编者按:美国总统拜登1月19日签署《关于改善国家安全、国防部和情报界系统网络安全的备忘录》,旨在改善国家安全系统的网络安全。

新备忘录主要内容包括:一是要求美军及情报界为国家安全系统提供与联邦民用网络同等的安全保护;二是赋予美国家安全局制定具有约束力操作指令的权力,从而可以命令各机构针对已知或可疑的网络安全威胁和漏洞采取具体行动;三是要求美军及情报界识别其国家安全系统并将在上述系统上发生的网络事件报告国家安全局,从而提高政府识别、感知和减轻所有国家安全系统网络风险的能力;四是列出了更新零信任、多因素身份验证和云安全的政策和计划时间表;五是要求各机构清点跨域解决方案,并指示国家安全局建立安全标准和测试要求。

奇安网情局编译有关情况,供读者参考。

美国总统拜登1月19日签署了《关于改善国家安全、国防部和情报界系统网络安全的备忘录》,为美国防部、情报界和其他联邦机构运行的敏感国家安全系统设定了新的网络安全要求。

美国联邦政府将国家安全系统定义为:

其功能、操作或使用涉及情报活动;涉及与国家安全相关的密码学活动;涉及军队的指挥和控制;涉及作为武器或武器系统组成部分的设备;或对直接执行军事或情报任务至关重要……或(ii)始终都受到为信息制定的程序所保护,上述信息根据行政命令或国会法案规定的标准特别授权为国防或外交政策的利益而保密。

白宫在新文件随附的情况说明书中称,“使我们的网络安全防御现代化并保护所有联邦网络是拜登政府的优先事项,而此份国家安全备忘录提高了我们最敏感系统的网络安全标准。”

确保国家安全系统获得民用网络同等安全保护

新备忘录是拜登2021年5月关于联邦政府网络安全的行政命令的产物,要求联邦政府在60天内通过对国家安全系统的要求。

该文件的作用是使军事机构和情报界的网络安全要求与民用机构的网络安全要求保持一致。备忘录阐述了网络安全行政命令如何适用于由政府机构控制的国家安全系统,指出国家安全系统至少应具有与该行政命令下的联邦民用网络相同的安全保护。

国家安全局获得制定具有约束力操作指令的授权

该备忘录要求各机构采取行动保护或减轻对国家安全系统的网络威胁。备忘录授权国家安全局,通过其作为国家安全系统“国家管理者”的角色,制定具有约束力的操作指令,从而要求各机构针对已知或可疑的网络安全威胁和漏洞采取具体行动。

上述指令以国土安全部(DHS)网络安全和基础设施安全局(CISA)对民用政府网络的约束性操作指令授权为蓝本,可命令各机构对易受已知漏洞攻击或当前受到攻击的系统进行快速更新,从而减轻潜在的网络威胁或漏洞。

该备忘录还指示国家安全局和国土安全部共享指令并相互学习,以确定一个机构指令中的任何要求是否应该被另一个机构采用。在60天内,国土安全部和美国国家安全局必须在制定和颁布此类指令时制定涵盖信息共享和保护机密信息和情报来源的程序。

提高国家安全系统网络安全事件态势感知

该备忘录要求提高国家安全系统上发生的网络安全事件的可见性。文件要求各机构识别其国家安全系统并将其上发生的网络事件报告给国家安全局。这将提高政府识别、感知和减轻所有国家安全系统网络风险的能力。

备忘录称,美国防部和情报机构的首席信息官还必须保留与系统异常相关的内部记录,该记录需足够详细,以有效识别网络安全问题。备忘录还要求国防部和情报机构的首席信息官保留一份“确实或应该可能”构成国家安全系统的信息系统清单。

要求制订云系统的网络安全和事件响应框架

该备忘录赋予国家安全局协调秘密和绝密云系统的网络安全和事件响应框架的任务,以促进联邦机构、商业云供应商和国家安全局之间的信息共享。备忘录要求美国国家安全局、中央情报局、联邦调查局、国防部分支机构和情报界开发一个框架,以更好地协调国家安全云技术的网络安全和事件响应工作。

根据先前的政策,国家安全局是美国政府机密系统的“国家管理者”。备忘录称,“在本备忘录签署之日起90天内,国家管理者应与国家情报总监、中央情报局局长、联邦调查局局长以及国防部相关部门的负责人,开发一个框架来协调和协作与国家安全系统商业云技术相关的网络安全和事件响应活动,以确保各机构、国家管理者和云服务提供商(CSP)之间的有效信息共享。”

此外,该备忘录还呼吁国土安全部与国家安全局就对国家安全系统和联邦民事行政部门系统产生影响的云网络安全事件进行协调。

明确新的网络安全政策和计划时间表

新备忘录概述了2021年5月网络安全行政命令如何适用于在机密系统和非机密系统之间移动数据的机密系统和跨域系统,并列出了更新零信任、多因素身份验证和云安全的政策和计划的时间表。

该备忘录还要求:在文件发布后60天内,运营国家安全系统的机构必须更新计划,以“优先考虑资源”以采用和使用云计算并实施零信任架构;在文件发布后90天内,国家安全系统委员应制定和发布与国家安全系统云迁移和运营相关的最低安全标准和控制的新指南;在文件发布后180天内,各机构需要对存储在国家安全系统中和在国家安全系统中移动的数据实施多因素身份验证和加密。备忘录还规定了机密系统加密的要求,重点是过渡到抗量子加密标准。

备忘录要求各机构保护跨域解决方案(在机密和非机密系统之间传输数据的工具)。对手可以寻求利用这些工具来访问美国机密网络,而备忘录指示采取果断行动以减轻这种威胁。备忘录要求各机构清点跨域解决方案,并指示国家安全局建立安全标准和测试要求,以更好地保护上述关键系统。

特殊情况豁免

当机构负责人认为将备忘录的要求应用于涉及军事、情报或执法的系统“不可行或违反国家安全”的情况下,可以适用一些例外情况。明确用于漏洞研究且不属于机构运营网络的系统也可以豁免。另一项豁免适用于“对美国政府的归属模糊不清,并且由于实施这些要求而导致这种归属受到合理威胁”的系统。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。