拜登签署总统令 增强软件供应链安全

零信任安全不再只是联邦机构的一个选项。

拜登政府于5月12日发布了一项业界期待已久的网络安全行政命令（EO），要求联邦机构制定一个零信任安全架构的实施计划，旨在采用“大胆的举措”提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。

（图片来源网络）

在最近发生的网络攻击事件之后，这项授权属于对联邦网络安全现代化的更大推动，这些攻击通过利用承包商SolarWinds制作的软件和缺陷损害了联邦机构。

"行政命令有助于推动联邦政府确保云服务和零信任架构的安全，并授权在特定时间段内部署多因素身份验证和数据加密，"有关该命令的概况介绍中写道。"过时的安全模型和未加密的数据导致公共和私营部门的系统遭到破坏。联邦政府必须带头，增加对安全最佳实践的采用，包括采用零信任安全模式，加快安全云服务的移动，并持续部署基础安全工具，如多因素身份验证和数据加密。”

在60天内，机构负责人必须更新其现有计划，"优先利用和使用云技术的资源"，并根据国家标准和技术研究所（NIST）的指导，发布关于向零信任转移的新计划。

除此之外，管理和预算办公室将在未来90天内与国土安全部和总务管理局合作，制定和发布联邦云安全战略和指导意见。

而且，在180天内，民事机构将需要"对云服务中静态和传输中的数据采用多因素身份验证和数据加密，最大限度地符合联邦记录法和其他适用法律。

它还呼吁政府与私营部门之间加强威胁信息的共享，拜登总统行政命令的一大关键措施是强化供应链安全，要求所有联邦政府软件供应商都遵守有关网络安全的严格规则，否则有被列入黑名单的风险。最终，该总统命令计划创建一个“能源之星”标签，以便政府和公共购买者都可以快速轻松地查看软件是否遵循了安全开发规范。

拜登政府一位高级官员："目前市场对构建、销售和修补的开发意味着我们经常将具有重大漏洞的软件安装到一些最关键的系统和基础设施中。"维持现状的代价是完全不能接受的。

此外，该命令还要求设立一个类似于国家运输安全委员会的国家网络安全审查委员会，并制定应对网络安全事件的剧本。为此，行政当局命令各机构"利用一切适当资源和当局，通过改进终端检测和应对措施，最大限度地尽早发现其网络上的网络安全漏洞和事件"。

众议院国土安全委员会的民主党人对拜登的行政命令表示赞许。

"网络安全是一个国家安全问题，我们赞扬政府以这种方式确定优先级。SolarWinds 供应链攻击暂时关闭了 5500 英里的天然气管道，网络攻击危及我们的国家和经济安全，"纽约州众议员本尼·汤普森和纽约州众议员伊维特·克拉克说，"过去六个月发生的网络事件表明，今天和将来需要采取大胆行动来保卫我们的网络。总统今天签署的行政命令就是这样。”

本次总统令提出六大举措：

1. 政策支持。拜登指出，渐进式的改进不会给我们提供所需的安全性；相反，联邦政府需要做出大胆的改变并进行大量投资，以捍卫支撑美国生活方式的重要机构。
2. 消除威胁信息共享的障碍
3. 增强软件供应链安全
4. 增强软件供应链安全
5. 成立网络安全审查委员会
6. 联邦政府网络安全事件预案标准化