天枢解读 | 拜登最新国家网络安全行政令解读

文/天枢智库研究员 王彦骉

编者按

        在美国燃油管道公司遭骇后第五天，拜登总统签署了一项提升全美网络安全能力的行政令。从事件伊始能源市场动荡，到政府联合企业果断隔离敏感网域、再到发布总统令提升全国范围内网络安全防御能力，行事可谓雷厉风行。此次事件对我国网络安全体系建设、应急恢复能力发展亦有较多启示，本文将对总统行政令中发布的系列措施进行解读，并进一步给出国家安全能力体系、应急恢复、供应链安全等方面的建议。

        美国时间2021年5月7日，美国最大燃油管道商科洛尼尔（Colonial Pipeline）遭高强度勒索软件攻击，天枢热议｜美油路遭骇 关基安全何去何从站在全球视角和网络战的高度审视该事件，反思加强关键基础设施安全保障与防范网络攻击的应对之策。

        攻击事件发生5天后（5月12日），拜登签署了一项名为“加强国家网络安全的行政命令”（Executive Order on Improving the Nation’s Cybersecurity），旨在通过改善公私部门网络信息共享、加强漏洞检测、提高安全事件应急响应能力、增强软件供应链的安全等措施，进一步加强网络网络安全和保护联邦政府网络。

01基本内容

        美国国内仍有多数关键基础设施都是由私有部门拥有和运营的，目前该类资产与设施的安全仍主要由建设部门负责，联邦政府具有管辖义务和协调治理的权利。

        行政令针对此次事件暴露出来的网络安全风险提出了7点改进措施：

1. 要求IT服务提供商将可能影响美国网络安全的漏洞、敏感信息告知政府；
2. 推动联邦政府升级安全的云服务和其他网络基础设施，包括基于云计算的、本地的和混合的计算机系统，采用零信任、多因素身份验证等手段加强基础设施保护；
3. 加强供应链安全审查，采取“政府认证”标签的方式激励软件和数据安全开发；
4. 建立一个由公共部门和私营部门官员组成的“网络安全审查委员会”，以期在网络攻击发生后召集会议并提出建议；
5. 建立联邦政府网络事件响应标准，指导私营企业行动；
6. 在联邦政府范围内部署端点检测和响应系统，改善联邦政府内部的信息共享；
7. 建立网络事件日志通用要求，加强事件溯源能力。

02启发与建议

        从上述行政令改进措施中可看出，拜登政府已经意识到在国家关键基础设施保护方面加强公私联动、使联邦政府防御措施覆盖民营企业的重要性。作为网络信息化强国的美国，近几十年来防御思路主要为“以攻促防”，其攻击手段层出不穷，尤其在“武器库”扩充方面，甚至不惜重金收购网络产品漏洞。最近的科洛尼尔攻击事件表明其网络防御明显被捏住了“七寸”，攻击者从民营企业设施下手，造成了重大的经济损失和社会动荡。

以安全大脑为核心的国家新一代网络安全能力体系迫在眉睫

        但拜登政府反应迅速，从事件发生伊始果断关闭关键网域设备、关停输油管道，到迅速联合网络安全公司针对事件进行排查，直至恢复能源输送、发布改进措施，行事可谓雷厉风行。我国网络安全防护策略依然以“谁建设谁负责”为主，政府各部门、公、私单位间情报共享困难，难以形成整体联防，这种分割碎片化的网安措施对专业级乃至国家级网络攻击的防范处置几乎无效。参考拜登5月12日行政令中公私部门信息共享、建立网络安全审查委员会的改进措施，对我国来说，站在实战对抗和整体防御视角，整合政府、关键行业、私营企业安全大数据，打造以安全大脑为核心的新一代网络安全能力体系，形成全视角的安全感知能力体系迫在眉睫。

 全面提升关键信息基础设施清查、监管、风险管理与恢复能力

        网络安全漏洞具有很强的隐蔽性，尤其是在万物互联的数字时代，APT组织、高级攻击者可能从任何未知的渠道渗透进民用设施、公共资产甚至敏感网络。参考拜登行政令中加强基础设施保护、部署端点检测和响应系统并加强威胁情报信息共享的改进措施，我国在关键基础设施容灾恢复组织机构建设、资产清查、漏洞信息通报方面仍有许多改进之处。建议统筹各方力量，立足于底线思维和敌情意识，打造关键信息基础设施监管与清查、风险监测、数据容灾与事件响应和恢复体系，实现跨设备、跨地域、跨数据中心之间的信息化关键基础设施安防体系。

建设供应链安全审查、评估体系，激励信息化基础设施行业自主创新

        没有攻不破的网络，只有不努力的黑客，使用国产替代固然能抵御供应链预置风险，却不能防御人为高级威胁、漏洞攻击链。“供应链”的表面形式是有形的物（包括技术），但是其本质和实质是人的因素，国家关键信息基础设施正在逐步迈向国产化，其中到底有多少是以直接代理推销，或以“马甲”包装假扮自主的网络信息产品，“供应链”安全的大门几乎完全敞开，因此参考拜登行政令中采取“标签”激励方式促进供应链安全审查程序的推进，建议有关部门针对关键信息基础设施企业和行业开展以供应链安全审查为主的评估、测评、定级体系，牵头制定网络信息化设施安全考评标准、规范和工作流程，以国家认证等方式激励关键信息基础设施企业自主创新，从根本上提升我国防范重大攻击和网络威胁的应对能力。

-- End --

（谢绝未保留作者信息的任何形式转载）