1月16日，拜登政府簽署了《關(guān)于加強(qiáng)和促進(jìn)國(guó)家網(wǎng)絡(luò)安全的行政命令》，旨在應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)威脅，尤其是中俄等國(guó)對(duì)美國(guó)政府和關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)網(wǎng)絡(luò)攻擊。該命令是對(duì)2021年5月發(fā)布的首份網(wǎng)絡(luò)安全行政令的延續(xù)，繼續(xù)深化了推進(jìn)零信任安全架構(gòu)遷移、加強(qiáng)軟件供應(yīng)鏈安全、建立漏洞披露政策等措施。

該命令強(qiáng)調(diào)了加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的重要性，通過(guò)加強(qiáng)監(jiān)管、技術(shù)創(chuàng)新和國(guó)際合作方式，提出了旨在加強(qiáng)軟件供應(yīng)鏈安全、聯(lián)邦信息系統(tǒng)安全、聯(lián)邦通信安全等目標(biāo)及相關(guān)措施，并推動(dòng)后量子密碼過(guò)渡、利用人工智能提升網(wǎng)絡(luò)防御能力、改善云服務(wù)安全，為下一屆政府的網(wǎng)絡(luò)安全工作提供了框架。

目錄

1　政策

2　提高第三方軟件供應(yīng)鏈的透明度和安全性

3　改善聯(lián)邦系統(tǒng)的網(wǎng)絡(luò)安全地，獲得更獨(dú)特的體驗(yàn)

4　加強(qiáng)聯(lián)邦通信安全

5　解決網(wǎng)絡(luò)犯罪和欺詐問(wèn)題

6　利用和促進(jìn)人工智能安全

7　將政策與做法相結(jié)合

8　國(guó)家安全系統(tǒng)和致癱影響系統(tǒng)

9　打擊重大惡意網(wǎng)絡(luò)活動(dòng)的其他措施

10　定義

11　通用條款

第1條　政策

敵對(duì)國(guó)家和犯罪分子繼續(xù)對(duì)美國(guó)及美國(guó)人民發(fā)動(dòng)網(wǎng)絡(luò)攻擊，其中中華人民共和國(guó)對(duì)美國(guó)政府、私營(yíng)部門和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)構(gòu)成了最活躍、最持久的網(wǎng)絡(luò)威脅。這些攻擊妨礙了美國(guó)的關(guān)鍵服務(wù)，造成數(shù)十億美元的損失，并損害了美國(guó)人的安全和隱私。為應(yīng)對(duì)這些威脅，必須采取更多措施來(lái)改善美國(guó)的網(wǎng)絡(luò)安全。

基于2021年5月12日發(fā)布的第14028號(hào)行政命令（關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令）以及《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》詳述的舉措，美國(guó)將采取更多行動(dòng)來(lái)改善其網(wǎng)絡(luò)安全，其中的重點(diǎn)是保護(hù)數(shù)字基礎(chǔ)設(shè)施，保護(hù)對(duì)數(shù)字領(lǐng)域至關(guān)重要的服務(wù)和能力，提升應(yīng)對(duì)關(guān)鍵威脅（包括來(lái)自中華人民共和國(guó)的威脅）的能力，加強(qiáng)對(duì)軟件提供商和云服務(wù)提供商的問(wèn)責(zé)，強(qiáng)化聯(lián)邦層面的通信系統(tǒng)和身份管理系統(tǒng)的安全性，并推動(dòng)各行政部門和機(jī)構(gòu)（以下簡(jiǎn)稱“各機(jī)構(gòu)”）以及私營(yíng)部門在網(wǎng)絡(luò)安全方面開(kāi)展創(chuàng)新和使用新興技術(shù)。

第2條　提高第三方軟件供應(yīng)鏈的透明度和安全性

（a）聯(lián)邦政府和我國(guó)的關(guān)鍵基礎(chǔ)設(shè)施依賴于軟件提供商。然而，不安全的軟件仍然是提供商和用戶面臨的一大挑戰(zhàn)，并使聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)容易受到惡意網(wǎng)絡(luò)事件的影響。聯(lián)邦政府必須繼續(xù)采用安全的軟件采購(gòu)做法，并采取措施確保軟件提供商使用安全的軟件開(kāi)發(fā)做法，以減少／減輕其所生產(chǎn)軟件中的漏洞的數(shù)量和嚴(yán)重程度。

（b）2021年的第14028號(hào)行政命令指示采取行動(dòng)，以提高聯(lián)邦政府工作所需軟件的安全性和完整性。該命令指示制定關(guān)于安全軟件開(kāi)發(fā)做法的指南，以及生成和提供以人工或自動(dòng)化方式生成的工件（即計(jì)算機(jī)記錄或數(shù)據(jù)）來(lái)證明符合采取了這些做法。此外，第14028號(hào)命令還指示管理與預(yù)算局（OMB）局長(zhǎng)要求各機(jī)構(gòu)僅使用那些“被證明使用了安全軟件開(kāi)發(fā)做法”的提供商的軟件。在某些情況下，向聯(lián)邦政府提供軟件的提供商雖承諾遵循網(wǎng)絡(luò)安全做法，但并未修復(fù)其軟件中可被利用的已知漏洞，而這將使政府面臨被入侵的風(fēng)險(xiǎn)。聯(lián)邦政府需要采用更嚴(yán)格的第三方風(fēng)險(xiǎn)管理做法，并確保支持政府關(guān)鍵服務(wù)的軟件提供商遵循其所聲明的做法。

（i）在本命令發(fā)布之日起的30天內(nèi)，OMB局長(zhǎng)應(yīng)分別通過(guò)商務(wù)部（由商務(wù)部長(zhǎng)指示國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）院長(zhǎng)開(kāi)展相關(guān)工作）和國(guó)土安全部（DHS）（由國(guó)土安全部部長(zhǎng)指示網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）局長(zhǎng)開(kāi)展相關(guān)工作），與商務(wù)部長(zhǎng)和國(guó)土安全部長(zhǎng)進(jìn)行協(xié)商，從而向聯(lián)邦采購(gòu)監(jiān)管委員會(huì)（以下簡(jiǎn)稱“FAR委員會(huì)”）建議如何制定合同，而此類合同應(yīng)要求軟件提供商通過(guò)CISA的“軟件證明與工件庫(kù)”（RSAA），將以下材料提交給CISA：

1. 機(jī)器可讀的安全軟件開(kāi)發(fā)證明文件。
2. 驗(yàn)證這些證明文件的高級(jí)工件。
3. 提供商的聯(lián)邦民事行政部門（FCEB）機(jī)構(gòu)軟件客戶列表。

（ii）在收到本條第（b）款第（i）項(xiàng)所述建議之日起的120天內(nèi)，F(xiàn)AR委員會(huì)應(yīng)審查這些建議，且國(guó)防部長(zhǎng)、總務(wù)管理局（GSA）局長(zhǎng)和國(guó)家航空航天局（NASA）局長(zhǎng)（FAR委員會(huì)的機(jī)構(gòu)成員）應(yīng)聯(lián)合采取措施修改《聯(lián)邦采購(gòu)條例》（FAR）以實(shí)施這些建議。FAR委員會(huì)的機(jī)構(gòu)成員被強(qiáng)烈鼓勵(lì)酌情根據(jù)適用法律考慮發(fā)布臨時(shí)最終規(guī)則。

（iii）在本條第（b）款第（i）項(xiàng)所述建議發(fā)布之日起的60天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)評(píng)估“生成、接收和驗(yàn)證機(jī)器可讀的安全軟件開(kāi)發(fā)證明和工件”的新興方法，并酌情為軟件提供商提供關(guān)于“向CISA的RSAA網(wǎng)站提交這些證明和工件”的指導(dǎo)，包括關(guān)于通用數(shù)據(jù)架構(gòu)和格式的指導(dǎo)。

（iv）在對(duì)本條第（b）款第（ii）項(xiàng)所述的聯(lián)邦采購(gòu)監(jiān)管（FAR）事宜進(jìn)行任何修改之日起的30天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)制定一項(xiàng)程序，以集中驗(yàn)證所有證明形式的完整性。CISA應(yīng)使用RSAA中的高級(jí)工件來(lái)持續(xù)驗(yàn)證取自完整證明文件的樣本。

（v）如果CISA發(fā)現(xiàn)證明文件不完整，或工件不足以驗(yàn)證證明文件，CISA局長(zhǎng)則應(yīng)將此事通知軟件提供商和簽約機(jī)構(gòu)。CISA局長(zhǎng)應(yīng)制定相關(guān)流程，以便軟件提供商對(duì)CISA的初步?jīng)Q定作出回應(yīng)，以及讓CISA適當(dāng)考慮此類回應(yīng)。

（vi）對(duì)于經(jīng)過(guò)驗(yàn)證的證明文件，CISA局長(zhǎng)應(yīng)通知國(guó)家網(wǎng)絡(luò)總監(jiān)，后者應(yīng)公開(kāi)發(fā)布結(jié)果，標(biāo)明軟件提供商和軟件版本。本命令鼓勵(lì)國(guó)家網(wǎng)絡(luò)總監(jiān)將驗(yàn)證失敗的證明文件轉(zhuǎn)交司法部長(zhǎng)，由后者采取適當(dāng)行動(dòng)。

（c）僅靠安全軟件開(kāi)發(fā)做法，還不足以應(yīng)對(duì)“有資源和決心的國(guó)家行為體”帶來(lái)的網(wǎng)絡(luò)事件風(fēng)險(xiǎn)。為了減輕此類事件的風(fēng)險(xiǎn)，軟件提供商還必須確保軟件交付過(guò)程及軟件本身的安全性。聯(lián)邦政府必須確定一套協(xié)調(diào)一致、實(shí)用且有效的安全做法，并要求在采購(gòu)軟件時(shí)遵循此類做法。

（i）在本命令發(fā)布之日起的60天內(nèi)，商務(wù)部長(zhǎng)應(yīng)指示NIST院長(zhǎng)與參與國(guó)家網(wǎng)絡(luò)安全卓越中心的企業(yè)建立聯(lián)盟，并酌情根據(jù)該聯(lián)盟提供的信息制定指導(dǎo)文件，而該指導(dǎo)文件應(yīng)證明落實(shí)了基于NIST特別出版物800-218（NIST SP 800-218）《安全軟件開(kāi)發(fā)框架（SSDF）》的安全軟件開(kāi)發(fā)做法、安全措施和操作做法。

（ii）在本命令發(fā)布之日起的90天內(nèi)，商務(wù)部長(zhǎng)應(yīng)指示NIST院長(zhǎng)更新NIST特別出版物800-53（NIST SP 800-53）《信息系統(tǒng)和組織的安全與隱私控制》，以提供關(guān)于如何安全可靠地部署補(bǔ)丁和更新內(nèi)容的指導(dǎo)。

（iii）在本命令發(fā)布之日起的180天內(nèi)，商務(wù)部長(zhǎng)應(yīng)指示NIST院長(zhǎng)在于與其認(rèn)為適當(dāng)?shù)臋C(jī)構(gòu)負(fù)責(zé)人協(xié)商后，開(kāi)發(fā)和公布SSDF的初步更新版本。此更新版應(yīng)包括關(guān)于安全可靠地開(kāi)發(fā)和交付軟件以及確保軟件自身安全的做法、程序、控制措施和實(shí)施示例。自公布初步更新版之日起的120天內(nèi)，商務(wù)部長(zhǎng)應(yīng)指示NIST院長(zhǎng)公布SSDF的最終版本。

（iv）在本條第（c）款第（iii）項(xiàng)所述的SSDF最終版更新之日起的120天內(nèi)，OMB局長(zhǎng)應(yīng)將NIST更新后的SSDF中所包含的安全軟件開(kāi)發(fā)和交付做法，納入OMB備忘錄M-22-18《通過(guò)安全軟件開(kāi)發(fā)做法增強(qiáng)軟件供應(yīng)鏈的安全性》或相關(guān)要求中。

（v）在發(fā)布本條第（c）款第（iv）項(xiàng)所述的OMB更新文件之日起的30天內(nèi)，CISA局長(zhǎng)應(yīng)準(zhǔn)備對(duì)CISA的安全軟件開(kāi)發(fā)證明文件的通用表格進(jìn)行修訂，使之符合OMB的要求，并啟動(dòng)按《文書(shū)減少法》（《美國(guó)法典》第44編第3501節(jié)（44 U.S.C. 3501）及后續(xù)條款）規(guī)定批準(zhǔn)修訂版表格所需的任何程序。

（d）隨著各機(jī)構(gòu)改進(jìn)其網(wǎng)絡(luò)防御，對(duì)手已瞄準(zhǔn)機(jī)構(gòu)供應(yīng)鏈中的薄弱環(huán)節(jié)以及聯(lián)邦政府所依賴的產(chǎn)品和服務(wù)。各機(jī)構(gòu)需要將網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃納入全機(jī)構(gòu)的風(fēng)險(xiǎn)管理活動(dòng)中。在本命令發(fā)布之日起的90天內(nèi)，OMB局長(zhǎng)應(yīng)與商務(wù)部長(zhǎng)（通過(guò)NIST院長(zhǎng)行事）、總務(wù)管理局局長(zhǎng)和聯(lián)邦采購(gòu)安全委員會(huì)（FASC）進(jìn)行協(xié)調(diào)，以采取措施要求（OMB局長(zhǎng)認(rèn)為適當(dāng)?shù)模└鳈C(jī)構(gòu)遵守NIST特別出版物800-161（NIST SP 800-161修訂版1）《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理做法》中的指導(dǎo)。OMB應(yīng)要求各機(jī)構(gòu)在完成實(shí)施后，每年向OMB提供相關(guān)最新情況。根據(jù)SP 800-161修訂版1， OMB的要求中應(yīng)包括通過(guò)采購(gòu)規(guī)劃、來(lái)源選擇、責(zé)任確定、安全合規(guī)評(píng)估、合同管理和績(jī)效評(píng)估等環(huán)節(jié)，將網(wǎng)絡(luò)安全融入采購(gòu)壽命周期中。

（e）開(kāi)源軟件在聯(lián)邦信息系統(tǒng)中發(fā)揮著關(guān)鍵作用。為幫助聯(lián)邦政府繼續(xù)獲得開(kāi)源軟件的創(chuàng)新效益和成本效益，并為開(kāi)源軟件生態(tài)系統(tǒng)的網(wǎng)絡(luò)安全做出貢獻(xiàn)，各機(jī)構(gòu)必須更好地管理其開(kāi)源軟件使用方式。在本命令發(fā)布之日起的120天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)與OMB局長(zhǎng)、總務(wù)管理局局長(zhǎng)和其他適當(dāng)機(jī)構(gòu)負(fù)責(zé)人進(jìn)行協(xié)商，共同向各機(jī)構(gòu)提議關(guān)于“如何使用安全評(píng)估、修補(bǔ)開(kāi)源軟件以及為開(kāi)源軟件項(xiàng)目做出貢獻(xiàn)”的最佳做法。

第3條　改善聯(lián)邦系統(tǒng)的網(wǎng)絡(luò)安全

（a）聯(lián)邦政府必須采用經(jīng)過(guò)驗(yàn)證的企業(yè)界安全做法（包括身份和訪問(wèn)管理），以提高網(wǎng)絡(luò)威脅的可視性和加強(qiáng)云安全。

（b）為優(yōu)先投資新的防釣魚(yú)身份驗(yàn)證方案所需的創(chuàng)新性身份技術(shù)和流程，各FCEB應(yīng)以O(shè)MB和CISA自第14028號(hào)行政命令發(fā)布以來(lái)所制定的文件和確立的機(jī)制為基礎(chǔ)，通過(guò)試點(diǎn)部署或更大規(guī)模的部署（視情況而定）踐行商業(yè)防釣魚(yú)標(biāo)準(zhǔn)（如WebAuthn）。這些試點(diǎn)部署應(yīng)用于指導(dǎo)未來(lái)聯(lián)邦層面的身份、憑證和訪問(wèn)管理策略的發(fā)展方向。

（c）聯(lián)邦政府必須保持“能迅速有效地識(shí)別整個(gè)聯(lián)邦機(jī)構(gòu)范圍內(nèi)的各種威脅”的能力。在第14028號(hào)行政命令中，指示國(guó)防部長(zhǎng)和國(guó)土安全部長(zhǎng)制定程序，立即共享威脅信息，以加強(qiáng)國(guó)防部和民用網(wǎng)絡(luò)的集體防御。為識(shí)別威脅活動(dòng)，必須增強(qiáng)CISA根據(jù)《美國(guó)法典》第44編第3553節(jié)第（b）條第（7）款在各FCEB內(nèi)搜尋和識(shí)別威脅的能力。

（i）國(guó)土安全部部長(zhǎng)應(yīng)指示CISA局長(zhǎng)與聯(lián)邦首席信息官（CIO）委員會(huì)和聯(lián)邦首席信息安全官（CISO）委員會(huì)進(jìn)行協(xié)調(diào)，以開(kāi)發(fā)技術(shù)能力來(lái)及時(shí)獲取來(lái)自各FCEB機(jī)構(gòu)的端點(diǎn)檢測(cè)與響應(yīng)（EDR）解決方案以及來(lái)自各FCEB安全運(yùn)營(yíng)中心的所需數(shù)據(jù)，從而實(shí)現(xiàn)以下目標(biāo)：

1. 及時(shí)搜尋和識(shí)別整個(gè)聯(lián)邦文職機(jī)構(gòu)中的新型網(wǎng)絡(luò)威脅和漏洞。
2. 識(shí)別同時(shí)針對(duì)多個(gè)機(jī)構(gòu)并在聯(lián)邦機(jī)構(gòu)中橫向移動(dòng)的協(xié)調(diào)性網(wǎng)絡(luò)攻擊活動(dòng)。
3. 協(xié)調(diào)政府范圍內(nèi)的信息安全政策和做法，包括匯編和分析關(guān)于威脅到信息安全的各事件的信息。

（ii）在本命令發(fā)布之日起的180天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)與聯(lián)邦CIO和CISO委員會(huì)進(jìn)行協(xié)調(diào)，以制定和發(fā)布一種行動(dòng)概念，從而使CISA能夠獲得“實(shí)現(xiàn)本條第（c）款第（i）項(xiàng)所述目標(biāo)”所需的數(shù)據(jù)。OMB局長(zhǎng)應(yīng)監(jiān)督該行動(dòng)概念的制定工作，期間應(yīng)考慮各機(jī)構(gòu)的觀點(diǎn)和本條所述目標(biāo)，并應(yīng)批準(zhǔn)最終的行動(dòng)概念。該行動(dòng)概念應(yīng)包括：

1. 要求各FCEB向CISA提供足夠完整且符合時(shí)間要求的數(shù)據(jù)，以使CISA能夠?qū)崿F(xiàn)本條第（c）款第（i）項(xiàng)所述目標(biāo)。
2. 要求CISA在直接從各機(jī)構(gòu)的EDR解決方案獲取所需遙測(cè)數(shù)據(jù)時(shí)，提前通知各FCEB。
3. 各機(jī)構(gòu)可根據(jù)本條第（c）款第（ii）項(xiàng)第（A）目中的要求提供遙測(cè)數(shù)據(jù)，而不是讓CISA直接訪問(wèn)其EDR解決方案的具體用例。
4. 用于管理“CISA如何訪問(wèn)各機(jī)構(gòu)EDR解決方案的高級(jí)技術(shù)和政策控制措施”的相關(guān)要求，這些要求應(yīng)符合被廣泛接受的網(wǎng)絡(luò)安全原則，包括基于角色的訪問(wèn)控制、“最小權(quán)限”和職責(zé)分離等原則。
5. 對(duì)“為保護(hù)數(shù)據(jù)的機(jī)密性或完整性，而受法定限制、監(jiān)管限制或司法限制的高度敏感的機(jī)構(gòu)數(shù)據(jù)”的專項(xiàng)保護(hù)措施。
6. 行動(dòng)概念的附錄，該附錄應(yīng)明確按本條第（c）款第（ii）項(xiàng)第（C）目之規(guī)定，適用于司法部的某些具體用例類型（包括本條第（c）款第（vi）項(xiàng)和第（c）款第（vii）項(xiàng)中描述的某些信息類別），此外該附錄還應(yīng)要求在在司法部或其下屬機(jī)構(gòu)的網(wǎng)絡(luò)上實(shí)施行動(dòng)概念之前，司法部應(yīng)先同意該附錄中的條款。

（iii）在開(kāi)展本條第（c）款所述活動(dòng)時(shí)，除非有關(guān)機(jī)構(gòu)獲得其它授權(quán)，否則國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)，僅當(dāng)CISA要求進(jìn)行威脅搜尋，或CISA根據(jù)《美國(guó)法典》第44編第3553節(jié)第（b）條第（7）款（44 U.S.C. 3553（b）（7））的授權(quán)開(kāi)展威脅搜尋時(shí)，方可對(duì)該機(jī)構(gòu)的網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)進(jìn)行更改。

（iv）在發(fā)布本條第（c）款第（ii）項(xiàng)所述技術(shù)控制措施之日起的30天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)，應(yīng)建立面向所有機(jī)構(gòu)的工作組，以制定和發(fā)布實(shí)現(xiàn)本條第（c）款第（ii）項(xiàng)所述目標(biāo)的具體技術(shù)控制措施，并與EDR解決方案提供商合作，在各FCEB的EDR解決方案中部署這些控制措施。國(guó)土安全部長(zhǎng)應(yīng)指示CISA局長(zhǎng)，對(duì)于CISA授權(quán)在“持續(xù)診斷和緩解項(xiàng)目”中使用的每項(xiàng)EDR解決方案，CISA都至少應(yīng)建立一個(gè)對(duì)應(yīng)的工作組，且所有這些工作組都應(yīng)允許所有機(jī)構(gòu)參與，并至少包含一名使用指定EDR解決方案的FCEB派出的代表。

（v）在發(fā)布本條第（c）款第（iv）項(xiàng)所述技術(shù)控制措施之日起的180天內(nèi)，凡是使用了“這些控制措施所涵蓋的EDR解決方案”的端點(diǎn)，各FCEB負(fù)責(zé)人都應(yīng)將其納入CISA的“持續(xù)訪問(wèn)能力”項(xiàng)目。

（vi）在本命令發(fā)布之日起的90天內(nèi)，并在此后根據(jù)需要定期，各FCEB負(fù)責(zé)人應(yīng)向CISA提供“需要額外控制措施或要求在特定時(shí)期不得中斷”的系統(tǒng)、端點(diǎn)和數(shù)據(jù)集清單及相關(guān)解釋文檔，并在此后根據(jù)需要定期提供此類清單和解釋文檔，以確保CISA的威脅搜尋活動(dòng)不會(huì)破壞對(duì)任務(wù)至關(guān)重要的行動(dòng)。

（vii）當(dāng)有關(guān)機(jī)構(gòu)數(shù)據(jù)受到法定、監(jiān)管或司法訪問(wèn)限制時(shí)，CISA局長(zhǎng)應(yīng)按該機(jī)構(gòu)所要求的程序和流程來(lái)訪問(wèn)此類數(shù)據(jù)，或與該機(jī)構(gòu)合作制定不違反任何此類限制的適當(dāng)行政安排，以確保數(shù)據(jù)不會(huì)受到未經(jīng)授權(quán)的訪問(wèn)或使用。

（viii）本命令中的任何內(nèi)容，均不應(yīng)理解為要求各機(jī)構(gòu)提供受法院命令保護(hù)不得披露的信息，或提供根據(jù)司法程序要求保密的信息。

（d）聯(lián)邦信息系統(tǒng)的安全依賴于政府云服務(wù)的安全。在本命令發(fā)布之日起的90天內(nèi)，總務(wù)管理局局長(zhǎng)、商務(wù)部長(zhǎng)和國(guó)土安全部長(zhǎng)應(yīng)分別指示“聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目”（FedRAMP）主管、NIST院長(zhǎng)和CISA局長(zhǎng)進(jìn)行協(xié)調(diào)，制定與FedRAMP有關(guān)的政策和做法，以激勵(lì)或要求FedRAMP市場(chǎng)中的云服務(wù)提供商根據(jù)各機(jī)構(gòu)的要求，為這些機(jī)構(gòu)的云基系統(tǒng)配置基線提供相關(guān)規(guī)范和建議，以確保聯(lián)邦數(shù)據(jù)的安全。

（e）隨著對(duì)太空系統(tǒng)網(wǎng)絡(luò)安全威脅的增加，這些系統(tǒng)及其支持的數(shù)字基礎(chǔ)設(shè)施在設(shè)計(jì)上必須能夠適應(yīng)不斷變化的網(wǎng)絡(luò)安全威脅，并能在對(duì)抗性環(huán)境中運(yùn)行。鑒于太空系統(tǒng)在全球關(guān)鍵基礎(chǔ)設(shè)施和通信彈性中的核心作用，以及為了進(jìn)一步保護(hù)對(duì)國(guó)家安全（包括經(jīng)濟(jì)安全）至關(guān)重要的太空系統(tǒng)及其支持的數(shù)字基礎(chǔ)設(shè)施，各機(jī)構(gòu)應(yīng)采取措施不斷驗(yàn)證聯(lián)邦太空系統(tǒng)是否具備必要的網(wǎng)絡(luò)安全能力，包括通過(guò)持續(xù)評(píng)估、測(cè)試、演練以及建模和模擬等方式。

（i）在本命令發(fā)布之日起的180天內(nèi)，內(nèi)政部長(zhǎng)（通過(guò)美國(guó)地質(zhì)調(diào)查局局長(zhǎng)行事）、商務(wù)部長(zhǎng)（通過(guò)商務(wù)部海洋與大氣管理局副局長(zhǎng)和國(guó)家海洋與大氣管理局局長(zhǎng)行事）以及國(guó)家航空航天局局長(zhǎng)應(yīng)各自審查FAR中的民用空間合同要求，并向FAR委員會(huì)和其他適當(dāng)機(jī)構(gòu)建議更新民用空間網(wǎng)絡(luò)安全要求和相關(guān)合同條款。建議的網(wǎng)絡(luò)安全要求和合同條款應(yīng)采用基于風(fēng)險(xiǎn)的分層方法，適用于所有新的民用太空系統(tǒng)。這些要求應(yīng)至少適用于民用太空系統(tǒng)的在軌段和鏈路段。對(duì)于風(fēng)險(xiǎn)最高的層級(jí)（以及其他層級(jí)，視情況而定），這些要求應(yīng)涵蓋以下要素：

1. 通過(guò)以下方式保護(hù)民用太空系統(tǒng)的指揮和控制（包括備份或故障轉(zhuǎn)移系統(tǒng)）：（１）加密命令以保護(hù)通信的機(jī)密性；（２）確保命令在傳輸過(guò)程中未被修改；（３）確保經(jīng)授權(quán)方為命令的來(lái)源；（４） 拒絕未經(jīng)授權(quán)的指揮和控制嘗試；
2. 建立檢測(cè)、報(bào)告和從異常網(wǎng)絡(luò)或系統(tǒng)活動(dòng)中恢復(fù)的方法；
3. 使用符合NIST SSDF或任何后續(xù)文件的安全軟件和硬件開(kāi)發(fā)做法。

（ii）在收到本條（e）（i）小節(jié)所述建議的合同條款之日起的180天內(nèi)，F(xiàn)AR委員會(huì)應(yīng)審查該提案，并酌情根據(jù)適用法律，F(xiàn)AR委員會(huì)的機(jī)構(gòu)成員應(yīng)聯(lián)合采取措施修改FAR。

（iii）在本命令發(fā)布之日起的120天內(nèi)，國(guó)家網(wǎng)絡(luò)總監(jiān)應(yīng)向OMB提交一份關(guān)于各FCEB擁有、管理或運(yùn)營(yíng)的空間地面系統(tǒng)的研究報(bào)告。該研究報(bào)告應(yīng)包括：

1. 空間地面系統(tǒng)清單。
2. 每個(gè)空間地面系統(tǒng)是否根據(jù)44 U.S.C. 3505（c）（“主要信息系統(tǒng)清單”）被歸類為主要信息系統(tǒng)。
3. 改善此類空間地面系統(tǒng)的網(wǎng)絡(luò)防御和監(jiān)督的建議。

（iv）在提交本條（e）（iii）小節(jié)所述研究報(bào)告之日起的90天內(nèi)，OMB局長(zhǎng)應(yīng)采取適當(dāng)步驟，確保各FCEB擁有、管理或運(yùn)營(yíng)的空間地面系統(tǒng)符合OMB發(fā)布的相關(guān)網(wǎng)絡(luò)安全要求。

第4條　加強(qiáng)聯(lián)邦通信安全

（a）為提高聯(lián)邦政府通信對(duì)抗敵對(duì)國(guó)家和罪犯的安全性，聯(lián)邦政府必須在切實(shí)可行的范圍內(nèi)，并符合任務(wù)需求，使用現(xiàn)代、標(biāo)準(zhǔn)化和市售的算法和協(xié)議實(shí)施強(qiáng)大的身份認(rèn)證和加密。

（b）互聯(lián)網(wǎng)流量的安全性取決于數(shù)據(jù)被正確路由并傳遞到預(yù)期接收方網(wǎng)絡(luò)。利用邊界網(wǎng)關(guān)協(xié)議（BGP）在互聯(lián)網(wǎng)上起源和傳播的路由信息容易受到攻擊和配置錯(cuò)誤的影響。

（i）在本命令發(fā)布之日起的90天內(nèi)，聯(lián)邦民事行政部門（FCEB）機(jī)構(gòu)應(yīng)采取措施，確保其分配的所有互聯(lián)網(wǎng)編號(hào)資源（互聯(lián)網(wǎng)協(xié)議（IP）地址塊和自治系統(tǒng)編號(hào)）均通過(guò)與美國(guó)互聯(lián)網(wǎng)編號(hào)注冊(cè)局或其他適當(dāng)?shù)膮^(qū)域互聯(lián)網(wǎng)注冊(cè)局簽訂的注冊(cè)服務(wù)協(xié)議得到保護(hù)。此后，各FCEB應(yīng)每年在其區(qū)域互聯(lián)網(wǎng)注冊(cè)局賬戶中審查和更新與分配的編號(hào)資源相關(guān)的組織標(biāo)識(shí)符，如組織名稱、聯(lián)系人姓名和關(guān)聯(lián)的電子郵件地址。

（ii）在本命令發(fā)布之日起的120天內(nèi)，所有持有IP地址塊的各FCEB應(yīng)在其持有的IP地址塊對(duì)應(yīng)的公共資源公鑰基礎(chǔ)設(shè)施（PKI）存儲(chǔ)庫(kù)中創(chuàng)建并發(fā)布路由源授權(quán)（ROA）。該存儲(chǔ)庫(kù)由美國(guó)互聯(lián)網(wǎng)編號(hào)注冊(cè)局或相應(yīng)的區(qū)域互聯(lián)網(wǎng)注冊(cè)局托管或委托。

（iii）在本命令發(fā)布之日起的120天內(nèi)，國(guó)家網(wǎng)絡(luò)總監(jiān)應(yīng)與其他機(jī)構(gòu)負(fù)責(zé)人協(xié)調(diào)（如適用），向聯(lián)邦采購(gòu)條例（FAR）委員會(huì)建議合同語(yǔ)言，要求向機(jī)構(gòu)提供互聯(lián)網(wǎng)服務(wù)的承包商采用并部署互聯(lián)網(wǎng)路由安全技術(shù)，包括發(fā)布路由源授權(quán)和執(zhí)行路由源驗(yàn)證過(guò)濾。建議的語(yǔ)言應(yīng)包括關(guān)于機(jī)構(gòu)合同中涉及海外運(yùn)營(yíng)和海外本地服務(wù)提供商的要求或例外情況（如適用）。在收到這些建議后的270天內(nèi)，F(xiàn)AR委員會(huì)應(yīng)審查建議的合同語(yǔ)言，并且FAR委員會(huì)的成員機(jī)構(gòu)應(yīng)共同采取措施（如適用并符合適用法律）來(lái)修訂FAR。在FAR進(jìn)行任何此類修訂之前，鼓勵(lì)各機(jī)構(gòu)在符合適用法律的前提下，在未來(lái)的合同中納入此類要求。

（iv）在本命令發(fā)布之日起的180天內(nèi)，商務(wù)部長(zhǎng)應(yīng)通過(guò)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）局長(zhǎng)向機(jī)構(gòu)發(fā)布關(guān)于在聯(lián)邦政府網(wǎng)絡(luò)和服務(wù)提供商中部署當(dāng)前可操作的BGP安全方法的最新指南。商務(wù)部長(zhǎng)還應(yīng)通過(guò)NIST局長(zhǎng)提供關(guān)于提高互聯(lián)網(wǎng)路由安全性和彈性的其他新興技術(shù)的最新指南，如路由泄露緩解和源地址驗(yàn)證。

（c）加密域名系統(tǒng)（DNS）傳輸中的流量是保護(hù)傳輸?shù)紻NS解析器的信息的機(jī)密性和與DNS解析器的通信完整性的關(guān)鍵步驟。

（i）在本命令發(fā)布之日起的90天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)通過(guò)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）局長(zhǎng)發(fā)布模板合同語(yǔ)言，要求任何作為聯(lián)邦政府的DNS解析器（無(wú)論是客戶端還是服務(wù)器）的產(chǎn)品支持加密DNS，并向FAR委員會(huì)推薦該語(yǔ)言。在收到推薦語(yǔ)言后的120天內(nèi)，F(xiàn)AR委員會(huì)應(yīng)審查該語(yǔ)言，并且FAR委員會(huì)的成員機(jī)構(gòu)應(yīng)共同采取措施（如適用并符合適用法律）來(lái)修訂FAR。

（ii）在本命令發(fā)布之日起的180天內(nèi)，各FCEB應(yīng)在其現(xiàn)有客戶端和服務(wù)器支持加密DNS協(xié)議的地方啟用這些協(xié)議。在任何額外的客戶端和服務(wù)器支持這些協(xié)議后的180天內(nèi)，各FCEB也應(yīng)啟用這些協(xié)議。

（d）聯(lián)邦政府必須加密傳輸中的電子郵件消息，并在可行的情況下使用端到端加密，以保護(hù)郵件免受損害。

（i）在本命令發(fā)布之日起的120天內(nèi)，每個(gè)各FCEB應(yīng)技術(shù)性地強(qiáng)制執(zhí)行其電子郵件客戶端與關(guān)聯(lián)電子郵件服務(wù)器之間所有連接的加密和認(rèn)證傳輸。

（ii）在本命令發(fā)布之日起的180天內(nèi)，管理與預(yù)算局（OMB）主任應(yīng)建立一項(xiàng)要求，擴(kuò)大各FCEB使用的電子郵件服務(wù)器之間認(rèn)證傳輸層加密的使用范圍，用于發(fā)送和接收電子郵件。

（iii）在建立第（d）（ii）小節(jié)所述要求之日起的90天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)通過(guò)CISA局長(zhǎng)采取適當(dāng)步驟，協(xié)助機(jī)構(gòu)滿足該要求，包括發(fā)布實(shí)施指令以及技術(shù)指南，以解決任何已確定的能力差距。

（e）現(xiàn)代通信方式，如語(yǔ)音和視頻會(huì)議以及即時(shí)消息傳遞，通常在鏈路級(jí)別加密，但往往沒(méi)有端到端加密。在本命令發(fā)布之日起的180天內(nèi)，為提高基于互聯(lián)網(wǎng)的語(yǔ)音和視頻會(huì)議以及即時(shí)消息傳遞的安全性，OMB局長(zhǎng)應(yīng)與國(guó)土安全部長(zhǎng)（通過(guò)CISA局長(zhǎng)）、國(guó)防部長(zhǎng)（通過(guò)國(guó)家安全局（NSA）局長(zhǎng)）、商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）、美國(guó)國(guó)家檔案與文件管理局局長(zhǎng)（通過(guò)美國(guó)聯(lián)邦政府首席記錄官）以及總務(wù)管理局局長(zhǎng)協(xié)調(diào)，采取適當(dāng)步驟，要求機(jī)構(gòu)：

（i）默認(rèn)啟用傳輸加密。

（ii）在技術(shù)上支持的情況下，默認(rèn)使用端到端加密，同時(shí)保持日志記錄和存檔能力，以便機(jī)構(gòu)能夠滿足記錄管理和問(wèn)責(zé)要求。

（f）量子計(jì)算機(jī)在帶來(lái)益處的同時(shí)，也對(duì)美國(guó)國(guó)家安全（包括經(jīng)濟(jì)安全）構(gòu)成了重大風(fēng)險(xiǎn)。最顯著的是，足夠大和復(fù)雜的量子計(jì)算機(jī)——也稱為密碼分析相關(guān)量子計(jì)算機(jī)（CRQC）——將能夠破解美國(guó)及世界各地?cái)?shù)字系統(tǒng)中使用的許多公鑰加密算法。在2022年5月4日的國(guó)家安全備忘錄10《促進(jìn)美國(guó)在量子計(jì)算方面的領(lǐng)導(dǎo)地位，同時(shí)減輕對(duì)易受攻擊的加密系統(tǒng)的風(fēng)險(xiǎn)》中，我指示聯(lián)邦政府為過(guò)渡到不受CRQC影響的加密算法做好準(zhǔn)備。

（i）在本命令發(fā)布之日起的180天內(nèi)，國(guó)土安全部長(zhǎng)應(yīng)通過(guò)CISA局長(zhǎng)發(fā)布并定期更新一份產(chǎn)品類別列表，其中廣泛提供支持后量子密碼學(xué)（PQC）的產(chǎn)品。

（ii）在某一產(chǎn)品類別被列入第（f）（i）小節(jié)所述列表之日起的90天內(nèi)，機(jī)構(gòu)應(yīng)采取措施，在該類別產(chǎn)品的任何招標(biāo)中納入一項(xiàng)要求，即產(chǎn)品應(yīng)支持PQC。

（iii）機(jī)構(gòu)應(yīng)盡快在其網(wǎng)絡(luò)架構(gòu)中已部署的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)支持下，實(shí)施PQC密鑰建立或混合密鑰建立（包括PQC算法）。

（iv）在本命令發(fā)布之日起的90天內(nèi)，國(guó)務(wù)卿和商務(wù)部長(zhǎng)應(yīng)通過(guò)NIST局長(zhǎng)和國(guó)際貿(mào)易副國(guó)務(wù)卿，確定并與關(guān)鍵我國(guó)的外國(guó)政府和行業(yè)組織接觸，鼓勵(lì)它們過(guò)渡到由NIST標(biāo)準(zhǔn)化的PQC算法。

（v）在本命令發(fā)布之日起的180天內(nèi)，為準(zhǔn)備過(guò)渡到PQC，國(guó)防部長(zhǎng)就國(guó)家安全系統(tǒng)（NSS）而言，以及OMB局長(zhǎng)就非NSS而言，應(yīng)各自發(fā)布要求，規(guī)定機(jī)構(gòu)應(yīng)盡快但在不遲于2030年1月2日的情況下，支持傳輸層安全協(xié)議版本1.3或其后續(xù)版本。

（g）聯(lián)邦政府應(yīng)利用商業(yè)安全技術(shù)和架構(gòu)，如硬件安全模塊、可信執(zhí)行環(huán)境和其他隔離技術(shù)，以保護(hù)和審計(jì)對(duì)具有擴(kuò)展生命周期的加密密鑰的訪問(wèn)。

（i）在本命令發(fā)布之日起的270天內(nèi)，商務(wù)部長(zhǎng)應(yīng)通過(guò)NIST局長(zhǎng)，并與國(guó)土安全部長(zhǎng)（通過(guò)CISA局長(zhǎng)）和總務(wù)管理局局長(zhǎng)協(xié)商，制定關(guān)于云服務(wù)提供商使用的訪問(wèn)令牌和加密密鑰的安全管理指南。

（ii）在發(fā)布第（g）（i）小節(jié)所述指南之日起的60天內(nèi)，總務(wù)管理局局長(zhǎng)應(yīng)通過(guò)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）主任，并與商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）和國(guó)土安全部長(zhǎng)（通過(guò)CISA局長(zhǎng)）協(xié)商，制定更新后的FedRAMP要求，酌情納入第（g）（i）小節(jié)所述指南，并與OMB局長(zhǎng)發(fā)布的關(guān)于加密密鑰管理安全做法的指導(dǎo)保持一致。

（iii）在發(fā)布第（g）（i）小節(jié)所述指南之日起的60天內(nèi)，OMB局長(zhǎng)應(yīng)與商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）、國(guó)土安全部長(zhǎng)（通過(guò)CISA局長(zhǎng)）和總務(wù)管理局局長(zhǎng)協(xié)商，采取適當(dāng)步驟，要求各FCEB遵循云服務(wù)提供商在向機(jī)構(gòu)提供服務(wù)時(shí)使用的硬件安全模塊、可信執(zhí)行環(huán)境或其他隔離技術(shù)的最佳做法，以保護(hù)和管理訪問(wèn)令牌和加密密鑰。

第5條　解決網(wǎng)絡(luò)犯罪和欺詐問(wèn)題

（a）犯罪集團(tuán)利用被盜和合成身份系統(tǒng)性地欺詐公共福利項(xiàng)目，給納稅人造成損失，并浪費(fèi)聯(lián)邦政府資金。為解決這些犯罪問(wèn)題，行政部門的政策是強(qiáng)烈鼓勵(lì)接受數(shù)字身份文件以訪問(wèn)需要身份驗(yàn)證的公共福利項(xiàng)目，只要這樣做能夠以不妨礙弱勢(shì)群體廣泛參與項(xiàng)目的方式保護(hù)隱私、最小化數(shù)據(jù)并促進(jìn)互操作性。

（i）在本命令發(fā)布之日起的90天內(nèi)，具有撥款權(quán)的機(jī)構(gòu)被鼓勵(lì)與OMB和國(guó)家安全委員會(huì)工作人員協(xié)調(diào)，考慮是否可利用聯(lián)邦撥款資金協(xié)助各州開(kāi)發(fā)和發(fā)行符合本節(jié)所述政策和原則的移動(dòng)駕駛證。

（ii）在本命令發(fā)布之日起的270天內(nèi)，商務(wù)部長(zhǎng)應(yīng)通過(guò)NIST局長(zhǎng)，與相關(guān)機(jī)構(gòu)和其他利益相關(guān)者通過(guò)國(guó)家網(wǎng)絡(luò)安全卓越中心合作，發(fā)布實(shí)用的實(shí)施指南，以支持使用數(shù)字身份文件進(jìn)行遠(yuǎn)程數(shù)字身份驗(yàn)證，這將有助于數(shù)字身份文件的發(fā)行者和驗(yàn)證者推進(jìn)本節(jié)所述的政策和原則。

（iii）機(jī)構(gòu)應(yīng)考慮接受數(shù)字身份文件作為訪問(wèn)公共福利項(xiàng)目的數(shù)字身份驗(yàn)證證據(jù)，但前提是使用這些文件應(yīng)符合本節(jié)所述的政策和原則。

（iv）機(jī)構(gòu)應(yīng)根據(jù)適用法律，確保接受作為訪問(wèn)公共福利項(xiàng)目的數(shù)字身份驗(yàn)證證據(jù)的數(shù)字身份文件：

1. 與相關(guān)標(biāo)準(zhǔn)和信任框架互操作，以便公眾可以使用任何符合標(biāo)準(zhǔn)的硬件或軟件，其中包含官方政府頒發(fā)的數(shù)字身份文件，無(wú)論制造商或開(kāi)發(fā)人員如何。
2. 不允許發(fā)行數(shù)字身份文件的機(jī)構(gòu)、設(shè)備制造商或任何其他第三方監(jiān)視或跟蹤數(shù)字身份文件的展示，包括用戶設(shè)備在展示時(shí)的位置。
3. 支持用戶隱私和數(shù)據(jù)最小化，確保僅請(qǐng)求數(shù)字身份文件持有人進(jìn)行交易所需的最少信息——通常是針對(duì)某個(gè)問(wèn)題（例如，某人是否超過(guò)特定年齡）的“是”或“否”的回答。

（b）使用“是/否”驗(yàn)證服務(wù)（也稱為屬性驗(yàn)證服務(wù)）可以提供更多保護(hù)隱私的手段來(lái)減少身份欺詐。這些服務(wù)允許程序通過(guò)隱私保護(hù)的“是”或“否”回答，確認(rèn)申請(qǐng)人提供的身份信息是否與官方記錄中的信息一致，而無(wú)需共享這些官方記錄的內(nèi)容。為支持使用此類服務(wù)，社會(huì)保障專員以及OMB局長(zhǎng)指定的任何其他機(jī)構(gòu)負(fù)責(zé)人應(yīng)酌情并根據(jù)適用法律，考慮采取措施開(kāi)發(fā)或修改與政府運(yùn)營(yíng)的身份驗(yàn)證系統(tǒng)和公共福利項(xiàng)目相關(guān)的服務(wù)（包括酌情通過(guò)啟動(dòng)擬議的法規(guī)制定或發(fā)布新的或大幅修改后的常規(guī)使用記錄通知），以便這些系統(tǒng)和程序?qū)⑸暾?qǐng)人提供的身份信息提交給提供服務(wù)的機(jī)構(gòu)，并收到關(guān)于申請(qǐng)人提供的身份信息是否與提供服務(wù)的機(jī)構(gòu)存檔的信息一致的“是”或“否”的回答。在這樣做時(shí)，這些機(jī)構(gòu)的負(fù)責(zé)人應(yīng)特別考慮在確保符合適用法律的前提下，做到以下幾點(diǎn)：

（i）提交給服務(wù)的任何申請(qǐng)人提供的身份信息以及服務(wù)提供的任何“是”或“否”回答僅用于協(xié)助身份驗(yàn)證、項(xiàng)目管理、反欺詐操作或與提交身份信息以申請(qǐng)公共福利項(xiàng)目的反欺詐調(diào)查和起訴。

（ii）在最大可行和適當(dāng)?shù)姆秶鷥?nèi)，向公共福利項(xiàng)目；政府運(yùn)營(yíng)的身份驗(yàn)證系統(tǒng)（包括共享服務(wù)提供商）；支付誠(chéng)信項(xiàng)目；以及受美國(guó)監(jiān)管的金融機(jī)構(gòu)提供這些服務(wù)。

（iii）使用這些服務(wù)的機(jī)構(gòu)、公共福利項(xiàng)目或機(jī)構(gòu)提供報(bào)銷，以適當(dāng)覆蓋成本并支持服務(wù)的持續(xù)維護(hù)、改進(jìn)和廣泛獲取。

（c）財(cái)政部長(zhǎng)應(yīng)與總務(wù)管理局局長(zhǎng)協(xié)商，研究、開(kāi)發(fā)和實(shí)施一項(xiàng)試點(diǎn)計(jì)劃，該計(jì)劃采用一種技術(shù)，該技術(shù)可在個(gè)人和實(shí)體的身份信息被用于申請(qǐng)公共福利項(xiàng)目的付款時(shí)通知他們，給予個(gè)人和實(shí)體在潛在欺詐交易發(fā)生前阻止交易的選擇，并向執(zhí)法實(shí)體報(bào)告欺詐交易。

第6條　利用和促進(jìn)人工智能安全

人工智能（AI）有可能通過(guò)快速識(shí)別新漏洞、擴(kuò)大威脅檢測(cè)技術(shù)的規(guī)模以及自動(dòng)化網(wǎng)絡(luò)防御來(lái)變革網(wǎng)絡(luò)防御。聯(lián)邦政府必須加速AI的開(kāi)發(fā)和部署，探索利用AI提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的方法，并加速AI與網(wǎng)絡(luò)安全交叉領(lǐng)域的研究。

（a）在國(guó)防部高級(jí)研究計(jì)劃局（DARPA）2025年人工智能網(wǎng)絡(luò)挑戰(zhàn)賽完成后180天內(nèi)，能源部長(zhǎng)應(yīng)與國(guó)防部長(zhǎng)（通過(guò)DARPA局長(zhǎng)）和國(guó)土安全部長(zhǎng)協(xié)調(diào)，啟動(dòng)一項(xiàng)試點(diǎn)計(jì)劃，與私營(yíng)部門關(guān)鍵基礎(chǔ)設(shè)施實(shí)體（如適用并符合適用法律）合作，利用AI增強(qiáng)能源部門關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)防御，并在試點(diǎn)計(jì)劃完成后進(jìn)行評(píng)估。該試點(diǎn)計(jì)劃及其評(píng)估可能包括漏洞檢測(cè)、自動(dòng)補(bǔ)丁管理以及識(shí)別和分類信息技術(shù)（IT）或運(yùn)營(yíng)技術(shù)系統(tǒng)中的異常和惡意活動(dòng)。

（b）在本命令發(fā)布之日起的270天內(nèi)，國(guó)防部長(zhǎng)應(yīng)建立一個(gè)利用高級(jí)AI模型進(jìn)行網(wǎng)絡(luò)防御的計(jì)劃。

（c）在本命令發(fā)布之日起的150天內(nèi)，商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）、能源部長(zhǎng)、國(guó)土安全部長(zhǎng)（通過(guò)科學(xué)與技術(shù)副國(guó)務(wù)卿）以及國(guó)家科學(xué)基金會(huì)（NSF）主任應(yīng)各自優(yōu)先為其鼓勵(lì)開(kāi)發(fā)大規(guī)模標(biāo)記數(shù)據(jù)集的計(jì)劃提供資金，這些數(shù)據(jù)集對(duì)于網(wǎng)絡(luò)防御研究取得進(jìn)展至關(guān)重要，并確保網(wǎng)絡(luò)防御研究現(xiàn)有的數(shù)據(jù)集在最大可行范圍內(nèi)（考慮到商業(yè)秘密和國(guó)家安全）對(duì)更廣泛的學(xué)術(shù)研究界（無(wú)論是以安全方式還是公開(kāi)方式）開(kāi)放。

（d）在本命令發(fā)布之日起的150天內(nèi)，商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）、能源部長(zhǎng)、國(guó)土安全部長(zhǎng)（通過(guò)科學(xué)與技術(shù)副國(guó)務(wù)卿）以及NSF主任應(yīng)優(yōu)先研究以下主題：

（i）人機(jī)交互方法，以協(xié)助防御性網(wǎng)絡(luò)分析。

（ii）AI編碼輔助的安全性，包括AI生成代碼的安全性。

（iii）設(shè)計(jì)安全AI系統(tǒng)的方法。

（iv）涉及AI系統(tǒng)的網(wǎng)絡(luò)事件的預(yù)防、響應(yīng)、補(bǔ)救和恢復(fù)方法。

（e）在本命令發(fā)布之日起的150天內(nèi)，國(guó)防部長(zhǎng)、國(guó)土安全部長(zhǎng)和國(guó)家情報(bào)總監(jiān)應(yīng)與OMB局長(zhǎng)協(xié)調(diào)，將AI軟件漏洞和妥協(xié)的管理納入其各自機(jī)構(gòu)現(xiàn)有的漏洞管理流程和機(jī)構(gòu)間協(xié)調(diào)機(jī)制，包括通過(guò)事件跟蹤、響應(yīng)和報(bào)告，以及共享AI系統(tǒng)的妥協(xié)指標(biāo)。

第7條　將政策與做法相結(jié)合

（a）支持機(jī)構(gòu)關(guān)鍵任務(wù)的IT基礎(chǔ)設(shè)施和網(wǎng)絡(luò)需要現(xiàn)代化。機(jī)構(gòu)的政策必須將投資和優(yōu)先事項(xiàng)與提高網(wǎng)絡(luò)可見(jiàn)性和安全控制結(jié)合起來(lái)，以降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

（i）在本命令發(fā)布之日起的3年內(nèi)，OMB局長(zhǎng)應(yīng)發(fā)布指南（包括對(duì)OMB通告A-130的任何必要修訂），以解決關(guān)鍵風(fēng)險(xiǎn)，并使聯(lián)邦信息系統(tǒng)和網(wǎng)絡(luò)適應(yīng)現(xiàn)代做法和架構(gòu)。該指南應(yīng)至少包括：

1. 概述機(jī)構(gòu)網(wǎng)絡(luò)安全信息共享和交換、企業(yè)可見(jiàn)性以及機(jī)構(gòu)首席信息安全官（CISO）對(duì)企業(yè)范圍網(wǎng)絡(luò)安全計(jì)劃的問(wèn)責(zé)制的期望。
2. 修訂OMB通告A-130，在適當(dāng)?shù)年P(guān)鍵領(lǐng)域減少技術(shù)規(guī)定，以更清晰地促進(jìn)在聯(lián)邦系統(tǒng)中采用不斷發(fā)展的網(wǎng)絡(luò)安全最佳做法，并包括遷移到零信任架構(gòu)和實(shí)施關(guān)鍵要素，如端點(diǎn)檢測(cè)與響應(yīng)（EDR）能力、加密、網(wǎng)絡(luò)分段和防釣魚(yú)多因素認(rèn)證。
3. 說(shuō)明機(jī)構(gòu)應(yīng)如何識(shí)別、評(píng)估、應(yīng)對(duì)和減輕IT供應(yīng)商和服務(wù)集中對(duì)任務(wù)關(guān)鍵功能構(gòu)成的風(fēng)險(xiǎn)。

（ii）商務(wù)部長(zhǎng)（通過(guò)NIST局長(zhǎng)）、國(guó)土安全部長(zhǎng)（通過(guò)CISA局長(zhǎng)）和OMB局長(zhǎng)應(yīng)建立一個(gè)試點(diǎn)計(jì)劃，采用規(guī)則即代碼的方法，為OMB、NIST和CISA發(fā)布和管理的網(wǎng)絡(luò)安全相關(guān)政策和指導(dǎo)制定機(jī)器可讀版本。

（b）管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)現(xiàn)已成為日常行業(yè)做法，并應(yīng)成為所有類型企業(yè)的預(yù)期。最低網(wǎng)絡(luò)安全要求可以使威脅行為者更難以、更昂貴地破壞網(wǎng)絡(luò)。在本命令發(fā)布之日起的240天內(nèi)，商務(wù)部長(zhǎng)應(yīng)通過(guò)NIST局長(zhǎng)，評(píng)估各行業(yè)部門、國(guó)際標(biāo)準(zhǔn)機(jī)構(gòu)和其他風(fēng)險(xiǎn)管理計(jì)劃中常用或推薦的共同網(wǎng)絡(luò)安全做法和安全控制成果，并基于該評(píng)估發(fā)布指南，確定最低網(wǎng)絡(luò)安全做法。在制定該指南時(shí)，商務(wù)部長(zhǎng)應(yīng)通過(guò)NIST局長(zhǎng)，征求聯(lián)邦政府、私營(yíng)部門、學(xué)術(shù)界和其他適當(dāng)方的意見(jiàn)。

（c）機(jī)構(gòu)在購(gòu)買產(chǎn)品和服務(wù)時(shí)面臨多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。雖然機(jī)構(gòu)已在改進(jìn)供應(yīng)鏈風(fēng)險(xiǎn)管理方面取得了顯著進(jìn)展，但需要采取額外行動(dòng)以跟上不斷演變的威脅態(tài)勢(shì)。在本節(jié)第（b）小節(jié)所述指南發(fā)布之日起的180天內(nèi)，F(xiàn)AR委員會(huì)應(yīng)審查該指南，并且FAR委員會(huì)的成員機(jī)構(gòu)應(yīng)共同采取措施（如適用并符合適用法律）來(lái)修訂FAR：

（i）要求與聯(lián)邦政府簽訂合同的承包商遵循NIST根據(jù)本節(jié)第（b）小節(jié)所述指南確定的適用于機(jī)構(gòu)合同工作的最低網(wǎng)絡(luò)安全做法，或在開(kāi)發(fā)、維護(hù)或支持提供給聯(lián)邦政府的IT服務(wù)或產(chǎn)品時(shí)遵循這些做法。

（ii）要求機(jī)構(gòu)到2027年1月4日，要求向聯(lián)邦政府提供消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品（如47 C.F.R. 8.203（b）所定義）的供應(yīng)商為這些產(chǎn)品攜帶美國(guó)網(wǎng)絡(luò)信任標(biāo)志標(biāo)簽。

第8條　國(guó)家安全系統(tǒng)和致癱影響系統(tǒng)

（a）除本命令第4節(jié)（f）（v）小節(jié)另有規(guī)定外，本命令第1至7節(jié)不適用于作為國(guó)家安全系統(tǒng)（NSS）或被國(guó)防部或情報(bào)界確定為致癱影響系統(tǒng)的聯(lián)邦信息系統(tǒng)。

（b）在本命令發(fā)布之日起的90天內(nèi)，為幫助確保NSS和致癱影響系統(tǒng)受到最先進(jìn)的安全措施保護(hù)，國(guó)防部長(zhǎng)應(yīng)通過(guò)國(guó)家安全局（NSA）局長(zhǎng)作為國(guó)家安全系統(tǒng)國(guó)家經(jīng)理（國(guó)家經(jīng)理），與國(guó)家情報(bào)總監(jiān)和國(guó)家安全系統(tǒng)委員會(huì)（CNSS）協(xié)調(diào)，并與OMB局長(zhǎng)和國(guó)家安全事務(wù)助理（APNSA）協(xié)商，制定與本命令所述要求一致的NSS和致癱影響系統(tǒng)要求（如適用并符合適用法律）。國(guó)防部長(zhǎng)可根據(jù)獨(dú)特的任務(wù)需求，對(duì)此類要求給予例外。這些要求應(yīng)納入擬議的國(guó)家安全備忘錄，通過(guò)APNSA提交給總統(tǒng)。

（c）為幫助保護(hù)太空NSS免受與新興威脅保持同步的網(wǎng)絡(luò)安全措施的影響，在本命令發(fā)布之日起的210天內(nèi)，CNSS應(yīng)審查和更新（如適用）關(guān)于太空系統(tǒng)網(wǎng)絡(luò)安全的相關(guān)政策和指導(dǎo)。除了進(jìn)行適當(dāng)?shù)母峦猓珻NSS還應(yīng)確定并實(shí)施適當(dāng)?shù)囊螅栽诼?lián)邦政府采購(gòu)的太空NSS領(lǐng)域?qū)嵤┚W(wǎng)絡(luò)防御，包括入侵檢測(cè)、使用硬件信任根進(jìn)行安全啟動(dòng)以及開(kāi)發(fā)和部署安全補(bǔ)丁。

（d）為加強(qiáng)對(duì)聯(lián)邦信息系統(tǒng)的有效治理和監(jiān)督，在本命令發(fā)布之日起的90天內(nèi)，OMB局長(zhǎng)應(yīng)發(fā)布適當(dāng)?shù)闹笇?dǎo)，要求機(jī)構(gòu)清點(diǎn)所有主要信息系統(tǒng)，并將清單提供給CISA、國(guó)防部或國(guó)家經(jīng)理（視情況而定），它們應(yīng)各自維護(hù)其管轄范圍內(nèi)的機(jī)構(gòu)清單注冊(cè)表。CISA、國(guó)防部首席信息官和國(guó)家經(jīng)理將酌情共享其清單，以識(shí)別監(jiān)督覆蓋范圍的空白或重疊。本指導(dǎo)不適用于情報(bào)界的組成部分。

（e）本命令中的任何內(nèi)容均不改變《1947年國(guó)家安全法》（Public Law 80-253）、《2014年聯(lián)邦信息安全現(xiàn)代化法》（Public Law 113-283）、《1990年7月5日國(guó)家安全指令42號(hào)——國(guó)家安全電信和信息系統(tǒng)安全國(guó)家政策》或《2022年1月19日國(guó)家安全備忘錄8號(hào)——改進(jìn)國(guó)家安全、國(guó)防部和情報(bào)界系統(tǒng)的網(wǎng)絡(luò)安全》授予國(guó)家情報(bào)總監(jiān)、國(guó)防部長(zhǎng)和國(guó)家經(jīng)理對(duì)適用系統(tǒng)的權(quán)力和職責(zé)。

第9條　打擊重大惡意網(wǎng)絡(luò)活動(dòng)的其他措施

鑒于發(fā)現(xiàn)，必須采取進(jìn)一步措施來(lái)應(yīng)對(duì)2015年4月1日《阻止從事重大惡意網(wǎng)絡(luò)活動(dòng)者的財(cái)產(chǎn)》行政命令（經(jīng)2016年12月28日《就重大惡意網(wǎng)絡(luò)活動(dòng)相關(guān)的國(guó)家緊急狀態(tài)采取進(jìn)一步措施》行政命令以及2021年1月19日《就重大惡意網(wǎng)絡(luò)活動(dòng)相關(guān)的國(guó)家緊急狀態(tài)采取進(jìn)一步措施》行政命令修訂）所宣布的，針對(duì)美國(guó)面臨的日益嚴(yán)重和不斷演變的惡意網(wǎng)絡(luò)活動(dòng)威脅的國(guó)家緊急狀態(tài)，包括外國(guó)行為體對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行未經(jīng)授權(quán)的訪問(wèn)、勒索軟件攻擊、網(wǎng)絡(luò)入侵以及逃避制裁等日益嚴(yán)重的威脅，我特此命令，對(duì)《行政命令13694》第1（a）條做如下進(jìn)一步修訂：

“第1條。（a）所有在美國(guó)境內(nèi)的、今后進(jìn)入美國(guó)的、或者今后處于任何美國(guó)個(gè)人擁有或控制之下的以下人員的財(cái)產(chǎn)和財(cái)產(chǎn)權(quán)益均被凍結(jié)，且不得轉(zhuǎn)讓、支付、出口、提取或以其他方式處理：

（i）本命令附件所列人員。

（ii）財(cái)政部長(zhǎng)在與司法部長(zhǎng)和國(guó)務(wù)卿協(xié)商后，認(rèn)定其負(fù)責(zé)、參與或直接或間接從事源自或受位于美國(guó)境外（全部或部分）的人員指揮的網(wǎng)絡(luò)活動(dòng)，且此類活動(dòng)很可能導(dǎo)致或已對(duì)美國(guó)國(guó)家安全、外交政策、經(jīng)濟(jì)健康或金融穩(wěn)定構(gòu)成重大威脅，并涉及以下目的或行為的人員：

1. 損害或以其他方式破壞支持關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域一個(gè)或多個(gè)實(shí)體的計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)提供的服務(wù)。
2. 破壞關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域一個(gè)或多個(gè)實(shí)體提供的服務(wù)。
3. 破壞計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)的可用性，或損害存儲(chǔ)在計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)上的信息的完整性。
4. 挪用資金或經(jīng)濟(jì)資源、知識(shí)產(chǎn)權(quán)、專有或商業(yè)秘密信息、個(gè)人身份標(biāo)識(shí)或財(cái)務(wù)信息，以獲取商業(yè)或競(jìng)爭(zhēng)優(yōu)勢(shì)或私人經(jīng)濟(jì)利益。
5. 篡改、更改或挪用信息，目的是或涉及干擾或破壞選舉進(jìn)程或機(jī)構(gòu)。
6. 對(duì)美國(guó)個(gè)人、美國(guó)、美國(guó)盟友或合作伙伴及其公民、國(guó)民或根據(jù)其法律組織的實(shí)體，實(shí)施勒索軟件攻擊，如通過(guò)惡意使用代碼、加密或其他活動(dòng)影響數(shù)據(jù)的機(jī)密性、完整性或可用性，或影響計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)的機(jī)密性、完整性或可用性。

（iii）財(cái)政部長(zhǎng)在與司法部長(zhǎng)和國(guó)務(wù)卿協(xié)商后，認(rèn)定其負(fù)責(zé)、參與或直接或間接從事以下行為的人員：

1. 明知是通過(guò)網(wǎng)絡(luò)手段挪用的資金、經(jīng)濟(jì)資源、知識(shí)產(chǎn)權(quán)、專有或商業(yè)秘密信息、個(gè)人身份標(biāo)識(shí)或財(cái)務(wù)信息，仍在美國(guó)境外為商業(yè)或競(jìng)爭(zhēng)優(yōu)勢(shì)或私人經(jīng)濟(jì)利益而接收或使用此類資金或資源。
2. 負(fù)責(zé)、參與或直接或間接從事與獲取或試圖獲取美國(guó)個(gè)人、美國(guó)、美國(guó)盟友或合作伙伴及其公民、國(guó)民或根據(jù)其法律組織的實(shí)體的計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)未經(jīng)授權(quán)訪問(wèn)有關(guān)的活動(dòng)，且此類活動(dòng)源自或受位于美國(guó)境外（全部或部分）的人員指揮，并很可能導(dǎo)致或已對(duì)美國(guó)國(guó)家安全、外交政策、經(jīng)濟(jì)健康或金融穩(wěn)定構(gòu)成重大威脅。
3. 為本條（a）（ii）或（a）（iii）（A）或（B）小節(jié)所述的任何活動(dòng)，或?yàn)楦鶕?jù)本命令其財(cái)產(chǎn)和財(cái)產(chǎn)權(quán)益被凍結(jié)的任何人員，提供實(shí)質(zhì)性協(xié)助、贊助或提供財(cái)政、物質(zhì)或技術(shù)支持，或提供貨物或服務(wù)。
4. 由根據(jù)本命令其財(cái)產(chǎn)和財(cái)產(chǎn)權(quán)益被凍結(jié)的任何人員擁有或控制，或直接或間接為其行事或聲稱為其行事，或?yàn)楸緱l（a）（ii）或（a）（iii）（A）–（C）小節(jié)所述的任何活動(dòng)行事。
5. 試圖從事本條（a）（ii）和（a）（iii）（A）–（D）小節(jié)所述的任何活動(dòng)。
6. 是或曾是任何根據(jù)本命令其財(cái)產(chǎn)和財(cái)產(chǎn)權(quán)益被凍結(jié)的人員，或從事本條（a）（ii）或（a）（iii）（A）–（E）小節(jié)所述任何活動(dòng)的任何人員的領(lǐng)導(dǎo)、官員、高級(jí)管理人員或董事會(huì)成員。”

第10條　定義

本命令中：

（a）“機(jī)構(gòu)”一詞的含義與《美國(guó)法典》第44編第3502（1）節(jié)所述的含義相同，但《美國(guó)法典》第44編第3502（5）節(jié)所述的獨(dú)立監(jiān)管機(jī)構(gòu)除外。

（b）“工件”一詞是指通過(guò)手動(dòng)或自動(dòng)化手段生成的記錄或數(shù)據(jù)，可用于證明符合既定的做法，包括用于安全軟件開(kāi)發(fā)。

（c）“人工智能”或“AI”一詞的含義與《美國(guó)法典》第15編第9401（3）節(jié)所述的含義相同。

（d）“AI系統(tǒng)”一詞是指任何全部或部分使用AI運(yùn)行的數(shù)據(jù)系統(tǒng)、軟件、硬件、應(yīng)用程序、工具或?qū)嵱贸绦颉?/p>

（e）“認(rèn)證”一詞是指確定一個(gè)或多個(gè)用于聲明數(shù)字身份的認(rèn)證器（如密碼）的有效性的過(guò)程。

（f）“邊界網(wǎng)關(guān)協(xié)議”或“BGP”一詞是指用于在構(gòu)成互聯(lián)網(wǎng)的數(shù)萬(wàn)個(gè)自治網(wǎng)絡(luò)之間分發(fā)和計(jì)算路徑的控制協(xié)議。

（g）“消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品”一詞是指主要用于消費(fèi)者使用而非企業(yè)或工業(yè)使用的物聯(lián)網(wǎng)產(chǎn)品。消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品不包括美國(guó)食品藥品監(jiān)督管理局監(jiān)管的醫(yī)療設(shè)備或美國(guó)國(guó)家公路交通安全管理局監(jiān)管的機(jī)動(dòng)車輛和機(jī)動(dòng)車輛設(shè)備。

（h）“網(wǎng)絡(luò)事件”一詞的含義與《美國(guó)法典》第44編第3552（b）（2）節(jié)所述“事件”一詞的含義相同。

（i）“致癱影響系統(tǒng)”一詞是指《美國(guó)法典》第44編第3553（e）（2）和3553（e）（3）節(jié)分別為國(guó)防部和情報(bào)界所描述的系統(tǒng)。

（j）“數(shù)字身份文件”一詞是指由政府機(jī)構(gòu)（如州政府頒發(fā)的移動(dòng)駕照或電子護(hù)照）頒發(fā)的電子、可重復(fù)使用、可通過(guò)密碼學(xué)驗(yàn)證的身份憑證。

（k）“數(shù)字身份驗(yàn)證”一詞是指用戶在線進(jìn)行的身份驗(yàn)證。

（l）“端點(diǎn)”一詞是指可以連接到計(jì)算機(jī)網(wǎng)絡(luò)以創(chuàng)建數(shù)據(jù)通信的入口或出口點(diǎn)的任何設(shè)備。端點(diǎn)的示例包括臺(tái)式計(jì)算機(jī)和筆記本電腦、智能手機(jī)、平板電腦、服務(wù)器、工作站、虛擬機(jī)和消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品。

（m）“端點(diǎn)檢測(cè)和響應(yīng)”一詞是指網(wǎng)絡(luò)安全工具和功能，它們將端點(diǎn)數(shù)據(jù)（例如工作站、移動(dòng)電話、服務(wù)器等聯(lián)網(wǎng)計(jì)算設(shè)備）的實(shí)時(shí)連續(xù)監(jiān)控和收集與基于規(guī)則的自動(dòng)化響應(yīng)和分析功能相結(jié)合。

（n）“聯(lián)邦民用行政部門”或“FCEB部門”包括除國(guó)防部下屬機(jī)構(gòu)和情報(bào)界機(jī)構(gòu)以外的所有機(jī)構(gòu)。

（o）“聯(lián)邦信息系統(tǒng)”一詞是指由機(jī)構(gòu)、機(jī)構(gòu)承包商或代表機(jī)構(gòu)運(yùn)作的其他組織使用或操作的信息系統(tǒng)。

（p）“政府運(yùn)營(yíng)的身份驗(yàn)證系統(tǒng)”一詞是指由聯(lián)邦、州、地方、部落或領(lǐng)土政府機(jī)構(gòu)擁有和運(yùn)營(yíng)的進(jìn)行身份驗(yàn)證的系統(tǒng)，包括為多個(gè)機(jī)構(gòu)提供服務(wù)的單機(jī)構(gòu)系統(tǒng)和共享服務(wù)。

（q）“硬件信任根”一詞是指一種固有的受信任的硬件和固件組合，有助于維護(hù)信息的完整性。

（r）“混合密鑰建立”一詞是指本身是密碼密鑰建立方案的兩種或多種組件的組合而成的密鑰建立方案。

（s）“身份驗(yàn)證”一詞是指收集身份信息或證據(jù)，驗(yàn)證其合法性，并確認(rèn)其與提供信息的真實(shí)個(gè)人相關(guān)聯(lián)的過(guò)程。

（t）“情報(bào)界”一詞的含義與《美國(guó)法典》第50編第3003（4）節(jié)所述的含義相同。

（u）“密鑰建立”一詞是指兩個(gè)或多個(gè)實(shí)體之間安全共享密碼密鑰的過(guò)程。

（v）“最小權(quán)限”一詞是指安全架構(gòu)的設(shè)計(jì)原則，即每個(gè)實(shí)體僅被授予執(zhí)行其功能所需的最小系統(tǒng)資源和授權(quán)。

（w）“機(jī)器可讀”一詞是指產(chǎn)品輸出采用結(jié)構(gòu)化格式，可以使用一致的處理邏輯由另一個(gè)程序進(jìn)行消費(fèi)。

（x）“國(guó)家安全系統(tǒng)”或“NSS”一詞的含義與《美國(guó)法典》第44編第3552（b）（6）節(jié)所述的含義相同。

（y）“補(bǔ)丁”一詞是指當(dāng)安裝時(shí)，直接修改與不同軟件組件相關(guān)的文件或設(shè)備設(shè)置，而不更改相關(guān)軟件組件的版本號(hào)或發(fā)布詳情的軟件組件。

（z）“以代碼形式制定規(guī)則的方法”一詞是指規(guī)則（例如立法、法規(guī)或政策中包含的規(guī)則）的編碼版本，可由計(jì)算機(jī)理解和使用。

（aa）“安全啟動(dòng)”一詞是指一種安全功能，可防止計(jì)算機(jī)系統(tǒng)在啟動(dòng)時(shí)運(yùn)行惡意軟件。該安全功能在啟動(dòng)序列期間執(zhí)行一系列檢查，有助于確保僅加載受信任的軟件。

（bb）“安全控制結(jié)果”一詞是指為信息系統(tǒng)或組織規(guī)定的保障措施或?qū)Σ叩男阅芑蚍切阅艿慕Y(jié)果，以保護(hù)系統(tǒng)的機(jī)密性、完整性和可用性及其信息的機(jī)密性、完整性和可用性。

（cc）“零信任架構(gòu)”一詞的含義與《行政命令14028》中所述的含義相同。

第11條　通用條款

（a）本命令中的任何內(nèi)容均不得解釋為損害或以其他方式影響：

（i）法律授予行政部門或機(jī)構(gòu)或其負(fù)責(zé)人的權(quán)力。

（ii）管理與預(yù)算局主任與預(yù)算、行政或立法建議有關(guān)的職能。

（b）本命令應(yīng)以符合適用法律的方式實(shí)施，并受撥款情況的制約。

（c）本命令無(wú)意且不會(huì)為任何一方針對(duì)美國(guó)、其部門、機(jī)構(gòu)或?qū)嶓w、其官員、雇員或代理人，或任何其他人員，創(chuàng)造任何可依法或衡平法強(qiáng)制執(zhí)行的權(quán)利或利益，無(wú)論是實(shí)質(zhì)性的還是程序性的。

約瑟夫?R?拜登

白宮

2025年1月16日

中英文版全文下載鏈接：

《關(guān)于加強(qiáng)和促進(jìn)國(guó)家網(wǎng)絡(luò)安全創(chuàng)新的行政命令》.docx

ExecutiveOrderonStrengtheningand Promoting Innovation in the Nation.docx

免責(zé)聲明：本文內(nèi)容僅供業(yè)界學(xué)習(xí)參考，文內(nèi)所包含的信息或所表達(dá)的意見(jiàn)，均不代表雜志社的立場(chǎng)和態(tài)度。