关于美国联邦政府网络安全取得重大进展的分析

　　一、基本情况

　　4月26日消息，美国政府问责办公室日前发布报告，表示负责实施2021年《改善国家网络安全行政令》的机构，仅剩下六项领导和监督任务尚未完成。

　　这项由美国总统拜登签发的行政令旨在保护联邦IT系统免受网络攻击，总共提出了55项工作任务。网络安全和基础设施安全局(CISA)、国家标准与技术研究院(NIST)和管理与预算办公室(OMB)已经完成49项任务，部分完成5项，而1项因“与其他任务的时间有冲突”被判定为“不适用”。

　　政府问责办公室表示：“完成这些任务，将进一步保证联邦政府系统和数据得到充分保护。”

　　二、OMB未完成任务

　　根据行政命令中“消除共享威胁信息的障碍”章节要求，OMB没有将所需的成本分析部分完全纳入年度预算程序。

　　政府问责办公室指出，“OMB未能证明，其已按照CISA有关分享网络威胁信息的建议，在与相关联邦机构的沟通中纳入成本分析。记录联邦机构与OMB之间的沟通结果，将帮助机构制定足以实施上述建议的预算。”

　　OMB还未能向政府问责办公室证明，其已经“与机构合作，确保它们有足够资源实施”部署端点检测和响应产品的方法，这是一项主动检测联邦基础设施内部网络事件的举措。

　　政府问责办公室表示：“OMB的一名工作人员表示，由于涉及的对话数量众多且分散，无法记录所有与机构有关的端点检测与响应相关的沟通结果。”

　　在日志记录方面OMB也有欠缺。该机构与其他机构分享了指南，帮助更好地改进日志保留、日志管理和日志功能，但没有向政府问责办公室证明，这些机构有适当的资源实施这些指南。

　　三、CISA未完成任务

　　在识别并向机构提供正在使用或正在采购的“关键软件”列表方面，CISA稍显不足。OMB和NIST已完全完成了这项任务。但一名CISA官员告诉政府问责办公室，他们“对机构和私营行业将如何理解列表存在疑虑，并计划审查验证软件分类所需的现有标准。”该官员补充说，即将推出新版类别列表，并配上有清晰解释的文档。”

　　CISA在网络安全审查委员会方面也有一些工作要做。由于缺乏权威性和独立性，这个由公共和私营部门代表组成的跨机构委员会，面临来自国会和行业领导者的压力。根据政府问责办公室的说法，CISA没有完全采取措施来实施如何改进该委员会运营的建议。

　　政府问责办公室写道：“CISA官员表示，该机构在实施委员会的建议方面已经取得了进展，并计划进一步改进委员会的运营政策和程序。然而，CISA没有提供证据表明它正在实施这些建议。如果CISA没有实施委员会的建议，该委员会未来可能无法有效地进行事件审查。”

　　总体而言，联邦机构已经完成了行政令列出的绝大多数任务。政府问责办公室写道：“例如，他们已经制定了改进网络威胁信息分享的程序、关键软件的安全措施指南和进行事件响应的操作手册。”此外，国家网络总监办公室 “作为命令的总体协调者，与机构合作具体实施行政令，并跟踪实施情况。”

　　四、研判分析

　　首先，这表明美国政府在网络安全领域的决心和行动是坚决的。面对日益严重的网络威胁，美国通过立法和行政手段，积极推动网络安全工作的深入开展。这不仅体现了对网络安全问题的重视，也展现了政府保护公民信息安全和国家利益的坚定立场。

　　其次，虽然大部分任务已经完成，但仍有部分任务尚未完成。这表明网络安全工作是一个长期且持续的过程，需要政府和相关机构不断努力，持续改进和完善。同时，对于尚未完成的任务，需要认真分析原因，制定有效的措施，确保能够尽快完成。

　　最后，网络安全不仅仅是政府和相关机构的责任，也需要全社会的共同参与和努力。我们也应提高网络安全意识，学习网络安全知识，加强个人信息保护。同时，企业和其他组织也应加强网络安全建设，提升网络安全防护能力，共同维护网络空间的安全与稳定。