最新发布|拜登《关于加强和推进国度收集平安
|
1月16日,拜登签订了《关于加强和推进国度收集平安的行政号令》,旨正在应对日益严峻的收集,特别是等国对美国和环节根本设备的持续收集。该号令是对2021年5月发布的首份收集平安行政令的延续,继续深化了推进零信赖平安架构迁徙、加强软件供应链平安、成立缝隙披露政策等办法。该号令强调了加强国度收集平安的主要性,通过加强监管、手艺立异和国际合做体例,提出了旨正在加强软件供应链平安、联邦消息系统平安、联邦通信平安等方针及相关办法,并鞭策后量子暗码过渡、操纵人工智能提拔收集防御能力、改善云办事平安,为下一届的收集平安工做供给了框架。 |
敌对国度和犯罪继续对美国及美国人平易近策动收集,此中中华人平易近国对美国、私营部分和环节根本设备收集形成了最活跃、最持久的收集。这些妨碍了美国的环节办事,形成数十亿美元的丧失,并损害了美国人的平安和现私。为应对这些,必需采纳更多办法来改善美国的收集平安。基于2021年5月12日发布的第14028号行政号令(关于改善国度收集平安的行政号令)以及《国度收集平安计谋》详述的行动,美国将采纳更多步履来改善其收集平安,此中的沉点是数字根本设备,对数字范畴至关主要的办事和能力,提拔应对环节(包罗来自中华人平易近国的)的能力,加强对软件供给商和云办事供给商的问责,强化联邦层面的通信系统和身份办理系统的平安性,并鞭策各行政部分和机构(以下简称“各机构”)以及私营部分正在收集平安方面开展立异和利用新兴手艺。(a)和我国的环节根本设备依赖于软件供给商。然而,不平安的软件仍然是供给商和用户面对的一大挑和,并使和环节根本设备系统容易遭到恶意收集事务的影响。必需继续采用平安的软件采购做法,并采纳办法确保软件供给商利用平安的软件开辟做法,以削减/减轻其所出产软件中的缝隙的数量和严沉程度。(b)2021年的第14028号行政号令采纳步履,以提高工做所需软件的平安性和完整性。该号令制定关于平安软件开辟做法的指南,以及生成和供给以人工或从动化体例生成的工件(即计较机记实或数据)来证明合适采纳了这些做法。此外,第14028号号令还办理取预算局(OMB)局长要求各机构仅利用那些“被证明利用了平安软件开辟做法”的供给商的软件。正在某些环境下,向供给软件的供给商虽许诺遵照收集平安做法,但并未修复其软件中可被操纵的已知缝隙,而这将使面对被入侵的风险。需要采用更严酷的第三方风险办理做法,并确保支撑环节办事的软件供给商遵照其所声明的做法。(i)正在本号令发布之日起的30天内,OMB局长应别离通过商务部(由商务部长国度尺度取手艺研究院(NIST)院长开展相关工做)和河山(DHS)(由河山部长收集平安取根本设备平安局(CISA)局长开展相关工做),取商务部长和河山长进行协商,从而向联邦采购监管委员会(以下简称“FAR委员会”)若何制定合同,而此类合同应要求软件供给商通过CISA的“软件证明取工件库”(RSAA),将以下材料提交给CISA:(ii)正在收到本条第(b)款第(i)项所述之日起的120天内,FAR委员会应审查这些,且长、总务办理局(GSA)局长和国度航空航天局(NASA)局长(FAR委员会的机构)应结合采纳办法点窜《联邦采购条例》(FAR)以实施这些。FAR委员会的机构被强烈激励酌情按照合用法令考虑发布姑且最终法则。(iii)正在本条第(b)款第(i)项所述发布之日起的60天内,领受和验证机械可读的平安软件开辟证明和工件”的新兴方式,并酌情为软件供给商供给关于“向CISA的RSAA网坐提交这些证明和工件”的指点,包罗关于通用数据架构和格局的指点。(iv)正在对本条第(b)款第(ii)项所述的联邦采购监管(FAR)事宜进行任何点窜之日起的30天内,河山长应CISA局长制定一项法式,以集中验证所有证明形式的完整性。CISA应利用RSAA中的高级工件来持续验证取自完整证件的样本。(v)若是CISA发觉证件不完整,或工件不脚以验证证件,CISA局长则应将此事通知软件供给商和签约机构。CISA局长应制定相关流程,以便软件供给商对CISA的初步决定做出回应,以及让CISA恰当考虑此类回应。(vi)对于颠末验证的证件,CISA局长应通知国度收集总监,后者应公开辟布成果,标明软件供给商和软件版本。本号令激励国度收集总监将验证失败的证件转交司法部长,由后者采纳恰当步履。(c)仅靠平安软件开辟做法,还不脚以应对“有资本和决心的国度行为体”带来的收集事务风险。为了减轻此类事务的风险,软件供给商还必需确保软件交付过程及软件本身的平安性。必需确定一套协调分歧、适用且无效的平安做法,并要求正在采购软件时遵照此类做法。(i)正在本号令发布之日起的60天内,商务部长应NIST院长取参取国度收集平安杰出核心的企业成立联盟,并酌情按照该联盟供给的消息制定指点文件,而该指点文件应证明落实了基于NIST出格出书物800-218(NIST SP 800-218)《平安软件开辟框架(SSDF)》的平安软件开辟做法、平安办法和操做做法。(ii)正在本号令发布之日起的90天内,商务部长应NIST院长更新NIST出格出书物800-53(NIST SP 800-53)《消息系统和组织的平安取现私节制》,以供给关于若何平安靠得住地摆设补丁和更新内容的指点。(iii)正在本号令发布之日起的180天内,商务部长应NIST院长正在于取其认为恰当的机构担任人协商后,开辟和发布SSDF的初步更新版本。此更新版应包罗关于平安靠得住地开辟和交付软件以及确保软件本身平安的做法、法式、节制办法和实施示例。自发布初步更新版之日起的120天内,商务部长应NIST院长发布SSDF的最终版本。(iv)正在本条第(c)款第(iii)项所述的SSDF最终版更新之日起的120天内,OMB局长应将NIST更新后的SSDF中所包含的平安软件开辟和交付做法,纳入OMB备忘录M-22-18《通过平安软件开辟做法加强软件供应链的平安性》或相关要求中。(v)正在发布本条第(c)款第(iv)项所述的OMB更新文件之日起的30天内,CISA局长应预备对CISA的平安软件开辟证件的通用表格进行修订,使之合适OMB的要求,并启动按《文书削减法》(《美国》第44编第3501节(44 U。S。C。 3501)及后续条目)核准修订版表格所需的任何法式。(d)跟着各机构改良其收集防御,敌手已对准机构供应链中的亏弱环节以及所依赖的产物和办事。各机构需要将收集平安供应链风险办理打算纳入全机构的风险办理勾当中。正在本号令发布之日起的90天内,OMB局长应取商务部长(通过NIST院长行事)、总务办理局局长和联邦采购平安委员会(FASC)进行协调,以采纳办法要求(OMB局长认为恰当的)各机构恪守NIST出格出书物800-161(NIST SP 800-161修订版1)《系统和组织收集平安供应链风险办理做法》中的指点。OMB应要求各机构正在完成实施后,每年向OMB供给相关最新环境。按照SP 800-161修订版1, OMB的要求中应包罗通过采购规划、来历选择、义务确定、平安合规评估、合同办理和绩效评估等环节,将收集平安融入采购寿命周期中。(e)开源软件正在联邦消息系统中阐扬着环节感化。为帮帮继续获得开源软件的立异效益和成本效益,并为开源软件生态系统的收集平安做出贡献,各机构必需更好地办理其开源软件利用体例。正在本号令发布之日起的120天内,河山长应CISA局长取OMB局长、总务办理局局长和其他恰当机构担任人进行协商,配合向各机建立议关于“若何利用平安评估、修补开源软件以及为开源软件项目做出贡献”的最佳做法。(a)必需采用颠末验证的企业界平安做法(包罗身份和拜候办理),以提高收集的可视性和加强云平安。(b)为优先投资新的防垂钓身份验证方案所需的立异性身份手艺和流程,各FCEB应以OMB和CISA自第14028号行政号令发布以来所制定的文件和确立的机制为根本,通过试点摆设或更大规模的摆设(视环境而定)践行贸易防垂钓尺度(如WebAuthn)。凭证和拜候办理策略的成长标的目的。(c)必需连结“能敏捷无效地识别整个联邦机构范畴内的各类”的能力。正在第14028号行政号令中,长和河山长制定法式,当即共享消息,以加强和平易近用收集的集体防御。为识别勾当,必需加强CISA按照《美国》第44编第3553节第(b)条第(7)款正在各FCEB内搜索和识此外能力。(i)河山部长应CISA局长取联邦首席消息官(CIO)委员会和联邦首席消息平安官(CISO)委员会进行协调,以开辟手艺能力来及时获取来自各FCEB机构的端点检测取响应(EDR)处理方案以及来自各FCEB平安运营核心的所需数据,从而实现以下方针:(ii)正在本号令发布之日起的180天内,河山长应CISA局长取联邦CIO和CISO委员会进行协调,以制定和发布一种步履概念,从而使CISA可以或许获得“实现本条第(c)款第(i)项所述方针”所需的数据。OMB局长应监视该步履概念的制定工做,期间招考虑各机构的概念和本条所述方针,并应核准最终的步履概念。该步履概念应包罗:要求各FCEB向CISA供给脚够完整且符应时间要求的数据,以使CISA可以或许实现本条第(c)款第(i)项所述方针。各机构可按照本条第(c)款第(ii)项第(A)目中的要求供给遥测数据,而不是让CISA间接拜候其EDR处理方案的具体用例。用于办理“CISA若何拜候各机构EDR处理方案的高级手艺和政策节制办法”的相关要求,这些要求应合适被普遍接管的收集平安准绳,包罗基于脚色的拜候节制、“最小权限”和职责分手等准绳。对“为数据的秘密性或完整性,而受、监管或司法的高度的机构数据”的专项办法。步履概念的附录,该附录应明白按本条第(c)款第(ii)项第(C)目之,合用于司法部的某些具体用例类型(包罗本条第(c)款第(vi)项和第(c)款第(vii)项中描述的某些消息类别),此外该附录还应要求正在正在司法部或其部属机构的收集上实施步履概念之前,司法部应先同意该附录中的条目。(iii)正在开展本条第(c)款所述勾当时,除非相关机构获得其它授权,不然河山长应CISA局长,仅当CISA要求进行搜索,或CISA按照《美国》第44编第3553节第(b)条第(7)款(44 U。S。C。 3553(b)(7))的授权开展搜索时,方可对该机构的收集、系统或数据进行更改。(iv)正在发布本条第(c)款第(ii)项所述手艺节制办法之日起的30天内,河山长应CISA局长,应成立面向所无机构的工做组,以制定和发布实现本条第(c)款第(ii)项所述方针的具体手艺节制办法,并取EDR处理方案供给商合做,正在各FCEB的EDR处理方案中摆设这些节制办法。河山长应CISA局长,对于CISA授权正在“持续诊断缓和解项目”中利用的每项EDR处理方案,CISA都至多应成立一个对应的工做组,且所有这些工做组都应对应所无机构参取,并至多包含一名利用指定EDR处理方案的FCEB派出的代表。(v)正在发布本条第(c)款第(iv)项所述手艺节制办法之日起的180天内,凡是利用了“这些节制办法所涵盖的EDR处理方案”的端点,各FCEB担任人都应将其纳入CISA的“持续拜候能力”项目。(vi)正在本号令发布之日起的90天内,并正在此后按照需要按期,各FCEB担任人应向CISA供给“需要额外节制办法或要求正在特按期间不得中缀”的系统、端点和数据集清单及相关心释文档,并正在此后按照需要按期供给此类清单和注释文档,以确保CISA的搜索勾当不会对使命至关主要的步履。(vii)当相关机构数据遭到、监管或司法拜候时,CISA局长应按该机构所要求的法式和流程来拜候此类数据,或取该机构合做制定不违反任何此类的恰当行政放置,以确保数据不会遭到未经授权的拜候或利用。(viii)本号令中的任何内容,均不该理解为要求各机构供给受法院号令不得披露的消息,或供给按照司法法式要求保密的消息。(d)联邦消息系统的平安依赖于云办事的平安。正在本号令发布之日起的90天内,总务办理局局长、商务部长和河山长应别离“联邦风险和授权办理项目”(FedRAMP)从管、NIST院长和CISA局长进行协调,制定取FedRAMP相关的政策和做法,以激励或要求FedRAMP市场中的云办事供给商按照各机构的要求,为这些机构的云基系统设置装备摆设基线供给相关规范和,以确保联邦数据的平安。(e)跟着对太空系统收集平安的添加,这些系统及其支撑的数字根本设备正在设想上必需可以或许顺应不竭变化的收集平安,并能正在匹敌性中运转。鉴于太空系统正在全球环节根本设备和通信弹性中的焦点感化,以及为了进一步对(包罗经济平安)至关主要的太空系统及其支撑的数字根本设备,各机构应采纳办法不竭验证联邦太空系统能否具备需要的收集安万能力,包罗通过持续评估、测试、练习训练以及建模和模仿等体例。(i)正在本号令发布之日起的180天内,内政部长(通过美国地质查询拜访局局长行事)、商务部长(通过商务部海洋取大气办理局副局长和国度海洋取大气办理局局长行事)以及国度航空航天局局长应各自审查FAR中的平易近用空间合同要求,并向FAR委员会和其他恰当机构更新平易近用空间收集平安要乞降相关合同条目。的收集平安要乞降合同条目应采用基于风险的分层方式,合用于所有新的平易近用太空系统。这些要求应至多合用于平易近用太空系统的正在轨段和链段。对于风险最高的层级(以及其他层级,视环境而定),这些要求应涵盖以下要素:(ii)正在收到本条(e)(i)末节所述的合同条目之日起的180天内,FAR委员会应审查该提案,并酌情按照合用法令,FAR委员会的机构应结合采纳办法点窜FAR。(iii)正在本号令发布之日起的120天内,国度收集总监应向OMB提交一份关于各FCEB具有、办理或运营的空间地面系统的研究演讲。该研究演讲应包罗:(iv)正在提交本条(e)(iii)末节所述研究演讲之日起的90天内,OMB局长应采纳恰当步调,确保各FCEB具有、办理或运营的空间地面系统合适OMB发布的相关收集平安要求。
(a)为提高通信匹敌敌对国度和罪犯的平安性,必需正在切实可行的范畴内,并合适使命需求,利用现代、尺度化和市售的算法和和谈实施强大的身份认证和加密。(b)互联网流量的平安性取决于数据被准确由并传送到预期领受方收集。操纵鸿沟网关和谈(BGP)正在互联网上发源和的由消息容易遭到和设置装备摆设错误的影响。(i)正在本号令发布之日起的90天内,联邦平易近事行政部分(FCEB)机构应采纳办法,确保其分派的所有互联网编号资本(互联网和谈(IP)地址块和自治系统编号)均通过取美国互联网编号注册局或其他恰当的区域互联网注册局签定的注册办事和谈获得。此后,各FCEB应每年正在其区域互联网注册局账户中审查和更新取分派的编号资本相关的组织标识符,如组织名称、联系人姓名和联系关系的电子邮件地址。(ii)正在本号令发布之日起的120天内,所有持有IP地址块的各FCEB应正在其持有的IP地址块对应的公共资本公钥根本设备(PKI)存储库中建立并发布由源授权(ROA)。该存储库由美国互联网编号注册局或响应的区域互联网注册局托管或委托。(iii)正在本号令发布之日起的120天内,国度收集总监应取其他机构担任人协调(如合用),向联邦采购条例(FAR)委员汇合同言语,要求向机构供给互联网办事的承包商采用并摆设互联网由平安手艺,包罗发布由源授权和施行由源验证过滤。的言语应包罗关于机构合同中涉及海外运营和海外当地办事供给商的要求或破例环境(如合用)。正在收到这些后的270天内,FAR委员会应审查的合同言语,而且FAR委员会的机构应配合采纳办法(如合用并合适合用法令)来修订FAR。正在FAR进行任何此类修订之前,激励各机构正在合适合用法令的前提下,正在将来的合同中纳入此类要求。(iv)正在本号令发布之日起的180天内,商务部长应通过国度尺度取手艺研究院(NIST)局长向机构发布关于正在收集和办事供给商中摆设当前可操做的BGP平安方式的最新指南。商务部长还应通过NIST局长供给关于提高互联网由平安性和弹性的其他新兴手艺的最新指南,如由泄露缓解和源地址验证。(c)加密域名系统(DNS)传输中的流量是传输到DNS解析器的消息的秘密性和取DNS解析器的通信完整性的环节步调。(i)正在本号令发布之日起的90天内,河山长应通过收集平安取根本设备平安局(CISA)局长发布模板合同言语,要求任何做为的DNS解析器(无论是客户端仍是办事器)的产物支撑加密DNS,并向FAR委员会保举该言语。正在收到保举言语后的120天内,FAR委员会应审查该言语,而且FAR委员会的机构应配合采纳办法(如合用并合适合用法令)来修订FAR。(ii)正在本号令发布之日起的180天内,各FCEB应正在其现有客户端和办事器支撑加密DNS和谈的处所启用这些和谈。正在任何额外的客户端和办事器支撑这些和谈后的180天内,各FCEB也应启用这些和谈。(d)必需加密传输中的电子邮件动静,并正在可行的环境下利用端到端加密,以邮件免受损害。(i)正在本号令发布之日起的120天内,每个各FCEB应手艺性地强制施行其电子邮件客户端取联系关系电子邮件办事器之间所有毗连的加密和认证传输。(ii)正在本号令发布之日起的180天内,办理取预算局(OMB)从任应成立一项要求,扩大各FCEB利用的电子邮件办事器之间认证传输层加密的利用范畴,用于发送和领受电子邮件。(iii)正在成立第(d)(ii)末节所述要求之日起的90天内,河山长应通过CISA局长采纳恰当步调,协帮机构满脚该要求,包罗发布实施指令以及手艺指南,以处理任何已确定的能力差距。(e)现代通信体例,如语音和视频会议以及立即动静传送,凡是正在链级别加密,但往往没有端到端加密。正在本号令发布之日起的180天内,为提高基于互联网的语音和视频会议以及立即动静传送的平安性,OMB局长应取河山长(通过CISA局长)、长(通过局(NSA)局长)、商务部长(通过NIST局长)、美国国度档案取文件办理局局长(通过美国首席记实官)以及总务办理局局长协调,采纳恰当步调,要求机构:(ii)正在手艺上支撑的环境下,默认利用端到端加密,同时连结日记记实和存档能力,以便机构可以或许满脚记实办理和问责要求。(f)量子计较机正在带来好处的同时,也对美国(包罗经济平安)形成了严沉风险。最显著的是,脚够大和复杂的量子计较机——也称为暗码阐发相关量子计较机(CRQC)——将可以或许破解美国及世界各地数字系统中利用的很多公钥加密算法。正在2022年5月4日的备忘录10《推进美国正在量子计较方面的带领地位,同时减轻对易受的加密系统的风险》中,我为过渡到不受CRQC影响的加密算法做好预备。(i)正在本号令发布之日起的180天内,河山长应通过CISA局长发布并按期更新一份产物类别列表,此中普遍供给支撑后量子暗码学(PQC)的产物。(ii)正在某一产物类别被列入第(f)(i)末节所述列表之日起的90天内,机构应采纳办法,正在该类别产物的任何投标中纳入一项要求,即产物应支撑PQC。(iii)机构应尽快正在其收集架构中已摆设的收集平安产物和办事支撑下,实施PQC密钥成立或夹杂密钥成立(包罗PQC算法)。(iv)正在本号令发布之日起的90天内,国务卿和商务部长应通过NIST局长和国际商业副国务卿,确定并取环节我国的外国和行业组织接触,激励它们过渡到由NIST尺度化的PQC算法。(v)正在本号令发布之日起的180天内,为预备过渡到PQC,长就系统(NSS)而言,以及OMB局长就非NSS而言,应各自觉布要求,机构应尽快但正在不迟于2030年1月2日的环境下,支撑传输层平安和谈版本1。3或其后续版本。(g)应操纵贸易平安手艺和架构,如硬件平安模块、可托施行和其他隔离手艺,以和审计对具有扩展生命周期的加密密钥的拜候。(i)正在本号令发布之日起的270天内,商务部长应通过NIST局长,并取河山长(通过CISA局长)和总务办理局局长协商,制定关于云办事供给商利用的拜候令牌和加密密钥的平安办理指南。(ii)正在发布第(g)(i)末节所述指南之日起的60天内,总务办理局局长应通过联邦风险和授权办理打算(FedRAMP)从任,并取商务部长(通过NIST局长)和河山长(通过CISA局长)协商,制定更新后的FedRAMP要求,酌情纳入第(g)(i)末节所述指南,并取OMB局长发布的关于加密密钥办理平安做法的指点连结分歧。(iii)正在发布第(g)(i)末节所述指南之日起的60天内,OMB局长应取商务部长(通过NIST局长)、河山长(通过CISA局长)和总务办理局局长协商,采纳恰当步调,要求各FCEB遵照云办事供给商正在向机构供给办事时利用的硬件平安模块、可托施行或其他隔离手艺的最佳做法,以和办理拜候令牌和加密密钥。(a)犯罪集团操纵被盗和合成身份系统性地欺诈公共福利项目,给纳税人形成丧失,并华侈资金。为处理这些犯罪问题,行政部分的政策是强烈激励接管数字身份文件以拜候需要身份验证的公共福利项目,只需如许做可以或许以不妨碍普遍参取项目标体例现私、最小化数据并推进互操做性。(i)正在本号令发布之日起的90天内,具有拨款权的机构被激励取OMB和委员会工做人员协调,考虑能否可操纵联邦拨款资金协帮各州开辟和刊行合适本节所述政策和准绳的挪动驾驶证。(ii)正在本号令发布之日起的270天内,商务部长应通过NIST局长,取相关机构和其他好处相关者通过国度收集平安杰出核心合做,发布适用的实施指南,以支撑利用数字身份文件进行近程数字身份验证,这将有帮于数字身份文件的刊行者和验证者推进本节所述的政策和准绳。(iii)机构招考虑接管数字身份文件做为拜候公共福利项目标数字身份验证,但前提是利用这些文件应合适本节所述的政策和准绳。取相关尺度和信赖框架互操做,以便能够利用任何合适尺度的硬件或软件,此中包含颁布的数字身份文件,无论制制商或开辟人员若何。不答应刊行数字身份文件的机构、设备制制商或任何其他第三方或数字身份文件的展现,包罗用户设备正在展现时的。支撑用户现私和数据最小化,确保仅请求数字身份文件持有人进行买卖所需的起码消息——凡是是针对某个问题(例如,或人能否跨越特定春秋)的“是”或“否”的回覆。(b)利用“是/否”验证办事(也称为属性验证办事)能够供给更多现私的手段来削减身份欺诈。这些办事答应法式通过现私的“是”或“否”回覆,确认申请人供给的身份消息能否取记实中的消息分歧,而无需共享这些记实的内容。为支撑利用此类办事,社会保障专员以及OMB局长指定的任何其他机构担任人应酌情并按照合用法令,考虑采纳办法开辟或点窜取运营的身份验证系统和公共福利项目相关的办事(包罗酌情通过启动拟议的律例制定或发布新的或大幅点窜后的常规利用记实通知),以便这些系统和法式将申请人供给的身份消息提交给供给办事的机构,并收到关于申请人供给的身份消息能否取供给办事的机构存档的消息分歧的“是”或“否”的回覆。正在如许做时,这些机构的担任人应出格考虑正在确保合适合用法令的前提下,做到以下几点:(i)提交给办事的任何申请人供给的身份消息以及办事供给的任何“是”或“否”回覆仅用于协帮身份验证、项目办理、反欺诈操做或取提交身份消息以申请公共福利项目标反欺诈查询拜访和告状。(ii)正在最大可行和恰当的范畴内,向公共福利项目;运营的身份验证系统(包罗共享办事供给商);领取诚信项目;以及受美国监管的金融机构供给这些办事。(iii)利用这些办事的机构、公共福利项目或机构供给报销,以恰当笼盖成本并支撑办事的持续、改良和普遍获取。(c)财务部长应取总务办理局局长协商,研究、开辟和实施一项试点打算,该打算采用一种手艺,该手艺可正在小我和实体的身份消息被用于申请公共福利项目标付款时通知他们,赐与小我和实体正在潜正在欺诈买卖发生前买卖的选择,并向法律实体演讲欺诈买卖。人工智能(AI)有可能通过快速识别新缝隙、扩大检测手艺的规模以及从动化收集防御来变化收集防御。必需加快AI的开辟和摆设,摸索操纵AI提高环节根本设备收集平安的方式,并加快AI取收集平安交叉范畴的研究。(a)正在高级研究打算局(DARPA)2025年人工智能收集挑和赛完成后180天内,能源部长应取长(通过DARPA局长)和河山长协调,启动一项试点打算,取私营部分环节根本设备实体(如合用并合适合用法令)合做,操纵AI加强能源部分环节根本设备的收集防御,并正在试点打算完成后进行评估。该试点打算及其评估可能包罗缝隙检测、从动补丁办理以及识别和分类消息手艺(IT)或运营手艺系统中的非常和恶意勾当。(b)正在本号令发布之日起的270天内,长应成立一个操纵高级AI模子进行收集防御的打算。(c)正在本号令发布之日起的150天内,商务部长(通过NIST局长)、能源部长、河山长(通过科学取手艺副国务卿)以及国度科学基金会(NSF)从任应各自优先为其激励开辟大规模标识表记标帜数据集的打算供给资金,这些数据集对于收集防御研究取得进展至关主要,并确保收集防御研究现有的数据集正在最大可行范畴内(考虑到贸易奥秘和)对更普遍的学术研究界(无论是以平安体例仍是公开体例)。(d)正在本号令发布之日起的150天内,商务部长(通过NIST局长)、能源部长、河山长(通过科学取手艺副国务卿)以及NSF从任应优先研究以下从题:(e)正在本号令发布之日起的150天内,长、河山长和国度谍报总监应取OMB局长协调,将AI软件缝隙和的办理纳入其各自机构现有的缝隙办理流程和机构间协调机制,包罗通过事务、响应和演讲,以及共享AI系统的目标。(a)支撑机构环节使命的IT根本设备和收集需要现代化。机构的政策必需将投资和优先事项取提高收集可见性和平安节制连系起来,以降低收集风险。(i)正在本号令发布之日起的3年内,OMB局长应发布指南(包罗对OMB布告A-130的任何须要修订),以处理环节风险,并使联邦消息系统和收集顺应现代做法和架构。该指南应至多包罗:概述机构收集平安消息共享和互换、企业可见性以及机构首席消息平安官(CISO)对企业范畴收集平安打算的问责制的期望。修订OMB布告A-130,正在恰当的环节范畴削减手艺,以更清晰地推进正在联邦系统中采用不竭成长的收集平安最佳做法,并包罗迁徙到零信赖架构和实施环节要素,如端点检测取响应(EDR)能力、加密、收集分段和防垂钓多要素认证。(ii)商务部长(通过NIST局长)、河山长(通过CISA局长)和OMB局长应成立一个试点打算,采用法则即代码的方式,为OMB、NIST和CISA发布和办理的收集平安相关政策和指点制定机械可读版本。(b)办理收集平安风险现已成为日常行业做法,并应成为所有类型企业的预期。最低收集平安要求能够使行为者更难以、更高贵地收集。正在本号令发布之日起的240天内,商务部长应通过NIST局长,评估各行业部分、国际尺度机构和其他风险办理打算中常用或保举的配合收集平安做法和平安节制,并基于该评估发布指南,确定最低收集平安做法。正在制定该指南时,商务部长应通过NIST局长,收罗、私营部分、学术界和其他恰当方的看法。(c)机构正在采办产物和办事时面对多种收集平安风险。虽然机构已正在改良供应链风险办理方面取得了显著进展,但需要采纳额外步履以跟上不竭演变的态势。正在本节第(b)末节所述指南发布之日起的180天内,FAR委员会应审查该指南,而且FAR委员会的机构应配合采纳办法(如合用并合适合用法令)来修订FAR:(i)要求取签定合同的承包商遵照NIST按照本节第(b)末节所述指南确定的合用于机构合同工做的最低收集平安做法,或正在开辟、或支撑供给给的IT办事或产物时遵照这些做法。(ii)要求机构到2027年1月4日,要求向供给消费者物联网产物(如47 C。F。R。 8。203(b)所定义)的供应商为这些产物照顾美国收集信赖标记标签。(a)除本号令第4节(f)(v)末节还有外,本号令第1至7节不合用于做为系统(NSS)或被或谍报界确定为致瘫影响系统的联邦消息系统。(b)正在本号令发布之日起的90天内,为帮帮确保NSS和致瘫影响系统遭到最先辈的平安办法,长应通过局(NSA)局长做为系统国度司理(国度司理),取国度谍报总监和系统委员会(CNSS)协调,并取OMB局长和事务帮理(APNSA)协商,制定取本号令所述要求分歧的NSS和致瘫影响系统要求(如合用并合适合用法令)。长可按照奇特的使命需求,对此类要求赐与破例。这些要求应纳入拟议的备忘录,通过APNSA提交给总统。(c)为帮帮太空NSS免受取新兴连结同步的收集平安办法的影响,正在本号令发布之日起的210天内,CNSS应审查和更新(如合用)关于太空系统收集平安的相关政策和指点。除了进行恰当的更新外,CNSS还应确定并实施恰当的要求,以正在采购的太空NSS范畴实施收集防御,包罗入侵检测、利用硬件信赖根进行平安启动以及开辟和摆设平安补丁。(d)为加强春联邦消息系统的无效管理和监视,正在本号令发布之日起的90天内,OMB局长应发布恰当的指点,要求机构清点所有次要消息系统,并将清单供给给CISA、或国度司理(视环境而定),它们应各自其管辖范畴内的机构清单注册表。CISA、以识别监视笼盖范畴的空白或堆叠。本指点不合用于谍报界的构成部门。(e)本号令中的任何内容均不改变《1947年法》(Public Law 80-253)、《2014年联邦消息平安现代化法》(Public Law 113-283)、《1990年7月5日指令42号——电信和消息系统平安国度政策》或《2022年1月19日备忘录8号——改良、和谍报界系统的收集平安》授予国度谍报总监、长和国度司理对合用系统的和职责。鉴于发觉,必需采纳进一步办法来应对2015年4月1日《处置严沉恶意收集勾当者的财富》行政号令(经2016年12月28日《就严沉恶意收集勾当相关的国度告急形态采纳进一步办法》行政号令以及2021年1月19日《就严沉恶意收集勾当相关的国度告急形态采纳进一步办法》行政号令修订)所颁布发表的,针对美国面对的日益严沉和不竭演变的恶意收集勾当的国度告急形态,包罗外国行为体对环节根本设备进行未经授权的拜候、软件、收集入侵以及逃避制裁等日益严沉的,我特此号令,对《行政号令13694》第1(a)条做如下进一步修订:“第1条。(a)所有正在美国境内的、此后进入美国的、或者此后处于任何美国小我具有或节制之下的以下人员的财富和财富权益均被冻结,且不得让渡、领取、出口、提取或以其他体例处置:(ii)财务部长正在取司法部长和国务卿协商后,认定其担任、参取或间接或间接处置源自或受位于美国境外(全数或部门)的人员批示的收集勾当,且此类勾当很可能导致或已对美国、交际政策、经济健康或金融不变形成严沉,并涉及以下目标或行为的人员:调用资金或经济资本、学问产权、专有或贸易奥秘消息、小我身份标识或财政消息,以获取贸易或合作劣势或私家经济好处。对美国小我、美国、美国盟友或合做伙伴及其、国平易近或按照其法令组织的实体,实施软件,如通过恶意利用代码、加密或其他勾当影响数据的秘密性、完整性或可用性,或影响计较机或计较机收集的秘密性、完整性或可用性。(iii)财务部长正在取司法部长和国务卿协商后,认定其担任、参取或间接或间接处置以下行为的人员:明知是通过收集手段调用的资金、经济资本、学问产权、专有或贸易奥秘消息、小我身份标识或财政消息,仍正在美国境外为贸易或合作劣势或私家经济好处而领受或利用此类资金或资本。担任、参取或间接或间接处置取获取或试图获取美国小我、美国、美国盟友或合做伙伴及其、国平易近或按照其法令组织的实体的计较机或计较机收集未经授权拜候相关的勾当,且此类勾当源自或受位于美国境外(全数或部门)的人员批示,并很可能导致或已对美国、交际政策、经济健康或金融不变形成严沉。为本条(a)(ii)或(a)(iii)(A)或(B)末节所述的任何勾当,或为按照本号令其财富和财富权益被冻结的任何人员,供给本色性协帮、赞帮或供给财务、物质或手艺支撑,或供给货色或办事。由按照本号令其财富和财富权益被冻结的任何人员具有或节制,或间接或间接为其行事或声称为其行事,或为本条(a)(ii)或(a)(iii)(A)–(C)末节所述的任何勾当行事。是或曾是任何按照本号令其财富和财富权益被冻结的人员,或处置本条(a)(ii)或(a)(iii)(A)–(E)末节所述任何勾当的任何人员的带领、官员、高级办理人员或董事会。”(a)“机构”一词的寄义取《美国》第44编第3502(1)节所述的寄义不异,但《美国》第44编第3502(5)节所述的监管机构除外。(b)“工件”一词是指通过手动或从动化手段生成的记实或数据,可用于证明合适既定的做法,包罗用于平安软件开辟。(c)“人工智能”或“AI”一词的寄义取《美国》第15编第9401(3)节所述的寄义不异。(d)“AI系统”一词是指任何全数或部门利用AI运转的数据系统、软件、硬件、使用法式、东西或适用法式。(f)“鸿沟网关和谈”或“BGP”一词是指用于正在形成互联网的数万个自治收集之间分发和计较径的节制和谈。(g)“消费类物联网产物”一词是指次要用于消费者利用而非企业或工业利用的物联网产物。消费类物联网产物不包罗美国食物药品监视办理局监管的医疗设备或美国国度公交通平安办理局监管的灵活车辆和灵活车辆设备。(h)“收集事务”一词的寄义取《美国》第44编第3552(b)(2)节所述“事务”一词的寄义不异。(i)“致瘫影响系统”一词是指《美国》第44编第3553(e)(2)和3553(e)(3)节别离为和谍报界所描述的系统。(j)“数字身份文件”一词是指由机构(如州颁布的挪动驾照或电子护照)颁布的电子、可反复利用、可通过暗码学验证的身份凭证。(l)“端点”一词是指能够毗连到计较机收集以建立数据通信的入口或出口点的任何设备。端点的示例包罗台式计较机和笔记本电脑、智妙手机、平板电脑、办事器、工做坐、虚拟机和消费类物联网产物。(m)“端点检测和响应”一词是指收集平安东西和功能,它们将端点数据(例如工做坐、挪动德律风、办事器等联网计较设备)的及时持续和收集取基于法则的从动化响应和阐发功能相连系。(n)“联邦平易近用行政部分”或“FCEB部分”包罗除部属机构和谍报界机构以外的所无机构。(o)“联邦消息系统”一词是指由机构、机构承包商或代表机构运做的其他组织利用或操做的消息系统。(p)“运营的身份验证系统”一词是指由联邦、州、处所、部落或国土机构具有和运营的进行身份验证的系统,包罗为多个机构供给办事的单机构系统和共享办事。(r)“夹杂密钥成立”一词是指本身是暗码密钥成立方案的两种或多种组件的组合而成的密钥成立方案。(s)“身份验证”一词是指收集身份消息或,验证其性,并确认其取供给消息的实正在小我相联系关系的过程。(v)“最小权限”一词是指平安架构的设想准绳,即每个实体仅被授予施行其功能所需的最小系统资本和授权。(w)“机械可读”一词是指产物输出采用布局化格局,能够利用分歧的处置逻辑由另一个法式进行消费。(x)“系统”或“NSS”一词的寄义取《美国》第44编第3552(b)(6)节所述的寄义不异。间接点窜取分歧软件组件相关的文件或设备设置,而不更改相关软件组件的版本号或发布详情的软件组件。(z)“以代码形式制定法则的方式”一词是指法则(例如立法、律例或政策中包含的法则)的编码版本,可由计较机理解和利用。(aa)“平安启动”一词是指一种平安功能,可防止计较机系统正在启动时运意软件。该平安功能正在启动序列期间施行一系列查抄,有帮于确保仅加载受信赖的软件。(bb)“平安节制成果”一词是指为消息系统或组织的保障办法或对策的机能或非机能的成果,以系统的秘密性、完整性和可用性及其消息的秘密性、完整性和可用性。(c)本号令无意且不会为任何一方针对美国、其部分、机构或实体、其官员、雇员或代办署理人,或任何其他人员,创制任何可依法或衡平法强制施行的或好处,无论是本色性的仍是法式性的。
