根据美国宪法和法律赋予我的总统权力，包括《国际紧急经济权力法》（美国法典第50编1701条款等）、《国家紧急状态法》（美国法典第50编1601条款等）、1952年《移民和国籍法》第212（f）节（美国法典第8编1182（f）条款）以及美国法典第3编第301节，现命令如下：

敌对国家和犯罪分子继续针对美国和美国人开展网络攻击，这些攻击扰乱了全国关键服务的提供，耗费了数十亿美元，并损害了美国民众的安全和隐私。必须采取更多措施来提高国家网络安全，以抵御这些威胁。

基于我在2021年5月12日第14028号行政命令（改善国家网络安全）中指示的基础步骤以及《国家网络安全战略》中详述的举措，我下令采取更多行动来改善我们国家的网络安全，重点是保护我们的数字基础设施，确保对数字领域最重要的服务和能力，并建立我们应对主要威胁的能力。加强对软件和云服务提供商的问责制，加强联邦通信和身份管理系统的安全性，促进行政部门和机构以及私营部门的网络安全创新发展和新兴技术的使用，对于改善国家网络安全尤为重要。

1、联邦政府和我们国家的关键基础设施依赖于软件提供商。然而，不安全的软件对提供商和用户来说仍然是一个挑战，并使联邦政府和关键基础设施系统容易受到恶意网络事件的攻击。联邦政府必须继续采用安全的软件采购做法，并采取措施，使软件提供商使用安全的软件开发做法来减少他们生产的软件中漏洞的数量和严重程度。

2、第14028号行政命令指示采取行动，提高对联邦政府运作能力至关重要的软件的安全性和完整性。第14028号行政命令指示制定安全软件开发实践指南，并指示生成和提供以工件形式提供的证据（手动或自动生成的计算机记录或数据），以证明遵守这些实践。此外，它还指示白宫行政管理和预算局（OMB）局长要求各机构仅使用那些证明使用这些安全软件开发实践的供应商提供的软件。在某些情况下，联邦政府的软件提供商承诺遵循网络安全实践，但并未修复其软件中众所周知的可利用漏洞，这使政府面临被入侵的风险。联邦政府需要采用更严格的第三方风险管理实践，并更好地保证支持关键政府服务的软件提供商遵循他们所证明的实践。

（1）在本命令发布之日起30天内，白宫行政管理和预算局局长应与商务部部长（通过美国国家标准与技术研究所主任行事）和国土安全部长（通过美国网络安全和基础设施安全局局长行事）协商，向联邦采购监管委员会推荐合同条款，要求软件提供商通过网络安全和基础设施安全局的软件证明和工件存储库（RSAA）向网络安全和基础设施安全局提交：

（A）机器可读的安全软件开发证明；

（B）用于验证这些证明的高级工件；

（C）提供商的联邦民事行政部门（FCEB）机构软件客户列表。

（2）在收到本节2（1）款所述建议后120天内，联邦采购监管委员会应审查这些建议，并在适当且符合适用法律的情况下，美国国防部部长、总务管理局局长和国家航空航天局局长（联邦采购监管委员会成员机构）应联合采取措施修改《联邦采购条例》，以实施这些建议。强烈建议联邦采购监管委员会成员考虑在适当且符合适用法律的情况下发布临时最终规则。

（3）在本节2（1）款所述建议发布之日起60天内，国土安全部部长应通过网络安全和基础设施安全局局长评估生成、接收和验证机器可读安全软件开发证明和工件的新兴方法，并在适当情况下为软件提供商提供指导，帮助其将其提交到网络安全和基础设施安全局的软件证明和工件存储库（RSAA）网站，包括通用数据模式和格式。

（4）在本节2（2）款所述《联邦采购条例》的任何修订之日起30天内，美国国土安全部部长应通过网络安全和基础设施安全局局长制定一个程序，以集中验证所有证明表格的完整性。网络安全和基础设施安全局应使用软件证明和工件存储库中的高级工件持续验证完整证明的样本。

（5）如果网络安全和基础设施安全局发现证明不完整或工件不足以验证证明，网络安全和基础设施安全局局长应通知软件提供商和承包机构。网络安全和基础设施安全局局长应为软件提供商提供对网络安全和基础设施安全局初步决定作出回应的流程，并应适当考虑该回应。

（6）对于经过验证的证明，网络安全和基础设施安全局局长应通知美国国家网络总监，后者应公开发布结果，并指明软件提供商和软件版本。鼓励美国国家网络总监将未通过验证的证明提交给司法部部长，以便采取适当行动。

3、安全的软件开发实践不足以应对资源丰富、意志坚定的国家行为者可能造成的网络事件。为了降低此类事件发生的风险，软件供应商还必须解决软件交付方式和软件本身的安全性问题。联邦政府必须确定一套协调的、实用有效的安全实践，并在采购软件时加以要求。

（1）在本命令发布之日起60天内，美国商务部部长应通过美国国家标准与技术研究所（NIST）主任在国家网络安全卓越中心与业界建立一个联盟，以制定指导方针，并在联盟的适当情况下提供指导，展示基于国家标准与技术研究所特别出版物800-218（安全软件开发框架）的安全软件开发、安全和操作实践的实施情况。

（2）在本命令发布之日起90天内，美国商务部部长应通过国家标准与技术研究所主任更新国家标准与技术研究所特别出版物800-53（信息系统和组织的安全和隐私控制），以提供如何安全可靠地部署补丁和更新的指导。

（3）在本命令发布之日起180天内，美国商务部部长应通过国家标准与技术研究所主任，与其认为适当的机构负责人协商，制定并发布安全软件开发框架的初步更新。此更新应包括有关软件安全可靠开发和交付以及软件本身安全性的实践、程序、控制和实施示例。在发布初步更新后的120天内，商务部部长应通过国家标准与技术研究所主任，发布更新后的安全软件开发框架的最终版本。

（4）在本节3（3）款中描述的安全软件开发框架最终更新后的120天内，白宫行政管理和预算局局长应将国家标准与技术研究所更新的安全软件开发框架中包含的软件安全开发和交付的选定实践纳入白宫行政管理和预算局M-22-18备忘录（通过安全软件开发实践增强软件供应链的安全性）或相关要求中。

（5）在本节3（4）款中描述的白宫行政管理和预算局更新要求发布后30天内，网络安全和基础设施安全局局长应准备对网络安全和基础设施安全局的安全软件开发证明通用表格进行任何修订，以符合白宫行政管理和预算局的要求，并应根据《文书工作减少法案》（美国法典第44编3501条款等）启动获得修订表格批准所需的任何流程。

4、随着各机构的网络防御能力不断增强，对手已将目标对准了机构供应链中的薄弱环节以及联邦政府所依赖的产品和服务。各机构需要将网络安全供应链风险管理计划整合到体系范围的风险管理活动中。在本命令发布之日起90天内，白宫行政管理和预算局局长应与商务部部长协调，通过美国国家标准与技术研究所主任、总务管理局局长和联邦采购安全委员会采取行动，采取措施要求各机构遵守国家标准与技术研究所特别出版物800-161（系统和组织的网络安全供应链风险管理实践(SP800-161修订版1)）中的指导。白宫行政管理和预算局应要求各机构在完成实施后每年向白宫行政管理和预算局提供更新。与SP800-161修订版1一致，白宫行政管理和预算局的要求应通过采购规划、来源选择、责任确定、安全合规性评估、合同管理和绩效评估来解决将网络安全整合到采购生命周期中的问题。

5、开源软件在联邦信息系统中发挥着关键作用。为了帮助联邦政府继续获得开源软件的创新和成本效益，并为开源软件生态系统的网络安全做出贡献，各机构必须更好地管理其对开源软件的使用。在本命令发布之日起120天内，国土安全部部长通过网络安全和基础设施安全局局长和白宫行政管理和预算局局长与总务管理局局长和其他机构负责人协商，应联合向各机构发布关于使用开源软件安全评估和修补以及为开源软件项目做出贡献的最佳实践的建议。

1、联邦政府必须采用业界经过验证的安全实践（包括身份和访问管理），以提高跨网络安全威胁的可见性并加强云安全。

2、为了优先投资未来的创新身份技术和流程以及防网络钓鱼的身份验证选项，以白宫行政管理和预算局和网络安全和基础设施安全局自发布第14028号行政命令以来开发和建立的部署为基础，联邦民事行政部门机构应开始在试点部署或更大规模部署中使用商业防网络钓鱼标准（如WebAuthn）。这些试点部署将用于为联邦身份、凭证和访问管理策略的未来方向提供参考。

3、联邦政府必须保持快速有效地识别联邦体系内威胁的能力。在第14028号行政命令中，我指示国防部部长和国土安全部部长建立程序，立即共享威胁信息，以加强国防部和民用网络的集体防御。为了能够识别威胁活动，必须加强网络安全和基础设施安全局根据美国法典第44编3553(b)(7)条款在联邦民事行政部门机构内搜寻和识别威胁的能力。

（1）国土安全部部长应通过网络安全和基础设施安全局局长，与联邦首席信息官（CIO）委员会和联邦首席信息安全官（CISO）委员会协调，开发技术能力，以便及时获取来自联邦民事行政部门机构端点检测和响应（EDR）解决方案以及联邦民事行政部门机构安全运营中心的所需数据，从而实现：

（A）及时搜寻和识别联邦民事体系的新型网络威胁和漏洞；

（B）识别同时针对多个机构并在整个联邦体系内横向移动的协调网络攻击活动；

（C）协调政府范围内的信息安全政策和实践努力，包括汇编和分析有关威胁信息安全事件的信息。

（2）在本命令发布之日起180天内，国土安全部部长应通过网络安全和基础设施安全局局长与联邦首席信息官（CIO）委员会和联邦首席信息安全官（CISO）委员会协调，制定并发布一项行动概念，使网络安全和基础设施安全局能够及时获取所需数据，以实现本节3（1）款中所述的目标。白宫行政管理和预算局局长应监督该行动概念的制定，以考虑机构观点和本节概述的目标，并批准最终的行动概念。该行动概念应包括：

（A）要求联邦民事行政部门机构向网络安全和基础设施安全局提供足够完整的数据，并按时提供，以使网络安全和基础设施安全局能够实现本节3（1）款中所述的目标；

（B）当网络安全和基础设施安全局直接访问机构端点检测和响应（EDR）解决方案以获取所需遥测数据时，要求网络安全和基础设施安全局提前通知联邦民事行政部门机构；

（C）特定用例，机构可根据本节3（2）（A）款的要求提供遥测数据，而不是由网络安全和基础设施安全局直接访问端点检测和响应（EDR）解决方案；

（D）高级技术和政策控制要求，以管理网络安全和基础设施安全局对符合广泛接受的网络安全原则的机构端点检测和响应（EDR）解决方案的访问，包括基于角色的访问控制、“最小特权”和职责分离；

（E）对受到法定、监管或司法限制的高度敏感机构数据的特殊保护，以保护其机密性或完整性；

（F）行动概念的附录，用于识别和处理本节3（2）（C）款下适用于司法部的某些类型的具体用例，包括本节3（6）和3（7）款中描述的某些类别的信息，并要求司法部在司法部或其下属机构的网络上实施行动概念之前同意附录的条款。

（3）在开展本节3款所述活动时，国土安全部部长通过网络安全和基础设施安全局局长，仅当网络安全和基础设施安全局需要进行威胁搜寻时，才可以对机构网络、系统或数据进行更改，包括访问本节3（2）款所述的端点检测和响应（EDR）工具，或为进一步行使美国法典第44编3553(b)(7)款授权的威胁搜寻权力，否则该机构另行授权。

（4）在本节3（2）款所述行动概念发布后30天内，国土安全部部长应通过网络安全和基础设施安全局局长设立工作组，向所有机构开放，以制定和发布实现本节3（2）款所述目标的具体技术控制措施，并与端点检测和响应（EDR）解决方案提供商合作，在联邦民事行政部门机构部署的端点检测和响应（EDR）解决方案中实施这些控制措施。国土安全部部长应通过网络安全和基础设施安全局局长至少为网络安全和基础设施安全局授权用于CISA持续诊断和缓解（CDM）计划的每种端点检测和响应（EDR）解决方案设立一个工作组。每个工作组应向所有机构开放，并包括至少一名采用指定端点检测和响应（EDR）解决方案的联邦民事行政部门机构的代表。

（5）在本节3（4）款中描述的技术控制发布后180天内，联邦民事行政部门机构负责人应使用网络安全和基础设施安全局持久访问能力（PAC）计划中这些控制措施所涵盖的端点检测和响应（EDR）解决方案来注册端点。

（6）在本命令发布之日起90天内，以及此后根据需要定期向网络安全和基础设施安全局提供需要额外控制或不中断期的系统、端点和数据集列表，以确保网络安全和基础设施安全局的威胁搜寻活动不会破坏关键任务操作，并对这些操作进行解释。

（7）在机构数据受到法定、监管或司法访问限制的情况下，网络安全和基础设施安全局局长应遵守访问此类数据所需的机构流程和程序，或与机构合作制定与此类限制一致的适当的行政安排，以使数据不受未经授权的访问或使用。

（8）本命令中的任何内容均不要求机构提供受法院命令保护不得披露的信息或在司法程序中需要保密的信息。

4、联邦信息系统的安全依赖于政府云服务的安全性。在本命令发布之日起90天内，总务管理局局长应通过联邦风险与授权管理计划（FedRAMP）主任，与商务部部长（通过国家标准与技术研究所主任）和国土安全部部长（通过网络安全和基础设施安全局局长）协调，制定FedRAMP政策和实践，以激励或要求FedRAMP市场中的云服务提供商为机构配置机构云系统制定基线，并提供规范和建议，以便根据机构要求保护联邦数据。

5、随着太空系统面临的网络安全威胁不断增加，这些系统及其支持的数字基础设施必须设计为适应不断变化的网络安全威胁并在竞争环境中运行。鉴于太空系统在全球关键基础设施和通信弹性中发挥的关键作用，为进一步保护太空系统和对我们的国家安全（包括我们的经济安全）至关重要的支持数字基础设施，各机构应采取措施，通过持续评估、测试、演习、建模和模拟等行动，不断验证联邦太空系统是否具有必要的网络安全能力。

（1）在本命令发布之日起180天内，美国内政部部长（通过美国地质调查局局长行事）、商务部部长（通过商务部海洋和大气事务副部长和国家海洋和大气管理局局长行事）、国家航空航天局局长应分别审查联邦采购条例中的民用航天合同要求，并向联邦采购监管委员会和其他适当机构建议更新民用航天网络安全要求和相关合同条款。建议的网络安全要求和合同条款应对所有新民用航天系统采用基于风险的分层方法。此类要求应至少适用于民用航天系统的在轨段和链路段。这些要求应针对最高风险层级和其他层级（视情况而定）解决以下要素：

（A）保护民用航天系统的指挥和控制，包括备份或故障转移系统，方式如下：加密指挥，保护通信的机密性；确保指挥在传输过程中不被修改；确保指挥来自授权方；拒绝未经授权的指挥和控制尝试；

（B）建立检测、报告和恢复异常网络或系统活动的方法；

（C）使用安全的软件和硬件开发实践，与国家标准与技术研究所安全软件开发框架（SSDF）或任何后续文件一致。

（2）在收到本节5（1）款所述的建议合同条款后的180天内，联邦采购监管委员会应审查该提案，并在适当情况下并根据适用法律，联邦采购监管委员会的机构成员应联合采取措施修改联邦采购条例。

（3）在本命令发布之日起120天内，美国国家网络总监应向白宫行政管理和预算局提交一份由联邦民事行政部门机构拥有、管理或运营的太空地面系统研究报告。该研究应包括：

（A）太空地面系统清单；

（B）每个太空地面系统是否根据美国法典第44编3505（c）款归类为主要信息系统，标记为“主要信息系统清单”；

（C）有关改进此类太空地面系统的网络防御和监督的建议。

（4）在提交本节5（3）款所述研究报告后的90天内，白宫行政管理和预算局局长应采取适当措施，帮助确保联邦民事行政部门机构拥有、管理或运营的太空地面系统符合白宫行政管理和预算局发布的相关网络安全要求。

1、为提高联邦政府通信安全性，防范敌对国家和犯罪分子，联邦政府必须在切实可行的范围内并根据任务需要，使用现代、标准化和商用的算法和协议，实施强身份验证和加密。

2、互联网流量的安全性取决于数据是否被正确路由并传送到预期的接收网络。利用边界网关协议（BGP）在互联网上发起和传播的路由信息容易受到攻击和配置错误。

（1）在本命令发布之日起90天内，联邦民事行政部门机构应采取措施确保其所有分配的互联网号码资源（IP地址块和自治系统号码）均受与美国互联网号码注册中心或其他适当的区域互联网注册中心签订的注册服务协议的约束。此后，联邦民事行政部门机构应每年在其区域互联网注册中心账户中审查和更新与分配号码资源相关的组织标识符，例如组织名称、联系点和相关电子邮件地址。

（2）自本命令发布之日起120天内，所有持有IP地址块的联邦民事行政部门机构应在其持有的IP地址块所属的美国互联网号码注册中心或适当的区域互联网注册中心托管或委托的公共资源公钥基础设施存储库中创建并发布路由来源授权。

（3）在本命令发布之日起120天内，国家网络总监与其他机构负责人协调，向联邦采购监管委员会推荐合同条款，要求与机构签订互联网服务的合同提供商采用和部署互联网路由安全技术，包括发布路由来源授权和执行路由来源验证过滤。建议的条款应包括与海外业务和海外本地服务提供商有关的机构合同的要求或例外情况。在收到这些建议后的270天内，联邦采购监管委员会应审查建议的合同条款，并在适当且符合适用法律的情况下，联邦采购监管委员会的机构成员应共同采取措施修改联邦采购条例。在对联邦采购条例进行任何此类修改前，鼓励各机构在未来的合同中纳入此类要求，并符合适用法律。

（4）在本命令发布之日起180天内，商务部部长应通过国家标准与技术研究所主任向各机构发布最新指南，指导如何为联邦政府网络和服务提供商部署当前可行的边界网关协议（BGP）安全方法。商务部长还应通过国家标准与技术研究所主任提供有关其他新兴技术的最新指南，以提高互联网路由安全性和弹性，例如路由泄漏缓解和源地址验证。

3、对传输中的域名系统（DNS）流量进行加密是保护传输到DNS解析器的信息的机密性和与DNS解析器通信的完整性的关键步骤。

（1）在本命令发布之日起90天内，国土安全部部长应通过网络安全和基础设施安全局局长发布模板合同条款，要求任何充当联邦政府DNS解析器（无论是客户端还是服务器）的产品都支持加密DNS，并应将该条款推荐给联邦采购监管委员会。在收到推荐条款后的120天内，联邦采购监管委员会应对其进行审查，并且根据适用法律，联邦采购监管委员会的机构成员应联合采取措施修改联邦采购条例。

（2）在本命令发布之日起180天内，联邦民事行政部门机构应在其现有客户端和服务器支持加密DNS协议的情况下启用该协议。联邦民事行政部门机构还应在任何其他客户端和服务器支持此类协议的180天内启用此类协议。

4、联邦政府必须对传输中的电子邮件进行加密，并在切实可行的情况下使用端到端加密，以保护邮件免遭泄露。

（1）在本命令发布之日起120天内，每个联邦民事行政部门机构应在技术上强制执行该机构电子邮件客户端与其关联电子邮件服务器间的所有连接的加密和认证传输。

（2）在本命令发布之日起180天内，白宫行政管理和预算局局长应制定一项要求，要求联邦民事行政部门机构用于发送和接收电子邮件的电子邮件服务器间扩大使用经过认证的传输层加密。

（3）在本节4（2）款所述要求建立后的90天内，国土安全部部长应通过网络安全和基础设施安全局长采取适当措施协助各机构满足该要求，包括发布实施指令以及技术指导以解决任何已发现的能力差距。

5、语音和视频会议以及即时消息等现代通信通常在链路级别加密，但通常不是端到端加密。在本命令发布之日起180天内，为提高基于互联网的语音和视频会议和即时消息的安全性，白宫行政管理和预算局局长应与国土安全部部长（通过网络安全和基础设施安全局局长行事）、国防部部长（通过国家安全局局长行事）、商务部部长（通过国家标准与技术研究所主任行事）、美国档案馆馆长（通过美国政府首席记录官行事）以及总务管理局局长协调，采取适当措施要求各机构：

（1）默认启用传输加密；

（2）在技术支持的情况下，默认使用端到端加密，同时保持日志记录和归档功能，以使机构能够履行记录管理和问责要求。

6、量子计算机除了带来好处之外，还对美国的国家安全（包括经济安全）构成重大风险。最值得注意的是，一台足够大、足够复杂的量子计算机——也称为密码分析相关量子计算机（CRQC）——将能够破解美国和世界各地数字系统上使用的大部分公钥加密。在2022年5月4日的第10号国家安全备忘录（促进美国在量子计算领域的领导地位，同时降低易受攻击的加密系统的风险）中，我指示联邦政府为过渡到不易受到CRQC攻击的加密算法做好准备。

（1）在本命令发布之日起180天内，国土安全部部长应通过网络安全和基础设施安全局局长发布并定期更新支持后量子密码（PQC）的产品广泛可用的产品类别清单。

（2）在某一产品类别被列入本节6（1）款所述清单后的90天内，各机构应采取措施，在该类别产品的任何招标中纳入产品支持PQC的要求。

（3）各机构应在其网络架构中已部署的网络安全产品和服务提供支持后尽快实施PQC密钥建立或包括PQC算法的混合密钥建立。

（4）自本命令发布之日起90天内，国务卿和商务部部长应通过国家标准与技术研究所主任和国际贸易部副部长确定并接触主要国家的外国政府和行业团体，鼓励他们过渡到国家标准与技术研究所标准化的PQC算法。

（5）在本命令发布之日起180天内，为准备向PQC过渡，国防部部长（负责国家安全系统）和白宫行政管理和预算局局长（负责非国家安全系统）应尽快（但不迟于2030年1月2日）向各机构发布支持传输层安全协议1.3版或后续版本的要求。

7、联邦政府应利用商业安全技术和架构，如硬件安全模块、可信执行环境和其他隔离技术，以保护和审核具有延长生命周期的加密密钥的访问。

（1）自本命令发布之日起270天内，商务部部长通过国家标准与技术研究所主任、国土安全部部长（通过网络安全和基础设施安全局局长）和总务管理局局长磋商，制定云服务提供商使用的访问令牌和加密密钥的安全管理指南。

（2）在本节7（1）款所述指南发布后60天内，总务管理局局长应通过FedRAMP主任，与商务部部长（通过国家标准与技术研究所主任）和国土安全部长（通过网络安全和基础设施安全局局长）协商，制定更新的FedRAMP要求，将本节7（1）款所述指南纳入其中，并酌情与白宫行政管理和预算局局长发布的有关加密密钥管理安全实践的指导保持一致。

（3）在本节7（1）款所述指南发布后60天内，白宫行政管理和预算局局长应与商务部部长（通过国家标准与技术研究所主任行事）、国土安全部长（通过网络安全和基础设施安全局局长行事）以及总务管理局局长协商，采取适当措施要求联邦民事行政部门机构遵循有关保护和管理硬件安全模块、可信执行环境或云服务提供商在向机构提供服务时使用的访问令牌和加密密钥的其他隔离技术的最佳实践。

1、犯罪集团使用被盗和合成身份系统性地诈骗公共福利计划，会耗费纳税人并浪费联邦政府资金。为了帮助打击这些犯罪，行政部门的政策是大力鼓励接受数字身份证件来访问需要身份验证的公共福利计划，只要这样做的方式能够为弱势群体保留广泛的计划访问权限并支持隐私、数据最小化和互操作性的原则。

（1）在本命令发布之日起90天内，鼓励具有拨款权的机构与白宫行政管理和预算局和国家安全委员会工作人员协调考虑是否可以提供联邦拨款资金来协助各州制定和颁发移动驾驶执照，以实现本节所述的政策和原则。

（2）自本命令发布之日起270天内，商务部部长应通过国家标准与技术研究所主任，与相关机构和其他利益相关者通过国家网络安全卓越中心合作，发布切实可行的实施指南，以支持使用数字身份证件进行远程数字身份验证，帮助数字身份证件的发行者和验证者推进本节所述的政策和原则。

（3）各机构应考虑接受数字身份证件作为访问公共福利计划的数字身份验证证据，但前提是这些文件的使用符合本节描述的政策和原则。

（4）各机构应根据适用法律，努力确保数字身份证件被接受为获取公共福利计划的数字身份验证证据：

（A）可与相关标准和信任框架互操作，以便公众可以使用任何符合标准的硬件或软件，其中包含政府颁发的官方数字身份证件，无论制造商或开发商是谁；

（B）不允许颁发数字身份证件的机构、设备制造商或任何其他第三方监视或追踪数字身份证件的出示情况，包括出示时用户设备的位置；

（C）通过确保仅向数字身份证件持有人请求交易所需的最少信息（通常是对问题的“是”或“否”的回答，例如个人是否超过特定年龄）来支持用户隐私和数据最小化。

2、使用“是/否”验证服务（也称为属性验证服务）可以启用更多隐私保护手段来减少身份欺诈。这些服务允许程序通过隐私保护的“是”或“否”响应来确认申请人提供的身份信息是否与官方记录中已包含的信息一致，而无需共享这些官方记录的内容。为支持使用此类服务，社会保障专员和白宫行政管理和预算局局长指定的任何其他机构的负责人应在适当情况下并根据适用法律考虑采取措施制定或修改服务（包括酌情启动拟议规则制定或发布新的或重大修改的常规记录使用通知），这些服务与政府运营的身份验证系统和公共福利计划有关，并考虑让此类系统和程序将申请人提供的身份信息提交给提供服务的机构，并收到“是”或“否”的响应，以确定申请人提供的身份信息是否与提供服务的机构存档的信息一致。在此过程中，这些机构的负责人应特别考虑根据适用法律确保：

（1）任何申请人向服务提交的身份信息以及服务提供的任何“是”或“否”答复仅用于协助身份验证、项目管理、反欺诈行动或调查和起诉与提交身份信息的公共福利项目相关的欺诈行为；

（2）在最大允许范围内并酌情向公共福利项目、政府运营的身份验证系统（包括共享服务提供商）、支付诚信计划、受美国监管的金融机构提供这些服务；

（3）使用这些服务的机构、公共福利项目或机构提供补偿，以适当支付成本并支持服务的持续维护、改进和广泛可及性。

3、财政部部长应与总务管理局局长协商，研究、开发和实施一项技术试点项目，当个人和实体的身份信息被用于申请公共福利计划的付款时，应通知个人和实体，让个人和实体能够在潜在的欺诈交易发生之前选择阻止它们，并向执法机构报告欺诈交易。

人工智能有可能通过快速识别新漏洞、扩大威胁检测技术的规模以及自动化网络防御来改变网络防御。联邦政府必须加速人工智能的开发和部署，探索利用人工智能改善关键基础设施网络安全的方法，并加速人工智能与网络安全交叉领域的研究。

1、在国防高级研究计划局2025年人工智能网络挑战赛完成之日起180天内，能源部部长应与国防部部长（通过国防高级研究计划局局长）和国土安全部部长协调，启动一项试点计划，该计划涉及与私营部门关键基础设施实体进行适当合作并符合适用法律，以利用人工智能加强能源部门关键基础设施的网络防御，并在试点计划完成后对其进行评估。该试点计划及其随附的评估可能包括漏洞检测、自动补丁管理以及跨信息技术或运营技术系统的异常和恶意活动的识别和分类。

2、本命令发布之日起270天内，国防部部长应建立一个使用先进人工智能模型进行网络防御的计划。

3、自本命令发布之日起150天内，商务部部长（通过国家标准与技术研究所主任行事）、能源部部长、国土安全部部长（通过负责科技的副部长行事）以及国家科学基金会主任应分别优先资助各自的项目，鼓励开发网络防御研究所需的大规模标记数据集，并确保现有的网络防御研究数据集在最大程度上可供更广泛的学术研究界（安全或公开）访问，同时考虑到商业机密和国家安全。

4、自本命令发布之日起150天内，商务部部长（通过国家标准与技术研究所主任行事）、能源部部长、国土安全部部长（通过负责科技的副部长行事）以及国家科学基金会主任应优先对以下主题进行研究：

（1）用于协助防御性网络分析的人机交互方法；

（2）人工智能编码辅助的安全性，包括人工智能生成代码的安全性；

（3）设计安全人工智能系统的方法；

（4）涉及人工智能系统的网络事件的预防、响应、补救和恢复的方法。

5、自本命令发布之日起150天内，国防部部长、国土安全部部长和国家情报总监应与白宫行政管理与预算局局长协调，将人工智能软件漏洞和入侵管理纳入各自机构现有的流程和跨部门漏洞管理协调机制，包括通过事件跟踪、响应和报告，以及共享人工智能系统的失陷指标。

1、支持机构关键任务的IT基础设施和网络需要现代化。机构的政策必须协调投资和优先事项，以提高网络可见性和安全控制，从而降低网络风险。

（1）本命令发布之日起3年内，白宫行政管理与预算局局长应发布指导意见，包括对白宫行政管理与预算局A-130通告的任何必要修订，以应对重大风险并在联邦信息系统和网络中采用现代实践和架构。本指导意见至少应：

（A）概述对机构网络安全信息共享和交换、整体可见性以及机构首席信息安全局对整体范围网络安全计划问责的期望；

（B）在适当情况下，修改白宫行政管理与预算局A-130通告，减少关键领域的技术规定性，更明确地推动整个联邦系统采用不断发展的网络安全最佳实践，并包括迁移到零信任架构和实施关键要素，如端点检测和响应功能、加密、网络分段和防网络钓鱼多因素身份验证；

（C）解决机构应如何识别、评估、应对和减轻因IT供应商和服务集中而对任务基本功能带来的风险。

（2）商务部部长（通过国家标准与技术研究所主任行事）、国土安全部部长（通过网络安全和基础设施安全局局长行事）、白宫行政管理与预算局局长应为白宫行政管理与预算局、国家标准与技术研究所和网络安全和基础设施安全局发布和管理的有关网络安全的政策和指导的机器可读版本建立一个规则即代码方法的试点计划。

2、管理网络安全风险现已成为日常行业实践的一部分，所有类型的业务都应如此。最低网络安全要求可能会使威胁行为者入侵网络的成本更高、难度更大。在本命令发布之日起240天内，商务部部长应通过国家标准与技术研究所主任评估各行业、国际标准机构和其他风险管理计划中常用或推荐的常见网络安全实践和安全控制结果，并根据评估结果发布确定最低网络安全实践的指导意见。在制定本指导意见时，商务部部长应通过国家标准与技术研究所主任征求联邦政府、私营部门、学术界和其他适当行为者的意见。

3、各机构在采购产品和服务时面临多种网络安全风险。尽管各机构已经在改善其供应链风险管理方面取得了重大进展，但仍需要采取更多行动来跟上不断变化的威胁形势。在本节2款所述指南发布后180天内，联邦采购监管委员会应审查该指导，并在适当且符合适用法律的情况下，联邦采购监管委员会的机构成员应联合采取措施修改联邦采购条例，以：

（1）要求联邦政府的承包商在根据机构合同执行的工作或在开发、维护或支持向联邦政府提供的IT服务或产品时，遵守国家标准与技术研究所根据本节2款提供的指导中确定的适用的最低网络安全实践；

（2）制定要求，要求各机构在2027年1月4日前要求向联邦政府提供消费者物联网产品的供应商（定义见联邦规则汇编 第47编8.203(b)）在这些产品上贴上美国网络信任标志。

1、除本命令第4节6（5）款另有明确规定外，本命令第1至7节不适用于属于国家安全系统或被国防部或情报界确定为破坏性影响系统的联邦信息系统。

2、在本命令发布之日起90天内，为确保国家安全系统和破坏性影响系统受到最先进的安全措施保护，国防部部长应通过国家安全局局长作为国家安全系统国家管理官（“国家管理官”），与国家情报总监和国家安全系统委员会协调，并与白宫行政管理和预算局局长和总统国家安全事务助理协商，制定符合本命令要求的国家安全系统和破坏性影响系统要求，并酌情遵守适用法律。在特殊任务需要的情况下，国防部部长可以对此类要求给予例外。此类要求应纳入拟议的国家安全备忘录，并通过总统国家安全事务助理提交给总统。

3、为帮助保护太空国家安全系统并采取与新兴威胁同步的网络安全措施，国家安全系统委员会应在本命令发布之日起210天内审查并酌情更新有关太空系统网络安全的相关政策和指导。除了适当的更新外，国家安全系统委员会还应确定并满足在入侵检测、使用硬件信任根进行安全启动以及开发和部署安全补丁等领域对联邦政府采购的太空国家安全系统实施网络防御的适当要求。

4、为加强对联邦信息系统的有效管理和监督，在本命令发布之日起90天内，白宫行政管理和预算局局行应酌情发布指导意见，要求各机构对所有主要信息系统进行盘点，并将清单提供给网络安全和基础设施安全局、国防部或“国家管理官”（视情况而定），各机构应各自维护其职权范围内的机构清单登记册。网络安全和基础设施安全局、国防部首席信息官和“国家管理官”将酌情共享其清单，以确定监督范围的差距或重叠。本指导意见不适用于情报界的各部门。

5、本命令中的任何内容均不会改变根据《1947年国家安全法》（公法80-253）、《2014年联邦信息安全现代化法》（公法113-283）、1990年7月5日第42号国家安全指令（国家安全电信和信息系统安全国家政策）或2022年1月19日第8号国家安全备忘录（改善国家安全、国防部和情报界系统的网络安全）授予国家情报总监、国防部部长和“国家管理官”对适用系统的权力和职责。

因为我发现，必须采取额外措施来应对2015年4月1日第13694号行政命令（冻结从事重大恶意网络活动的某些人员的财产）中宣布的与重大恶意网络活动相关的国家紧急状态，该命令经2016年12月28日第13757号行政命令（采取额外措施应对与重大恶意网络活动相关的国家紧急状态）修订，并经2021年1月19日第13984号行政命令（采取额外措施应对与重大恶意网络活动相关的国家紧急状态）进一步修订，以防止针对美国及其盟友和伙伴的恶意网络活动日益增长和演变的威胁，包括外国行为者对关键基础设施的未经授权访问、勒索软件以及网络入侵和逃避制裁的威胁日益增加，我特此命令第13694号行政命令第一节第1款进一步修订如下：

“第一节

1、下列人员在美国境内、今后进入美国境内或现在或今后由任何美国人占有或控制的所有财产和财产权益均被冻结，不得转让、支付、出口、提取或以其他方式处理：

（1）本命令附件所列的人员；

（2）财政部部长与司法部部长和国务卿磋商后确定的直接或间接负责、共谋或参与全部或大部分源自美国境外或由全部或大部分位于美国境外的人员指挥网络活动的人员，上述网络活动可能导致或严重促成对美国国家安全、外交政策、经济健康或金融稳定的威胁，并且其目的或涉及：

（A）损害或以其他方式危害支持关键基础设施部门中一个或多个实体的计算机或计算机网络所提供的服务；

（B）损害关键基础设施领域一个或多个实体提供的服务；

（C）造成计算机或计算机网络可用性中断或者损害计算机或计算机网络上存储的信息的完整性；

（D）挪用资金或经济资源、知识产权、专有或商业机密信息、个人身份信息或财务信息，以获取商业或竞争优势或私人经济利益；

（E）篡改、更改或导致信息被盗用，目的在于干扰或破坏选举进程或机构；

（F）对美国个人、美国、美国的盟友或伙伴或根据其法律组织的公民、国民或实体进行勒索软件攻击，例如通过恶意使用代码、加密或其他活动来影响数据或计算机或计算机网络的机密性、完整性或可用性；

（3）财政部部长与司法部部长和国务卿协商后确定的任何人：

（A）直接或间接地负责、共谋或参与通过网络手段收受或使用资金或经济资源、知识产权、专有或商业机密信息、个人身份识别信息或金融信息，以谋取商业或竞争优势或私人财务收益，或由商业实体在美国境外收受或使用资金或经济资源、知识产权、专有或商业机密信息、个人身份识别信息或金融信息，并且明知这些信息被盗用，而此类资金或经济资源、知识产权、专有或商业机密信息、个人身份识别信息或金融信息的盗用很可能会导致或实质上导致了对美国国家安全、外交政策、经济健康或金融稳定的威胁；

（B）直接或间接地负责、共谋或参与获取或试图获取美国个人、美国、美国的盟友或根据其法律组织的公民、国民或实体的计算机或计算机网络的未经授权访问的活动，而这种活动源自或由全部或大部分位于美国境外的人员指挥，并且有合理的可能性导致或实质上促成对美国的国家安全、外交政策、经济健康或金融稳定的重大威胁；

（C）为本节1（2）款或1（3）（A）或（B）款所描述的任何活动，或为根据本命令财产和财产权益被冻结的任何人提供实质性协助、赞助或提供财务、物质或技术支持，或提供货物或服务；

（D）直接或间接地由根据本命令财产和财产权益被冻结的任何人拥有或控制，或为其行事或声称为其行事，或代表其行事，或从事本节1（2）款或1（3）（A）至（C）款所述任何活动的人；

（E）试图从事本节1（2）款和1（3）（A）至（D）款款所述的任何活动；

（F）是或曾经是任何根据本命令财产和财产权益被冻结或从事本节1（2）款或1（3）（A）至（E）款款所述活动的人的领导、官员、高级执行官或董事会成员。”

（编注：略）

1、本命令的任何内容不得解释为损害或以其他方式影响：

（1）法律授予行政部门或机构或其主管的权力；

（2）白宫行政管理和预算局局长有关预算、行政或立法提案的职能。

2、本命令应以符合适用法律的方式实施，并受拨款情况的限制。

3、本命令并不旨在也不会产生任何权利或利益，无论是实质性的还是程序性的，任何一方均可依据法律或衡平法对美国、其部门、机构或实体、其官员、雇员或代理人或任何其他人强制执行。

小约瑟夫·拜登

白宫

2025年1月16日

文章来源：奇安网情局