拜登网络安全行政命令实施进度报告

2021年11月5日作者：GoUpSec

拜登颁布的这个对全球网络安全产业都有着巨大影响力的行政令进展顺利吗？

2021年5月12日，在上任头几个月接连遭遇令人震惊的重大网络安全事件后，美国总统拜登发布了一项全面的网络安全行政命令（EO 14028），主题为“改善国家网络安全”。该命令是美国迄今颁布的最详细、专业、“接地气”的网络安全政策，也被看作是影响美国乃至全球未来数年网络安全产业发展的重要事件。

总统行政令给几个联邦政府机构的最后期限非常紧迫，以制定满足严格网络安全要求的新规则和指南，白宫希望这些规则和指南能够更好地保护其政府机构免受恶意数字活动的侵害。此外，拜登总统令还激励联邦政府硬件和软件供应商加大安全力度，以遵守政府合同。拜登希望通过政府预算的指挥棒作用，通过联邦政府的新规则对私营部门组织产生积极的溢出效应。

网络安全总统令要求采取46项行动

总统令要求美国商务部、国土安全部(DHS)、国防部(DOD)、管理和预算办公室(OMB)、国家安全局(NSA)、局长、国家情报局、司法部长、联邦采购监管(FAR)委员会和其他政府相关实体采取46项行动。而总统令分配的几乎所有任务都需要多个政府机构的合作。

一些政府机构，特别是美国国家安全局，几乎没有对总统令有关的部分或者全部任务发表过公开评论。因此，目前要衡量某些任务的进度并不容易，其中至少11项任务的最后期限尚未到来。

迄今为止已完成的网络安全总统令任务

以下总结了迄今为止已知已完成的19项任务的状态，按规定的截止日期排序：

2021年5月26日，关于事件记录的要求和建议。该命令的第8(b)节要求DHS秘书与司法部长和OMB内电子政府办公室的管理员协商，向OMB主任提供关于记录机构的系统和网络事件和保留其他相关数据的要求的建议。此外，FAR委员会必须考虑这些建议。尽管关于此要求的公开信息很少，但国防部已经注意到，截至8月4日，FAR和国防采办条例的工作人员正在研究此要求。

2021年6月11日，关于加强软件供应链安全的外部扩展。该命令的第4(b)节要求商务部的国家标准与技术研究所(NIST)征求联邦政府、私营部门、学术界和其他适当参与者的意见，以确定现有的或开发新的标准、工具、最佳实践以及其他增强软件供应链安全性的指南。NIST通过举办软件安全研讨会和征求有关标准和指南的立场文件来完成这项任务。

2021年6月11日，EDR实施建议。该命令的第7(c)节指示国土安全部秘书通过CISA主管向OMB主管提供有关实施扩展检测和响应(EDR)计划的选项的建议，这些计划位于中心位置以支持主机级别的可见性、归因、和对联邦文职行政部门(FCEB)信息系统的回应。尽管这不是一项面向公众的任务，但CSO确认它已完成。

2021年6月26日，确定网络安全事件报告的组成部分。总统令的第2g(i)节要求美国国土安全部部长与国防部长通过NSA主任、司法部长和OMB主任协商，向FAR委员会推荐合同语言，以识别政府承包商的网络安全事件报告。尽管没有任何政府机构公开表示此要求，但国防部指出，21年8月4日，FAR和国防采办条例的工作人员正在研究此要求。

2021年6月26日，关键软件的定义。该命令的第4(g)和4(h)节要求商务部长通过NIST主任与国防部长通过NSA主任、国土安全部部长、CISA主任、OMB主任协商，以及通过国家情报总监发布关于关键软件的定义。6月24日，NIST发布了此定义，并于2021年10月13日发布了修订该定义的白皮书。同一天，NIST还提前发布了一份被认为是总统令关键软件类别的初步（采购）清单。

2021年7月11日，SBOMS的最低要素。在总统令的第4(f)节中，商务部长必须与通信和信息部助理部长以及国家电信和信息管理局(NTIA)的管理员协调，发布软件材料清单的最低元素(SBOM)。因此，商务部于2021年7月12日发布了一份28页的文件，其中包含这些最低限度的要素。

2021年7月11日，关键软件的安全措施。该命令的第4(i)节要求商务部长通过NIST总监与国土安全部部长通过CISA总监和OMB总监协商，发布关键软件安全措施的概述指南。7月8日，NIST发布了一份包含这些安全措施的文件。

2021年7月11日，软件源代码测试的最低标准。总统令第4(r)节要求商务部长通过NIST总监与国防部长协商，通过NSA总监发布指南，为供应商测试其软件源代码的最低标准推荐最低标准。相应地，10月12日，NIST发布了一份文件，《软件开发人员验证最低标准指南》。

2021年7月11日，适当网络安全要求的合同语言。该命令的第(2)(F)(i)节要求国土安全部部长通过CISA主任与国防部长通过NSA主任、OMB主任和总务署署长协商，审查机构是当前作为法律、政策或合同存在的特定网络安全要求，并向FAR委员会推荐适当的网络安全要求的标准化合同语言。尽管这不是一项面向公众的任务，但CSO确认其已完成。

2021年7月11日，FCEB机构的云服务治理框架。该命令的第(3)(c)(iii)节指示国土安全部秘书通过CISA主管为FCEB机构制定和发布云服务治理框架。此任务已确认完成，并且该框架类似于CISA公开发布的云技术参考架构（见下文）。

2021年7月26日，关于持续诊断和缓解计划的MOA。总统令第(7)(f)节要求国土安全部秘书通过CISA主管访问与威胁和漏洞分析和评估以及威胁搜寻目的相关的机构数据。该命令还要求各机构与CISA建立或更新关于持续诊断和缓解计划的协议备忘录(MOA)，以确保CISA可以根据适用法律获得和访问对象级数据。该任务已确认完成，所有23个相关机构MOA均已签署。

2021年8月10日，云计算和零信任架构。根据总统令第3(c)节，国土安全部秘书通过CISA主任与通过联邦风险和授权管理计划(FedRAMP)在总务管理局内行事的总务管理员协商，需要将云服务提供商(CSP)纳入机构现代化开发安全工作的管理原则，特别关注实际可行的零信任架构。9月7日，CISA开发了零信任成熟度模型，以帮助机构实施零信任架构。8月，CISA发布云安全技术参考架构。

2021年8月10日，联邦云安全战略。该命令的第3(i)节要求OMB主管与通过CISA主管行事的DHS秘书和通过FedRAMP行事的总务管理员协商，制定联邦云安全策略并使机构更接近零信任架构。8月，OMB发布了一份备忘录草案，将美国政府推向零信任网络安全原则。

2021年8月10日，云安全技术参考架构。该命令的第3(ii)节要求DHS秘书通过CISA主管与OMB主管和通过FedRAMP行事的一般服务管理员协商，制定和发布FCEB云安全技术参考架构文档，说明为机构数据收集和报告推荐的云迁移和数据保护方法。9月初，CISA发布了其云安全技术参考架构以征询公众意见。

2021年8月10日，关于如何实施威胁搜寻活动的报告。该命令的第(7)(i)节要求CISA主任向OMB主任和总统国家安全事务助理(APNSA)提供一份报告，说明根据公法116-28第1705节授予的权力如何执行正在实施未经机构事先授权在FCEB网络上进行的威胁搜寻活动。该报告还要求推荐确保关键任务系统不被中断的程序、通知系统所有者易受攻击的政府系统的程序以及在FCEB信息系统测试期间可以使用的技术范围。CISA董事还必须向APNSA和OMB董事提供关于根据公法116-283第1705节采取的行动的季度报告。尽管这不是一项面向公众的任务，但CSO确认它已完成。

2021年8月24日，提高调查和补救能力。总统令第8(c)节要求OMB主任与商务部长和DHS部长协商，为机构制定政策，以建立日志记录、日志保留和日志管理的要求，以确保集中访问和可见性每个机构的最高级别的安全运营中心。因此，8月27日，OMB代理主任Shalanda Young发布了一份关于提高联邦政府与网络安全事件相关的调查和补救能力的备忘录，其中包括建议的事件日志管理成熟度模型以及机构实施要求。

2021年9月9日，促进机构与CIS和FBI共享数据的步骤。该命令的第(2)(e)节要求DHS秘书和OMB主任采取适当措施，以最大程度地确保服务提供商与联邦政府可能需要的机构、CISA和FBI共享数据以应对网络威胁、事件和风险。尽管这不是一项面向公众的任务，但CSO确认它已完成。CISA此前还向FAR委员会提供了建议，以进一步消除承包商与联邦政府之间信息共享的障碍。

2021年9月9日，开发用于漏洞和事件响应活动的手册。该命令的第(6)(b)节要求国土安全部部长通过CISA主任行事，与OMB主任、联邦首席信息官委员会和联邦首席信息安全委员会协商，并与国防部长协调通过NSA局长、司法部长和国家情报局局长，制定一套标准的操作程序（剧本），用于规划和实施与FCEB信息系统相关的网络安全漏洞和事件响应活动。尽管这不是一项面向公众的任务，但CSO确认它已完成。