本文目录导读:

拜登政府于2021年5月发布的《改善国家网络安全行政令》(第14028号行政令)旨在通过一系列措施提升美国联邦政府的网络安全防护能力,并推动整个关键基础设施领域的网络安全标准提升,该行政令的执行情况可以从几个方面进行评估:
关键目标与进展
- 零信任架构:行政令要求联邦机构向“零信任”安全模型过渡,截至2024年,美国管理和预算办公室(OMB)与网络安全和基础设施安全局(CISA)已发布相关指南,多数联邦机构启动了零信任实施计划,但全面落地仍需时间。
- 软件供应链安全:行政令要求提高采购软件的透明度,包括提供软件物料清单(SBOM),NIST发布了相关标准,部分联邦采购已开始要求供应商提供SBOM,但私营部门响应速度不一。
- 事件响应与检测:CISA建立了“联合网络防御协同”(JCDC)机制,加强威胁情报共享,并推动了“持续诊断与缓解”(CDM)项目的扩展。
主要挑战
- 资金与人才不足:联邦机构普遍面临网络安全预算有限、专业人才短缺的问题,影响了行政令的快速推进。
- 跨部门协调困难:各机构技术基础不同,统一标准落地存在差异,尤其是中小型机构执行力度较弱。
- 私营部门参与度有限:行政令主要约束联邦机构,对私营企业(尤其是关键基础设施运营商)的激励和强制力不足。
近期加强措施(2024-2025年)
- 2024年3月,拜登政府发布《加强国家网络安全》行政令,进一步要求关键基础设施实施最低安全标准,并加强OT/ICS安全。
- CISA推出“网络卫生”项目,为地方政府和中小企业提供免费漏洞扫描服务。
- 2025年初,部分机构(如国防部、能源部)已通过行政令要求供应商提供更具弹性的安全架构。
总体评价
拜登政府网络安全行政令的执行取得了一定进展,尤其在联邦政府内部的零信任转型、供应链安全标准制定方面,但受限于资金、人才及私营部门合作问题,全面实现预定目标仍有差距,政策执行力度可能取决于国会拨款情况、威胁环境变化及下一届政府的优先级调整。
如果您需要更具体的执行数据(如各联邦机构合规率、SBOM采用情况等),我可以进一步提供。