，并且必须附有满足基本要求的计划。OMB主任应每季度向APNSA提供一份报告，确定并解释所有授予的延期。

（m）代理商可以要求豁免根据本节（k）款发布的任何要求。豁免应由OMB总监与APNSA协商，根据具体情况进行考虑，仅在特殊情况和有限期限内，并且只有在有缓解任何潜在风险的附带计划的情况下才予以批准。

（n）在该命令发出之日起的一年内，国土安全部部长应与国防部长，总检察长，OMB主任和OMB内电子政府办公室管理员协商，提出建议。符合FAR理事会合同语言，要求代理商可购买的软件供应商必须遵守并证明遵守根据本节（g）至（k）项发布的任何要求。

（o）在收到本节第（n）小节所述的建议后，FAR理事会应审查这些建议，并根据适用法律酌情修订FAR。

（p）在发布本节第（o）小节所述的修订FAR的任何最终规则后，代理机构应根据适用法律，将不符合修订FAR要求的软件产品从所有无限期交付无限期合同；联邦供应计划；联邦政府范围内的收购合同；一揽子采购协议；多个合同中移除；。

（q）管理和预算办公室主任，通过管理和预算办公室内电子政府办公室的管理员行事，应要求使用在本订单日期前开发和采购的软件（遗留软件）的机构遵守根据本节第（k）小节发布的任何要求，或提供概述补救措施或满足这些要求的计划，并应进一步要求寻求续签软件合同（包括遗留软件）的机构遵守根据本节第（k）小节发布的任何要求，除非根据本节第（l）或（m）小节授予延期或弃权。

（r）在本命令发布之日起60天内，商务部长通过NIST局长与国防部长通过NSA局长协商，应发布指南，建议供应商测试其软件源代码的最低标准，包括确定推荐的手动或自动测试类型（如代码评审工具、静态和动态分析、软件组合工具和渗透测试）。

（s）商务部长通过NIST局长与NIST局长认为合适的其他机构代表协调，应根据现有消费品标签计划启动试点计划，以教育公众物联网（IoT）设备的安全能力和软件开发实践，并应考虑如何激励制造商和开发商参与这些计划。

（t）在此命令发出之日起的270天内，由NIST主任行事的商务部长应与联邦贸易委员会（FTC）主席以及NIST主任认为适当的其他机构的代表协调，确定IoT消费者标签计划的网络安全标准，并应考虑是否可以与符合适用法律的任何现有类似政府计划一起运行或仿照此类消费者标签计划。该标准应反映出产品可能经过的越来越全面的测试和评估水平，并且应使用制造商用来告知消费者其产品安全性的现有标签计划，或与之兼容。NIST主任应检查所有相关信息，标签和奖励计划，并采用最佳做法。审查应集中在消费者的易用性上，并确定可以采取哪些措施来最大程度地提高制造商的参与度。

（u）在此命令发出之日起的270天内，商务部长应通过NIST主任与FTC主席及NIST主任认为适当的其他机构代表协调，以识别安全软件的开发消费者软件标签程序的惯例或标准，并应考虑是否与适用的现有政府程序相结合或以其为模型，以符合适用法律的规定来使用此类消费者软件标签程序。该标准应反映出安全措施的基准水平，并且在可行的情况下，还应反映出产品可能经历的越来越全面的测试和评估水平。NIST的主任应检查所有相关信息，标签和奖励计划，采用最佳做法，并识别，修改或开发推荐的标签，或者在可行的情况下，使用分层软件安全性评级系统。这次审查应着眼于消费者的易用性，并确定可以采取哪些措施以最大程度地参与。

（v）这些试点计划的执行方式应符合OMB通告A-119和NIST特别出版物2000-02（联邦机构的合格评定注意事项）。

（w）在该命令发布之日起的1年内，NIST主任应对试点计划进行审查，并与私营部门和相关机构进行磋商，以评估该计划的有效性，并确定可以进行哪些改进，然后向APNSA提交摘要报告。

（x）在该命令发布之日起的一年内，商务部长应与商务部长认为适当的其他机构负责人协商，通过APNSA向总统提供一份报告，以审查进展情况在本节中进行了概述，并概述了保护软件供应链所需的其他步骤。

第5节建立网络安全审查委员会

（a）国土安全部部长应与总检察长协商，根据2002年《国土安全法》（第6 U.S.C. 451）第871节设立网络安全审查委员会（董事会）。

（b）董事会应就影响FCEB信息系统或非联邦系统的重大网络事件（根据2016年7月26日的总统政策指令41（美国网络事件协调）（PPD 41）定义）进行审核和评估，威胁活动，漏洞，缓解活动和机构响应。

（c）在重大网络事件引发PPD-41第V（B）（2）节规定的建立网络统一协调小组（UCG）之后，国土安全部长应召集董事会；在总统通过APNSA代理的任何时候；或在任何时候国土安全部部长认为有必要的情况下。

（d）董事会的初审应与促使在2020年12月建立UCG的网络活动有关，董事会应在董事会成立后90天内向国土安全部部长提供建议，以改善网络安全和突发事件如本节（i）小节所述的应对措施。

（e）委员会的成员应包括联邦官员和私营部门实体的代表。董事会应由国防部，司法部，CISA，NSA和FBI的代表以及由国土安全部部长确定的适当的私营部门网络安全或软件供应商的代表组成。当审查的事件涉及国土安全部部长确定的FCEB信息系统时，OMB的代表应参加董事会的活动。国土安全部长可根据所审查事件的性质，逐案邀请其他人参加。

（f）国土安全部长应每两年从理事会成员中任命理事会主席和副主席，其中包括一名联邦成员和一名私营部门成员。

（g）董事会应根据适用法律保护与之共享的敏感的执法，运营，业务和其他机密信息。

（h）国土安全部长应在完成对适用事件的审核后，通过APNSA向总统提供任何有关改善网络安全和事件响应实践及政策的建议，信息或建议。

（i）在完成本节（d）所述的初次审核后的30天内，国土安全部长应通过APNSA向总统提供董事会根据初次审核提出的建议。这些建议应描述：

（i）查明董事会组成或权限方面的差距和选择方案；

（ii）董事会的拟议任务，范围和职责；

（iii）私营部门代表的成员资格标准；

（iv）董事会的治理结构，包括与行政部门和总统行政办公室的互动；

（v）要评估的网络事件类型的阈值和标准；

（vi）应根据适用法律和政策向董事会提供的信息来源；

（vii）一种方法，用于保护提供给委员会的信息并确保受影响的美国个人和实体在委员会对事件进行审查时进行合作；和

（viii）董事会运作所需的行政和预算考虑。

（j）国土安全部长应与总检察长和APNSA协商，根据本节（i）款审查通过APNSA向总统提供的建议，并采取措施酌情予以实施。

（k）除非总统另有指示，否则国土安全部部长应根据2002年《国土安全部法案》第871条，在国土安全部部长认为适当的情况下，每两年延长理事会的任期。

第6节标准化联邦政府的应对网络安全漏洞和事件的剧本

（a）当前用于识别，补救和从影响其系统的漏洞和事件中恢复的网络安全漏洞和事件响应程序在各个机构之间有所不同，这阻碍了牵头机构在各个机构之间更全面地分析漏洞和事件的能力。标准化的响应流程可确保对事件进行更加协调和集中的分类，并跟踪机构成功响应的进度。

（b）在此命令发布之日起的120天内，国土安全部部长通过CISA主任，与OMB主任，联邦首席信息官理事会和联邦首席信息安全委员会协商，并在通过国家安全局局长，总检察长和国家情报局长与国防部长协调，应制定一套标准的操作程序（手册），以计划和实施网络安全漏洞和事件响应活动尊重FCEB信息系统。该操作手册应：

（i）纳入所有适当的NIST标准；

（ii）由FCEB代理商使用；和

（iii）阐明事件响应各个阶段的进度和完成情况，同时要具有灵活性，因此可以用于支持各种响应活动。

（c）OMB主任应发布有关操作手册代理使用的指导。

（d）具有网络安全漏洞或事件响应程序的机构偏离了手册，只有在与OMB主任和APNSA协商并证明这些程序达到或超过手册中提出的标准后，才能使用此类程序。

（e）CISA主任应与NSA主任协商，每年对操作手册进行审查和更新，并向OMB主任提供信息，以将其纳入指南更新中。

（f）为确保事件响应活动的全面性并建立对未经授权的网络参与者不再有权使用FCEB信息系统的信心，操作手册应根据适用法律规定，要求CISA主任审核并验证FCEB机构的事件机构完成事件响应后的响应和补救结果。CISA的主管可能会建议使用其他机构或第三方事件响应小组。

（g）为确保对代理机构的网络事件和网络安全状况有共同的了解，操作手册应定义关键术语，并在可行的范围内与这些术语的任何法定定义相一致地使用这些术语，从而在各机构之间提供共享的词典使用手册。

第7节改进对联邦政府网络上网络安全漏洞和事件的检测

（a）联邦政府应动用一切适当的资源和权力，以最大程度地及早发现其网络上的网络安全漏洞和事件。此方法应包括提高联邦政府对网络安全漏洞和对代理网络的威胁的可见性和发现，以支持联邦政府的网络安全工作。

（b）FCEB代理机构应部署端点检测和响应（EDR）计划，以支持在联邦政府基础架构内主动检测网络安全事件，积极进行网络搜寻，遏制和补救以及事件响应。

（c）在命令发布之日起30天内，国土安全部部长通过CISA主任行事，应向OMB主任提供有关实施EDR倡议的备选方案的建议，该方案位于中心位置，以支持主机级别的可见性，归因，以及有关FCEB信息系统的回复。

（d）OMB主任在收到本节（c）所述的建议后的90天内，应与国土安全部部长协商，发布对FCEB机构采用联邦政府范围EDR方法的要求。这些要求应支持国土部长秘书通过CISA主任行事的能力，以从事网络搜寻，侦查和响应活动。

（e）OMB主任应与国土安全部长和机构负责人合作，以确保机构有足够的资源来满足根据本节（d）项发布的要求。

（f）捍卫FCEB信息系统要求通过CISA主任行事的国土安全部部长有权访问与威胁和脆弱性分析以及评估和威胁搜寻目的相关的机构数据。在此命令发出之日起75天内，代理商应与CISA建立或更新《持续诊断和缓解计划》的协议备忘录（MOA），以确保MOA中定义的对象级别数据可用于CISA，并且对CISA而言是一致的适用法律。

（g）在命令发布之日起45天内，国家安全局局长作为国家安全系统国家经理（国家经理）应向国防部长，国家情报总监和国家安全委员会推荐系统（CNSS）在适用法律允许的范围内采取适当措施，以改善对影响国家安全系统的网络事件的检测，包括有关EDR方法的建议以及此类措施应由机构实施还是由机构提供的共同关注的集中服务国家经理。

（h）在命令发布之日起90天内，国防部长，国家情报局局长和CNSS应审查根据本节（g）提交的建议，并酌情制定实施这些建议的政策建议，与适用法律一致。

（i）在该命令发布之日起90天内，CISA主任应向OMB主任和APNSA提供一份报告，说明根据《公法116-283》第1705条授予的权力机关如何在未经机构事先授权的FCEB网络正在实施中。该报告还应建议确保关键任务系统不被中断的程序，通知系统所有者易受攻击的政府系统的程序以及在FCEB信息系统测试期间可以使用的技术范围。CISA主任应就根据《公法116-283》第1705条采取的行动向APNSA和OMB主任提供季度报告。

（j）为确保国防部信息网络（DODIN）指令与FCEB信息系统指令之间保持一致，国防部长和国土安全部长应与OMB主任协商：

（i）在该命令发布之日起60天内，制定程序，以使国防部和国土安全部立即相互分享国防部的突发事件响应命令或国土安全部的紧急指令和具有约束力的行动指令到各自的信息网络；

（ii）根据有关共享机密信息的法规，评估是否采用另一部门发布的命令或指令中包含的任何指南；和

（iii）在收到根据本节（j）（i）小节规定的程序发出的命令或指令的通知之日起7天内，将AMBSA中所述的评估通知APNSA和OMB内的电子政府办公室管理员。本节（j）（ii）的小节，包括确定是否采用另一部门发布的指南，确定的理由以及适用该指令的时间表（如果适用）。

第8节提高联邦政府的调查和补救能力

（a）来自联邦信息系统上的网络和系统日志中的信息（对于本地系统和由第三方托管的连接，例如CSP）对于调查和补救而言都是无价的。机构及其IT服务提供商必须收集和维护此类数据，并在必要时处理通过FCEB信息系统发生的网络事件，并应通过CISA主任和FBI向国土安全部部长和联邦调查局提供这些数据。

（b）在命令发布之日起的14天内，国土安全部部长应与OMB内的总检察长和电子政府办公室署长协商，向OMB主任提供有关记录事件要求的建议并将其他相关数据保留在代理商的系统和网络中。此类建议应包括要维护的日志类型，保留日志和其他相关数据的时间段，机构启用建议的日志记录和安全性要求的时间段以及如何保护日志。日志应采用加密方法加以保护，以确保日志一旦被收集并在保存期间定期进行哈希验证，以确保完整性。数据的保存方式应符合所有适用的隐私法律和法规。FAR理事会在根据本命令第2节发布规则时，也应考虑此类建议。

（c）OMB主任在收到本节（b）所述的建议后的90天内，应与商务部长和国土安全部长协商，制定政策，要求代理商制定日志记录，日志保留和日志管理，应确保对每个机构的最高级别的安全运营中心进行集中访问和可见性。

（d）OMB主任应与机构负责人合作，以确保机构有足够的资源来满足本节（c）小节中确定的要求。

（e）为解决网络风险或事件，包括潜在的网络风险或事件，根据本节（b）项发布的建议应包括确保机构根据要求通过以下方式向国土安全部部长提供日志的要求：符合适用法律的CISA负责人和FBI。这些要求的设计应允许各机构根据需要和适当的情况，与其他联邦机构共享日志信息，以应对网络风险或事件。

第9节国家安全系统

（a）在此命令发布之日起60天内，国防部长通过国家主管，与国家情报局局长和CNSS协调，并与APNSA协商，应采用符合以下要求的国家安全系统要求：等于或超过此顺序中规定的网络安全要求，否则不适用于国家安全系统。此类要求可在特派任务需要所必需的情况下规定例外情况。此类要求应编入国家安全备忘录（NSM）。在发布NSM之前，根据本命令建立的方案，标准或要求不适用于国家安全系统。

（b）此命令的任何内容均不得改变1990年7月5日第42号国家安全指令（国家安全电信和信息系统安全国家政策）（NSD-42）中国家管理者对国家安全系统的授权。FCEB网络应继续在国土安全部部长通过CISA主任行事的权限内。

第10节定义

就此命令而言：

（a）“代理机构”一词具有《美国法典》第44卷第4款所赋予的含义。3502。

（b）“审核信任关系”一词是指两个或多个系统元素之间的商定关系，该关系受与资产保护有关的安全交互，行为和结果的标准支配。

（c）“网络事件”一词具有《美国法典》第44篇中“事件”的含义。3552（b）（2）。

（d）“联邦民政执行部门机构”或“ FCEB机构”一词包括除国防部和情报界机构以外的所有机构。

（e）术语“联邦民政行政部门信息系统”或“ FCEB信息系统”是指由联邦民政行政部门机构运营的信息系统，但不包括国家安全系统。

（f）“联邦信息系统”一词是指由一个机构，一个机构的承包商或由另一个组织代表该机构使用或操作的信息系统，包括FCEB信息系统和国家安全系统。

（g）“情报共同体”或“ IC”一词具有《美国法典》第50卷第50款所赋予的含义。3003（4）。

（h）“国家安全系统”一词是指《美国法典》第44篇定义的信息系统。3552（b）（6），3553（e）（2）和3553（e）（3）。

（i）“日志”一词是指组织的系统和网络中发生的事件的记录。日志由日志条目组成，每个条目都包含与系统或网络中发生的特定事件有关的信息。

（j）术语“软件物料清单”或“ SBOM”是指正式记录，其中包含构建软件中使用的各个组件的详细信息和供应链关系。软件开发人员和供应商经常通过组装现有的开源和商业软件组件来创建产品。SBOM枚举产品中的这些组件。它类似于食品包装上的成分清单。SBOM对于开发或制造软件的人员，选择或购买软件的人员以及操作软件的人员很有用。开发人员经常使用可用的开源和第三方软件组件来创建产品。SBOM允许构建者确保这些组件是最新的，并对新漏洞做出快速响应。购买者可以使用SBOM进行漏洞或许可证分析，这两者都可以用于评估产品中的风险。那些操作软件的人员可以使用SBOM快速，轻松地确定它们是否有受到新发现漏洞的潜在风险。广泛使用的，机器可读的SBOM格式通过自动化和工具集成带来了更多好处。当将SBOM集中存储在存储库中时，SBOM会获得更大的价值，其他应用程序和系统可以轻松查询这些存储库。了解软件的供应链，获取SBOM并使用它来分析已知漏洞对于管理风险至关重要。

（k）“零信任体系结构”一词是指一种安全模型，一套系统设计原则以及基于对传统网络边界之内和之外都存在威胁的协调的网络安全和系统管理策略。零信任安全模型消除了对任何一个元素，节点或服务的隐式信任，而是需要通过来自多个源的实时信息对操作画面进行连续验证，以确定访问和其他系统响应。本质上，零信任架构允许用户完全访问，但仅达到执行工作所需的最低限度。如果设备受到威胁，则零信任可以确保控制损害。零信任体系结构安全模型假定违反行为是不可避免的或很可能已经发生，因此它不断地限制仅访问所需信息，并查找异常或恶意活动。零信任架构嵌入了全面的安全监控；精细的基于风险的访问控制；以及在基础架构的各个方面以协调一致的方式进行系统安全自动化，以便专注于在动态威胁环境中实时保护数据。这种以数据为中心的安全模型允许将最低特权访问的概念应用于每个访问决策，其中回答有关谁，什么，何时，何地以及如何对适当允许或拒绝对资源的访问至关重要的问题的答案。

第11节一般规定

（a）根据《公法116-283》第1752条，在任命国家网络总监（NCD）并在总统执行办公室内建立相关办公室后，可以对该命令的某些部分进行修改，以使NCD充分履行其职责和责任。

（b）此命令中的任何内容均不得解释为损害或以其他方式影响：

（i）法律授予执行部门或机构或其负责人的权力；或者

（ii）管理和预算局局长与预算，行政或立法提案有关的职能。

（c）该命令的执行方式应与适用法律相一致，并视拨款情况而定。

（d）该命令无意于也不会创造可由任何一方在法律上或衡平法上对美国，其部门，机关或实体，其高级职员，雇员、代理商或任何其他人的任何权利或利益，无论是实质性的还是程序性的。

（e）此命令中的任何内容均不赋予权力以干预或指导刑事或国家安全调查，逮捕，搜查，扣押或破坏行动，或改变法律规定，要求机构保护在执法过程中获悉的信息刑事或国家安全调查。

约瑟夫拜登

白宫

2021年5月12日

来源：gh_6af5c4dc3d4c CIE智库