2017年5月11日星期一,唐纳德总统特朗普签署了一项执行命令“加强联邦网络的网络安全和关键基础设施。“特朗普在2月1日推迟签署网络安全的类似执行令后,行政命令提出,2月10日分发了另一项行政命案草案。

最终的执行命令与前一行政定单13636对齐,“提高关键基础设施安全性“由奥巴马政府签署于2013年2月12日。就像2013年的订单一样,特朗普的执行命令指示联邦机构采取与关键基础设施和联邦网络的网络安全有关的行动。特朗普的命令超越了其前身,以解决与网络安全有关的关键公共政策问题,包括劳动力发展和国际合作。

关键基础设施的网络安全

行政命令规定,各机构将采取措施,涉及保护关键基础设施以及特定部门和问题。在一般层面,该命令规定,国防部长,司法部长,国家情报署署长和联邦调查局主任,以及在内的适当机构,包括卫生和人类服务部,将识别“当局和能力”代理商可以使用“关键基础设施实体”。该订单还指导商业和国土安全秘书,以审查关键基础设施实体的网络安全风险管理实践的市场透明度,并在90天内提供报告。

在特定于部门的级别,执行命令还解决了能源和国防部门的网络安全。该订单规定了国土安全和能源的秘书是在90天内评估和提供关于能源部门脆弱性的报告,以及网络事件导致的“长期停电”的可能性。关于国防,国防秘书和国土安全和联邦调查局的主任,指示关于国防工业基地的网络安全风险和建议的分类报告,包括供应链和军事平台,系统,网络和能力。

最后,该命令还具体地解决了僵尸网络和其他自动化,分布式威胁所带来的威胁,从而提供了商业秘书和国土安全的秘书,应采取措施,通过识别和促进包括私营部门实体的适当利益攸关方确定和促进行动来减少这些威胁。这两家机构要在240天内提供初步报告。僵尸网络构成的威胁变得越来越普遍 mirai等恶意软件 利用“东西互联网”设备(例如,智能电视,网络摄像机)来启动网络攻击。本月, Wannacry Ransomware计算机蠕虫 在150个国家感染了超过230,000台计算机,将用户锁定在其数据中并要求换取恢复文件的付款。

因此,经营关键基础设施的组织可能会期望从联邦机构有关其网络安全行为的增加和审查。对于能源,通信和国防工业基地领域的组织尤其如此。关键基础设施实体是各个部门的组织,其“资产,系统和网络”是物理或虚拟的,被认为是对美国的无能力或销毁对安全,国家经济安全,国家公共卫生或国家公共卫生或者安全或其任何组合。“这些部门被确定在 总统政策指令21(PPD-21) 除了上述部门之外,还包括金融服务,关键制造,医疗保健和公共卫生和运输系统。

联邦网络的网络安全

执行命令还解决了联邦机构自己的网络安全风险管理和现代化。订单要求各机构使用“提高关键基础设施网络安全的框架 ,“由国家标准和技术研究所(NIST)出版,以管理网络安全风险,并提供风险管理报告,详细说明其计划在90天内实施框架。 NIST框架是一套行业标准和最佳做法,旨在帮助组织以成本效益的方式管理网络安全风险。关于其现代化,命令指示机构向共享IT服务的采购偏好,例如电子邮件,云和网络安全服务,并指示美国技术委员会主任提供关于联邦其内部的现代化报告90天。

国家的网络安全

最后,执行命令涉及与网络安全有关的若干公共政策问题,包括网络安全劳动力发展和国际合作。该命令指示国家秘书和其他几家机构提供报告,该报告在90天内向网络安全的国际合作进行订婚策略。同样,该命令指示商业和国土安全秘书在120天内产生报告,评估教育和培训美国网络安全劳动力的努力,并提供建议。国家情报署署长和国防部长同样地旨在制作自己的报告,分别审查外国网络安全劳动力发展实践,并评估美国的充分努力在维持国家网络安全能力方面的优势。