為因應來自其他國家與犯罪份子對美國公私部門及關鍵基礎設施持續的網路威脅,美國在2025年1月16日發布《加強和促進國家網路安全創新》行政命令(Executive Order on Strengthening and
Promoting Innovation in the Nation’s Cybersecurity)。該行政命令旨在要求美國聯邦政府採取更多行動,包含提升軟體及雲端服務供應者的責任、強化聯邦通訊與身分管理系統的安全、促進新興科技在網路安全領域的創新發展與使用等,以強化國家整體網路安全,並提升因應威脅的能力。
圖片來源:The White House FB
針對美國近日發布的《加強和促進國家網路安全創新》行政命令,國家資通安全研究院國合及資安治理中心(國合治理中心)彙整出八大重點摘要,可作為企業規劃網路安全政策的參考。
一、因應國家級及惡意行為者的網路威脅,全面提升美國防禦能力
該行政命令明確指出,需要因應來自中國等國家級行為者及其他惡意行為者,對美國公私部門及關鍵基礎設施的網路威脅,全面提升美國網路防禦能力。
二、持續強化軟體供應商及雲服務供應商的責任
供應鏈的複雜性以及組織或企業對供應鏈控制能力的侷限,已成為組織或企業管理層的主要擔憂。根據調查,有54%的大型組織將供應鏈網路安全視為主要挑戰,分別呈現以下3個方面:
- 修改聯邦採購合約,要求供應商提交機器可讀的安全聲明及驗證工件(Artifact),並通過網路安全暨關鍵基礎設施安全局(CISA)的軟體聲明與工件儲存庫(RSAA)集中管理和驗證;
- 聯邦政府將基於NIST SP 800-218《安全軟體開發框架》,制定涵蓋軟體開發、安全性及營運實踐的指引,並透過國家網路安全卓越中心(National Cybersecurity Center of Excellence)與業界建立聯盟,以確保軟體供應鏈的透明性與安全性;
- 要求聯邦政府機關依據NIST SP 800-161《系統與組織的供應鏈網路安全風險管理指引》,將供應鏈安全整合至全組織的風險評估與管理過程,並應涵蓋至採購全生命周期,包括供應商選擇、合約管理及績效評估。且機關須定期向管理與預算辦公室(OMB)報告實施進度。
三、改善聯邦資訊系統的網路安全
提升威脅狩獵與情資共享能力:為因應國家級網軍威脅,美國行政命令授權國土安全部(DHS)透過CISA局長與聯邦資訊長委員會及聯邦資安長委員會協調,開發技術能力以即時存取並分析聯邦民事行政分支(FCEB)機關的端點檢測與回應(EDR)解決方案及安全營運中心(SOC)所蒐集的資料;從而強化威脅狩獵(Threat Hunting)能力,更快速找出跨機關橫向移動的威脅,並統籌聯邦政府範圍內的資訊安全(Information Security)政策與實踐,包括蒐集、分析並因應威脅資訊安全的事件。
制定聯邦雲端安全配置基準:總務管理局(GSA)將透過聯邦風險與授權管理計畫(FedRAMP)主任,與國家標準暨技術研究院(NIST)及CISA協作,制定FedRAMP政策與實踐。此舉旨在鼓勵或要求納入FedRAMP市場的雲服務供應商,針對聯邦機關的雲端系統提出配置基準的規範與建議;幫助各機關依自身需求安全部署雲端基礎設施,從而保障聯邦資料的安全性。
保護太空系統及數位基礎設施:包括要求加密指令傳輸以防止未經授權的存取與篡改;建立異常活動檢測與回應機制;及採用符合《安全軟體開發框架》(SSDF)的軟硬體開發實踐,確保太空系統具備在受威脅環境中運作的韌性與安全性。
四、全面提升聯邦通訊安全與資料傳輸保護
加強網路路由安全性,特別是針對邊界閘道協議(BGP)攻擊的防範;
提升域名系統(DNS)流量安全性,要求相關系統支援加密協議以保護資訊機密性與完整性;
強化電子郵件、語音及視訊通訊的加密防護:要求在傳輸過程中實施加密,以確保基本的資料安全性;若技術條件允許,鼓勵優先採用點對點加密,進一步提升通訊的機密性和完整性;
要求聯邦政府過渡到後量子加密(PQC),以因應量子運算破密威脅:相關舉措包括發布支援PQC產品的清單、在招標中加入PQC要求、促進與國際友盟及合作夥伴的協調以推動全球過渡至NIST標準化的PQC算法,並在2030年1月2日前完成過渡。
五、因應網路犯罪與詐欺
推動使用數位身份文件以改善公共福利計畫的身份驗證:此舉旨在減少身份詐欺並提高效率。相關措施包括協助各州開發移動駕照、制定數位身份驗證指引,並要求相關數位身份文件支援跨系統操作且不涉及使用者追蹤等。
推廣隱私保護的「是/否」驗證服務以減少身分詐欺:通過隱私保護的「是/否」屬性驗證服務,公共福利計畫可確認身份資訊的真實性,而無需共享官方記錄內容。此服務將用於身份驗證、防詐欺運營及相關調查。
試行公共福利計畫支付的詐欺預警系統:財政部將與總務管理局合作推動示範計畫,在個人或實體身份資訊被用於申請公共福利計畫支付時發出預警通知,並向執法機關報告可疑行為,以防範潛在的詐欺交易。
六、推動AI技術在網路防禦領域的應用
在關鍵基礎設施的能源領域與私營業者合作,推動以AI強化網路防禦之示範計畫;
責成國防部(DoD)推動計畫,透過先進AI模型提升網路防禦;
支持開發推動網路防禦研究所需之大規模的標註資料集(Large-scale, Labeled Datasets),並確保現有的網路防禦研究資料集在考量商業機密及國家安全的前提下,能以安全或公開方式最大限度地向更廣泛的學術研究界開放;
優先推動AI與網路安全跨領域的創新研究,包括防禦性網路分析的人機互動方法、AI生成代碼的安全保障(Security)、安全AI系統設計、涉及AI系統的網路事件之預防與應對等;
將AI弱點管理納入聯邦政府既有的跨機關協作機制,進一步加強威脅資訊的共享、事件追蹤及應對能力。
七、聯邦政府將推動IT現代化與網路安全標準化
OMB規劃在三年內發佈指引,協助各機關落實零信任架構和多層次安全控制(例如EDR、加密、釣魚防護型多因子驗證)等措施,同時提升威脅可視性(Visibility)與資訊共享能力。
CISA、NIST、OMB將合作推動「規則即代碼」(Rules-as-Code)示範計畫,將網路安全政策轉化為機器可讀版本,以提升政策落實效率。
聯邦採購法規也將根據NIST指導修訂,要求承包商遵守最低網路安全實踐。
自2027年起,聯邦政府機關所採購的消費性物聯網產品,需符合「美國網路信任標章」(Cyber Trust Mark)的標籤要求,以促進市場信任並推動安全標準化
八、強化對重大惡意網路活動的究責與嚇阻
修訂行政命令13694號《凍結參與重大惡意網路活動的人員之財產》,擴大制裁範圍,新增制裁條款涵蓋勒索軟體攻擊、未經授權存取或中斷關鍵基礎設施運作、干預選舉過程及篡改資料等行為;並將協助、支持或資助惡意行為的個人與實體、高層管理人員,以及試圖從事相關活動的行為納入制裁範圍。此外,針對外國行為者資源挪用及跨境制裁規避的行為,也明確授權財政部採取制裁措施,進一步增強對新型網路威脅的究責和嚇阻能力。。
資料來源:
- 2025/1/20,國家資通安全研究院國際合作及資安治理中心「美國白宮《加強和促進國家網路安全創新》行政命令摘要分析」。
- 2025/1/17,美國總統辦公室第14144號行政命令:Strengthening and Promoting Innovation in the Nation’s Cybersecurity。
|
