在拜登總統準備將政府移交給即將上任的川普政府之際，他發布了一項新的網路安全行政命令(EO)，概述了針對當今最危險的國家網路威脅（包括中國和猖獗的軟體供應鏈漏洞）的積極網路防禦計畫跨政府和私營部門。

該行政命令內容廣泛且雄心勃勃，讀起來就像拜登政府詳細的美國網路安全狀況報告，重點是為即將上任的團隊奠定基礎。專家表示，隨著世界各地的威脅不斷增加，拋開黨派關係和黨派偏好不談，美國和美國人的網路安全依賴從拜登到川普的順利交接。

到目前為止，跡像是積極的。 WitFoo 網路安全策略師湯姆·克羅斯 (Tom Cross) 表示，該命令反映了向川普政府的直率和負責任的過渡。

克羅斯在回應拜登新網路安全行政命令的聲明中寫道：「網路安全不是黨派問題——保護我們的國家免受間諜和網路破壞等外國網路威脅，是美國每個人的共同利益。 」“透過現在發布這份行政命令，拜登政府能夠將其對這些主題的最佳思考付諸實施，從而使川普政府有時間任命新領導人並製定未來戰略。”

該行政命令是拜登在任期初期發布的 2021 年網路安全行政命令的書擋，反映了一個受到一系列新的地緣政治對手困擾的國家，這些對手擁有日益複雜的技術，包括生成人工智慧( GenAI)。

該命令承認來自中國的惡意網路活動肆無忌憚地增加，包括在鹽颱風和中國政府資助的其他高級持續威脅（APT）實施的大規模間諜活動中入侵美國財政部和至少九個電信網路。雖然行政命令僅涵蓋聯邦機構，但拜登政府長期以來一直利用聯邦網路安全政策和資源來推動私營部門反過來採用更安全的標準。

「拜登政府最新的網路行政命令的重點是確保關鍵基礎設施的安全，採用人工智慧進行防禦，並以雄心勃勃的議程向後量子密碼學過渡，」閃點公司全球安全執行董事、前主任辦公室安德魯·博雷內(Andrew Borene)國家情報局 (ODNI) 高級官員告訴 Dark Reading。 “然而，隨著美國跨國企業和政府機構面臨新冷戰危險的數位環境，這項行政命令的真正力量可能在於它能夠將一些最佳實踐制度化。”

拜登最新的行政命令從聯邦軟體供應鏈開始，要求各機構制定安全的軟體採購標準，並且只與能夠證明安全開發實踐並提供遵守這些標準的證據的軟體供應商開展業務。根據命令，在接下來的 60 天內，將召集一個包括商務秘書和國家標準與技術研究所 (NIST) 官員在內的聯盟來製定這些標準，其中將包括實踐、程序、控制措施和實施示例。行政辦公室。

聯邦機構也被命令實施NIST 供應鏈風險管理實務。網路安全與基礎設施安全局 (CISA) 和總務管理局 (GSA) 將評估如何安全管理聯邦網路內的開源軟體。

拜登的命令也解決了聯邦政府中新興的攻擊面，包括雲端和太空/衛星系統，並呼籲跨機構實施身分和存取管理（IAM）實踐。

在雲端方面，該命令要求 Google 或 Amazon 等 FedRAMP 市場服務供應商向聯邦機構提供有關雲端配置的建議。

Pixel Privacy 消費者隱私倡導者 Chris Hauk 在一份聲明中寫道：“我特別高興地看到雲端提供者將被要求向客戶發布有關如何安全運營的信息。” 「太多的資料外洩是由於雲端資料儲存桶配置錯誤造成的，很多時候儲存在這些儲存桶中的資料對任何有網路連線和一點知識的人都是開放的。”

執行辦公室解釋說，同時，太空系統被要求接受持續分析，以確保美國系統能夠應對最新的威脅。

「隨著太空系統的網路安全威脅增加，這些系統及其支援數位基礎設施的設計必須能夠適應不斷變化的網路安全威脅並在有爭議的環境中運行，」EO 寫道。 「鑑於太空系統在全球關鍵基礎設施和通訊彈性中發揮的關鍵作用，並進一步保護對我們國家安全（包括經濟安全）至關重要的太空系統和支持性數位基礎設施，各機構應採取措施，不斷核實聯邦空間透過持續評估、測試、演習、建模和模擬等行動，系統具備必要的網路安全能力。

據該辦公室稱，中國的間諜活動凸顯了保護聯邦通訊網路安全的必要性。因此，拜登政府制定了加強通訊網路網路安全的指導方針，包括實施身分控制、加密 DNS 流量以及加密所有電子郵件、語音、視訊和訊息。

關於密碼學，拜登行政命令表示，NIST 將制定保護和審核密碼金鑰的新規則。此外，EO 指出，在適用的情況下，各機構應要求採用後量子加密技術。

Flashpoint 的 Borene 指出，這些加密和身份驗證控制要求也適用於其他關鍵的國家安全系統。

「從能源網到衛星，該指令強調需要保護支撐我們國家安全和日常生活的系統，」他補充道。 “考慮到最近攻擊的頻率和規模，推動通用加密和身份驗證協議尤其及時。”

拜登執行長表示，必須部署人工智慧來保護美國關鍵基礎設施免受網路攻擊。該命令制定了一項計劃，探索利用人工智慧來加強美國​​網路防禦並推動更多研究。

Actfore 執行長兼創辦人 Christian Geyer 表示，事實上，人工智慧未來將在保護美國免受網路攻擊方面發揮越來越重要的作用。

蓋爾在聲明中寫道：「雖然認識到人工智慧可能帶來的不斷擴大的攻擊面至關重要，但我們可以對它在增強安全性和效率方面所具有的令人難以置信的潛力感到樂觀。 “主要挑戰在於應對政府流程的複雜性，但只要採取正確的方法，這些挑戰就可以克服，確保技術舉措既有效又安全。”

勒索軟體和安全線上交易數位識別的開發也被列入拜登政府的網路安全願望清單中。

該行政命令顯然是全面且廣泛的。但研究人員警告說，如果沒有川普網路團隊的支持，EO 的許多努力可能會受到阻礙。目前還不清楚事情會如何發展。

Infoblox 全球公共政策和戰略主管 Coleman Mehta 表示，川普政府已經表現出對監管的厭惡，並在川普的第一個任期內將其付諸實踐。然而，他願意以歐巴馬政府先前的網路安全政策為基礎。

「同樣，拜登總統經常建立在川普制定的政策之上，」梅塔告訴《暗讀》。 「這種連續性的基本原則應該保持不變；關注中國網路對手的威脅，加強供應鏈安全，並繼續建立公私合作。”

Flashpoint 的 Borene 指出，在最近的參議院國務卿確認聽證會上，佛羅裡達州共和黨參議員馬可·魯比奧 (Marco Rubio) 表示有興趣看到解決全球網路供應鏈威脅的政策變化。

博雷內表示：“展望未來，新政府將面臨來自中國、俄羅斯、伊朗等對手的國家威脅迅速升級的世界，網絡代理網絡甚至跨國犯罪敲詐團伙的網絡也在不斷擴大。” “在主動的資訊安全變得前所未有的重要之際，行政命令的一些條款的良好執行可以加強美國的網路防禦。”