专业研究

美国当地时间5月12日，总统拜登签署“改善国家网络安全”行政令，旨在采取更加务实到位的措施来保护国家的网络安全。

众所周知，最近美国接连遭受网络攻击，包括“太阳风”（Solar Winds）、“微软邮件攻击”（Microsoft Exchange）和“科洛尼尔石油运输管道”（Colonial Pipeline）等一系列网络安全事件。在此背景下，该行政令的出台格外“应景”。

但实际上，该行政令并非临时起意，只不过科洛尼尔石油运输管道遭受网络攻击加速了它的出台。拜登就职美国总统之后，涉及网络安全的官员做出的系列表态，以及相关智库提出的政策建议，已经明确了美国政府在该领域将采取更加务实的举措来确保自身的网络安全。正如行政令所言，“联邦政府必须加强识别、威慑、防范、检测和应对这些行为及威胁者，仔细检视重大网络事件过程中发生的情况并吸取教训。”

具体来说，该行政令的重点内容集中在以下七大方面：

一是消除政府与私营部门之间信息共享的障碍，包括解除供应商合同义务约束、强制其提供网络威胁信息等；

二是在联邦政府中使用现代化的网络，实施更严格的网络安全标准，采用最佳安全实践，包括推动联邦政府迈向安全云服务、强制部署多因素身份验证和加密等；

三是改善软件供应链安全，包括设立软件开发基础安全标准、创建软件安全标签试点计划、利用联邦购买力激励市场等；

四是建立网络安全事务审查委员会，在重大网络安全事件发生后召集会议，以分析事件情况并提出改善网络安全的具体建议；

五是创建用于应对网络事件的标准手册，确保政府内部应对计划的成熟度，并为私营部门提供应对工作的模板；

六是改进对联邦政府网络安全事件的检测，包括启用整个政府范围内的终端检测和响应系统，以及改善联邦政府内部的信息共享；

七是提高调查和补救能力，向联邦部门和机构提出创建网络安全事件日志的要求。

从内容上来看，该行政令并不针对网络安全的全部问题，而专注于以下几个重要方面。

第一，推行标准合同，消除信息共享的障碍

信息共享对确保网络安全十分重要，但这项工作在美国始终遇到障碍。问题的症结在于绝大部分联邦信息系统是由私营服务提供商基于商业合同运行和支持的，而目前的合同普遍缺乏私营服务提供商与联邦机构共享信息的条款，有些合同甚至规避这样的共享行为，这严重妨碍政府快速获取信息。

对此，该行政令对联邦采购合同的条款提出了大量要求，并明确要求在60天内行政管理和预算局审查《联邦采购条例》和《联邦采购条例国防部补充规定》中与IT和OT服务提供商相关的合同要求，全力保证私营服务提供商能够把尽可能详细的信息报送给政府。

行政令通过改变合同规则，要求私营服务提供商完成四件事：一是按政府机构要求收集并保存其控制的所有信息系统的网络安全事件预防、检测、响应和调查的数据、信息和报告；二是与政府机构分享（潜在）网络安全事件的数据、信息和报告；三是与政府机构或调查机构合作，调查、响应与联邦信息系统相关的（潜在）事件；四是在事件响应和补救时尽可能以业界公认的格式与政府机构共享网络威胁和事件信息。

第二，建立网络安全审查委员会，深度介入民事网络安全事件

行政令明确了网络安全审查委员会须对影响联邦民事部门信息系统或非联邦系统的重大网络事件、威胁活动等进行审核和评估。而且委员会成员应由联邦官员和私营部门的网络安全代表或软件供应商组成。同时，委员会主席和副主席由国土安全部部长任命。

通过设立这样一个机构，政府机构可以更好地处置私营部门发生的网络安全事件。在此之前，对于私营部门掌握的关键基础设施遇到的网络安全事件，政府介入程度有限，正如此次科洛尼尔石油运输管道事件中政府面临的尴尬局面一样。而且，通过网络安全审查委员会，政府机构就可以对各个行业的网络安全事件进行监控。

第三，建立网络安全事件的标准化响应流程

行政令指出，当前各个机构采取不同流程对网络安全事件进行识别、修复和恢复，这使得牵头机构无法对各机构的事件进行更全面的分析。采用标准化响应流程可确保以较为一致和集中的方式对事件进行分类，并跟踪各机构响应安全事件的进度。行政令要求在120天内，由国土安全部部长（通过CISA局长）牵头，和相关政府机构一起制定标准化响应流程。

根据这一系列要求，CISA的总体协调作用将进一步强化。CISA在该行政令中主导了绝大部分的保障任务，包括在新设立的网络安全审查委员会中担任总协调的角色，同时审查各机构的安全响应计划等，这均有助于推动CISA成为政府机构中最主要的网络安全组织，改善“九龙治水”的局面。

总体来讲，“改善国家网络安全”行政令对美国的网络安全态势进行较为深入的分析，并提出了具体的改善措施，这对我国加强网络安全保护具有重要的借鉴意义。

（本文为原创文章，作者为王俊林律师、石陇辉律师助理。欢迎转载，转发请注明出处，侵权必究）