产业资讯
位置: 首页  >  产业资讯  >  拜登签发国家安全备忘录,以改善关键基础设施控制系统网络安全
拜登签发国家安全备忘录,以改善关键基础设施控制系统网络安全
2021-07-29 17:00:00 作者:赛博研究院 
关键词: 

美国总统拜登于7月28日签署了一份国家安全备忘录,旨在加强关键基础设施控制系统的网络安全。备忘录将要求网络安全和基础设施安全局与美国国家标准与技术研究所与其他机构合作,为关键基础设施领域制定网络安全性能目标。

1.jpg

此外,该备忘录将正式建立拜登的工业控制系统(ICS)网络安全倡议,这是政府和私营部门之间的自愿合作,以促进技术的使用,以保护免受网络威胁,并提供攻击警告和指标。ICS项目于今年4月首次启动,作为能源部启动的100天计划的一部分,以保护电力行业免受网络攻击。

针对这一备忘录,国土安全部部长Alejandro N. Mayorkas和商务部长Gina M. Raimondo发表联合声明中称:

“该备忘录通过指导国土安全部和商务部与其他机构一起合作,制定网络安全性能目标,设定一个清晰、易于理解的安全基线,朝着改善关键基础设施的网络安全迈出了关键的一步。美国人民的安全和保障依赖于提供电力、水和交通等基本服务的公司的韧性。网络安全绩效目标的确立标志着这一目标的重要进展。我们希望负责任的关键基础设施所有者和运营商遵循自愿指导,以确保美国人民所依赖的关键服务受到保护,免受网络威胁。”

这份新备忘录是拜登政府应对近几个月来不断升级的网络攻击努力的一部分。这些攻击包括与俄罗斯有关联的网络犯罪组织对Colonial Pipeline和JBS USA的勒索软件攻击,以及最近对软件公司Kaseya的勒索软件攻击,该攻击影响了多达1500家公司。为美国东海岸提供45%天然气的Colonial公司遭到攻击,导致多个州出现燃料短缺,并暴露出黑客可能造成重大破坏的可能性。

以下为备忘录全文:

2.jpg

关于改善关键基础设施控制系统网络安全的国家安全备忘录

2021年7月28日

保护我们国家的关键基础设施是政府在联邦、州、地方、部落和领土层面的责任,也是基础设施所有者和运营商的责任。对控制和运营我们所依赖的关键基础设施的系统构成的网络安全威胁,是我们国家面临的日益严峻的关键问题之一。控制这一基础设施的系统的退化、破坏或故障可能会对美国的国家和经济安全造成重大损害。

第一部分:政策。本届政府的政策是保护国家的关键基础设施,特别关注支持国家关键职能的系统的网络安全和弹性。国家关键职能是指对美国至关重要的政府和私营部门的职能,它们的破坏、腐败、或功能障碍将会削弱国家安全、经济安全、公共卫生安全等众多领域。

第二部分:工业控制系统网络安全倡议。因此,我提出了工业控制系统网络安全倡议(以下简称“倡议”),这是联邦政府和关键基础设施社区之间自愿的合作努力,以显著改善这些关键系统的网络安全。该倡议的主要目标是通过鼓励和促进技术和系统的部署来保护美国的关键基础设施,以提供威胁的可视性、指征、探测和警告,这有助于提高基本控制系统和操作技术网络的网络安全响应能力。该计划的目标是大大扩展这些技术在关键优先基础设施上的部署。

第三部分:推进工业控制系统网络安全倡议。该倡议为政府和工业界合作,在各自的控制范围内立即采取行动,以解决这些严重威胁创造了一条道路。该倡议以关键基础设施领域正在进行的网络安全努力为基础。扩大并加快其步伐,是应对这些威胁的重要一步。我们无法应对我们看不到的威胁;因此,部署能够监控控制系统的系统和技术,以此来检测恶意活动并促进对网络威胁的响应行动,对于确保这些关键系统的安全运行至关重要。联邦政府将与工业界合作,在全国范围内共享关键基础设施优先控制系统的威胁信息。

(a)该倡议首先在电力分部门开展试点工作,目前正在进行天然气管道的相关工作。水资源和废水资源部门系统和化学部门将在今年晚些时候跟进。

(b)根据公法116-283第9002(a)(7)节定义的部门风险管理机构,以及其他执行部门和机构,在符合适用法律的情况下,应与关键基础设施利益相关者、所有者和运营商合作,实施本备忘录中概述的原则和政策。

第四部分:关键基础设施网络安全性能目标。关键基础设施领域的网络安全需求各不相同,网络安全实践也是如此。然而,我们需要在所有关键基础设施领域实现一致的网络安全基线目标,同时还需要对依赖控制系统的相关关键基础设施进行安全控制。

(a)根据2013年2月12日第13636号行政命令(改善关键基础设施网络安全)第7(d)条,国土安全部部长与商务部长(通过国家标准与技术研究所所长)及其他相关机构协调,应制定并发布关键基础设施的网络安全绩效目标,以促进对关键基础设施所有者和运营商应遵循的基本安全实践的共识,以保护国家和经济安全,以及公共健康和安全。

(b)此项努力应首先由国土安全部部长在2021年9月22日前发布跨关键基础设施部门控制系统的初步目标,然后在本备忘录签署之日起一年内发布跨部门控制系统的最终目标。此外,在与相关机构磋商后,国土安全部部长应在本备忘录签署之日起一年内发布特定行业的关键基础设施网络安全性能目标。这些绩效目标应作为对所有者和运营商关于网络安全实践和姿态的明确指导,并值得美国人民信任与期待。这一努力可能还包括审查额外的法律授权是否有利于加强关键基础设施的网络安全,这对美国人民和我们国家的安全至关重要。

第五部分:基本条款。

(a)本备忘录的任何内容不得解释为损害或以其他方式影响:

(i)法律授予行政部门或机构及其首长的权力; (ii)管理和预算办公室主任关于预算、行政或立法提案的职能。 (b) 本备忘录的实施应与适用法律一致。如果实施控制系统网络安全建议可能需要资金援助,应视是否有拨款而定。

(c)本备忘录不旨在,也不创造任何一方针对美国、其部门、机构或实体、其官员、雇员或代理或任何其他人士可在法律或依衡平法上强制执行的任何实质性或程序性权利或利益。

原文链接:

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/

周报底图.png