美备忘录提升国安、国防和情报系统网络安全

美国总统乔拜登今日签署了一份国家安全备忘录，旨在改善国家安全、国防部和情报社区系统网络安全。

根据拜登2021年5月的行政命令，该备忘录要求国家安全系统“采用与联邦民用网络所要求的相同的网络网络安全措施”。它还赋予国家安全局监督网络安全改进的新权力，该机构现在还将收集有关影响国家安全系统的事件的报告。NSA将有权发布自己的紧急指令，并要求其管辖范围内的机构按照2022年制定的具体时间表采取具体行动减轻网络威胁。白宫在一份情况说明书中表示，该备忘录“建立在拜登政府保护我们国家免受来自民族国家行为者和网络犯罪分子的复杂恶意网络活动的工作的基础上”。官员们表示，该备忘录“提高了我们最敏感系统的网络安全标准”。

该指令详细说明了2021年行政命令的规定如何适用于“国家安全系统”，该系统将由NSA局长Paul Nakasone指定。它还为如何实施这些要求制定了时间表和指南。参议院情报特别委员会主席、弗吉尼亚州民主党参议员马克·华纳赞扬了这份备忘录，但呼吁立法提高影响关键基础设施的网络事件的透明度。“在其他优先事项中，这项 NSM 要求联邦机构报告网络犯罪分子和国家资助的黑客破坏其系统的努力，”华纳在新闻稿中说。“现在是国会采取行动的时候了，通过我们的两党立法，要求关键基础设施所有者和运营商在 72 小时内报告此类网络入侵。”

顶级网络安全专家表示，这份备忘录对联邦网络来说是富有成效的一步。“美国网络空间被围困。我从未见过如此系统性的冲击，”VMware网络安全战略负责人、美国特勤局网络调查咨询委员会成员汤姆·凯勒曼(Tom Kellermann)说。“这份备忘录具有战略意义，将显著提高我们国家安全系统的长期安全性。”

周二，美国国家安全局网络安全主管罗布乔伊斯在推特上说：“这份国家安全备忘录有很好的工具，可以帮助美国国家安全局作为联邦团队的一部分保护最敏感的网络！”同样在推特上，国家网络总监Chris Inglis 写道，该备忘录标志着网络政策的“联邦一致性”又向前迈出了一步。同样，全球网络联盟总裁兼首席执行官、国土安全部国家网络安全中心前主任 Phil Reitinger 表示：“在使用与其相关的云系统方面赋予 NSA 更大的责任和权力是相当有意义的，就像增加专注于零信任架构。”

备忘录组件

白宫官员表示，该备忘录将通过要求机构识别其国家安全系统并向美国国家安全局报告发生在其上的网络事件，来帮助提高“网络安全事件的可见性”。NSA 被认为是美国机密系统的“国家管理者”。该备忘录还要求各机构采取行动保护或减轻对这些系统的网络威胁。也就是说，它授权 NSA 制定“具有约束力的操作指令”，要求机构针对已知或可疑的安全威胁和漏洞采取行动。政府官员表示，该指令的授权模仿了国土安全部通过 CISA 监督民间政府网络的努力。该备忘录还“指示NSA和DHS共享指令并相互学习，以确定一个机构指令中的任何要求是否应该被另一个机构采用。”

该备忘录还要求各机构确保跨域解决方案或在机密和非机密系统之间传输数据的工具的安全。政府官员补充说：“对手可以寻求利用这些工具来访问我们的机密网络，而NSM会采取果断行动来减轻这种威胁。”白宫补充说，将要求相关机构清点他们的跨域解决方案，美国国家安全局将制定安全标准和测试要求，以更好地保护这些系统。根据备忘录，国防部、联邦调查局、中央情报局和国家情报总监办公室将有责任创建一个框架，以对国家安全系统进行事件响应活动。到 3 月，拥有处理敏感或机密国家安全数据系统的机构必须更新其零信任和云采用计划。到 4 月，国家安全系统委员会将为云中的国家安全 IT 系统建立“最低”安全控制。到 7 月，机构将被要求确认其相关系统正在使用多因素身份验证和加密协议来处理静态数据和传输中的数据。

该指令还为国防和情报机构提供六个月的时间来记录可能不合规或未能使用 NSA 批准的加密算法的系统。他们还将负责设定更换时间表。周三发布的情况说明书称，“网络安全是拜登政府的国家安全和经济安全的当务之急”，拜登政府继续“以前所未有的方式优先考虑和提升网络安全”。

官员们指出，为改善电力和管道行业的网络安全而采取的“突飞猛进”措施已经让为 9000 万美国人提供服务的大约 150 家公用事业公司承诺部署特定的网络安全控制措施。他们补充说，拜登还发布了一份备忘录，建立了自愿的网络安全目标，并对关键基础设施的供应商抱有期望。

官员们表示：“我们将继续与私营部门密切合作，将网络安全作为其维持业务连续性努力的核心部分。”

备忘录全文机翻如下：

提高国家安全、国防部和情报社区系统的网络安全

本备忘录规定了相当于或超过2021年5月12日第14028号行政命令（改善国家网络安全）中规定的联邦信息系统网络安全要求的国家安全系统 (NSS) 要求，并确立了确保例外情况的方法特殊任务需要所必需的情况。第14028号行政命令规定，联邦政府必须通过大胆的变革和对网络安全的重大投资，加大力度识别、阻止、防范、检测和应对恶意网络活动及其参与者。

根据14028号行政命令，NSS应包括44 USC 3552(b)(6)中定义为NSS的系统以及所有其他国防部和情报界系统，如44 USC 3553(e)(2) 和3553(e)(3)。

第1节执行国家安全系统的第14028号行政命令。

(a) 第14028号行政命令的第1节和第2节应全部适用于NSS，但管理和预算办公室主任和国土安全部部长在第2节中行使的权力应由国家经理行使关于NSS。

(b) 与第14028号行政命令第3节一致：

(i) 在本备忘录发布之日起 90 天内，国家安全系统委员会 (CNSS) 应制定并发布指南，除了 CNSS 指令 (CNSSI) 1253，关于与云迁移和操作相关的最低安全标准和控制对于 NSS，考虑到商务部内的国家标准与技术研究院 (NIST) 在标准和指南中概述的迁移步骤。

(ii) 在本备忘录发布之日起 60 天内，拥有或运营 NSS 的每个执行部门或机构（机构）的负责人应根据其法定权限：

(A) 更新现有机构计划，优先考虑采用和使用云技术的资源，包括在可行的情况下采用零信任架构；

(B) 制定实施零信任架构的计划，其中应酌情纳入：

(1) NIST 特别出版物 800-207 指南（零信任架构）；
(2) 关于零信任参考架构的 CNSS 指令；
(3) 其他有关企业架构、内部威胁和访问管理的 CNSS 指令、指令和政策；

(iii) 在本备忘录发布之日起 180 天内，各机构应对 NSS 静态数据和传输中的数据实施多因素认证和加密。在机构负责人确定机构无法实施这些措施的情况下，机构负责人应根据本备忘录第 3 节规定的程序授权例外。

(iv) 为确保 NSS 之间广泛的密码互操作性，所有机构应使用 NSA 批准的、基于公共标准的密码协议。如果任务唯一要求排除使用基于公共标准的加密协议，则可以使用 NSA 批准的任务唯一协议。机构不得授权不使用经批准的加密算法和实施的新系统运行，除非机构负责人根据本备忘录第 3 节授权的例外情况。

(A) 自本备忘录发布之日起 30 天内，NSA 应审查 CNSS 政策 15，并向 CNSS 提供有关已批准的商业国家安全算法 (CNSA) 列表的任何更新或修改。
(B) 自本备忘录签署之日起 60 天内，国家安全局应修订并向首席信息官提供 CNSS 咨询备忘录 01-07（信息保障加密设备现代化）以及任何相关附件和有关现代化规划、使用的相关参考资料不受支持的加密、批准的任务独特协议、抗量子协议以及必要时使用抗量子密码的计划。
(C) 在本备忘录签署之日起 90 天内，CNSS 应确定并优先更新所有与密码相关的政策、指令和发布，并且 CNSS 应向国防部长、国家情报总监和国家安全局提供酌情管理重新发布这些政策的时间表，不超过 6 个月。
(D) 在本备忘录发布之日起 180 天内，机构应根据第 1(b)(iv)(A) 节在适当的情况下识别任何不符合 NSA 批准的量子抗性算法或 CNSA 的加密实例，以及(B) 本备忘录，并应以不超过绝密//SI//NOFORN 的机密级别向国家经理报告：
(1) 使用不合规加密的系统，包括在现有豁免或例外情况下运行的系统；
(2) 将这些系统转换为使用合规加密的时间表，包括抗量子加密；
(3) 根据本备忘录第 3 节，从过渡到合规加密的任何例外情况，应由国家经理额外审查，并每季度向国防部长和国家情报总监报告各自管辖范围内的系统。如果共同确定共同风险，国家经理在与系统所有者协调并仅在参与之后才可以包括其他相关机构。

(v) 自本备忘录签署之日起 90 天内，国家经理应与国家情报局局长、中央情报局局长、联邦调查局局长和有关部门负责人协调国防部长，开发一个框架来协调和协作与 NSS 商业云技术相关的网络安全和事件响应活动，以确保机构、国家经理和云服务提供商 (CSP) 之间的有效信息共享。

(a) 国家经理应与国土安全部部长协调，确保按照框架的规定，国土安全部部长和国家经理在商业 CSP 网络安全方面的努力和协作是联邦统一的和事件管理，与每个机构对联邦民事行政部门 (FCEB) 和 NSS 网络安全的职责一致，并确保跨 CSP 环境快速和彻底的端到端风险缓解。

(b) 国家经理应确保框架的最终版本与国家情报局局长、中央情报局局长、联邦调查局局长和部门相关部门负责人协调的防御。

(i) 除非法律另有授权，或机构负责人根据本备忘录第 3 节授权的例外情况，否则机构应遵守根据第 14028 号行政命令第 4 节制定的用于任何软件的标准此类软件适用的 NSS。

(ii) 在本备忘录发布之日起 60 天内，国家经理应与国防部长和国家情报总监协调，审查管理和预算办公室根据第 4(i) 节发布的指导意见14028 号行政命令，并应发布类似指南。

(iii) 机构可以要求国家经理延长与满足本备忘录第 1(c)(ii) 节中发布的适用要求相关的时间期限，国家经理将根据具体情况考虑- 以案例为基础，并且仅附带满足要求的计划。国家经理应向国防部长和国家情报总监提交一份季度报告，说明在其各自管辖范围内授予系统的所有扩展以及这样做的理由。如果共同确定共同风险，国家经理在与系统所有者协调并仅在参与之后才可以包括其他相关机构。

(d) 第 14028 号行政命令第 6 节应适用于 NSS 所有者和运营商，在机构根据行政命令第 6(f) 节完成事件响应后，利用国家经理审查和验证机构的事件响应和补救结果14028。

(e) 行政命令 14028 的第 7 节应适用于行政命令中特别提及的 NSS 所有者和运营商，附加要求如本备忘录第 2(b) 节所述。

(f) 在本备忘录日期的 14 天内，国家经理应与国防部长和国家情报总监协调，向 CNSS 提供第 14028 号行政命令第 8(b) 节所述的建议。

(i) 在收到根据本备忘录第 1(f) 节发布的建议后 90 天内，CNSS 应制定政策，供机构建立此类要求，确保最高级别安全运营中心的集中访问和可见性每个机构的。

(ii) 为协助响应已知或可疑的 NSS 危害，根据本备忘录第 1(f) 节发布的建议应包括要求机构应要求允许特定指定个人或基于国家经理与机构负责人或指定人员之间商定的特定 NSA 网络防御任务角色。

2. 与国家安全系统有关的国家管理机构。

(a) 国家安全系统的指定和识别。

(i) 国家经理应促进整个联邦政府指定 NSS。每个机构应继续负责识别、指定、认证和保护在其所有或控制下的所有 NSS，包括代表该机构运营和/或维护的 NSS。国家经理可能会定期向运营 NSS 的机构请求访问有关指定和识别此类系统的 NSS 信息。
(ii) 在本备忘录发布之日起 30 天内，国家经理应制定流程，以协助机构识别和清点那些构成或可能构成 NSS 的信息系统，并应向支持机构发布指导以做出这些决定机构首席信息官。NSS 应以足以了解社区范围网络安全风险的详细程度进行盘点，由国家经理确定，并且此类信息不得超过绝密//SI//NOFORN 的分类级别。
(iii) 在本备忘录发布之日起 90 天内，各机构应通过本备忘录第 2(a)(ii) 节中指定的流程确定并维护指定为 NSS 的那些系统的清单。机构应保留自己的清单，以供指定的个人访问，或根据国家经理与机构负责人或指定人员之间的协议，根据特定的 NSA 网络防御任务角色进行访问。
(iv) 如果国家经理对确定一个系统是否构成 NSS 有疑虑，国家经理应聘请相关机构的负责人以解决指定问题。如果国家经理和机构负责人无法达成双方都能接受的解决方案，国家经理可以要求机构负责人将分歧报告给国防部长和国家情报总监，以便进一步考虑内部系统各自的管辖范围。如果共同确定共同风险，国家经理在与系统所有者协调并仅在参与之后才可以包括其他相关机构。
(v) 一旦一个系统被确定并指定为 NSS，将需要通知国家经理、国防部长和国家情报总监，对于在其各自管辖范围内的系统，将这些系统重新指定为非 NSS。如果共同确定共同风险，国家经理在与系统所有者协调并仅在参与之后才可以包括其他相关机构。

(b) 事件报告。

(i) 为促进威胁检测和响应，以及对 NSS 网络安全状态的全面了解，机构应在机构检测或承包商（包括信息和通信技术服务提供商）或其他联邦或非联邦实体，如果已知或疑似泄露或以其他方式未经授权访问 NSS，请通过相应的联邦网络中心或其他指定的中央部门联络点向国家经理报告此类泄露或未经授权的访问。机构还应根据根据本备忘录第 1(f) 节制定的政策向国家经理提供相关信息。

(ii) 机构在检测到或向机构报告后，还应通过其适当的联邦网络中心或其他指定的中央部门联系点向国家经理报告托管跨域解决方案的网络的任何损害或未经授权的访问（ CDS），当 CDS 的一侧连接到由机构或代表机构运营的 NSS 时。

(iii) 在本备忘录发布之日起 90 天内，国家经理应与国家情报局局长和中央情报局局长协调，制定报告已知或疑似 NSS 危害或未经授权访问NSS，其中应包括：

(A) 阈值、所需信息和其他标准；
(B) 检测到 NSS 面临迫在眉睫的威胁时的应急程序；
(C) 对受影响机构启动响应活动的及时性预期；
(D) 国家经理和受影响机构之间的威胁和妥协报告机制；
(E) 国家经理对根据本节收到的任何信息的保护和处理的期望，包括有关保护情报来源和方法以及进行反情报调查的任何考虑；
(F) 期望在机构未报告已知或疑似 NSS 危害的情况下，就其各自管辖范围内的系统向国防部长和国家情报总监提供建议；和
(G) 如果共同确定共同风险，国家经理与系统所有者协调并仅在其参与后才将其他相关机构包括在内的程序。

(iv) 本节要求的任何报告的接收者可能仅限于指定的指定个人，或者根据特定的 NSA 网络防御任务角色，由国家经理和机构负责人或指定人员商定。在特殊情况下，如果机构负责人认为为了保护情报来源和方法、反情报调查或执法敏感信息而限制报告是可取的，则报告可能会由机构保留，但受本备忘录第 2(a)(iii) 条。

(i) 紧急指令。为响应已知或合理怀疑的信息安全威胁、漏洞或对 NSS 的信息安全构成重大威胁的事件，或对手能力和针对 NSS 的意图的情报，国家经理可以发布国家经理紧急指令，以机构负责人，通过该机构的首席信息官、首席信息安全官或该机构负责人指定的官员，就本备忘录中定义的该 NSS 的运营采取任何合法行动，包括此类由另一个实体代表机构使用或操作的系统，目的是保护 NSS 免受或减轻威胁、脆弱性或风险。
(ii) 具有约束力的操作指令。为保护 NSS 免受已知或合理怀疑的信息安全威胁、漏洞或风险，国家经理可与国防部长和国家情报总监协调，针对各自管辖范围内的系统发布国家经理对机构负责人的约束性运营指令，通过该机构的首席信息官、首席信息安全官或机构负责人指定的官员，就该 NSS 的运营采取任何合法行动，如定义在本备忘录中，包括由其他实体代表机构使用或运营的此类系统，目的是保护 NSS 免受或减轻威胁、脆弱性或风险。此外，
(iii) 实施程序。在本备忘录发布之日起 30 天内，国家经理应与国防部长和国家情报总监协调，制定有关根据本款发布指令的程序，其中应包括：
(A) 阈值和其他标准；
(B) 向可能受影响的第三方发出通知；
(C) 要求采取行动的原因和指令的持续时间；
(D) 隐私和公民自由保护；
(E) 采取措施确保在这种情况下对运营产生最小影响的 NSS；和
(F) 将指令限制在可行的最短期限内。

(iv) 通知和协助。国家经理应在发布紧急指令或具有约束力的行动指令后立即以书面形式通知任何受影响机构的负责人、国防部长、国土安全部长和国家情报总监，并应提供技术和对执行机构的业务援助。

(v) 指令的协调和调整。为确保 NSS 和 FCEB 信息系统指令的国家经理指令一致，国家经理和国土安全部长与国防部长和国家情报总监协调，应：

(A) 在本备忘录签署之日起 60 天内，制定程序让国家经理和国土安全部部长立即相互分享国家经理约束性操作指令和紧急指令，以及国土安全部紧急指令和约束性操作指令指令，适用于各自管辖范围内的信息网络。该程序应充分处理适用的信息共享指南，包括保护机密信息、保护情报来源和方法以及保护其他机构来源的信息；
(B) 评估是否采用根据本备忘录第 2(c)(v)(A) 节规定的程序收到的指令中包含的任何要求或指导，与法律、行政命令、联邦法规和指令相一致共享机密信息；和
(C) 在收到根据本备忘录第 2(c)(v)(A) 节规定的程序发布的指令通知的 7 天内，通知总统国家安全事务助理 (APNSA) 或其指定人员本备忘录第 2(c)(v)(B) 节中描述的评估、是否采用收到的指令中包含的要求或指南的决定、决定的理由以及采用要求的时间表或指导（如果适用）。
(D) 跨域解决方案。

(i) 由于 CDS 分离并支持不同安全域之间的受控信息交换，它们是需要集中可见性的重要 NSS。

(ii) 在运营国家跨域战略和管理办公室（NCDSMO）时，国家经理应是 NSS 跨域能力和任务需求的焦点，并应：

(A) 作为 NSS 所有者跨域能力的主要顾问；
(B) 制定和维护社区外展计划和论坛；
(C) 为CDS开发和建立改进的安全解决方案、远程管理和监控、网络防御、过滤要求以及标准和技术；
(D) 运行跨域安全测试程序，确保统一的综合测试。

(iii) 在本备忘录发布之日起 60 天内，国家经理应与情报界首席信息官协调，向所有运营与 NSS 连接的 CDS 的机构发出指令，以提供有关这些部署和应制定收集和接收此类信息的时间表，要求各机构：

(A) 验证来自 CDS、支持系统和连接系统的日志是否由机构收集和存档，足以支持调查和事件响应活动，并确保日志完整且机器可读，并可以访问该信息根据本备忘录第 2(b) 节提供给国家经理；
(B) 确认已为部署的 CDS 安装了最新的授权补丁；
(C) 报告升级到其 CDS 的 Raise-the-Bar (RTB) 兼容版本的状态；
(D) 更新或制定所有 CDS 安装的行动计划和里程碑，以符合 NCDSMO CDS 安全要求，并将这些计划提供给国家经理，包括已确定的可能妨碍 RTB 合规的资金障碍。

(iv) 在本备忘录签署之日起 90 天内，相关机构负责人应为其管辖范围内的所有 CDS 部署建立和维护 CDS 部署清单，但须由指定的个人访问，或基于特定的 NSA 网络防御任务角色，由国家经理和机构负责人或指定人员商定。与国防部长和国家情报总监协调，国家经理应定义保持准确库存不超过绝密//SI//NOFORN分类级别所需的基本信息要素，应定义初始和持续机构报告期望，并应向 CDS 所有者提供报告和更新所需的流程。

3. 例外。(a) 每当机构负责人确定独特的任务需要需要将任何 NSS 或 NSS 类别排除在行政命令 14028 或本备忘录的任何规定之外时，机构负责人可以授权此类例外，前提是此类例外可以仅在以下方面获得授权：

(i) 在机构负责人确定实施这些要求不可行或违反国家安全的情况下，有助于支持或开展军事、情报或敏感执法活动的系统；
(ii) 对美国政府的归属模糊不清，并且由于执行这些要求而导致这种归属受到合理威胁的系统；或者
(iii) 为漏洞研究、测试或评估目的而采购的信息系统或软件，这些信息系统或软件不打算在机构运营网络中使用。

(b) 如果机构负责人根据本备忘录第 3(a) 节选择授权例外，机构负责人应通知国家经理并提供：

(i) 对所讨论的一个或多个系统的功能的一般描述；
(ii) 接受由例外导致的网络安全风险增加的理由；
(iii) 描述该 NSS 可能受到的任务影响和机构响应；
(iv) 证明已经或将要实施所有可行的风险缓解措施。

(i) 发布例外规定流程，包括：报告时间表预期；格式；允许在一个例外中组合在一起的系统类别；和其他所需的信息元素，包括本备忘录第 3(b) 节中描述的那些元素。例外情况应足够详细，以建立和保持适当水平的全社区风险意识，并适当删减以保护敏感的情报来源或方法，并且分类不得超过绝密//SI//NOFORN；和
(ii) 与各机构协调，为每个机构建立一个权威资料库，以维护该机构授权的所有例外情况的综合清单，但须由指定的个人或基于特定的 NSA 网络防御任务角色访问，如国家之间达成的协议经理和机构负责人或指定人员。

(d) 机构的首席信息官应保留有关系统异常的内部记录，该记录足够详细，以有效和及时地识别和缓解可能影响这些系统的任何网络安全问题。

(e) 如果国家经理和机构负责人无法就例外理由的充分性、影响的描述、响应、缓解措施的充分性或对风险增加的总体接受程度达成一致，国家经理应要求机构负责人将差异报告给国防部长和国家情报总监，以进一步考虑其各自管辖范围内的系统。如果共同确定共同风险，国家经理在与系统所有者协调并仅在参与之后才可以包括其他相关机构。

4. NSS 政策制定或调整行动总结。在本备忘录发布之日起 90 天内，CNSS 应与国家经理协商，审查本备忘录并向 APNSA 提交 NSS 政策制定或调整行动及其实施时间表的摘要。本摘要将包括以前未在本备忘录中针对国家经理或机构的任何其他项目。

5. 一般规定。

(a) 本备忘录旨在补充 NSD-42。
(b) 本备忘录中的任何内容均不得解释为更改或取代：
(i) 法律授予行政部门或机构或其负责人的权力，包括保护情报来源和方法；
(ii) 管理和预算办公室主任与预算、行政或立法提案有关的职能。
(c) 本备忘录中的任何内容均未授权干预或指导反情报、人员、刑事或国家安全调查、逮捕、搜查、扣押或破坏行动，或更改要求机构保护信息的法律限制在反情报、人事、刑事或国家安全调查过程中学到的知识。
(d) 本备忘录应以符合适用法律的方式实施，并应视拨款情况而定。任何实施措施均不得妨碍情报活动的进行或支持，所有此类实施措施均应旨在保护情报来源和方法。
(e) 本备忘录无意也不会创造任何权利或利益，无论是实质性的还是程序性的，任何一方在法律上或衡平法上都可以针对美国、其部门、机构或实体、其官员、雇员执行，或代理人，或任何其他人。