樊 偉
2022年1月19日,美國總統(tǒng)拜登簽署《關于改善國家安全、國防和情報系統(tǒng)網絡安全的備忘錄》(以下簡稱《備忘錄》),旨在改善國家安全系統(tǒng)的網絡安全。該《備忘錄》是落實第14028號《改善國家網絡安全》行政令的政策文件,提出國家安全系統(tǒng)的多項網絡安全新要求,旨在強化美國家安全局、國防部、情報機構和其他聯邦機構的網絡安全保護能力,推進新形勢下美國網絡安全防御現代化。
2020年以來,美國網絡事件頻發(fā)。2020年12月發(fā)生的太陽風事件中,基礎網絡管理軟件供應商太陽風公司的Orion軟件更新包被黑客植入后門,波及包括政府部門、關鍵基礎設施以及多家全球500強企業(yè)在內的機構,損失難以估量。2021年5月發(fā)生的科洛尼爾輸油管攻擊事件中,黑客通過勒索軟件攻擊了美國最大的成品油管道系統(tǒng),幾乎切斷了美國東海岸45%的燃料供給,給美國工業(yè)造成重大損失。美網絡空間領域安全事件頻發(fā),暴露了美國網絡安全的短板,引起了很多部門的重視,這也加快了《備忘錄》簽署的進度。
拜登簽署《關于改善國家安全、國防和情報系統(tǒng)網絡安全的備忘錄》
此外,2021年5月,拜登簽署關于加強國家網絡安全的行政令,要求保護聯邦政府網絡、改善政府與私營機構網絡領域信息共享及增強網絡事件響應能力,全面提升美國網絡安全防御能力,為《備忘錄》編寫制定提供了指導。
《備忘錄》從明確網絡安全技術落地應用時間安排與指導方針、強化國家安全局對國家安全系統(tǒng)的管理與指導地位、確保跨域解決方案安全性、提升網絡安全風險感知能力、構建國家安全系統(tǒng)云技術網絡安全和事件響應協(xié)作機制、引入基于特殊任務需求的例外情況等六大維度,加強網絡安全保障,細化美國家安全系統(tǒng)的網絡安全標準。
《備忘錄》是基于2021年5月《聯邦政府網絡安全行政令》出臺的,要求聯邦政府在60天內達到國家安全系統(tǒng)的要求?!秱渫洝分荚谑管娛聶C構和情報界的網絡安全要求與民用機構的網絡安全要求保持一致?!秱渫洝逢U述了網絡安全行政令如何適用于由政府機構使用的國家安全系統(tǒng),指出國家安全系統(tǒng)至少應具有與該行政命令下的聯邦民用網絡相同的安全保護。
《關于改善國家安全、國防和情報系統(tǒng)網絡安全的備忘錄》封面
《備忘錄》要求各機構采取行動保護或減輕對國家安全系統(tǒng)的網絡威脅。《備忘錄》授權國家安全局,通過其作為國家安全系統(tǒng)國家管理者的角色,制定具有約束力的操作指令,從而要求各機構針對已知或可疑的網絡安全威脅和漏洞采取具體行動。該指令以國土安全部網絡安全和基礎設施安全局對民用網絡的約束性操作指令授權為藍本,可命令各機構對易受已知漏洞威脅或當前受到攻擊的系統(tǒng)進行快速更新,從而減輕潛在的網絡威脅或漏洞。
《備忘錄》還指示國家安全局和國土安全部共享指令并相互學習,以確定一個機構指令中的任何要求是否能夠被另一個機構采用。在60天內,美國土安全部和國家安全局必須在制定和頒布此類指令時,制定涵蓋信息共享和保護機密信息和情報來源的程序。
《備忘錄》要求提高國家安全系統(tǒng)網絡安全事件的可見性,要求各機構識別其國家安全系統(tǒng)并將其上發(fā)生的網絡事件報告給國家安全局,這將提高政府識別、感知能力,并減輕所有國家安全系統(tǒng)網絡風險?!秱渫洝贩Q,美國防部和情報機構的首席信息官還必須保留系統(tǒng)異常的內部記錄,該記錄需足夠詳細,以有效識別網絡安全問題。《備忘錄》還要求國防部和情報機構的首席信息官保留一份國家安全系統(tǒng)的信息系統(tǒng)清單。
《備忘錄》賦予國家安全局制定秘密和絕密云系統(tǒng)網絡安全和事件響應框架的任務,以促進聯邦機構、商業(yè)云供應商和國家安全局之間的信息共享。《備忘錄》要求美國家安全局、中央情報局、聯邦調查局、國防部分支機構和情報界開發(fā)一個框架,以更好地協(xié)調國家安全云技術的網絡安全和事件響應工作。
國家安全局是美國政府機密系統(tǒng)的國家管理者。《備忘錄》稱,文件簽署后90天內,國家管理者應與國家情報總監(jiān)、中央情報局局長、聯邦調查局局長以及國防部相關部門的負責人,開發(fā)一個框架來協(xié)調與國家安全系統(tǒng)商業(yè)云技術相關的網絡安全和事件響應行動,以確保各機構、國家管理者和云服務提供商之間的有效信息共享?!秱渫洝愤€呼吁國土安全部與國家安全局協(xié)調對國家安全系統(tǒng)和聯邦民事行政部門系統(tǒng)產生影響的云網絡安全事件。
《備忘錄》概述了2021年5月《網絡安全行政令》如何適用于機密系統(tǒng)和非機密系統(tǒng)之間移動數據交換,并列出了更新零信任、多因素身份驗證和云安全的政策和計劃時間安排?!秱渫洝愤€要求,文件發(fā)布后60天內,運營國家安全系統(tǒng)的機構必須更新計劃,優(yōu)先考慮資源并采用和使用云計算以實施零信任架構;文件發(fā)布后90天內,國家安全系統(tǒng)委員應制定和發(fā)布與國家安全系統(tǒng)云遷移和運營相關的最低安全標準和控制指南;文件發(fā)布后180天內,各機構需要對國家安全系統(tǒng)中存儲或移動的數據實施多因素身份驗證和加密?!秱渫洝愤€規(guī)定了機密系統(tǒng)加密的要求,重點是過渡到抗量子加密標準。
《備忘錄》要求各機構確保跨域解決方案(在機密和非機密系統(tǒng)之間傳輸數據的工具)。對手可以尋求利用這些工具來訪問美國機密網絡,而《備忘錄》指示采取果斷行動以應對此類威脅?!秱渫洝芬蟾鳈C構清點跨域解決方案,并指示國家安全局建立安全標準和測試要求,以更好地保護上述關鍵系統(tǒng)。
保羅·M·中曾根,是情報系統(tǒng)出身的上將?,F任美網絡司令部司令、國家安全局局長兼中央保密署署長
2021年5月7日,美國最主要的成品油管道運輸公司科洛尼爾遭到網絡犯罪團伙陰暗面發(fā)起的勒索軟件攻擊
當機構負責人認為在涉及軍事、情報或執(zhí)法的系統(tǒng)中應用《備忘錄》不可行或違反國家安全時,可以適用一些例外情況。明確用于漏洞研究且不屬于機構運營網絡的系統(tǒng)也可以豁免。另一項豁免適用于對國家歸屬模糊不清,并且由于實施這些要求而導致脫離美國控制的系統(tǒng)。
根據研判分析,美國家安全系統(tǒng)管理工作由于涉及國家安全數據處理,應采取更高級別的數據安全保護措施,通常在網絡安全總統(tǒng)指令范圍之內不會提及?!秱渫洝肥状蚊鞔_指出,網絡安全總統(tǒng)指令中規(guī)定的關于非國家安全系統(tǒng)的網絡安全要求同樣適用于國家安全系統(tǒng),這將進一步規(guī)范美國家安全系統(tǒng)網絡安全管理工作,對維護美國家安全具有重要現實意義。
美國各界對《備忘錄》反響不一,但總體持積極態(tài)度?!秱渫洝钒l(fā)布后,美國立法界、政界和業(yè)界對其反響不一,總體上持積極態(tài)度。美國家安全局局長表示,將通過國家安全系統(tǒng)密碼標準,在促進用戶間密碼協(xié)議互操作性方面發(fā)揮重要作用;美參議院情報特別委員會主席建議國會基于《備忘錄》進行專門立法,要求關鍵基礎設施所有者和運營商在72小時內報告此類網絡安全事件。
總體來看,《備忘錄》產生諸多積極意義,但也存在考慮不全面的問題。一方面,美國聯邦政府將國家安全系統(tǒng)定義為“其功能、操作或使用涉及情報活動;涉及與國家安全相關的密碼學活動;涉及軍隊的指揮和控制;涉及作為武器或武器系統(tǒng)組成部分的設備;或對直接執(zhí)行軍事或情報任務至關重要?!钡?,不能僅因某個系統(tǒng)被認定為國家安全系統(tǒng)就認為比其他非機密系統(tǒng)更安全,“軍用級”并不意味著更好或更安全。另一方面,《備忘錄》旨在幫助國家安全局在管理政府網絡機密系統(tǒng)方面發(fā)揮作用,進一步推動各機構采用零信任架構,但零信任并不能完全防范某些特殊漏洞風險,會給國家安全系統(tǒng)的網絡防護工作埋下隱患。此外,對例外情況的管理將決定《備忘錄》實施的效果,多因素身份驗證、加密等技術落地有嚴格目標設置,若一機構無法滿足時間安排要求可提出申請,而對此類例外情況的評估與驗收至關重要,若無相應監(jiān)督管理機制,《備忘錄》的規(guī)定將難以落地。