编者按:美国总统特朗普6月6日总统签署了新网络安全行政命令,旨在简化往届政府的网络安全行政行动,并取消那些被视为过于规定性或意识形态化的命令。
该命令重点关注针对外国网络威胁的关键保护措施并加强安全技术实践,以加强国家网络安全。重点内容包括:修正了奥巴马政府13694号行政命令和拜登政府第14144号行政命令;指示美国联邦政府推进安全软件开发;指示各部门和机构在边界网关安全方面采取行动,以阻止网络互连劫持行为;指示部门和机构在后量子密码方面采取行动,以确保防范可能利用下一代计算架构的威胁;要求采用最新的加密协议;将人工智能网络安全工作的重点重新转向识别和管理漏洞,而非审查;指示采取技术措施颁布网络安全政策,包括机器可读的政策标准和“物联网”的正式信任指定,以确保美国民众了解其个人和家用设备符合基本的安全工程原则;将网络制裁的适用范围限制在外国恶意行为者身上,防止其被滥用于国内政治对手,并明确制裁不适用于与选举有关的活动;取消了核心网络安全重点外的不当措施,包括取消美国政府要求非法外国人颁发数字身份证的强制规定。
具体措施方面,该命令指示:到2025年8 月1日,美国商务部通过国家标准与技术研究所(NIST)制订指导方针,展示基于NIST特别出版物 800-218(安全软件开发框架)的安全软件开发、安全和运维实践的实施;到2025年9月2日,美国商务部通过NIST更新NIST特别出版物 800-53(信息系统和组织的安全和隐私控制),以提供如何安全可靠地部署补丁和更新的指导;2025年12月1日前,美国商务部通过NIST制定并发布安全软件开发框架的初步更新版本,并在该版本发布后的120天内发布更新后的安全软件开发框架的最终版本;到2025年12月1日,美国国土安全部应发布并定期更新支持后量子密码(PQC)的产品类别清单;到2025年12月1日,美国国家安全局(负责国家安全系统)和白宫行政管理和预算局(负责非国家安全系统)应发布支持传输层安全协议1.3版或后续版本的要求;到2025年11月1日,美国商务部应在最大限度内,以安全或公开的方式向更广泛的学术研究界开放现有的网络防御研究数据集;到2025年11月1日,美国国防部部长、国土安全部部长和国家情报总监应与总统行政办公室内的适当官员协调,将人工智能软件漏洞和入侵管理纳入各自机构现有的漏洞管理流程和机构间协调机制,包括通过事件跟踪、响应和报告,以及共享人工智能系统的失陷指标;3年内,美国白宫行政管理和预算局(OMB)局长应发布指导意见,包括对OMB通告 A-130 的任何必要修订,以应对关键风险并适应联邦信息系统和网络的现代实践和架构;1年内,美国商务部、国土安全部以及白宫行政管理和预算局应建立一个规则即代码方法的试点项目,用于上述机构发布和管理的有关网络安全的政策和指导的机器可读版本;1年内,美国联邦采购条例委员会的机构成员应根据适用法律,酌情联合采取措施修改联邦采购条例,要求各机构在2027年1月4日前要求向联邦政府提供消费者物联网产品的供应商在产品上贴上美国网络信任标志标签。
奇安网情局编译有关情况,供读者参考。
美国总统特朗普6月6日总统签署了一项新的网络安全行政命令,延续了其前任的许多政策,同时也标志着软件安全、数字身份等方法上的一些关键变化。
特朗普在最新的行政命令中写道,“必须采取更多措施,加强国家网络安全,以应对这些威胁。我下令采取更多行动,加强国家网络安全,重点是保卫我们的数字基础设施,保障数字领域最重要的服务和能力,并增强我们应对关键威胁的能力。”
该行政令是特朗普第二任期内已签署的几项明确针对网络安全的授权中的第一项。它修订了拜登时代于今年1月特朗普重返白宫前签署的一项行政令的部分内容,以及十年前奥巴马时代签署的一项授权对从事恶意网络活动的个人和公司实施制裁的基石指令。
奥巴马的命令为美国国务院和财政部等机构制定的制裁政策奠定了基础,这些政策旨在对参与危害美国国家安全的黑客活动的个人进行经济处罚。
根据特朗普的新行政命令,该命令“限制网络制裁仅适用于外国恶意行为者”,并防止“滥用制裁针对国内政治对手,并澄清制裁不适用于与选举有关的活动” 。
该条款反映了特朗普及其盟友长期以来的担忧,即网络和监控当局被政治化,以针对他的核心圈子,特别是在与选举有关的执法和虚假信息打击之后,一些右翼人士认为这些是压制国内政治参与者的工具。
特朗普的行政令对拜登1月份网络令的多个部分进行了修改和补充。其中一项重大变化取消了要求美国政府机构加强使用数字身份识别技术的授权。该法案称,这些技术可能会被“非法外国人”使用,并“助长福利欺诈和其他滥用行为”。
该命令保留了保护互联网流量路线的指令,但删除了拜登时代关于这一问题重要性的措辞——即边界网关等风险。
另一方面,该命令指示商务部与私营企业合作,从8月开始改进软件的构建和保护方式。
该法案还致力于帮助美国为后量子密码做好准备,届时量子计算机将能够破解现代加密标准。法案指示美国国家安全局和白宫行政管理与预算局在12月前发布后量子密码的政府机构标准,以便在2030年前实施更严格的安全保护措施。
特朗普的指令还重点关注人工智能漏洞。到11月,美国联邦国防、情报和国土安全机构必须开始像对待其他网络安全风险一样对待人工智能软件漏洞,并且必须将追踪、报告和共享失陷指标(IoC)作为其现有事件响应系统的一部分。
一年之内,美国政府必须启动一项试点项目,测试新的“规则即代码”网络安全政策方法。美国国家标准与技术研究所(NIST)、网络安全和基础设施安全局(CISA)和白宫行政管理与预算局(OMB)将开始以机器可读的格式重写部分网络安全指南,旨在让计算机能够解释和应用这些规则。
该命令也与拜登政府此前推出的一项举措如出一辙。到2027年1月,政府购买的任何智能设备都必须贴上“网络信任标志”标签,表明其符合基本安全标准。该标签计划主要由联邦通信委员会(FCC)监督。
附:美国白宫关于特朗普网络安全行政令的说明书
情况说明书:美国总统唐纳德·特朗普
调整网络安全工作重点以保护美国
加强国家网络安全:美国总统特朗普6月6日签署了一项行政命令,重点关注针对外国网络威胁的关键保护措施并加强安全技术实践,以加强国家网络安全。
该命令修正了奥巴马和拜登时代行政命令(第14144号和第13694号)中存在问题的部分。
该命令指示美国联邦政府推进安全软件开发。
该命令指导各部门和机构在边界网关安全方面采取行动,以阻止网络互连劫持行为。
该命令指导部门和机构在后量子密码方面采取行动,以确保防范可能利用下一代计算架构的威胁。
该命令要求采用最新的加密协议。
该命令将人工智能(AI)网络安全工作的重点重新转向识别和管理漏洞,而不是审查。
该命令指示采取技术措施颁布网络安全政策,包括机器可读的政策标准和“物联网”的正式信任指定,以确保美国民众知道他们的个人和家用设备符合基本的安全工程原则。
该命令将网络制裁的适用范围限制在外国恶意行为者身上,防止其被滥用于国内政治对手,并明确制裁不适用于与选举有关的活动。
该命令取消了核心网络安全重点之外的不当措施,包括取消美国政府要求非法外国人颁发数字身份证的强制规定,该规定可能助长福利欺诈和其他滥用行为。
重新调整网络安全工作的优先顺序:美国总统特朗普正在采取果断行动,应对真正的技术挑战和持久的网络安全威胁。
就在特朗普总统就职前几天,拜登政府试图将一些棘手且分散注意力的问题偷偷纳入网络安全政策。其中包括:
○引入数字身份授权可能会使非法移民能够不正当地获取公共福利,从而面临广泛滥用的风险。
○实施未经证实且繁琐的软件评审流程,优先考虑合规性清单而不是真正的安全投资。
○微观管理技术网络安全决策最好在部门和机构层面处理,这样可以更有效地评估和实施预算权衡和创新解决方案。
网络安全太重要了,不能沦为政治足球。
对手经常威胁我们的关键基础设施、个人设备和数字生活的结构。
推进国家网络安全:美国总统特朗普正在推进网络安全,以保障所有美国民众的安全。
美国总统特朗普明确表示,本届政府将尽一切努力确保美国的网络安全,包括坚持不懈地注重技术和组织专业化,以提高国家信息系统和网络的安全性和弹性。
自上任第一天起,美国总统特朗普就坚定地致力于消除联邦政府中的欺诈和滥用行为。
美国总统特朗普已经采取行动消除人工智能创新的障碍,确保技术部门在最新发展中保持竞争力并且不受意识形态偏见的影响。
附:特朗普网络安全行政命令具体措施内容
有关行政部门和机构应当采取以下措施:
1、到2025年8 月1日,美国商务部部长应通过国家标准与技术研究所(NIST)主任在国家网络安全卓越中心与业界建立一个联盟,以在联盟的适当指导下制定指导方针,展示基于NIST特别出版物 800-218(安全软件开发框架SSDF)的安全软件开发、安全和运维实践的实施。
2、到2025年9月2日,美国商务部部长应通过NIST主任更新NIST特别出版物 800-53(信息系统和组织的安全和隐私控制),以提供如何安全可靠地部署补丁和更新的指导。
3、2025年12月1日前,美国商务部部长应通过NIST主任,与其认为合适的机构负责人协商,制定并发布安全软件开发框架的初步更新版本。该初步更新版本应包含软件安全可靠开发与交付以及软件本身安全性的实践、程序、控制措施和实施示例。在发布初步更新版本后的120天内,美国商务部部长应通过NIST主任,发布更新后的安全软件开发框架的最终版本。
一台足够规模和复杂程度的量子计算机——也称为密码分析相关量子计算机(CRQC)——将能够破解美国乃至全球数字系统中使用的大部分公钥加密技术。2022年5月4日发布的第10号国家安全备忘录(《提升美国在量子计算领域的领导地位,同时降低易受攻击的密码系统的风险》)指示联邦政府做好向不易受CRQC攻击的密码算法过渡的准备。
1、到2025年12月1日,美国国土安全部部长应通过网络安全和基础设施安全局(CISA)局长并与国家安全局局长协商,发布并定期更新支持后量子密码(PQC)的产品类别清单。
2、到2025年12月1日,为准备向PQC过渡,美国国家安全局局长(负责国家安全系统)和美国白宫行政管理和预算局(负责非国家安全系统)局长应尽快发布支持传输层安全协议1.3版或后续版本的要求,但不得晚于2030年1月2日。
利用人工智能促进安全。人工智能具有通过快速识别漏洞、扩大威胁检测技术的规模以及实现网络防御自动化来改变网络防御的潜力。
1、到2025年11月1日,美国商务部部长通过NIST主任、能源部部长、国土安全部部长(通过主管科学技术事务的副部长)以及国家科学基金会主任应确保,在最大限度内,以安全或公开的方式向更广泛的学术研究界开放现有的网络防御研究数据集,同时考虑到商业机密和国家安全。
2、到2025年11月1日,美国国防部部长、国土安全部部长和国家情报总监应与总统行政办公室内的适当官员协调,包括科学技术政策办公室、国家网络总监办公室的官员和白宫行政管理和预算局(OMB)局长,将人工智能软件漏洞和入侵管理纳入各自机构现有的漏洞管理流程和机构间协调机制,包括通过事件跟踪、响应和报告,以及共享人工智能系统的失陷指标。
政策与实践相一致。各机构的政策必须协调投资和优先事项,以提高网络可见性和安全控制,从而降低网络风险。经与国家网络总监协商,各机构应采取以下行动:
1、自本命令发布之日起3年内,美国白宫行政管理和预算局(OMB)局长应发布指导意见,包括对OMB通告 A-130 的任何必要修订,以应对关键风险并适应联邦信息系统和网络的现代实践和架构。
2、自本命令发布之日起1年内,美国商务部部长(通过 NIST主任行事)、美国国土安全部长(通过CISA局长行事)以及OMB局长应建立一个规则即代码方法的试点项目,用于OMB、NIST 和 CISA 发布和管理的有关网络安全的政策和指导的机器可读版本。
3、自本命令发布之日起1年内,美国联邦采购条例委员会的机构成员应根据适用法律,酌情联合采取措施修改联邦采购条例,要求各机构在2027年1月4日前要求向联邦政府提供消费者物联网产品的供应商(定义见 47 CFR 8.203(b))在这些产品上贴上美国网络信任标志标签。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
