近年来,为政府提供服务的大型科技公司在网络安全方面疏于防范,导致美国政府系统遭受多次灾难性的黑客攻击。为解决此类隐患,俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)提出了《安全和互操作性政府协作技术法案》(Secure and Interoperable Government Collaboration Technology Act)的立法草案,旨在为联邦政府使用的在线协作工具制定新的强制性网络安全标准。

草案要求美国国家标准与技术研究院(NIST)和总务署(GSA)为协作平台建立可互操作的标准,以确保它们使用端到端加密和其他技术来防止外国对政府通信的监视。此外,将成立一个由GSA和管理与预算办公室代表组成的工作组,以审查联邦工作场所协作平台,并提出对新标准的改进建议。如果通过,该法案将保护美国政府的通信免受外国黑客的攻击,节省安全维护方面的开支,并责成国土安全部对政府机构获得的协作工具进行网络安全审查。本期简报对《安全和互操作性政府协作技术法案》内容进行编译整理,以飨读者。

一、概述

法案要求政府购买基于开放标准构建、具有互操作性的端到端加密协作技术,以加强国家安全,提高政府工作效率,并节约成本。协作技术包括基于文本的消息传递、语音和视频通话以及实时文档编辑工具,如Microsoft Teams、Slack和Google Docs。

在电话通讯中,用户无需使用同一个网络,基于互联网的协作技术则不然。如果一个用户使用 Teams,而另一个用户使用 Zoom,那么这两个产品就无法相互通信。对于联邦政府而言,几十个机构使用不同的协作技术,互操作性的缺乏大大降低了从视频通话到日程安排等协作流程的效率。

法案将确保联邦政府采购和使用的协作技术基于可互操作的安全标准——这意味着使用Teams的某个机构的员工可以呼叫使用Zoom的某个机构的员工,或向使用Slack的另一个机构发送信息。这对保护政府通信不受外国窥探至关重要,但政府机构使用的主要视频通话平台采用该技术的情况参差不齐。法案还规定政府使用的协作软件允许各机构遵守联邦记录保存要求——随着越来越多的机构业务通过新的协作软件系统进行,这一点日益受到关注。

向政府销售协作技术的供应商不应使用专有数据标准将用户锁定在产品围墙中。包括国家安全局、海军陆战队和海军在内的政府机构已经支持使用端到端加密等基于标准的技术和安全实践,联邦政府采购和使用的协作技术也应体现这些原则。

法案将:

● 要求GSA创建一份联邦政府使用的协作技术功能清单,并要求NIST确定一套协作技术功能的互操作标准、需求和指南。

● 要求这些标准尽可能使用端到端加密和其他技术,以保护美国政府通信不受外国监控。

● 要求协作技术的设计允许各机构遵守联邦记录保存要求。

● 在NIST确定标准四年后,要求联邦政府采购的协作技术能够使用确定的标准进行通信,以便与政府内部使用的其他产品实现互操作。

● 责成国土安全部对联邦政府广泛使用的协作技术产品进行网络安全审查。

● 创建一个由GSA和管理与预算办公室组成的工作组,每两年对联邦政府使用的协作技术进行一次审查,以便对标准提出补充或改进建议。

二、法案重点编译

第1节 简称

本法案可称为《安全和互操作性政府协作技术法案》。

第2节 定义

在本法中:

(1)“署长”一词是指总务署长。

(2)“机构”一词

(A)具有《美国法典》第44编第3502条赋予该术语的含义;以及

(B)包括联邦选举委员会。

(3)“协作技术”是指提供一种或多种主要协作技术功能的软件系统或应用程序。

(4)“院长”一词系指国家标准与技术研究院院长。

(5)“端到端加密”是指通信加密,即数据在通过网络时被加密,除通信的发送方和每个预定接收方外任何一方都无法访问解密后的通信,无论所使用的传输技术或中间步骤如何。

(6)“已确定的标准”一词是指根据第 3(b)条确定的标准或标准集。

(7)“互操作性”一词具有《美国法典》第44章第3601节中赋予该词的含义。

(8)“开放标准”一词是指自愿达成共识的标准或自愿性共识标准集,且——

(A) 可供任何个人阅读和实施;

(B) 不对使用者收取任何版权费或其他费用;

(C) 可低成本或无成本认证标准或标准集的用户。

(9)“主要协作技术特征”是指符合以下条件的技术特征或功能:

(A) 促进联邦政府内部的远程工作和协作;

(B) 通过提供核心或基本功能(而非辅助或次要功能)来促进(A)所述的工作和协作;以及

(C) 由署长根据第3(a)条确定的功能。

(10)术语“标准兼容的协作技术”表示协作技术——

(A) 其每个主要功能与所确定的标准兼容;以及

(B) 根据第5(b)节证明合规。

(11) “自愿共识标准”一词的定义见管理与预算办公室第A-119号通告中修订的“联邦参与自愿共识标准制定和一致性评估活动”,该通告于2016年1月27日发布修订版。

(12) “工作组”一词是指根据第7(a)条设立的协作技术工作组。

第3节 确定政府协作技术的标准

(a) 功能识别——在本法案生效后180天内,署长应与管理与预算办公室主任和首席信息官委员会合作,确定一份主要协作技术功能列表,包括:

(1) 语音和视频通话,包括:

(A) 两人之间的通话;以及

(B) 三人或更多人之间的通话;

(2) 基于文本的消息传递;

(3) 文件共享;

(4) 实时文档编辑;

(5) 计划和日历安排;

(6) 署长认为合适的其他技术功能或操作。

(b) 标准识别——在本法案生效两年内,院长应确定一套自愿共识标准或标准集,用于联邦政府使用的协作技术,并应:

(1) 为每个主要协作技术功能指定互操作性协议,以及创建该功能的互操作实现所需的任何协议、格式、要求或指导,包括:

(A) 用于应用程序指定和标准化安全性的协议,包括系统:

(i) 识别和验证参与通信或协作任务的个人;

(ii) 控制语音和视频通话的参与和安全设置;

(iii) 控制共享文档的访问和编辑权限;

(B) 支持核心主要协作技术功能的辅助功能协议,包括视频会议中的参与功能;

(2) 尽可能基于开放标准;

(3) 使用端到端加密技术;

(4) 采用基于协作技术和其功能的网络安全最佳实践的协议、指导和要求;

(5) 尽可能集成防止外国对通信进行监视的网络安全技术,包括保护通信元数据免受流量分析的技术,与国土安全部部长、国家安全局局长、国防高级研究计划局局长、情报高级研究计划活动局局长、海军研究院院长和开放技术基金主席合作开发的要求;

(6) 尽可能适用于低带宽或高延迟的互联网连接用户;

(7) 支持受联邦记录保存要求约束的机构遵守这些要求并符合《美国法典》第5章第552节的规定。

(c) 端到端加密要求——

(1) 一般规定——作为确定标准的一部分,端到端加密技术应确保即使托管服务器被攻破,协作和通信内容数据也不会被泄露。

(2) 无法使用端到端加密——根据第(3)段,如果署长为主要协作技术功能确定了辅助功能,而院长无法找到支持该辅助功能并使用端到端加密的标准或标准集,则院长可以确定不使用端到端加密的标准或标准集来支持该辅助功能。

(3) 默认使用端到端加密——

(A) 一般规定——根据第(B)项规定,机构负责人应确保在机构使用符合标准的协作技术并提供辅助功能时:

(i) 该辅助功能默认禁用;

(ii) 主要协作技术功能使用端到端加密。

(B) 例外——如果机构负责人启用了某个辅助功能且用户已知晓使用该功能带来的额外网络安全和监视风险,并且用户明确选择了使用该功能,则第(A)项不适用。

(4) 加密状态透明——院长应确保标准兼容的协作技术使用户能够轻松查看所使用协作功能的加密状态。

(d) 咨询与额外考虑事项——在确定标准时,院长应与多个政府部门、州及地方政府和私营部门合作,考虑他们采用的安全标准技术。

(e) 符合记录保存要求——院长应确保为实现联邦记录保存要求添加的标准要求在设计时能够保留端到端加密的安全性,避免存储明文消息或解密密钥,最大限度降低网络安全风险,并告知通信各方通信内容数据被存档。

(f) 延长标准识别期限的豁免——

(1) 如果院长认为在法案生效两年内无法为某项主要协作技术功能确定标准,则可发布豁免以延长确定标准的期限。

(2) 豁免应包括具体功能和无法确定标准的原因,豁免有效期为一年,可重新发布最多10次。

第4节 使用已确定标准的要求

(a) 一般规定——

(1) 集成——院长确定标准后四年内,联邦采购监管委员会应将与已确定标准兼容作为协作技术产品的采购要求,并且国土安全部部长应为机构提供技术指导以选择和配置兼容标准的协作技术。

(2) 采购禁令——院长确定标准四年后,机构负责人不得采购不符合标准的协作技术。

(b) 特定协作系统的例外——以下协作系统不受上述规定约束:

(1) 电子邮件。

(2) 《1934年通信法》第227(e)节中定义的语音服务。

(3) 美国法典第40章第11103(a)节定义的国家安全系统。

(c) 购买后配置的例外——如果软件产品或设备在购买时内置不兼容标准的主要协作技术功能,机构负责人可以通过在向员工配置前禁用这些功能以符合要求。

(d) 豁免认证——

(1) 机构负责人可以对特定协作技术发布豁免认证。

(2) 认证需说明无法采购符合标准的技术的具体原因,并提交给国会委员会。

(3) 认证需在机构网站的指定位置公布,有效期为四年,可续期。

第5节 合规性证明和互操作性测试结果

(a) 互操作性测试——院长应在确定标准一年内识别或开发一个免费在线测试平台,允许任何实体测试某协作技术功能是否与标准兼容,并提供可分享的测试结果。

(b) 合规性证明——协作技术提供商应向署长提交:

(1) 合规声明,确认每个协作技术功能默认使用标准,且技术允许禁用不符合标准的模式;

(2) 互操作性测试结果,证明每个功能与已确定的标准兼容。

(c) 公布符合标准的协作技术供应商——署长应在总务管理局网站上公布符合标准的协作技术名单。

(d) 解释规则——本节不要求协作技术供应商直接测试其功能与其他供应商产品的互操作性。

第6节 协作技术产品的网络安全审查

(a) 一般规定——院长确定标准四年后,国土安全部应根据法律规定,进行联邦政府使用的协作技术产品的安全审查,以识别任何网络安全漏洞。

(b) 审查选择和优先次序——国土安全部部长应根据产品使用广泛程度、用户数量和遭受攻击的可能性来确定审查的产品和优先顺序。

(c) 报告——国土安全部部长应在审查结果提交给相关委员会。

第7节 协作技术工作组及标准更新

(a) 工作组——署长应在法案生效后60天内设立工作组,负责每两年更新主要协作技术功能列表。

(b) 收集机构反馈——在标准确定后的十年内,工作组应至少每两年编写一次报告,收集使用标准兼容协作技术的机构的改进建议及未使用该技术的机构面临的障碍。

(c) 提交反馈报告——工作组应在报告完成30天内提交给院长和相关国会委员会。

(d) 采纳建议——院长应在确定标准时尽可能采纳工作组的建议和报告中提出的要求。

(e) 标准更新——院长可根据协作技术的发展和网络安全最佳实践更新标准。

第8节 解释规则

本法案不限制:

(1) 机构与非政府实体之间使用符合标准的协作技术进行通信;

(2) 非政府实体使用已确定标准或符合标准的协作技术。

(审核:朱莉欣 原浩 马宁)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。