拜登再次发布网络安全行政令，全面加强美国国家网络防御创新

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

1月17日，在美国总统任期行将结束之际，乔·拜登签署了第二份网络安全行政命令，旨在强化本届政府制定的软件安全标准的执行力度。

这份文件名为《关于加强和促进国家网络安全创新的行政命令》，于1月16日签署。它还致力于进一步整合联邦网络防御，强化对国家级黑客和勒索软件团伙的制裁措施，打击数字身份欺诈，并推动AI技术的安全发展。

拜登的高级国家安全官员表示，这项新命令的目的是为即将上任的特朗普政府在网络安全领域提供主动权。

美国副国家安全顾问安妮·纽伯格在一场电话会议中向记者表示：“今天发布的网络安全行政命令是美国在数字基础设施领域的关键成果。它不仅旨在加强美国的数字基础，还为新一届政府和国家的长期成功打下坚实基础。”

不过，纽伯格提到，她尚未与即将上任的政府团队就该命令进行深度交流。

她表示：“据我了解，新政府的网络团队尚未正式任命。尽管我们就更广泛的国家安全展开讨论，目前尚不清楚谁将领导特朗普政府的这项工作。因此，我们尚未进行具体对话，但我们非常乐意在新团队组建后，在过渡期内随时展开交流。”

落实供应商软件安全要求

新行政命令明确要求，联邦软件供应商提供遵守安全开发实践的证据。

拜登在2021年5月签署了首份网络安全行政命令，促使美国国家标准与技术研究院（NIST）制定并发布安全软件开发指南。

同时，管理与预算办公室（OMB）要求各联邦机构确保其软件供应商通过提交声明表格，证明自身符合NIST的相关指南。然而，这些表格并未要求供应商提供任何实际证据来证明其遵守了这些标准。

纽伯格表示，拜登政府已经给予企业时间来适应NIST标准。

她说：“现在是时候提高标准了。通过要求企业向我们展示，他们已对软件进行了测试并修复了漏洞的证据，我们可以真正实现软件供应链的透明性和问责制。此外，将这些信息公开，不仅联邦政府可以受益，地方医院、区域银行，甚至一家全球制造企业也可以在线查看供应商是否真实测试过其产品并证明其安全性。”

她补充说，OMB将发布新软件安全要求的实施指南。

新行政命令还规定，与政府合作的云计算公司必须将其加密密钥存储在安全环境中。

纽伯格表示，此举旨在应对近期发生的重大网络安全事件，例如去年年底财政部遭遇的黑客攻击事件。攻击者通过窃取供应商的数字密钥，成功入侵了联邦网络。

美国网络安全与基础设施安全局（CISA）局长珍·伊斯特利在1月15日的一次独立讲话中，也敦促软件供应商优先改进其安全实践。

伊斯特利说：“我们在保护政府网络方面取得了显著而变革性的进步。但我们是否仍会遇到类似财政部遭入侵的问题？答案是肯定的，除非供应商明确专注于设计更安全的软件。”

加强CISA的作用

根据该行政命令，CISA将在验证软件供应商提交给政府机构的安全证据方面扮演核心角色。

纽伯格表示：“CISA将掌握所有向联邦政府销售产品的公司名单，并要求这些公司与CISA共享信息。他们将负责验证这些信息，而国家网络总监办公室（ONCD）则会在其网站上发布相关内容。这不仅让CISA在集中化联邦机构的网络威胁可视性和狩猎方面发挥关键作用，还能利用其网络专业知识审查公司提交的证据，从而真正实现更安全的软件环境。”

新行政命令还将加强CISA在联邦机构网络上进行网络威胁狩猎的职责。

纽伯格表示，行政命令确保CISA拥有覆盖所有联邦民事行政部门（FCEB）网络的“集中化可视性和威胁狩猎”能力。同时，命令也回应了部分机构的担忧，这些机构因数据敏感性问题希望确保其数据的安全性不受影响。

探索AI提升网络安全

新行政命令强调了AI在网络安全中的重要性。

文件要求能源部和国土安全部启动试点项目，利用AI技术保护能源基础设施，目标包括自动化漏洞检测和补丁管理等任务。国防部也将启动相关项目，利用“高级AI模型”提升网络防御能力。

文件还要求国土安全部、商务部和国家科学基金会将以下研究作为重点任务：探索人类与AI工具如何协作分析网络威胁数据；确保AI生成代码的安全性；设计安全可靠的AI模型；以及预防和应对涉及AI系统的网络事件。

更多联邦网络安全要求

在美国电信网络遭“盐台风”黑客入侵后，这项命令要求联邦机构对包括电子邮件和视频会议在内的通信采用端到端加密。

命令还提出加快采用抗量子计算技术的步伐。NIST去年已敲定一套初步的抗量子计算攻击加密算法。

根据命令，各机构需在现有网络中建立抗量子加密能力，并在市场推出相关产品后，尽快采用抗量子加密技术。

此外，命令还要求在数字身份领域采取行动，但未达到拜登在2022年国情咨文中提到的全面反欺诈措施规模。尽管白宫最终未敲定相关数字身份行政命令，但此次命令指示联邦机构为公共项目建立一个欺诈预警试点项目，用于提醒美国人可能存在以其名义提交的欺诈性申请。

从2027年起，政府机构将仅采购具有联邦通信委员会（FCC）“网络信任标志”认证的联网设备。白宫本月早些时候宣布正式启动“网络信任标志”计划，这是一项自愿性计划，允许物联网供应商申请“网络信任标志”认证，证明其产品符合特定网络安全标准。

参考资料：federalnewsnetwork.com

新势力车企：

特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......

二级供应商(500+以上)：

Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......

更多文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议