拜登簽署《改善國家網絡安全行政令》，對我國有哪些啓示？_風聞

本文轉自微信公眾號“中國信息安全研究院”，作者：左曉棟

5月12日，美國總統拜登簽署發佈了《改善國家網絡安全行政令》。該行政令其實早已開始起草，最近幾次嚴重的網絡攻擊事件加速了其出台，現對其評述如下。

一、進一步推行聯邦政府採購的標準合同條款，着重增加了網絡安全信息通報要求

信息共享對確保網絡安全十分重要。但這項工作在美國始終遇到障礙。其核心問題是，私營部門缺少信息共享動力，他們常常抱怨，這種共享不應該是單向的，既然政府很少向企業共享信息，那憑什麼企業要向政府提供信息呢？此外，美國的網絡安全信息共享受到兩部法律的限制。一個是《信息自由法》，聯邦政府收到企業報送的信息後，按照《信息自由法》規定，如果有公眾查詢，則必須向社會公開，這對企業當然不利。另一個是《反托拉斯法》，企業之間就信息共享達成一致後，有可能被認為是一種共謀行為，爾後將會受到反壟斷調查。對這些問題，美國政府一直在努力解決，但收效不大。那現在怎麼辦呢？管不了那麼多，先從能管的地方管起。美國政府的考慮是，既然很多企業是聯邦政府的合同商，那麼在合同中強制要求企業提供信息，這應該是可行的。其中的關鍵點是，這不再是一種聯邦政府的行政命令，而是一種受合同法保護的甲方與乙方的民事行為（而非行政行為），由此就避開了很多可能的非議。

行政令對聯邦採購的標準合同條款提出了大量要求，並明確了標準合同條款的起草時限，全力保障聯邦合同商能夠把儘可能詳細的信息報送給政府。這對我們的啓示是，當年我們的《網絡安全法》第三十六條規定了“關鍵信息基礎設施的運營者採購網絡產品和服務，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任”，但法律中提到的保密協議模板一直未能問世。而以上要求還只是簡單的保密協議，不涉及信息共享。由此看來，我國今後有必要對包括政府系統在內的關鍵信息基礎設施的採購合同提出更多的要求。

二、對聯邦網絡安全提出“現代化”要求

如何理解這個“現代化”？其中涉及兩個背景。一個背景是當年的OPM（聯邦人事局）被攻擊事件。該次攻擊導致美國聯邦僱員信息泄露，被認為損失慘重，特別是其在境外有大量在編間諜，都作為聯邦僱員列在名單上。經對事件調查，OPM的系統被認為太陳舊（當時有一部分系統尚採用了外包形式），自此美國聯邦政府開始使用“現代化”一詞，有革新、替換之意。另一個背景是美國政府近年來對聯邦網絡安全專業人才的調查。他們發現專業人才總是不夠，這麼下去顯然不是辦法，專業的事終究需要交給專業的人去做。所以，美國政府強調業務必須上雲，除了集約化建設優勢外，還可以把繁重的網絡安全工作交給專業的雲服務商去完成。

所以行政令中“網絡安全現代化”指的是政府加快上雲後的安全防護。這之前，美國聯邦政府是對雲服務商是有安全審批的，即FedRAMP計劃。該計劃要求所有為聯邦政府提供雲服務的平台必須通過安全審查，雲安全的防護要求已經在審查程序中涵蓋。此次是對政府上雲進一步提出要求，包括使用零信任架構保護向雲平台的遷移、對數據進行分級分類、實施多因子認證和加密等。

這對我們有什麼啓示呢？我國在2014年印發了對黨政機關上雲的要求，建立了網信辦、工信部、財政部、發改委聯合實施的黨政雲安全審查機制。2019年，中央網信辦又牽頭印發了另一個雲安全評估文件，將關鍵信息基礎設施上雲也納入了安全評估範疇。以上制度建立實施過程中，充分借鑑了美國FedRAMP制度。現在其制度更新了，特別是技術要求有了調整，我們有必要與時俱進。目前，我國的雲安全評估依據的技術標準GB/T 31168《雲計算服務安全能力要求》正在由我本人牽頭修訂，美國的情況變化為我們提供了一種有益的借鑑。

需要指出，一些自媒體宣傳説美國這個行政令是強推“零信任”，這一説法不完全客觀。事實上“零信任”是該行政令在對聯邦政府上雲所提的若干安全要求中的一類，很有意義，但不必誇大。

三、增強軟件供應鏈安全性

確保IT供應鏈安全是美國的國家戰略，這項事務早已部署。此次行政令舊事重提，主要在於其引入了一個“關鍵軟件（critical software）”的概念。在航空航天等涉及生命安全的領域，“safety critical software”的概念由來已久，並衍生出了針對這類軟件的大量開發標準。所以，對某類特定的軟件提出專門要求，這不是新的思路。但此次的“關鍵軟件”側重於網絡安全影響，主要是與系統特權或直接訪問網絡、計算機資源相關的軟件，這則是首次出現該概念。目前，拜登政府還沒有對“關鍵軟件”作定義（要求行政令發佈後45天內給出定義），但從行政令的描述看，其關注的是關鍵軟件的“可信性”（實施更加嚴格和可預測機制，以確保產品功能安全且可預期——implement more rigorous and predictable mechanisms for ensuring that products function securely, and as intended）。這與可信計算的內涵是一致的，但從行政令的具體要求看，其顯然又比可信計算的範圍廣。例如，對開發環境安全、源代碼完整性、漏洞檢測、第三方組件控制、軟件物料清單等均提出了要求。

目前看，美國聯邦政府即將啓動一項專門行動，建立一套有關“關鍵軟件”安全性的合格評定程序，並將其納入聯邦採購程序之中。

以上措施表明，美國政府正在不斷將供應鏈安全問題深化和細化，關切點正在聚焦到特定IT產品和服務。這個問題的實質是，是否以及如何對IT產品提出網絡安全要求？目前，我國的網絡安全合格評定製度主要將網絡安全產品和服務作為對象，這本身便與《網絡安全法》的相關要求有距離。網絡安全審查制度面向的雖然是通用IT產品和服務，但不屬於“合格評定”制度，並不依據具體標準，主要關注的是國家安全風險。因此，在我國後續推動網絡安全供應鏈工作時，有必要借鑑美國此次的做法。

四、建立網絡安全審查委員會

僅就此次行政令而言，建立一個網絡安全審查委員會是十分必要的，以對網絡安全重大事件進行審查和評估，並提出處置建議。但問題是，美國這樣一個很早就開始網絡安全戰略佈局的大國，怎麼可能才開始對網絡安全事件處置作安排呢？事實上，早在2016年7月，美國白宮就印發了第41號總統政策令《美國網絡事件協調》，從中已經建立了整套跨機構事件協調處置流程。此後，2016年12月，美國國土安全部又印發了《國家網絡事件響應計劃》。以上政策文件當然明確了對網絡安全事件的分析研判機制。

那麼，此次行政令要求再成立一個負責事件審查和評估的委員會幹什麼呢？與原有的機制如何協調？從網絡安全審查委員會的人員組成中可以找到答案。行政令指出，委員會關注的是聯邦民事部門（區別於國家安全系統）和非聯邦機構遇到的網絡安全事件，且委員會成員含私營部門實體的代表。不僅如此，委員會主席和副主席之中，必須包含一名聯邦政府官員和一名私營部門成員。在《美國網絡事件協調》和《國家網絡事件響應計劃》中，此前均未明確私營部門的參與方式，私營部門也沒有獲得如此深的參與度。

由此可以得出三個結論：（1）這個委員會的成立，並不改變美國聯邦政府原有的網絡安全事件處置流程。（2）這個委員會的成立，是為了更好地處置私營部門發生的網絡安全事件。這之前，對於私營部門掌握的關鍵基礎設施遇到的網絡安全事件，美國聯邦政府介入程度有限，正如此次Colonial Pipeline受攻擊時政府的尷尬局面一樣。而這一次，通過設立網絡安全審查委員會，聯邦政府的“手”就可以伸得更長了。（3）這個委員會將更多地關注宏觀和全局事務，如發生網絡安全事件後對各個行業的影響，對具體事件按照既有流程處置即可。

五、提升漏洞和事件處置能力

行政令在漏洞和事件處置方面，提出了三類舉措。第一類是，鑑於各聯邦機構對漏洞和事件處置的方式方法各不相同，應建立標準程序。第二類是，改進對聯邦政府網絡安全漏洞和事件的檢測能力。第三類是，發掘聯邦信息系統日誌的價值，明確對日誌的具體要求，使其能更好地為事件處置提供支持。

為此，行政令宣佈，在美國聯邦機構內實施終端檢測和響應計劃（EDR）。EDR技術在業內早已成熟，但美國聯邦政府前些年致力於“愛因斯坦系統”的部署，尚未對EDR充分重視。兩類系統的部署方式不同，但可互為補充，此舉將有利於美國政府形成更全面、實時的網絡安全監測能力。根據行政令要求，國土安全部長應在一個月內提出EDR備選方案建議。目前，我國很多部門、地方、行業都在建立網絡安全態勢感知系統，或加強威脅情報能力建設，美國在整體聯邦政府範圍內實施的這一行動及其實施效果值得關注。