最新發布｜拜登政府《關于加強和促進國家網絡安全創新的行政命令》劍指中國和俄羅斯（全文翻譯）

1月16日，拜登政府簽署了《關于加強和促進國家網絡安全的行政命令》，旨在應對日益嚴峻的網絡威脅，尤其是中俄等國對美國政府和關鍵基礎設施的持續網絡攻擊。該命令是對2021年5月發布的首份網絡安全行政令的延續，繼續深化了推進零信任安全架構遷移、加強軟件供應鏈安全、建立漏洞披露政策等措施。

該命令強調了加強國家網絡安全的重要性，通過加強監管、技術創新和國際合作方式，提出了旨在加強軟件供應鏈安全、聯邦信息系統安全、聯邦通信安全等目標及相關措施，并推動后量子密碼過渡、利用人工智能提升網絡防御能力、改善云服務安全，為下一屆政府的網絡安全工作提供了框架。

目錄

1　政策

2　提高第三方軟件供應鏈的透明度和安全性

3　改善聯邦系統的網絡安全地，獲得更獨特的體驗

4　加強聯邦通信安全

5　解決網絡犯罪和欺詐問題

6　利用和促進人工智能安全

7　將政策與做法相結合

8　國家安全系統和致癱影響系統

9　打擊重大惡意網絡活動的其他措施

10　定義

11　通用條款

第1條　政策

敵對國家和犯罪分子繼續對美國及美國人民發動網絡攻擊，其中中華人民共和國對美國政府、私營部門和關鍵基礎設施網絡構成了最活躍、最持久的網絡威脅。這些攻擊妨礙了美國的關鍵服務，造成數十億美元的損失，并損害了美國人的安全和隱私。為應對這些威脅，必須采取更多措施來改善美國的網絡安全。

基于2021年5月12日發布的第14028號行政命令（關于改善國家網絡安全的行政命令）以及《國家網絡安全戰略》詳述的舉措，美國將采取更多行動來改善其網絡安全，其中的重點是保護數字基礎設施，保護對數字領域至關重要的服務和能力，提升應對關鍵威脅（包括來自中華人民共和國的威脅）的能力，加強對軟件提供商和云服務提供商的問責，強化聯邦層面的通信系統和身份管理系統的安全性，并推動各行政部門和機構（以下簡稱“各機構”）以及私營部門在網絡安全方面開展創新和使用新興技術。

第2條　提高第三方軟件供應鏈的透明度和安全性

（a）聯邦政府和我國的關鍵基礎設施依賴于軟件提供商。然而，不安全的軟件仍然是提供商和用戶面臨的一大挑戰，并使聯邦政府和關鍵基礎設施系統容易受到惡意網絡事件的影響。聯邦政府必須繼續采用安全的軟件采購做法，并采取措施確保軟件提供商使用安全的軟件開發做法，以減少／減輕其所生產軟件中的漏洞的數量和嚴重程度。

（b）2021年的第14028號行政命令指示采取行動，以提高聯邦政府工作所需軟件的安全性和完整性。該命令指示制定關于安全軟件開發做法的指南，以及生成和提供以人工或自動化方式生成的工件（即計算機記錄或數據）來證明符合采取了這些做法。此外，第14028號命令還指示管理與預算局（OMB）局長要求各機構僅使用那些“被證明使用了安全軟件開發做法”的提供商的軟件。在某些情況下，向聯邦政府提供軟件的提供商雖承諾遵循網絡安全做法，但并未修復其軟件中可被利用的已知漏洞，而這將使政府面臨被入侵的風險。聯邦政府需要采用更嚴格的第三方風險管理做法，并確保支持政府關鍵服務的軟件提供商遵循其所聲明的做法。

（i）在本命令發布之日起的30天內，OMB局長應分別通過商務部（由商務部長指示國家標準與技術研究院（NIST）院長開展相關工作）和國土安全部（DHS）（由國土安全部部長指示網絡安全與基礎設施安全局（CISA）局長開展相關工作），與商務部長和國土安全部長進行協商，從而向聯邦采購監管委員會（以下簡稱“FAR委員會”）建議如何制定合同，而此類合同應要求軟件提供商通過CISA的“軟件證明與工件庫”（RSAA），將以下材料提交給CISA：

1. 機器可讀的安全軟件開發證明文件。
2. 驗證這些證明文件的高級工件。
3. 提供商的聯邦民事行政部門（FCEB）機構軟件客戶列表。

（ii）在收到本條第（b）款第（i）項所述建議之日起的120天內，FAR委員會應審查這些建議，且國防部長、總務管理局（GSA）局長和國家航空航天局（NASA）局長（FAR委員會的機構成員）應聯合采取措施修改《聯邦采購條例》（FAR）以實施這些建議。FAR委員會的機構成員被強烈鼓勵酌情根據適用法律考慮發布臨時最終規則。

（iii）在本條第（b）款第（i）項所述建議發布之日起的60天內，國土安全部長應指示CISA局長評估“生成、接收和驗證機器可讀的安全軟件開發證明和工件”的新興方法，并酌情為軟件提供商提供關于“向CISA的RSAA網站提交這些證明和工件”的指導，包括關于通用數據架構和格式的指導。

（iv）在對本條第（b）款第（ii）項所述的聯邦采購監管（FAR）事宜進行任何修改之日起的30天內，國土安全部長應指示CISA局長制定一項程序，以集中驗證所有證明形式的完整性。CISA應使用RSAA中的高級工件來持續驗證取自完整證明文件的樣本。

（v）如果CISA發現證明文件不完整，或工件不足以驗證證明文件，CISA局長則應將此事通知軟件提供商和簽約機構。CISA局長應制定相關流程，以便軟件提供商對CISA的初步決定作出回應，以及讓CISA適當考慮此類回應。

（vi）對于經過驗證的證明文件，CISA局長應通知國家網絡總監，后者應公開發布結果，標明軟件提供商和軟件版本。本命令鼓勵國家網絡總監將驗證失敗的證明文件轉交司法部長，由后者采取適當行動。

（c）僅靠安全軟件開發做法，還不足以應對“有資源和決心的國家行為體”帶來的網絡事件風險。為了減輕此類事件的風險，軟件提供商還必須確保軟件交付過程及軟件本身的安全性。聯邦政府必須確定一套協調一致、實用且有效的安全做法，并要求在采購軟件時遵循此類做法。

（i）在本命令發布之日起的60天內，商務部長應指示NIST院長與參與國家網絡安全卓越中心的企業建立聯盟，并酌情根據該聯盟提供的信息制定指導文件，而該指導文件應證明落實了基于NIST特別出版物800-218（NIST SP 800-218）《安全軟件開發框架（SSDF）》的安全軟件開發做法、安全措施和操作做法。

（ii）在本命令發布之日起的90天內，商務部長應指示NIST院長更新NIST特別出版物800-53（NIST SP 800-53）《信息系統和組織的安全與隱私控制》，以提供關于如何安全可靠地部署補丁和更新內容的指導。

（iii）在本命令發布之日起的180天內，商務部長應指示NIST院長在于與其認為適當的機構負責人協商后，開發和公布SSDF的初步更新版本。此更新版應包括關于安全可靠地開發和交付軟件以及確保軟件自身安全的做法、程序、控制措施和實施示例。自公布初步更新版之日起的120天內，商務部長應指示NIST院長公布SSDF的最終版本。

（iv）在本條第（c）款第（iii）項所述的SSDF最終版更新之日起的120天內，OMB局長應將NIST更新后的SSDF中所包含的安全軟件開發和交付做法，納入OMB備忘錄M-22-18《通過安全軟件開發做法增強軟件供應鏈的安全性》或相關要求中。

（v）在發布本條第（c）款第（iv）項所述的OMB更新文件之日起的30天內，CISA局長應準備對CISA的安全軟件開發證明文件的通用表格進行修訂，使之符合OMB的要求，并啟動按《文書減少法》（《美國法典》第44編第3501節（44 U.S.C. 3501）及后續條款）規定批準修訂版表格所需的任何程序。

（d）隨著各機構改進其網絡防御，對手已瞄準機構供應鏈中的薄弱環節以及聯邦政府所依賴的產品和服務。各機構需要將網絡安全供應鏈風險管理計劃納入全機構的風險管理活動中。在本命令發布之日起的90天內，OMB局長應與商務部長（通過NIST院長行事）、總務管理局局長和聯邦采購安全委員會（FASC）進行協調，以采取措施要求（OMB局長認為適當的）各機構遵守NIST特別出版物800-161（NIST SP 800-161修訂版1）《系統和組織網絡安全供應鏈風險管理做法》中的指導。OMB應要求各機構在完成實施后，每年向OMB提供相關最新情況。根據SP 800-161修訂版1， OMB的要求中應包括通過采購規劃、來源選擇、責任確定、安全合規評估、合同管理和績效評估等環節，將網絡安全融入采購壽命周期中。

（e）開源軟件在聯邦信息系統中發揮著關鍵作用。為幫助聯邦政府繼續獲得開源軟件的創新效益和成本效益，并為開源軟件生態系統的網絡安全做出貢獻，各機構必須更好地管理其開源軟件使用方式。在本命令發布之日起的120天內，國土安全部長應指示CISA局長與OMB局長、總務管理局局長和其他適當機構負責人進行協商，共同向各機構提議關于“如何使用安全評估、修補開源軟件以及為開源軟件項目做出貢獻”的最佳做法。

第3條　改善聯邦系統的網絡安全

（a）聯邦政府必須采用經過驗證的企業界安全做法（包括身份和訪問管理），以提高網絡威脅的可視性和加強云安全。

（b）為優先投資新的防釣魚身份驗證方案所需的創新性身份技術和流程，各FCEB應以OMB和CISA自第14028號行政命令發布以來所制定的文件和確立的機制為基礎，通過試點部署或更大規模的部署（視情況而定）踐行商業防釣魚標準（如WebAuthn）。這些試點部署應用于指導未來聯邦層面的身份、憑證和訪問管理策略的發展方向。

（c）聯邦政府必須保持“能迅速有效地識別整個聯邦機構范圍內的各種威脅”的能力。在第14028號行政命令中，指示國防部長和國土安全部長制定程序，立即共享威脅信息，以加強國防部和民用網絡的集體防御。為識別威脅活動，必須增強CISA根據《美國法典》第44編第3553節第（b）條第（7）款在各FCEB內搜尋和識別威脅的能力。

（i）國土安全部部長應指示CISA局長與聯邦首席信息官（CIO）委員會和聯邦首席信息安全官（CISO）委員會進行協調，以開發技術能力來及時獲取來自各FCEB機構的端點檢測與響應（EDR）解決方案以及來自各FCEB安全運營中心的所需數據，從而實現以下目標：

1. 及時搜尋和識別整個聯邦文職機構中的新型網絡威脅和漏洞。
2. 識別同時針對多個機構并在聯邦機構中橫向移動的協調性網絡攻擊活動。
3. 協調政府范圍內的信息安全政策和做法，包括匯編和分析關于威脅到信息安全的各事件的信息。

（ii）在本命令發布之日起的180天內，國土安全部長應指示CISA局長與聯邦CIO和CISO委員會進行協調，以制定和發布一種行動概念，從而使CISA能夠獲得“實現本條第（c）款第（i）項所述目標”所需的數據。OMB局長應監督該行動概念的制定工作，期間應考慮各機構的觀點和本條所述目標，并應批準最終的行動概念。該行動概念應包括：

1. 要求各FCEB向CISA提供足夠完整且符合時間要求的數據，以使CISA能夠實現本條第（c）款第（i）項所述目標。
2. 要求CISA在直接從各機構的EDR解決方案獲取所需遙測數據時，提前通知各FCEB。
3. 各機構可根據本條第（c）款第（ii）項第（A）目中的要求提供遙測數據，而不是讓CISA直接訪問其EDR解決方案的具體用例。
4. 用于管理“CISA如何訪問各機構EDR解決方案的高級技術和政策控制措施”的相關要求，這些要求應符合被廣泛接受的網絡安全原則，包括基于角色的訪問控制、“最小權限”和職責分離等原則。
5. 對“為保護數據的機密性或完整性，而受法定限制、監管限制或司法限制的高度敏感的機構數據”的專項保護措施。
6. 行動概念的附錄，該附錄應明確按本條第（c）款第（ii）項第（C）目之規定，適用于司法部的某些具體用例類型（包括本條第（c）款第（vi）項和第（c）款第（vii）項中描述的某些信息類別），此外該附錄還應要求在在司法部或其下屬機構的網絡上實施行動概念之前，司法部應先同意該附錄中的條款。

（iii）在開展本條第（c）款所述活動時，除非有關機構獲得其它授權，否則國土安全部長應指示CISA局長，僅當CISA要求進行威脅搜尋，或CISA根據《美國法典》第44編第3553節第（b）條第（7）款（44 U.S.C. 3553（b）（7））的授權開展威脅搜尋時，方可對該機構的網絡、系統或數據進行更改。

（iv）在發布本條第（c）款第（ii）項所述技術控制措施之日起的30天內，國土安全部長應指示CISA局長，應建立面向所有機構的工作組，以制定和發布實現本條第（c）款第（ii）項所述目標的具體技術控制措施，并與EDR解決方案提供商合作，在各FCEB的EDR解決方案中部署這些控制措施。國土安全部長應指示CISA局長，對于CISA授權在“持續診斷和緩解項目”中使用的每項EDR解決方案，CISA都至少應建立一個對應的工作組，且所有這些工作組都應允許所有機構參與，并至少包含一名使用指定EDR解決方案的FCEB派出的代表。

（v）在發布本條第（c）款第（iv）項所述技術控制措施之日起的180天內，凡是使用了“這些控制措施所涵蓋的EDR解決方案”的端點，各FCEB負責人都應將其納入CISA的“持續訪問能力”項目。

（vi）在本命令發布之日起的90天內，并在此后根據需要定期，各FCEB負責人應向CISA提供“需要額外控制措施或要求在特定時期不得中斷”的系統、端點和數據集清單及相關解釋文檔，并在此后根據需要定期提供此類清單和解釋文檔，以確保CISA的威脅搜尋活動不會破壞對任務至關重要的行動。

（vii）當有關機構數據受到法定、監管或司法訪問限制時，CISA局長應按該機構所要求的程序和流程來訪問此類數據，或與該機構合作制定不違反任何此類限制的適當行政安排，以確保數據不會受到未經授權的訪問或使用。

（viii）本命令中的任何內容，均不應理解為要求各機構提供受法院命令保護不得披露的信息，或提供根據司法程序要求保密的信息。

（d）聯邦信息系統的安全依賴于政府云服務的安全。在本命令發布之日起的90天內，總務管理局局長、商務部長和國土安全部長應分別指示“聯邦風險和授權管理項目”（FedRAMP）主管、NIST院長和CISA局長進行協調，制定與FedRAMP有關的政策和做法，以激勵或要求FedRAMP市場中的云服務提供商根據各機構的要求，為這些機構的云基系統配置基線提供相關規范和建議，以確保聯邦數據的安全。

（e）隨著對太空系統網絡安全威脅的增加，這些系統及其支持的數字基礎設施在設計上必須能夠適應不斷變化的網絡安全威脅，并能在對抗性環境中運行。鑒于太空系統在全球關鍵基礎設施和通信彈性中的核心作用，以及為了進一步保護對國家安全（包括經濟安全）至關重要的太空系統及其支持的數字基礎設施，各機構應采取措施不斷驗證聯邦太空系統是否具備必要的網絡安全能力，包括通過持續評估、測試、演練以及建模和模擬等方式。

（i）在本命令發布之日起的180天內，內政部長（通過美國地質調查局局長行事）、商務部長（通過商務部海洋與大氣管理局副局長和國家海洋與大氣管理局局長行事）以及國家航空航天局局長應各自審查FAR中的民用空間合同要求，并向FAR委員會和其他適當機構建議更新民用空間網絡安全要求和相關合同條款。建議的網絡安全要求和合同條款應采用基于風險的分層方法，適用于所有新的民用太空系統。這些要求應至少適用于民用太空系統的在軌段和鏈路段。對于風險最高的層級（以及其他層級，視情況而定），這些要求應涵蓋以下要素：

1. 通過以下方式保護民用太空系統的指揮和控制（包括備份或故障轉移系統）：（１）加密命令以保護通信的機密性；（２）確保命令在傳輸過程中未被修改；（３）確保經授權方為命令的來源；（４） 拒絕未經授權的指揮和控制嘗試；
2. 建立檢測、報告和從異常網絡或系統活動中恢復的方法；
3. 使用符合NIST SSDF或任何后續文件的安全軟件和硬件開發做法。

（ii）在收到本條（e）（i）小節所述建議的合同條款之日起的180天內，FAR委員會應審查該提案，并酌情根據適用法律，FAR委員會的機構成員應聯合采取措施修改FAR。

（iii）在本命令發布之日起的120天內，國家網絡總監應向OMB提交一份關于各FCEB擁有、管理或運營的空間地面系統的研究報告。該研究報告應包括：

1. 空間地面系統清單。
2. 每個空間地面系統是否根據44 U.S.C. 3505（c）（“主要信息系統清單”）被歸類為主要信息系統。
3. 改善此類空間地面系統的網絡防御和監督的建議。

（iv）在提交本條（e）（iii）小節所述研究報告之日起的90天內，OMB局長應采取適當步驟，確保各FCEB擁有、管理或運營的空間地面系統符合OMB發布的相關網絡安全要求。

第4條　加強聯邦通信安全

（a）為提高聯邦政府通信對抗敵對國家和罪犯的安全性，聯邦政府必須在切實可行的范圍內，并符合任務需求，使用現代、標準化和市售的算法和協議實施強大的身份認證和加密。

（b）互聯網流量的安全性取決于數據被正確路由并傳遞到預期接收方網絡。利用邊界網關協議（BGP）在互聯網上起源和傳播的路由信息容易受到攻擊和配置錯誤的影響。

（i）在本命令發布之日起的90天內，聯邦民事行政部門（FCEB）機構應采取措施，確保其分配的所有互聯網編號資源（互聯網協議（IP）地址塊和自治系統編號）均通過與美國互聯網編號注冊局或其他適當的區域互聯網注冊局簽訂的注冊服務協議得到保護。此后，各FCEB應每年在其區域互聯網注冊局賬戶中審查和更新與分配的編號資源相關的組織標識符，如組織名稱、聯系人姓名和關聯的電子郵件地址。

（ii）在本命令發布之日起的120天內，所有持有IP地址塊的各FCEB應在其持有的IP地址塊對應的公共資源公鑰基礎設施（PKI）存儲庫中創建并發布路由源授權（ROA）。該存儲庫由美國互聯網編號注冊局或相應的區域互聯網注冊局托管或委托。

（iii）在本命令發布之日起的120天內，國家網絡總監應與其他機構負責人協調（如適用），向聯邦采購條例（FAR）委員會建議合同語言，要求向機構提供互聯網服務的承包商采用并部署互聯網路由安全技術，包括發布路由源授權和執行路由源驗證過濾。建議的語言應包括關于機構合同中涉及海外運營和海外本地服務提供商的要求或例外情況（如適用）。在收到這些建議后的270天內，FAR委員會應審查建議的合同語言，并且FAR委員會的成員機構應共同采取措施（如適用并符合適用法律）來修訂FAR。在FAR進行任何此類修訂之前，鼓勵各機構在符合適用法律的前提下，在未來的合同中納入此類要求。

（iv）在本命令發布之日起的180天內，商務部長應通過國家標準與技術研究院（NIST）局長向機構發布關于在聯邦政府網絡和服務提供商中部署當前可操作的BGP安全方法的最新指南。商務部長還應通過NIST局長提供關于提高互聯網路由安全性和彈性的其他新興技術的最新指南，如路由泄露緩解和源地址驗證。

（c）加密域名系統（DNS）傳輸中的流量是保護傳輸到DNS解析器的信息的機密性和與DNS解析器的通信完整性的關鍵步驟。

（i）在本命令發布之日起的90天內，國土安全部長應通過網絡安全與基礎設施安全局（CISA）局長發布模板合同語言，要求任何作為聯邦政府的DNS解析器（無論是客戶端還是服務器）的產品支持加密DNS，并向FAR委員會推薦該語言。在收到推薦語言后的120天內，FAR委員會應審查該語言，并且FAR委員會的成員機構應共同采取措施（如適用并符合適用法律）來修訂FAR。

（ii）在本命令發布之日起的180天內，各FCEB應在其現有客戶端和服務器支持加密DNS協議的地方啟用這些協議。在任何額外的客戶端和服務器支持這些協議后的180天內，各FCEB也應啟用這些協議。

（d）聯邦政府必須加密傳輸中的電子郵件消息，并在可行的情況下使用端到端加密，以保護郵件免受損害。

（i）在本命令發布之日起的120天內，每個各FCEB應技術性地強制執行其電子郵件客戶端與關聯電子郵件服務器之間所有連接的加密和認證傳輸。

（ii）在本命令發布之日起的180天內，管理與預算局（OMB）主任應建立一項要求，擴大各FCEB使用的電子郵件服務器之間認證傳輸層加密的使用范圍，用于發送和接收電子郵件。

（iii）在建立第（d）（ii）小節所述要求之日起的90天內，國土安全部長應通過CISA局長采取適當步驟，協助機構滿足該要求，包括發布實施指令以及技術指南，以解決任何已確定的能力差距。

（e）現代通信方式，如語音和視頻會議以及即時消息傳遞，通常在鏈路級別加密，但往往沒有端到端加密。在本命令發布之日起的180天內，為提高基于互聯網的語音和視頻會議以及即時消息傳遞的安全性，OMB局長應與國土安全部長（通過CISA局長）、國防部長（通過國家安全局（NSA）局長）、商務部長（通過NIST局長）、美國國家檔案與文件管理局局長（通過美國聯邦政府首席記錄官）以及總務管理局局長協調，采取適當步驟，要求機構：

（i）默認啟用傳輸加密。

（ii）在技術上支持的情況下，默認使用端到端加密，同時保持日志記錄和存檔能力，以便機構能夠滿足記錄管理和問責要求。

（f）量子計算機在帶來益處的同時，也對美國國家安全（包括經濟安全）構成了重大風險。最顯著的是，足夠大和復雜的量子計算機——也稱為密碼分析相關量子計算機（CRQC）——將能夠破解美國及世界各地數字系統中使用的許多公鑰加密算法。在2022年5月4日的國家安全備忘錄10《促進美國在量子計算方面的領導地位，同時減輕對易受攻擊的加密系統的風險》中，我指示聯邦政府為過渡到不受CRQC影響的加密算法做好準備。

（i）在本命令發布之日起的180天內，國土安全部長應通過CISA局長發布并定期更新一份產品類別列表，其中廣泛提供支持后量子密碼學（PQC）的產品。

（ii）在某一產品類別被列入第（f）（i）小節所述列表之日起的90天內，機構應采取措施，在該類別產品的任何招標中納入一項要求，即產品應支持PQC。

（iii）機構應盡快在其網絡架構中已部署的網絡安全產品和服務支持下，實施PQC密鑰建立或混合密鑰建立（包括PQC算法）。

（iv）在本命令發布之日起的90天內，國務卿和商務部長應通過NIST局長和國際貿易副國務卿，確定并與關鍵我國的外國政府和行業組織接觸，鼓勵它們過渡到由NIST標準化的PQC算法。

（v）在本命令發布之日起的180天內，為準備過渡到PQC，國防部長就國家安全系統（NSS）而言，以及OMB局長就非NSS而言，應各自發布要求，規定機構應盡快但在不遲于2030年1月2日的情況下，支持傳輸層安全協議版本1.3或其后續版本。

（g）聯邦政府應利用商業安全技術和架構，如硬件安全模塊、可信執行環境和其他隔離技術，以保護和審計對具有擴展生命周期的加密密鑰的訪問。

（i）在本命令發布之日起的270天內，商務部長應通過NIST局長，并與國土安全部長（通過CISA局長）和總務管理局局長協商，制定關于云服務提供商使用的訪問令牌和加密密鑰的安全管理指南。

（ii）在發布第（g）（i）小節所述指南之日起的60天內，總務管理局局長應通過聯邦風險和授權管理計劃（FedRAMP）主任，并與商務部長（通過NIST局長）和國土安全部長（通過CISA局長）協商，制定更新后的FedRAMP要求，酌情納入第（g）（i）小節所述指南，并與OMB局長發布的關于加密密鑰管理安全做法的指導保持一致。

（iii）在發布第（g）（i）小節所述指南之日起的60天內，OMB局長應與商務部長（通過NIST局長）、國土安全部長（通過CISA局長）和總務管理局局長協商，采取適當步驟，要求各FCEB遵循云服務提供商在向機構提供服務時使用的硬件安全模塊、可信執行環境或其他隔離技術的最佳做法，以保護和管理訪問令牌和加密密鑰。

第5條　解決網絡犯罪和欺詐問題

（a）犯罪集團利用被盜和合成身份系統性地欺詐公共福利項目，給納稅人造成損失，并浪費聯邦政府資金。為解決這些犯罪問題，行政部門的政策是強烈鼓勵接受數字身份文件以訪問需要身份驗證的公共福利項目，只要這樣做能夠以不妨礙弱勢群體廣泛參與項目的方式保護隱私、最小化數據并促進互操作性。

（i）在本命令發布之日起的90天內，具有撥款權的機構被鼓勵與OMB和國家安全委員會工作人員協調，考慮是否可利用聯邦撥款資金協助各州開發和發行符合本節所述政策和原則的移動駕駛證。

（ii）在本命令發布之日起的270天內，商務部長應通過NIST局長，與相關機構和其他利益相關者通過國家網絡安全卓越中心合作，發布實用的實施指南，以支持使用數字身份文件進行遠程數字身份驗證，這將有助于數字身份文件的發行者和驗證者推進本節所述的政策和原則。

（iii）機構應考慮接受數字身份文件作為訪問公共福利項目的數字身份驗證證據，但前提是使用這些文件應符合本節所述的政策和原則。

（iv）機構應根據適用法律，確保接受作為訪問公共福利項目的數字身份驗證證據的數字身份文件：

1. 與相關標準和信任框架互操作，以便公眾可以使用任何符合標準的硬件或軟件，其中包含官方政府頒發的數字身份文件，無論制造商或開發人員如何。
2. 不允許發行數字身份文件的機構、設備制造商或任何其他第三方監視或跟蹤數字身份文件的展示，包括用戶設備在展示時的位置。
3. 支持用戶隱私和數據最小化，確保僅請求數字身份文件持有人進行交易所需的最少信息——通常是針對某個問題（例如，某人是否超過特定年齡）的“是”或“否”的回答。

（b）使用“是/否”驗證服務（也稱為屬性驗證服務）可以提供更多保護隱私的手段來減少身份欺詐。這些服務允許程序通過隱私保護的“是”或“否”回答，確認申請人提供的身份信息是否與官方記錄中的信息一致，而無需共享這些官方記錄的內容。為支持使用此類服務，社會保障專員以及OMB局長指定的任何其他機構負責人應酌情并根據適用法律，考慮采取措施開發或修改與政府運營的身份驗證系統和公共福利項目相關的服務（包括酌情通過啟動擬議的法規制定或發布新的或大幅修改后的常規使用記錄通知），以便這些系統和程序將申請人提供的身份信息提交給提供服務的機構，并收到關于申請人提供的身份信息是否與提供服務的機構存檔的信息一致的“是”或“否”的回答。在這樣做時，這些機構的負責人應特別考慮在確保符合適用法律的前提下，做到以下幾點：

（i）提交給服務的任何申請人提供的身份信息以及服務提供的任何“是”或“否”回答僅用于協助身份驗證、項目管理、反欺詐操作或與提交身份信息以申請公共福利項目的反欺詐調查和起訴。

（ii）在最大可行和適當的范圍內，向公共福利項目；政府運營的身份驗證系統（包括共享服務提供商）；支付誠信項目；以及受美國監管的金融機構提供這些服務。

（iii）使用這些服務的機構、公共福利項目或機構提供報銷，以適當覆蓋成本并支持服務的持續維護、改進和廣泛獲取。

（c）財政部長應與總務管理局局長協商，研究、開發和實施一項試點計劃，該計劃采用一種技術，該技術可在個人和實體的身份信息被用于申請公共福利項目的付款時通知他們，給予個人和實體在潛在欺詐交易發生前阻止交易的選擇，并向執法實體報告欺詐交易。

第6條　利用和促進人工智能安全

人工智能（AI）有可能通過快速識別新漏洞、擴大威脅檢測技術的規模以及自動化網絡防御來變革網絡防御。聯邦政府必須加速AI的開發和部署，探索利用AI提高關鍵基礎設施網絡安全的方法，并加速AI與網絡安全交叉領域的研究。

（a）在國防部高級研究計劃局（DARPA）2025年人工智能網絡挑戰賽完成后180天內，能源部長應與國防部長（通過DARPA局長）和國土安全部長協調，啟動一項試點計劃，與私營部門關鍵基礎設施實體（如適用并符合適用法律）合作，利用AI增強能源部門關鍵基礎設施的網絡防御，并在試點計劃完成后進行評估。該試點計劃及其評估可能包括漏洞檢測、自動補丁管理以及識別和分類信息技術（IT）或運營技術系統中的異常和惡意活動。

（b）在本命令發布之日起的270天內，國防部長應建立一個利用高級AI模型進行網絡防御的計劃。

（c）在本命令發布之日起的150天內，商務部長（通過NIST局長）、能源部長、國土安全部長（通過科學與技術副國務卿）以及國家科學基金會（NSF）主任應各自優先為其鼓勵開發大規模標記數據集的計劃提供資金，這些數據集對于網絡防御研究取得進展至關重要，并確保網絡防御研究現有的數據集在最大可行范圍內（考慮到商業秘密和國家安全）對更廣泛的學術研究界（無論是以安全方式還是公開方式）開放。

（d）在本命令發布之日起的150天內，商務部長（通過NIST局長）、能源部長、國土安全部長（通過科學與技術副國務卿）以及NSF主任應優先研究以下主題：

（i）人機交互方法，以協助防御性網絡分析。

（ii）AI編碼輔助的安全性，包括AI生成代碼的安全性。

（iii）設計安全AI系統的方法。

（iv）涉及AI系統的網絡事件的預防、響應、補救和恢復方法。

（e）在本命令發布之日起的150天內，國防部長、國土安全部長和國家情報總監應與OMB局長協調，將AI軟件漏洞和妥協的管理納入其各自機構現有的漏洞管理流程和機構間協調機制，包括通過事件跟蹤、響應和報告，以及共享AI系統的妥協指標。

第7條　將政策與做法相結合

（a）支持機構關鍵任務的IT基礎設施和網絡需要現代化。機構的政策必須將投資和優先事項與提高網絡可見性和安全控制結合起來，以降低網絡風險。

（i）在本命令發布之日起的3年內，OMB局長應發布指南（包括對OMB通告A-130的任何必要修訂），以解決關鍵風險，并使聯邦信息系統和網絡適應現代做法和架構。該指南應至少包括：

1. 概述機構網絡安全信息共享和交換、企業可見性以及機構首席信息安全官（CISO）對企業范圍網絡安全計劃的問責制的期望。
2. 修訂OMB通告A-130，在適當的關鍵領域減少技術規定，以更清晰地促進在聯邦系統中采用不斷發展的網絡安全最佳做法，并包括遷移到零信任架構和實施關鍵要素，如端點檢測與響應（EDR）能力、加密、網絡分段和防釣魚多因素認證。
3. 說明機構應如何識別、評估、應對和減輕IT供應商和服務集中對任務關鍵功能構成的風險。

（ii）商務部長（通過NIST局長）、國土安全部長（通過CISA局長）和OMB局長應建立一個試點計劃，采用規則即代碼的方法，為OMB、NIST和CISA發布和管理的網絡安全相關政策和指導制定機器可讀版本。

（b）管理網絡安全風險現已成為日常行業做法，并應成為所有類型企業的預期。最低網絡安全要求可以使威脅行為者更難以、更昂貴地破壞網絡。在本命令發布之日起的240天內，商務部長應通過NIST局長，評估各行業部門、國際標準機構和其他風險管理計劃中常用或推薦的共同網絡安全做法和安全控制成果，并基于該評估發布指南，確定最低網絡安全做法。在制定該指南時，商務部長應通過NIST局長，征求聯邦政府、私營部門、學術界和其他適當方的意見。

（c）機構在購買產品和服務時面臨多種網絡安全風險。雖然機構已在改進供應鏈風險管理方面取得了顯著進展，但需要采取額外行動以跟上不斷演變的威脅態勢。在本節第（b）小節所述指南發布之日起的180天內，FAR委員會應審查該指南，并且FAR委員會的成員機構應共同采取措施（如適用并符合適用法律）來修訂FAR：

（i）要求與聯邦政府簽訂合同的承包商遵循NIST根據本節第（b）小節所述指南確定的適用于機構合同工作的最低網絡安全做法，或在開發、維護或支持提供給聯邦政府的IT服務或產品時遵循這些做法。

（ii）要求機構到2027年1月4日，要求向聯邦政府提供消費者物聯網產品（如47 C.F.R. 8.203（b）所定義）的供應商為這些產品攜帶美國網絡信任標志標簽。

第8條　國家安全系統和致癱影響系統

（a）除本命令第4節（f）（v）小節另有規定外，本命令第1至7節不適用于作為國家安全系統（NSS）或被國防部或情報界確定為致癱影響系統的聯邦信息系統。

（b）在本命令發布之日起的90天內，為幫助確保NSS和致癱影響系統受到最先進的安全措施保護，國防部長應通過國家安全局（NSA）局長作為國家安全系統國家經理（國家經理），與國家情報總監和國家安全系統委員會（CNSS）協調，并與OMB局長和國家安全事務助理（APNSA）協商，制定與本命令所述要求一致的NSS和致癱影響系統要求（如適用并符合適用法律）。國防部長可根據獨特的任務需求，對此類要求給予例外。這些要求應納入擬議的國家安全備忘錄，通過APNSA提交給總統。

（c）為幫助保護太空NSS免受與新興威脅保持同步的網絡安全措施的影響，在本命令發布之日起的210天內，CNSS應審查和更新（如適用）關于太空系統網絡安全的相關政策和指導。除了進行適當的更新外，CNSS還應確定并實施適當的要求，以在聯邦政府采購的太空NSS領域實施網絡防御，包括入侵檢測、使用硬件信任根進行安全啟動以及開發和部署安全補丁。

（d）為加強對聯邦信息系統的有效治理和監督，在本命令發布之日起的90天內，OMB局長應發布適當的指導，要求機構清點所有主要信息系統，并將清單提供給CISA、國防部或國家經理（視情況而定），它們應各自維護其管轄范圍內的機構清單注冊表。CISA、國防部首席信息官和國家經理將酌情共享其清單，以識別監督覆蓋范圍的空白或重疊。本指導不適用于情報界的組成部分。

（e）本命令中的任何內容均不改變《1947年國家安全法》（Public Law 80-253）、《2014年聯邦信息安全現代化法》（Public Law 113-283）、《1990年7月5日國家安全指令42號——國家安全電信和信息系統安全國家政策》或《2022年1月19日國家安全備忘錄8號——改進國家安全、國防部和情報界系統的網絡安全》授予國家情報總監、國防部長和國家經理對適用系統的權力和職責。

第9條　打擊重大惡意網絡活動的其他措施

鑒于發現，必須采取進一步措施來應對2015年4月1日《阻止從事重大惡意網絡活動者的財產》行政命令（經2016年12月28日《就重大惡意網絡活動相關的國家緊急狀態采取進一步措施》行政命令以及2021年1月19日《就重大惡意網絡活動相關的國家緊急狀態采取進一步措施》行政命令修訂）所宣布的，針對美國面臨的日益嚴重和不斷演變的惡意網絡活動威脅的國家緊急狀態，包括外國行為體對關鍵基礎設施進行未經授權的訪問、勒索軟件攻擊、網絡入侵以及逃避制裁等日益嚴重的威脅，我特此命令，對《行政命令13694》第1（a）條做如下進一步修訂：

“第1條。（a）所有在美國境內的、今后進入美國的、或者今后處于任何美國個人擁有或控制之下的以下人員的財產和財產權益均被凍結，且不得轉讓、支付、出口、提取或以其他方式處理：

（i）本命令附件所列人員。

（ii）財政部長在與司法部長和國務卿協商后，認定其負責、參與或直接或間接從事源自或受位于美國境外（全部或部分）的人員指揮的網絡活動，且此類活動很可能導致或已對美國國家安全、外交政策、經濟健康或金融穩定構成重大威脅，并涉及以下目的或行為的人員：

1. 損害或以其他方式破壞支持關鍵基礎設施領域一個或多個實體的計算機或計算機網絡提供的服務。
2. 破壞關鍵基礎設施領域一個或多個實體提供的服務。
3. 破壞計算機或計算機網絡的可用性，或損害存儲在計算機或計算機網絡上的信息的完整性。
4. 挪用資金或經濟資源、知識產權、專有或商業秘密信息、個人身份標識或財務信息，以獲取商業或競爭優勢或私人經濟利益。
5. 篡改、更改或挪用信息，目的是或涉及干擾或破壞選舉進程或機構。
6. 對美國個人、美國、美國盟友或合作伙伴及其公民、國民或根據其法律組織的實體，實施勒索軟件攻擊，如通過惡意使用代碼、加密或其他活動影響數據的機密性、完整性或可用性，或影響計算機或計算機網絡的機密性、完整性或可用性。

（iii）財政部長在與司法部長和國務卿協商后，認定其負責、參與或直接或間接從事以下行為的人員：

1. 明知是通過網絡手段挪用的資金、經濟資源、知識產權、專有或商業秘密信息、個人身份標識或財務信息，仍在美國境外為商業或競爭優勢或私人經濟利益而接收或使用此類資金或資源。
2. 負責、參與或直接或間接從事與獲取或試圖獲取美國個人、美國、美國盟友或合作伙伴及其公民、國民或根據其法律組織的實體的計算機或計算機網絡未經授權訪問有關的活動，且此類活動源自或受位于美國境外（全部或部分）的人員指揮，并很可能導致或已對美國國家安全、外交政策、經濟健康或金融穩定構成重大威脅。
3. 為本條（a）（ii）或（a）（iii）（A）或（B）小節所述的任何活動，或為根據本命令其財產和財產權益被凍結的任何人員，提供實質性協助、贊助或提供財政、物質或技術支持，或提供貨物或服務。
4. 由根據本命令其財產和財產權益被凍結的任何人員擁有或控制，或直接或間接為其行事或聲稱為其行事，或為本條（a）（ii）或（a）（iii）（A）–（C）小節所述的任何活動行事。
5. 試圖從事本條（a）（ii）和（a）（iii）（A）–（D）小節所述的任何活動。
6. 是或曾是任何根據本命令其財產和財產權益被凍結的人員，或從事本條（a）（ii）或（a）（iii）（A）–（E）小節所述任何活動的任何人員的領導、官員、高級管理人員或董事會成員。”

第10條　定義

本命令中：

（a）“機構”一詞的含義與《美國法典》第44編第3502（1）節所述的含義相同，但《美國法典》第44編第3502（5）節所述的獨立監管機構除外。

（b）“工件”一詞是指通過手動或自動化手段生成的記錄或數據，可用于證明符合既定的做法，包括用于安全軟件開發。

（c）“人工智能”或“AI”一詞的含義與《美國法典》第15編第9401（3）節所述的含義相同。

（d）“AI系統”一詞是指任何全部或部分使用AI運行的數據系統、軟件、硬件、應用程序、工具或實用程序。

（e）“認證”一詞是指確定一個或多個用于聲明數字身份的認證器（如密碼）的有效性的過程。

（f）“邊界網關協議”或“BGP”一詞是指用于在構成互聯網的數萬個自治網絡之間分發和計算路徑的控制協議。

（g）“消費類物聯網產品”一詞是指主要用于消費者使用而非企業或工業使用的物聯網產品。消費類物聯網產品不包括美國食品藥品監督管理局監管的醫療設備或美國國家公路交通安全管理局監管的機動車輛和機動車輛設備。

（h）“網絡事件”一詞的含義與《美國法典》第44編第3552（b）（2）節所述“事件”一詞的含義相同。

（i）“致癱影響系統”一詞是指《美國法典》第44編第3553（e）（2）和3553（e）（3）節分別為國防部和情報界所描述的系統。

（j）“數字身份文件”一詞是指由政府機構（如州政府頒發的移動駕照或電子護照）頒發的電子、可重復使用、可通過密碼學驗證的身份憑證。

（k）“數字身份驗證”一詞是指用戶在線進行的身份驗證。

（l）“端點”一詞是指可以連接到計算機網絡以創建數據通信的入口或出口點的任何設備。端點的示例包括臺式計算機和筆記本電腦、智能手機、平板電腦、服務器、工作站、虛擬機和消費類物聯網產品。

（m）“端點檢測和響應”一詞是指網絡安全工具和功能，它們將端點數據（例如工作站、移動電話、服務器等聯網計算設備）的實時連續監控和收集與基于規則的自動化響應和分析功能相結合。

（n）“聯邦民用行政部門”或“FCEB部門”包括除國防部下屬機構和情報界機構以外的所有機構。

（o）“聯邦信息系統”一詞是指由機構、機構承包商或代表機構運作的其他組織使用或操作的信息系統。

（p）“政府運營的身份驗證系統”一詞是指由聯邦、州、地方、部落或領土政府機構擁有和運營的進行身份驗證的系統，包括為多個機構提供服務的單機構系統和共享服務。

（q）“硬件信任根”一詞是指一種固有的受信任的硬件和固件組合，有助于維護信息的完整性。

（r）“混合密鑰建立”一詞是指本身是密碼密鑰建立方案的兩種或多種組件的組合而成的密鑰建立方案。

（s）“身份驗證”一詞是指收集身份信息或證據，驗證其合法性，并確認其與提供信息的真實個人相關聯的過程。

（t）“情報界”一詞的含義與《美國法典》第50編第3003（4）節所述的含義相同。

（u）“密鑰建立”一詞是指兩個或多個實體之間安全共享密碼密鑰的過程。

（v）“最小權限”一詞是指安全架構的設計原則，即每個實體僅被授予執行其功能所需的最小系統資源和授權。

（w）“機器可讀”一詞是指產品輸出采用結構化格式，可以使用一致的處理邏輯由另一個程序進行消費。

（x）“國家安全系統”或“NSS”一詞的含義與《美國法典》第44編第3552（b）（6）節所述的含義相同。

（y）“補丁”一詞是指當安裝時，直接修改與不同軟件組件相關的文件或設備設置，而不更改相關軟件組件的版本號或發布詳情的軟件組件。

（z）“以代碼形式制定規則的方法”一詞是指規則（例如立法、法規或政策中包含的規則）的編碼版本，可由計算機理解和使用。

（aa）“安全啟動”一詞是指一種安全功能，可防止計算機系統在啟動時運行惡意軟件。該安全功能在啟動序列期間執行一系列檢查，有助于確保僅加載受信任的軟件。

（bb）“安全控制結果”一詞是指為信息系統或組織規定的保障措施或對策的性能或非性能的結果，以保護系統的機密性、完整性和可用性及其信息的機密性、完整性和可用性。

（cc）“零信任架構”一詞的含義與《行政命令14028》中所述的含義相同。

第11條　通用條款

（a）本命令中的任何內容均不得解釋為損害或以其他方式影響：

（i）法律授予行政部門或機構或其負責人的權力。

（ii）管理與預算局主任與預算、行政或立法建議有關的職能。

（b）本命令應以符合適用法律的方式實施，并受撥款情況的制約。

（c）本命令無意且不會為任何一方針對美國、其部門、機構或實體、其官員、雇員或代理人，或任何其他人員，創造任何可依法或衡平法強制執行的權利或利益，無論是實質性的還是程序性的。

約瑟夫?R?拜登

白宮

2025年1月16日

中英文版全文下載鏈接：

《關于加強和促進國家網絡安全創新的行政命令》.docx

ExecutiveOrderonStrengtheningand Promoting Innovation in the Nation.docx

免責聲明：本文內容僅供業界學習參考，文內所包含的信息或所表達的意見，均不代表雜志社的立場和態度。