拜登簽署《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全的備忘錄》

樊 偉

2022年1月19日，美國總統(tǒng)拜登簽署《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全的備忘錄》（以下簡稱《備忘錄》），旨在改善國家安全系統(tǒng)的網(wǎng)絡(luò)安全。該《備忘錄》是落實第14028號《改善國家網(wǎng)絡(luò)安全》行政令的政策文件，提出國家安全系統(tǒng)的多項網(wǎng)絡(luò)安全新要求，旨在強化美國家安全局、國防部、情報機構(gòu)和其他聯(lián)邦機構(gòu)的網(wǎng)絡(luò)安全保護能力，推進新形勢下美國網(wǎng)絡(luò)安全防御現(xiàn)代化。

主要背景

2020年以來，美國網(wǎng)絡(luò)事件頻發(fā)。2020年12月發(fā)生的太陽風(fēng)事件中，基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商太陽風(fēng)公司的Orion軟件更新包被黑客植入后門，波及包括政府部門、關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500強企業(yè)在內(nèi)的機構(gòu)，損失難以估量。2021年5月發(fā)生的科洛尼爾輸油管攻擊事件中，黑客通過勒索軟件攻擊了美國最大的成品油管道系統(tǒng)，幾乎切斷了美國東海岸45%的燃料供給，給美國工業(yè)造成重大損失。美網(wǎng)絡(luò)空間領(lǐng)域安全事件頻發(fā)，暴露了美國網(wǎng)絡(luò)安全的短板，引起了很多部門的重視，這也加快了《備忘錄》簽署的進度。

拜登簽署《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全的備忘錄》

此外，2021年5月，拜登簽署關(guān)于加強國家網(wǎng)絡(luò)安全的行政令，要求保護聯(lián)邦政府網(wǎng)絡(luò)、改善政府與私營機構(gòu)網(wǎng)絡(luò)領(lǐng)域信息共享及增強網(wǎng)絡(luò)事件響應(yīng)能力，全面提升美國網(wǎng)絡(luò)安全防御能力，為《備忘錄》編寫制定提供了指導(dǎo)。

主要內(nèi)容

《備忘錄》從明確網(wǎng)絡(luò)安全技術(shù)落地應(yīng)用時間安排與指導(dǎo)方針、強化國家安全局對國家安全系統(tǒng)的管理與指導(dǎo)地位、確?？缬蚪鉀Q方案安全性、提升網(wǎng)絡(luò)安全風(fēng)險感知能力、構(gòu)建國家安全系統(tǒng)云技術(shù)網(wǎng)絡(luò)安全和事件響應(yīng)協(xié)作機制、引入基于特殊任務(wù)需求的例外情況等六大維度，加強網(wǎng)絡(luò)安全保障，細(xì)化美國家安全系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

《備忘錄》是基于2021年5月《聯(lián)邦政府網(wǎng)絡(luò)安全行政令》出臺的，要求聯(lián)邦政府在60天內(nèi)達(dá)到國家安全系統(tǒng)的要求?！秱渫洝分荚谑管娛聶C構(gòu)和情報界的網(wǎng)絡(luò)安全要求與民用機構(gòu)的網(wǎng)絡(luò)安全要求保持一致?！秱渫洝逢U述了網(wǎng)絡(luò)安全行政令如何適用于由政府機構(gòu)使用的國家安全系統(tǒng)，指出國家安全系統(tǒng)至少應(yīng)具有與該行政命令下的聯(lián)邦民用網(wǎng)絡(luò)相同的安全保護。

《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全的備忘錄》封面

《備忘錄》要求各機構(gòu)采取行動保護或減輕對國家安全系統(tǒng)的網(wǎng)絡(luò)威脅?！秱渫洝肥跈?quán)國家安全局，通過其作為國家安全系統(tǒng)國家管理者的角色，制定具有約束力的操作指令，從而要求各機構(gòu)針對已知或可疑的網(wǎng)絡(luò)安全威脅和漏洞采取具體行動。該指令以國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局對民用網(wǎng)絡(luò)的約束性操作指令授權(quán)為藍(lán)本，可命令各機構(gòu)對易受已知漏洞威脅或當(dāng)前受到攻擊的系統(tǒng)進行快速更新，從而減輕潛在的網(wǎng)絡(luò)威脅或漏洞。

《備忘錄》還指示國家安全局和國土安全部共享指令并相互學(xué)習(xí)，以確定一個機構(gòu)指令中的任何要求是否能夠被另一個機構(gòu)采用。在60天內(nèi)，美國土安全部和國家安全局必須在制定和頒布此類指令時，制定涵蓋信息共享和保護機密信息和情報來源的程序。

《備忘錄》要求提高國家安全系統(tǒng)網(wǎng)絡(luò)安全事件的可見性，要求各機構(gòu)識別其國家安全系統(tǒng)并將其上發(fā)生的網(wǎng)絡(luò)事件報告給國家安全局，這將提高政府識別、感知能力，并減輕所有國家安全系統(tǒng)網(wǎng)絡(luò)風(fēng)險?！秱渫洝贩Q，美國防部和情報機構(gòu)的首席信息官還必須保留系統(tǒng)異常的內(nèi)部記錄，該記錄需足夠詳細(xì)，以有效識別網(wǎng)絡(luò)安全問題?！秱渫洝愤€要求國防部和情報機構(gòu)的首席信息官保留一份國家安全系統(tǒng)的信息系統(tǒng)清單。

《備忘錄》賦予國家安全局制定秘密和絕密云系統(tǒng)網(wǎng)絡(luò)安全和事件響應(yīng)框架的任務(wù)，以促進聯(lián)邦機構(gòu)、商業(yè)云供應(yīng)商和國家安全局之間的信息共享?！秱渫洝芬竺绹野踩帧⒅醒肭閳缶?、聯(lián)邦調(diào)查局、國防部分支機構(gòu)和情報界開發(fā)一個框架，以更好地協(xié)調(diào)國家安全云技術(shù)的網(wǎng)絡(luò)安全和事件響應(yīng)工作。

國家安全局是美國政府機密系統(tǒng)的國家管理者?！秱渫洝贩Q，文件簽署后90天內(nèi)，國家管理者應(yīng)與國家情報總監(jiān)、中央情報局局長、聯(lián)邦調(diào)查局局長以及國防部相關(guān)部門的負(fù)責(zé)人，開發(fā)一個框架來協(xié)調(diào)與國家安全系統(tǒng)商業(yè)云技術(shù)相關(guān)的網(wǎng)絡(luò)安全和事件響應(yīng)行動，以確保各機構(gòu)、國家管理者和云服務(wù)提供商之間的有效信息共享?！秱渫洝愤€呼吁國土安全部與國家安全局協(xié)調(diào)對國家安全系統(tǒng)和聯(lián)邦民事行政部門系統(tǒng)產(chǎn)生影響的云網(wǎng)絡(luò)安全事件。

《備忘錄》概述了2021年5月《網(wǎng)絡(luò)安全行政令》如何適用于機密系統(tǒng)和非機密系統(tǒng)之間移動數(shù)據(jù)交換，并列出了更新零信任、多因素身份驗證和云安全的政策和計劃時間安排?！秱渫洝愤€要求，文件發(fā)布后60天內(nèi)，運營國家安全系統(tǒng)的機構(gòu)必須更新計劃，優(yōu)先考慮資源并采用和使用云計算以實施零信任架構(gòu)；文件發(fā)布后90天內(nèi)，國家安全系統(tǒng)委員應(yīng)制定和發(fā)布與國家安全系統(tǒng)云遷移和運營相關(guān)的最低安全標(biāo)準(zhǔn)和控制指南；文件發(fā)布后180天內(nèi)，各機構(gòu)需要對國家安全系統(tǒng)中存儲或移動的數(shù)據(jù)實施多因素身份驗證和加密?！秱渫洝愤€規(guī)定了機密系統(tǒng)加密的要求，重點是過渡到抗量子加密標(biāo)準(zhǔn)。

《備忘錄》要求各機構(gòu)確?？缬蚪鉀Q方案（在機密和非機密系統(tǒng)之間傳輸數(shù)據(jù)的工具）。對手可以尋求利用這些工具來訪問美國機密網(wǎng)絡(luò)，而《備忘錄》指示采取果斷行動以應(yīng)對此類威脅?！秱渫洝芬蟾鳈C構(gòu)清點跨域解決方案，并指示國家安全局建立安全標(biāo)準(zhǔn)和測試要求，以更好地保護上述關(guān)鍵系統(tǒng)。

保羅·M·中曾根，是情報系統(tǒng)出身的上將。現(xiàn)任美網(wǎng)絡(luò)司令部司令、國家安全局局長兼中央保密署署長

2021年5月7日，美國最主要的成品油管道運輸公司科洛尼爾遭到網(wǎng)絡(luò)犯罪團伙陰暗面發(fā)起的勒索軟件攻擊

當(dāng)機構(gòu)負(fù)責(zé)人認(rèn)為在涉及軍事、情報或執(zhí)法的系統(tǒng)中應(yīng)用《備忘錄》不可行或違反國家安全時，可以適用一些例外情況。明確用于漏洞研究且不屬于機構(gòu)運營網(wǎng)絡(luò)的系統(tǒng)也可以豁免。另一項豁免適用于對國家歸屬模糊不清，并且由于實施這些要求而導(dǎo)致脫離美國控制的系統(tǒng)。

研判分析

根據(jù)研判分析，美國家安全系統(tǒng)管理工作由于涉及國家安全數(shù)據(jù)處理，應(yīng)采取更高級別的數(shù)據(jù)安全保護措施，通常在網(wǎng)絡(luò)安全總統(tǒng)指令范圍之內(nèi)不會提及?！秱渫洝肥状蚊鞔_指出，網(wǎng)絡(luò)安全總統(tǒng)指令中規(guī)定的關(guān)于非國家安全系統(tǒng)的網(wǎng)絡(luò)安全要求同樣適用于國家安全系統(tǒng)，這將進一步規(guī)范美國家安全系統(tǒng)網(wǎng)絡(luò)安全管理工作，對維護美國家安全具有重要現(xiàn)實意義。

美國各界對《備忘錄》反響不一，但總體持積極態(tài)度。《備忘錄》發(fā)布后，美國立法界、政界和業(yè)界對其反響不一，總體上持積極態(tài)度。美國家安全局局長表示，將通過國家安全系統(tǒng)密碼標(biāo)準(zhǔn)，在促進用戶間密碼協(xié)議互操作性方面發(fā)揮重要作用；美參議院情報特別委員會主席建議國會基于《備忘錄》進行專門立法，要求關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商在72小時內(nèi)報告此類網(wǎng)絡(luò)安全事件。

總體來看，《備忘錄》產(chǎn)生諸多積極意義，但也存在考慮不全面的問題。一方面，美國聯(lián)邦政府將國家安全系統(tǒng)定義為“其功能、操作或使用涉及情報活動；涉及與國家安全相關(guān)的密碼學(xué)活動；涉及軍隊的指揮和控制；涉及作為武器或武器系統(tǒng)組成部分的設(shè)備；或?qū)χ苯訄?zhí)行軍事或情報任務(wù)至關(guān)重要?！钡牵荒軆H因某個系統(tǒng)被認(rèn)定為國家安全系統(tǒng)就認(rèn)為比其他非機密系統(tǒng)更安全，“軍用級”并不意味著更好或更安全。另一方面，《備忘錄》旨在幫助國家安全局在管理政府網(wǎng)絡(luò)機密系統(tǒng)方面發(fā)揮作用，進一步推動各機構(gòu)采用零信任架構(gòu)，但零信任并不能完全防范某些特殊漏洞風(fēng)險，會給國家安全系統(tǒng)的網(wǎng)絡(luò)防護工作埋下隱患。此外，對例外情況的管理將決定《備忘錄》實施的效果，多因素身份驗證、加密等技術(shù)落地有嚴(yán)格目標(biāo)設(shè)置，若一機構(gòu)無法滿足時間安排要求可提出申請，而對此類例外情況的評估與驗收至關(guān)重要，若無相應(yīng)監(jiān)督管理機制，《備忘錄》的規(guī)定將難以落地。