拜登签署《改善国家网络安全行政令》,对我国有哪些启示?

本文转自微信公众号“中国信息安全研究院”,作者:左晓栋

5月12日,美国总统拜登签署发布了《改善国家网络安全行政令》。该行政令其实早已开始起草,最近几次严重的网络攻击事件加速了其出台,现对其评述如下。

500

一、进一步推行联邦政府采购的标准合同条款,着重增加了网络安全信息通报要求

信息共享对确保网络安全十分重要。但这项工作在美国始终遇到障碍。其核心问题是,私营部门缺少信息共享动力,他们常常抱怨,这种共享不应该是单向的,既然政府很少向企业共享信息,那凭什么企业要向政府提供信息呢?此外,美国的网络安全信息共享受到两部法律的限制。一个是《信息自由法》,联邦政府收到企业报送的信息后,按照《信息自由法》规定,如果有公众查询,则必须向社会公开,这对企业当然不利。另一个是《反托拉斯法》,企业之间就信息共享达成一致后,有可能被认为是一种共谋行为,尔后将会受到反垄断调查。对这些问题,美国政府一直在努力解决,但收效不大。那现在怎么办呢?管不了那么多,先从能管的地方管起。美国政府的考虑是,既然很多企业是联邦政府的合同商,那么在合同中强制要求企业提供信息,这应该是可行的。其中的关键点是,这不再是一种联邦政府的行政命令,而是一种受合同法保护的甲方与乙方的民事行为(而非行政行为),由此就避开了很多可能的非议。

行政令对联邦采购的标准合同条款提出了大量要求,并明确了标准合同条款的起草时限,全力保障联邦合同商能够把尽可能详细的信息报送给政府。这对我们的启示是,当年我们的《网络安全法》第三十六条规定了“关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任”,但法律中提到的保密协议模板一直未能问世。而以上要求还只是简单的保密协议,不涉及信息共享。由此看来,我国今后有必要对包括政府系统在内的关键信息基础设施的采购合同提出更多的要求。

二、对联邦网络安全提出“现代化”要求

如何理解这个“现代化”?其中涉及两个背景。一个背景是当年的OPM(联邦人事局)被攻击事件。该次攻击导致美国联邦雇员信息泄露,被认为损失惨重,特别是其在境外有大量在编间谍,都作为联邦雇员列在名单上。经对事件调查,OPM的系统被认为太陈旧(当时有一部分系统尚采用了外包形式),自此美国联邦政府开始使用“现代化”一词,有革新、替换之意。另一个背景是美国政府近年来对联邦网络安全专业人才的调查。他们发现专业人才总是不够,这么下去显然不是办法,专业的事终究需要交给专业的人去做。所以,美国政府强调业务必须上云,除了集约化建设优势外,还可以把繁重的网络安全工作交给专业的云服务商去完成。

所以行政令中“网络安全现代化”指的是政府加快上云后的安全防护。这之前,美国联邦政府是对云服务商是有安全审批的,即FedRAMP计划。该计划要求所有为联邦政府提供云服务的平台必须通过安全审查,云安全的防护要求已经在审查程序中涵盖。此次是对政府上云进一步提出要求,包括使用零信任架构保护向云平台的迁移、对数据进行分级分类、实施多因子认证和加密等。

这对我们有什么启示呢?我国在2014年印发了对党政机关上云的要求,建立了网信办、工信部、财政部、发改委联合实施的党政云安全审查机制。2019年,中央网信办又牵头印发了另一个云安全评估文件,将关键信息基础设施上云也纳入了安全评估范畴。以上制度建立实施过程中,充分借鉴了美国FedRAMP制度。现在其制度更新了,特别是技术要求有了调整,我们有必要与时俱进。目前,我国的云安全评估依据的技术标准GB/T 31168《云计算服务安全能力要求》正在由我本人牵头修订,美国的情况变化为我们提供了一种有益的借鉴。

需要指出,一些自媒体宣传说美国这个行政令是强推“零信任”,这一说法不完全客观。事实上“零信任”是该行政令在对联邦政府上云所提的若干安全要求中的一类,很有意义,但不必夸大。

三、增强软件供应链安全性

确保IT供应链安全是美国的国家战略,这项事务早已部署。此次行政令旧事重提,主要在于其引入了一个“关键软件(critical software)”的概念。在航空航天等涉及生命安全的领域,“safety critical software”的概念由来已久,并衍生出了针对这类软件的大量开发标准。所以,对某类特定的软件提出专门要求,这不是新的思路。但此次的“关键软件”侧重于网络安全影响,主要是与系统特权或直接访问网络、计算机资源相关的软件,这则是首次出现该概念。目前,拜登政府还没有对“关键软件”作定义(要求行政令发布后45天内给出定义),但从行政令的描述看,其关注的是关键软件的“可信性”(实施更加严格和可预测机制,以确保产品功能安全且可预期——implement more rigorous and predictable mechanisms for ensuring that products function securely, and as intended)。这与可信计算的内涵是一致的,但从行政令的具体要求看,其显然又比可信计算的范围广。例如,对开发环境安全、源代码完整性、漏洞检测、第三方组件控制、软件物料清单等均提出了要求。

目前看,美国联邦政府即将启动一项专门行动,建立一套有关“关键软件”安全性的合格评定程序,并将其纳入联邦采购程序之中。

以上措施表明,美国政府正在不断将供应链安全问题深化和细化,关切点正在聚焦到特定IT产品和服务。这个问题的实质是,是否以及如何对IT产品提出网络安全要求?目前,我国的网络安全合格评定制度主要将网络安全产品和服务作为对象,这本身便与《网络安全法》的相关要求有距离。网络安全审查制度面向的虽然是通用IT产品和服务,但不属于“合格评定”制度,并不依据具体标准,主要关注的是国家安全风险。因此,在我国后续推动网络安全供应链工作时,有必要借鉴美国此次的做法。

四、建立网络安全审查委员会

仅就此次行政令而言,建立一个网络安全审查委员会是十分必要的,以对网络安全重大事件进行审查和评估,并提出处置建议。但问题是,美国这样一个很早就开始网络安全战略布局的大国,怎么可能才开始对网络安全事件处置作安排呢?事实上,早在2016年7月,美国白宫就印发了第41号总统政策令《美国网络事件协调》,从中已经建立了整套跨机构事件协调处置流程。此后,2016年12月,美国国土安全部又印发了《国家网络事件响应计划》。以上政策文件当然明确了对网络安全事件的分析研判机制。

那么,此次行政令要求再成立一个负责事件审查和评估的委员会干什么呢?与原有的机制如何协调?从网络安全审查委员会的人员组成中可以找到答案。行政令指出,委员会关注的是联邦民事部门(区别于国家安全系统)和非联邦机构遇到的网络安全事件,且委员会成员含私营部门实体的代表。不仅如此,委员会主席和副主席之中,必须包含一名联邦政府官员和一名私营部门成员。在《美国网络事件协调》和《国家网络事件响应计划》中,此前均未明确私营部门的参与方式,私营部门也没有获得如此深的参与度。

由此可以得出三个结论:(1)这个委员会的成立,并不改变美国联邦政府原有的网络安全事件处置流程。(2)这个委员会的成立,是为了更好地处置私营部门发生的网络安全事件。这之前,对于私营部门掌握的关键基础设施遇到的网络安全事件,美国联邦政府介入程度有限,正如此次Colonial Pipeline受攻击时政府的尴尬局面一样。而这一次,通过设立网络安全审查委员会,联邦政府的“手”就可以伸得更长了。(3)这个委员会将更多地关注宏观和全局事务,如发生网络安全事件后对各个行业的影响,对具体事件按照既有流程处置即可。

五、提升漏洞和事件处置能力

行政令在漏洞和事件处置方面,提出了三类举措。第一类是,鉴于各联邦机构对漏洞和事件处置的方式方法各不相同,应建立标准程序。第二类是,改进对联邦政府网络安全漏洞和事件的检测能力。第三类是,发掘联邦信息系统日志的价值,明确对日志的具体要求,使其能更好地为事件处置提供支持。

为此,行政令宣布,在美国联邦机构内实施终端检测和响应计划(EDR)。EDR技术在业内早已成熟,但美国联邦政府前些年致力于“爱因斯坦系统”的部署,尚未对EDR充分重视。两类系统的部署方式不同,但可互为补充,此举将有利于美国政府形成更全面、实时的网络安全监测能力。根据行政令要求,国土安全部长应在一个月内提出EDR备选方案建议。目前,我国很多部门、地方、行业都在建立网络安全态势感知系统,或加强威胁情报能力建设,美国在整体联邦政府范围内实施的这一行动及其实施效果值得关注。

全部专栏