1月16日，拜登当局订立了《闭于巩固和促使国度汇集平和的行政敕令》，旨正在应对日益厉格的汇集勒迫，越发是中俄等国对美国当局和枢纽本原措施的接连汇集攻击。该敕令是对2021年5月发表的首份汇集平和行政令的延续，不停深化了推动零相信平和架构迁徙、巩固软件供应链平和、修筑缺欠披露计谋等门径。

　　该敕令夸大了巩固国度汇集平和的首要性，通过巩固囚禁、身手更始和国际合营办法，提出了旨正在巩固软件供应链平和、联国讯息体例平和、联国通讯平和等方向及闭连门径，并促进后量子暗码过渡、诈骗人为智能提拔汇集防御本领、改正云效劳平和，为下一届当局的汇集平和办事供应了框架。

　　歧视国度和犯法分子不停对美国及美国群多煽动汇集攻击，此中中华群多共和国对美国当局、私营部分和枢纽本原措施汇集组成了最活动、最长期的汇集勒迫。这些攻击阻碍了美国的枢纽效劳，变成数十亿美元的耗损，并损害了美国人的平和和隐私。为应对这些勒迫，必需采用更多门径来改正美国的汇集平和。

　　基于2021年5月12日发表的第14028号行政敕令（闭于改正国度汇集平和的行政敕令）以及《国度汇集平和政策》详述的措施，美国将采用更多行为来改正其汇集平和，此中的中心是爱护数字本原措施，爱护对数字界限至闭首要的效劳和本领，提拔应对枢纽勒迫（征求来自中华群多共和国的勒迫）的本领，巩固对软件供应商和云效劳供应商的问责，深化联国层面的通讯体例和身份统治体例的平和性，并促进各行政部分和机构（以下简称“各机构”）以及私营部分正在汇集平和方面展开更始和行使新兴身手。

　　（a）联国当局和我国的枢纽本原措施依赖于软件供应商。然而，担心全的软件照旧是供应商和用户面对的一大挑衅，并使联国当局和枢纽本原措施体例容易受到恶意汇集事宜的影响。联国当局必需不停采用平和的软件采购做法，并采用门径确保软件供应商行使平和的软件开采做法，以淘汰／减轻其所坐蓐软件中的缺欠的数目和告急水平。

　　（b）2021年的第14028号行政敕令指示采用行为，以抬高联国当局办事所需软件的平和性和完善性。该敕令指示造订闭于平和软件开采做法的指南，以及天生和供应以人为或主动化办法天生的工件（即谋略机纪录或数据）来声明适当采用了这些做法。其它，第14028号敕令还指示统治与预算局（OMB）局长央求各机构仅行使那些“被声明行使了平和软件开采做法”的供应商的软件。正在某些景况下，向联国当局供应软件的供应商虽愿意坚守汇集平和做法，但并未修复其软件中可被诈骗的已知缺欠，而这将使当局面对被入侵的危机。联国当局需求采用更端庄的第三方危机统治做法，并确保支柱当局枢纽效劳的软件供应商坚守其所声明的做法。

　　（i）正在本敕令发表之日起的30天内，OMB局长应分裂通过商务部（由商务部长指示国度准则与身手研讨院（NIST）院长展开闭连办事）和疆域安整个（DHS）（由疆域安整个部长指示汇集平和与本原措施安整体（CISA）局长展开闭连办事），与商务部长和疆域安整个长举办商讨，从而向联国采购囚禁委员会（以下简称“FAR委员会”）倡议奈何造订合同，而此类合同应央求软件供应商通过CISA的“软件声明与工件库”（RSAA），将以下质料提交给CISA：

　　（ii）正在收到本条第（b）款第（i）项所述倡议之日起的120天内，FAR委员会应审查这些倡议，且国防部长、总务统治局（GSA）局长和国度航空航天局（NASA）局长（FAR委员会的机组成员）应合伙采用门径篡改《联国采购条例》（FAR）以施行这些倡议。FAR委员会的机组成员被热烈推动酌情凭据实用司法研商发表偶然最终原则。

　　（iii）正在本条第（b）款第（i）项所述倡议发表之日起的60天内，疆域安整个长应指示CISA局长评估“天生、吸取和验证呆板可读的平和软件开采声明和工件”的新兴办法，并酌情为软件供应商供应闭于“向CISA的RSAA网站提交这些声明和工件”的指点，征求闭于通用数据架构和式样的指点。

　　（iv）正在对本条第（b）款第（ii）项所述的联国采购囚禁（FAR）事宜举办任何篡改之日起的30天内，疆域安整个长应指示CISA局长造订一项步骤，以会合验证总共声明阵势的完善性。CISA应行使RSAA中的高级工件来接连验证取自完善声明文献的样本。

　　（v）若是CISA呈现声明文献不完善，或工件亏损以验证声明文献，CISA局长则应将此事报告软件供应商和签约机构。CISA局长应造订闭连流程，以便软件供应商对CISA的发轫决心作出回应，以及让CISA得当研商此类回应。

　　（vi）对付经由验证的声明文献，CISA局长应报告国度汇集总监，后者应公然采布结果，标明软件供应商和软件版本。本敕令推动国度汇集总监将验证衰弱的声明文献转交执法部长，由后者采赢得当行为。

　　（c）仅靠平和软件开采做法，还亏损以应对“有资源和决定的国度举动体”带来的汇集事宜危机。为了减轻此类事宜的危机，软件供应商还必需确保软件交付进程及软件自己的平和性。联国当局必需确定一套妥协相仿、适用且有用的平和做法，并央求正在采购软件时坚守此类做法。

　　（i）正在本敕令发表之日起的60天内，商务部长应指示NIST院长与加入国度汇集平和突出核心的企业修筑定约，并酌情凭据该定约供应的讯息造订指点文献，而该指点文献应声明落实了基于NIST格表出书物800-218（NIST SP 800-218）《平和软件开采框架（SSDF）》的平和软件开采做法、平和门径和操作做法。

　　（ii）正在本敕令发表之日起的90天内，商务部长应指示NIST院长更新NIST格表出书物800-53（NIST SP 800-53）《讯息体例和结构的平和与隐私驾御》，以供应闭于奈何平和牢靠地陈设补丁和更新实质的指点。

　　（iii）正在本敕令发表之日起的180天内，商务部长应指示NIST院长正在于与其以为得当的机构担当人商讨后，开采和颁发SSDF的发轫更新版本。此更新版应征求闭于平和牢靠地开采和交付软件以及确保软件本身平和的做法、步骤、驾御门径和施行示例。自颁发发轫更新版之日起的120天内，商务部长应指示NIST院长颁发SSDF的最终版本。

　　（iv）正在本条第（c）款第（iii）项所述的SSDF最终版更新之日起的120天内，OMB局长应将NIST更新后的SSDF中所蕴涵的平和软件开采和交付做法，纳入OMB备忘录M-22-18《通过平和软件开采做法加强软件供应链的平和性》或闭连央求中。

　　（v）正在发表本条第（c）款第（iv）项所述的OMB更新文献之日起的30天内，CISA局长应打算对CISA的平和软件开采声明文献的通用表格举办修订，使之适当OMB的央求，并启动按《文书淘汰法》（《美王法典》第44编第3501节（44 U.S.C. 3501）及后续条件）规章允许修订版表格所需的任何步骤。

　　（d）跟着各机构改良其汇集防御，敌手已对准机构供应链中的单薄症结以及联国当局所依赖的产物和效劳。各机构需求将汇集平和供应链危机统治预备纳入全机构的危机统治行径中。正在本敕令发表之日起的90天内，OMB局长应与商务部长（通过NIST院长行事）、总务统治局局长和联国采购平和委员会（FASC）举办妥协，以采用门径央求（OMB局长以为得当的）各机构遵从NIST格表出书物800-161（NIST SP 800-161修订版1）《体例和结构汇集平和供应链危机统治做法》中的指点。OMB应央求各机构正在竣工施行后，每年向OMB供应闭连最新景况。凭据SP 800-161修订版1， OMB的央求中应征求通过采购计议、源泉采用、负担确定、平和合规评估、合同统治和绩效评估等症结，将汇集平和融入采购寿命周期中。

　　（e）开源软件正在联国讯息体例中阐扬着枢纽效率。为帮帮联国当局不停得回开源软件的更始效益和本钱效益，并为开源软件生态体例的汇集平和做出奉献，各机构必需更好地统治其开源软件行使办法。正在本敕令发表之日起的120天内，疆域安整个长应指示CISA局长与OMB局长、总务统治局局长和其他得当机构担当人举办商讨，协同向各机构倡导闭于“奈何行使平和评估、修补开源软件以及为开源软件项目做出奉献”的最佳做法。

　　（a）联国当局必需采用经由验证的企业界平和做法（征求身份和拜望统治），以抬高汇集勒迫的可视性和巩固云平和。

　　（b）为优先投资新的防垂钓身份验证计划所需的更始性身份身手和流程，各FCEB应以OMB和CISA自第14028号行政敕令发表以后所造订的文献和确立的机造为本原，通过试点陈设或更大范畴的陈设（视景况而定）践行贸易防垂钓准则（如WebAuthn）。这些试点陈设利用于指点另日联国层面的身份、凭证和拜望统治战略的开展偏向。

　　（c）联国当局必需坚持“能迟缓有用地识别统统联国机构界限内的种种勒迫”的本领。正在第14028号行政敕令中，指示国防部长和疆域安整个长造订步骤，立时共享勒迫讯息，以巩固国防部和民用汇集的全体防御。为识别勒迫行径，必需加强CISA凭据《美王法典》第44编第3553节第（b）条第（7）款正在各FCEB内征采和识别勒迫的本领。

　　（i）疆域安整个部长应指示CISA局长与联国首席讯息官（CIO）委员会和联国首席讯息平和官（CISO）委员会举办妥协，以开采身抄本领来实时获取来自各FCEB机构的端点检测与反响（EDR）治理计划以及来自各FCEB平和运营核心的所需数据，从而竣工以下方向：

　　（ii）正在本敕令发表之日起的180天内，疆域安整个长应指示CISA局长与联国CIO和CISO委员会举办妥协，以造订和发表一种行为观念，从而使CISA也许得回“竣工本条第（c）款第（i）项所述方向”所需的数据。OMB局长应监视该行为观念的造订办事，时候应试虑各机构的看法和本条所述方向，并应允许最终的行为观念。该行为观念应征求：

　　央求各FCEB向CISA供应足够完善且适当韶华央求的数据，以使CISA也许竣工本条第（c）款第（i）项所述方向。

　　各机构可凭据本条第（c）款第（ii）项第（A）目中的央求供应遥测数据，而不是让CISA直接拜望其EDR治理计划的详细用例。

　　用于统治“CISA奈何拜望各机构EDR治理计划的高级身手和计谋驾御门径”的闭连央求，这些央求应适当被寻常承担的汇集平和规则，征求基于脚色的拜望驾御、“最幼权限”和职责差别等规则。

　　对“为爱护数据的秘要性或完善性，而受法定范围、囚禁范围或执法范围的高度敏锐的机构数据”的专项爱护门径。

　　行为观念的附录，该附录应显着按本条第（c）款第（ii）项第（C）目之规章，实用于执法部的某些详细用例类型（征求本条第（c）款第（vi）项和第（c）款第（vii）项中描绘的某些讯息种别），其它该附录还应央求正在正在执法部或其部下机构的汇集上施行行为观念之前，执法部应先订交该附录中的条件。

　　（iii）正在展开本条第（c）款所述行径时，除非相闭机构得回其它授权，不然疆域安整个长应指示CISA局长，仅当CISA央求举办勒迫征采，或CISA凭据《美王法典》第44编第3553节第（b）条第（7）款（44 U.S.C. 3553（b）（7））的授权展开勒迫征采时，方可对该机构的汇集、体例或数据举办更改。

　　（iv）正在发表本条第（c）款第（ii）项所述身手驾御门径之日起的30天内，疆域安整个长应指示CISA局长，应修筑面向总共机构的办事组，以造订和发表竣工本条第（c）款第（ii）项所述方向的详细身手驾御门径，并与EDR治理计划供应商合营，正在各FCEB的EDR治理计划中陈设这些驾御门径。疆域安整个长应指示CISA局长，对付CISA授权正在“接连诊断和善解项目”中行使的每项EDR治理计划，CISA都起码应修筑一个对应的办事组，且总共这些办事组都应批准总共机构加入，并起码蕴涵一名行使指定EDR治理计划的FCEB派出的代表。

　　（v）正在发表本条第（c）款第（iv）项所述身手驾御门径之日起的180天内，通常行使了“这些驾御门径所涵盖的EDR治理计划”的端点，各FCEB担当人都应将其纳入CISA的“接连拜望本领”项目。

　　（vi）正在本敕令发表之日起的90天内，并正在以来凭据需求按期，各FCEB担当人应向CISA供应“需求非常驾御门径或央求正在特定工夫不得断绝”的体例、端点和数据集清单及闭连说明文档，并正在以来凭据需求按期供应此类清单和说明文档，以确保CISA的勒迫征采行径不会破损对职分至闭首要的行为。

　　（vii）当相闭机构数据受到法定、囚禁或执法拜望范围时，CISA局长应按该机构所央求的步骤和流程来拜望此类数据，或与该机构合营造订不违反任何此类范围的得当行政摆布，以确保数据不会受到未经授权的拜望或行使。

　　（viii）本敕令中的任何实质，均不应理会为央求各机构供应受法院敕令爱护不得披露的讯息，或供应凭据执法步骤央求保密的讯息。

　　（d）联国讯息体例的平和依赖于当局云效劳的平和。正在本敕令发表之日起的90天内，总务统治局局长、商务部长和疆域安整个长应分裂指示“联国危机和授权统治项目”（FedRAMP）主管、NIST院长和CISA局长举办妥协，造订与FedRAMP相闭的计谋和做法，以激发或央求FedRAMP市会合的云效劳供应商凭据各机构的央求，为这些机构的云基体例设备基线供应闭连楷模和倡议，以确保联国数据的平和。

　　（e）跟着对太空体例汇集平和勒迫的扩大，这些体例及其支柱的数字本原措施正在策画上必需也许适当延续改变的汇集平和勒迫，并能正在抗拒性境遇中运转。鉴于太空体例正在环球枢纽本原措施和通讯弹性中的重心效率，以及为了进一步爱护对国度平和（征求经济平和）至闭首要的太空体例及其支柱的数字本原措施，各机构应采用门径延续验证联国太空体例是否具备需要的汇集安万本领，征求通过接连评估、测试、练习以及修模和模仿等办法。

　　（i）正在本敕令发表之日起的180天内，内政部长（通过美国地质考核局局长行事）、商务部长（通过商务部海洋与大气统治局副局长和国度海洋与大气统治局局长行事）以及国度航空航天局局长应各自审查FAR中的民用空间合同央求，并向FAR委员会和其他得当机构倡议更新民用空间汇集平和央乞降闭纠合同条件。倡议的汇集平和央乞降合同条件应采用基于危机的分层办法，实用于总共新的民用太空体例。这些央求应起码实用于民用太空体例的正在轨段和链道段。对付危机最高的层级（以及其他层级，视景况而定），这些央求应涵盖以下因素：

　　（ii）正在收到本条（e）（i）末节所述倡议的合同条件之日起的180天内，FAR委员会应审查该提案，并酌情凭据实用司法，FAR委员会的机组成员应合伙采用门径篡改FAR。

　　（iii）正在本敕令发表之日起的120天内，国度汇集总监应向OMB提交一份闭于各FCEB具有、统治或运营的空间地面体例的研讨呈报。该研讨呈报应征求：

　　（iv）正在提交本条（e）（iii）末节所述研讨呈报之日起的90天内，OMB局长应采赢得当办法，确保各FCEB具有、统治或运营的空间地面体例适当OMB发表的闭连汇集平和央求。

　　（a）为抬高联国当局通讯抗拒歧视国度和罪犯的平和性，联国当局必需正在的确可行的界限内，并适当职分需求，行使今世、准则化和市售的算法和条约施行壮大的身份认证和加密。

　　（b）互联网流量的平和性取决于数据被确切道由并通报到预期吸取方汇集。诈骗界限网闭条约（BGP）正在互联网上开端和宣称的道由讯息容易受到攻击和设备过错的影响。

　　（i）正在本敕令发表之日起的90天内，联国民事行政部分（FCEB）机构应采用门径，确保其分派的总共互联网编号资源（互联网条约（IP）地方块和自治体例编号）均通过与美国互联网编号注册局或其他得当的区域互联网注册局缔结的注册效劳条约取得爱护。以来，各FCEB应每年正在其区域互联网注册局账户中审查和更新与分派的编号资源闭连的结构标识符，如结构名称、闭系人姓名和干系的电子邮件地方。

　　（ii）正在本敕令发表之日起的120天内，总共持有IP地方块的各FCEB应正在其持有的IP地方块对应的大家资源公钥本原措施（PKI）存储库中创修并发表道由源授权（ROA）。该存储库由美国互联网编号注册局或相应的区域互联网注册局托管或委托。

　　（iii）正在本敕令发表之日起的120天内，国度汇集总监应与其他机构担当人妥协（如实用），向联国采购条例（FAR）委员会倡议合同措辞，央求向机构供应互联网效劳的承包商采用并陈设互联网道由平和身手，征求发表道由源授权和践诺道由源验证过滤。倡议的措辞应征求闭于机构合同中涉及海表运营和海表当地效劳供应商的央求或不同景况（如实用）。正在收到这些倡议后的270天内，FAR委员会应审查倡议的合同措辞，而且FAR委员会的成员机构应协同采用门径（如实用并适当实用司法）来修订FAR。正在FAR举办任何此类修订之前，推动各机构正在适当实用司法的条件下，正在另日的合同中纳入此类央求。

　　（iv）正在本敕令发表之日起的180天内，商务部长应通过国度准则与身手研讨院（NIST）局长向机构发表闭于正在联国当局汇集和效劳供应商中陈设目前可操作的BGP平和办法的最新指南。商务部长还应通过NIST局长供应闭于抬高互联网道由平和性和弹性的其他新兴身手的最新指南，如道由暴露缓解和源地方验证。

　　（c）加密域名体例（DNS）传输中的流量是爱护传输到DNS解析器的讯息的秘要性和与DNS解析器的通讯完善性的枢纽办法。

　　（i）正在本敕令发表之日起的90天内，疆域安整个长应通过汇集平和与本原措施安整体（CISA）局长发表模板合同措辞，央求任何行动联国当局的DNS解析器（无论是客户端仍旧效劳器）的产物支柱加密DNS，并向FAR委员会推选该措辞。正在收到推选措辞后的120天内，FAR委员会应审查该措辞，而且FAR委员会的成员机构应协同采用门径（如实用并适当实用司法）来修订FAR。

　　（ii）正在本敕令发表之日起的180天内，各FCEB应正在其现有客户端和效劳器支柱加密DNS条约的地方启用这些条约。正在职何非常的客户端和效劳器支柱这些条约后的180天内，各FCEB也应启用这些条约。

　　（d）联国当局必需加密传输中的电子邮件讯息，并正在可行的景况下行使端到端加密，以爱护邮件免受损害。

　　（i）正在本敕令发表之日起的120天内，每个各FCEB应身手性地强造践诺其电子邮件客户端与干系电子邮件效劳器之间总共毗连的加密和认证传输。

　　（ii）正在本敕令发表之日起的180天内，统治与预算局（OMB）主任应修筑一项央求，增添各FCEB行使的电子邮件效劳器之间认证传输层加密的行使界限，用于发送和吸取电子邮件。

　　（iii）正在修筑第（d）（ii）末节所述央求之日起的90天内，疆域安整个长应通过CISA局长采赢得当办法，协帮机构餍足该央求，征求发表施行指令以及身手指南，以治理任何已确定的本领差异。

　　（e）今世通讯办法，如语音和视频集会以及即时讯息通报，一样正在链道级别加密，但往往没有端到端加密。正在本敕令发表之日起的180天内，为抬高基于互联网的语音和视频集会以及即时讯息通报的平和性，OMB局长应与疆域安整个长（通过CISA局长）、国防部长（通过国度安整体（NSA）局长）、商务部长（通过NIST局长）、美国国度档案与文献统治局局长（通过美国联国当局首席纪录官）以及总务统治局局长妥协，采赢得当办法，央求机构：

　　（ii）正在身手上支柱的景况下，默认行使端到端加密，同时坚持日记纪录和存档本领，以便机构也许餍足纪录统治和问责央求。

　　（f）量子谋略机正在带来长处的同时，也对美国国度平和（征求经济平和）组成了强大危机。最明显的是，足够大和庞大的量子谋略机——也称为暗码剖释闭连量子谋略机（CRQC）——将也许破解美国及天下各地数字体例中行使的很多公钥加密算法。正在2022年5月4日的国度平和备忘录10《促使美国正在量子谋略方面的辅导名望，同时减轻对易受攻击的加密体例的危机》中，我指示联国当局为过渡到不受CRQC影响的加密算法做好打算。

　　（i）正在本敕令发表之日起的180天内，疆域安整个长应通过CISA局长发表并按期更新一份产物种别列表，此中寻常供应支柱后量子暗码学（PQC）的产物。

　　（ii）正在某一产物种别被列入第（f）（i）末节所述列表之日起的90天内，机构应采用门径，正在该种别产物的任何招标中纳入一项央求，即产物应支柱PQC。

　　（iii）机构应尽疾正在其汇集架构中已陈设的汇集平和产物和效劳支柱下，施行PQC密钥修筑或混杂密钥修筑（征求PQC算法）。

　　（iv）正在本敕令发表之日起的90天内，国务卿和商务部长应通过NIST局长和国际营业副国务卿，确定并与枢纽我国的表国当局和行业结构接触，推动它们过渡到由NIST准则化的PQC算法。

　　（v）正在本敕令发表之日起的180天内，为打算过渡到PQC，国防部长就国度安完全例（NSS）而言，以及OMB局长就非NSS而言，应各自觉布央求，规章机构应尽疾但正在不迟于2030年1月2日的景况下，支柱传输层平和条约版本1.3或其后续版本。

　　（g）联国当局应诈骗贸易平和身手和架构，如硬件平和模块、可托践诺境遇和其他间隔身手，以爱护和审计对拥有扩展性命周期的加密密钥的拜望。

　　（i）正在本敕令发表之日起的270天内，商务部长应通过NIST局长，并与疆域安整个长（通过CISA局长）和总务统治局局长商讨，造订闭于云效劳供应商行使的拜望令牌和加密密钥的平和统治指南。

　　（ii）正在发表第（g）（i）末节所述指南之日起的60天内，总务统治局局长应通过联国危机和授权统治预备（FedRAMP）主任，并与商务部长（通过NIST局长）和疆域安整个长（通过CISA局长）商讨，造订更新后的FedRAMP央求，酌情纳入第（g）（i）末节所述指南，并与OMB局长发表的闭于加密密钥统治平和做法的指点坚持相仿。

　　（iii）正在发表第（g）（i）末节所述指南之日起的60天内，OMB局长应与商务部长（通过NIST局长）、疆域安整个长（通过CISA局长）和总务统治局局长商讨，采赢得当办法，央求各FCEB坚守云效劳供应商正在向机构供应效劳时行使的硬件平和模块、可托践诺境遇或其他间隔身手的最佳做法，以爱护和统治拜望令牌和加密密钥。

　　（a）犯法集团诈骗被盗和合成身份体例性地诈骗大家福利项目，给征税人变成耗损，并奢华联国当局资金。为治理这些犯法题目，行政部分的计谋是热烈推动承担数字身份文献以拜望需求身份验证的大家福利项目，只须云云做也许以不阻碍寻常加入项主意办法爱护隐私、最幼化数据并促使互操作性。

　　（i）正在本敕令发表之日起的90天内，拥有拨款权的机构被推动与OMB和国度平和委员会办事职员妥协，研商是否可诈骗联国拨款资金协帮各州开采和刊行适当本节所述计谋和规则的挪动驾驶证。

　　（ii）正在本敕令发表之日起的270天内，商务部长应通过NIST局长，与闭连机构和其他好处闭连者通过国度汇集平和突出核心合营，发表适用的施行指南，以支柱行使数字身份文献举办长途数字身份验证，这将有帮于数字身份文献的刊行者和验证者推动本节所述的计谋和规则。

　　（iii）机构应试虑承担数字身份文献行动拜望大家福利项主意数字身份验证证据，但条件是行使这些文献应适当本节所述的计谋和规则。

　　与闭连准则和相信框架互操作，以便大多能够行使任何适当准则的硬件或软件，此中蕴涵官方当局发布的数字身份文献，无论创修商或开采职员奈何。

　　不批准刊行数字身份文献的机构、修立创修商或任何其他第三方看守或跟踪数字身份文献的涌现，征求用户修立正在涌现时的地方。

　　支柱用户隐私和数据最幼化，确保仅哀告数字身份文献持有人举办买卖所需的起码讯息——一样是针对某个题目（比方，或人是否突出特定年纪）的“是”或“否”的解答。

　　（b）行使“是/否”验证效劳（也称为属性验证效劳）能够供应更多爱护隐私的权术来淘汰身份诈骗。这些效劳批准步骤通过隐私爱护的“是”或“否”解答，确认申请人供应的身份讯息是否与官方纪录中的讯息相仿，而无需共享这些官方纪录的实质。为支柱行使此类效劳，社会保护专员以及OMB局长指定的任何其他机构担当人应酌情并凭据实用司法，研商采用门径开采或篡改与当局运营的身份验证体例和大家福利项目闭连的效劳（征求酌情通过启动拟议的准则造订或发表新的或大幅篡改后的旧例行使纪录报告），以便这些体例和步骤将申请人供应的身份讯息提交给供应效劳的机构，并收到闭于申请人供应的身份讯息是否与供应效劳的机构存档的讯息相仿的“是”或“否”的解答。正在云云做时，这些机构的担当人应格表研商正在确保适当实用司法的条件下，做到以下几点：

　　（i）提交给效劳的任何申请人供应的身份讯息以及效劳供应的任何“是”或“否”解答仅用于协帮身份验证、项目统治、反诈骗操作或与提交身份讯息以申请大家福利项主意反诈骗考核和告状。

　　（ii）正在最大可行和得当的界限内，向大家福利项目；当局运营的身份验证体例（征求共享效劳供应商）；支出诚信项目；以及受美国囚禁的金融机构供应这些效劳。

　　（iii）行使这些效劳的机构、大家福利项目或机构供应报销，以得当笼盖本钱并支柱效劳的接连庇护、改良和寻常获取。

　　（c）财务部长应与总务统治局局长商讨，研讨、开采和施行一项试点预备，该预备采用一种身手，该身手可正在片面和实体的身份讯息被用于申请大家福利项主意付款时报告他们，赐与片面和实体正在潜正在诈骗买卖产生前阻拦买卖的采用，并向法律实体呈报诈骗买卖。

　　人为智能（AI）有恐怕通过急速识别新缺欠、增添勒迫检测身手的范畴以及主动化汇集防御来改良汇集防御。联国当局必需加快AI的开采和陈设，查究诈骗AI抬高枢纽本原措施汇集平和的办法，并加快AI与汇集平和交叉界限的研讨。

　　（a）正在国防部高级研讨预备局（DARPA）2025年人为智能汇集挑衅赛竣工后180天内，能源部长应与国防部长（通过DARPA局长）和疆域安整个长妥协，启动一项试点预备，与私营部分枢纽本原措施实体（如实用并适当实用司法）合营，诈骗AI加强能源部分枢纽本原措施的汇集防御，并正在试点预备竣工后举办评估。该试点预备及其评估恐怕征求缺欠检测、主动补丁统治以及识别和分类讯息身手（IT）或运营身手体例中的特地和恶意行径。

　　（b）正在本敕令发表之日起的270天内，国防部长应修筑一个诈骗高级AI模子举办汇集防御的预备。

　　（c）正在本敕令发表之日起的150天内，商务部长（通过NIST局长）、能源部长、疆域安整个长（通过科学与身手副国务卿）以及国度科学基金会（NSF）主任应各自优先为其推动开采大范畴象征数据集的预备供应资金，这些数据集对付汇集防御研讨赢得发扬至闭首要，并确保汇集防御研讨现有的数据集正在最大可行界限内（研商到贸易奥秘和国度平和）对更寻常的学术研讨界（无论是以平和办法仍旧公然办法）怒放。

　　（d）正在本敕令发表之日起的150天内，商务部长（通过NIST局长）、能源部长、疆域安整个长（通过科学与身手副国务卿）以及NSF主任应优先研讨以下大旨：

　　（e）正在本敕令发表之日起的150天内，国防部长、疆域安整个长和国度谍报总监应与OMB局长妥协，将AI软件缺欠和妥协的统治纳入其各自机构现有的缺欠统治流程和机构间妥协机造，征求通过事宜跟踪、反响和呈报，以及共享AI体例的妥协目标。

　　（a）支柱机构枢纽职分的IT本原措施和汇集需求今世化。机构的计谋必需将投资和优先事项与抬高汇集可见性和平和驾御联络起来，以消重汇集危机。

　　（i）正在本敕令发表之日起的3年内，OMB局长应发表指南（征求对OMB宣布A-130的任何须要修订），以治理枢纽危机，并使联国讯息体例和汇集适当今世做法和架构。该指南应起码征求：

　　概述机构汇集平和讯息共享和相易、企业可见性以及机构首席讯息平和官（CISO）对企业界限汇集平和预备的问责造的愿望。

　　修订OMB宣布A-130，正在得当的枢纽界限淘汰身手规章，以更清爽地促使正在联国体例中采用延续开展的汇集平和最佳做法，并征求迁徙到零相信架构和施行枢纽因素，如端点检测与反响（EDR）本领、加密、汇集分段和防垂钓多身分认证。

　　（ii）商务部长（通过NIST局长）、疆域安整个长（通过CISA局长）和OMB局长应修筑一个试点预备，采用原则即代码的办法，为OMB、NIST和CISA发表和统治的汇集平和闭连计谋和指点造订呆板可读版本。

　　（b）统治汇集平和危机现已成为闲居行业做法，并应成为总共类型企业的预期。最低汇集平和央求能够使勒迫举动者更难以、更腾贵地破损汇集。正在本敕令发表之日起的240天内，商务部长应通过NIST局长，评估各行业部分、国际准则机构和其他危机统治预备中常用或推选的协同汇集平和做法和平和驾御成绩，并基于该评估发表指南，确定最低汇集平和做法。正在造订该指南时，商务部长应通过NIST局长，网罗联国当局、私营部分、学术界和其他得当方的定见。

　　（c）机构正在添置产物和效劳时面对多种汇集平和危机。固然机构已正在改良供应链危机统治方面赢得了明显发扬，但需求采用额生手为以跟上延续演变的勒迫态势。正在本节第（b）末节所述指南发表之日起的180天内，FAR委员会应审查该指南，而且FAR委员会的成员机构应协同采用门径（如实用并适当实用司法）来修订FAR：

　　（i）央求与联国当局缔联络同的承包商坚守NIST凭据本节第（b）末节所述指南确定的实用于机构合同办事的最低汇集平和做法，或正在开采、庇护或支柱供应给联国当局的IT效劳或产物时坚守这些做法。

　　（ii）央求机构到2027年1月4日，央求向联国当局供应消费者物联网产物（如47 C.F.R. 8.203（b）所界说）的供应商为这些产物率领美国汇集相信符号标签。

　　（a）除本敕令第4节（f）（v）末节另有规章表，本敕令第1至7节不实用于行动国度安完全例（NSS）或被国防部或谍报界确定为致瘫影响体例的联国讯息体例。

　　（b）正在本敕令发表之日起的90天内，为帮帮确保NSS和致瘫影响体例受到最优秀的平和门径爱护，国防部长应通过国度安整体（NSA）局长行动国度安完全例国度司理（国度司理），与国度谍报总监和国度安完全例委员会（CNSS）妥协，并与OMB局长和国度平和事件帮理（APNSA）商讨，造订与本敕令所述央求相仿的NSS和致瘫影响体例央求（如实用并适当实用司法）。国防部长可凭据特此表职分需求，对此类央求赐与不同。这些央求应纳入拟议的国度平和备忘录，通过APNSA提交给总统。

　　（c）为帮帮爱护太空NSS免受与新兴勒迫坚持同步的汇集平和门径的影响，正在本敕令发表之日起的210天内，CNSS应审查和更新（如实用）闭于太空体例汇集平和的闭连计谋和指点。除了举办得当的更新表，CNSS还应确定并施行得当的央求，以正在联国当局采购的太空NSS界限施行汇集防御，征求入侵检测、行使硬件相信根举办平和启动以及开采和陈设平和补丁。

　　（d）为巩固春联国讯息体例的有用执掌和监视，正在本敕令发表之日起的90天内，OMB局长应发表得当的指点，央求机构盘点总共要紧讯息体例，并将清单供应给CISA、国防部或国度司理（视景况而定），它们应各自庇护其管辖界限内的机构清单注册表。CISA、国防部首席讯息官和国度司理将酌情共享其清单，以识别监视笼盖界限的空缺或重叠。本指点不实用于谍报界的构成个人。

　　（e）本敕令中的任何实质均稳定革《1947年国度平和法》（Public Law 80-253）、《2014年联国讯息平和今世化法》（Public Law 113-283）、《1990年7月5日国度平和指令42号——国度平和电信和讯息体例安寰宇家计谋》或《2022年1月19日国度平和备忘录8号——改良国度平和、国防部和谍报界体例的汇集平和》授予国度谍报总监、国防部长和国度司理对实用体例的权利和职责。

　　鉴于呈现，必需采用进一步门径来应对2015年4月1日《阻拦从事强大恶意汇集行径者的财富》行政敕令（经2016年12月28日《就强大恶意汇集行径闭连的国度殷切形态采用进一步门径》行政敕令以及2021年1月19日《就强大恶意汇集行径闭连的国度殷切形态采用进一步门径》行政敕令修订）所发布的，针对美国面对的日益告急和延续演变的恶意汇集行径勒迫的国度殷切形态，征求表国举动体对枢纽本原措施举办未经授权的拜望、勒诈软件攻击、汇集入侵以及逃避造裁等日益告急的勒迫，我特此敕令，对《行政敕令13694》第1（a）条做如下进一步修订：

　　“第1条。（a）总共正在美国境内的、往晚辈入美国的、或者往后处于任何美国片面具有或驾御之下的以下职员的财富和财富权利均被冻结，且不得让渡、支出、出口、提取或以其他办法管束：

　　（ii）财务部长正在与执法部长和国务卿商讨后，认定其担当、加入或直接或间接从事源自或受位于美国境表（整个或个人）的职员率领的汇集行径，且此类行径很恐怕导致或已对美国国度平和、酬酢计谋、经济矫健或金融安谧组成强大勒迫，并涉及以下主意或举动的职员：

　　移用资金或经济资源、常识产权、专有或贸易奥秘讯息、片面身份标识或财政讯息，以获取贸易或角逐上风或私家经济好处。

　　对美国片面、美国、美国盟友或合营伙伴及其公民、国民或凭据其司法结构的实体，施行勒诈软件攻击，如通过恶意行使代码、加密或其他行径影响数据的秘要性、完善性或可用性，或影响谋略机或谋略机汇集的秘要性、完善性或可用性。

　　（iii）财务部长正在与执法部长和国务卿商讨后，认定其担当、加入或直接或间接从事以下举动的职员：

　　明知是通过汇集权术移用的资金、经济资源、常识产权、专有或贸易奥秘讯息、片面身份标识或财政讯息，仍正在美国境表为贸易或角逐上风或私家经济好处而吸取或行使此类资金或资源。

　　担当、加入或直接或间接从事与获取或试图获取美国片面、美国、美国盟友或合营伙伴及其公民、国民或凭据其司法结构的实体的谋略机或谋略机汇集未经授权拜望相闭的行径，且此类行径源自或受位于美国境表（整个或个人）的职员率领，并很恐怕导致或已对美国国度平和、酬酢计谋、经济矫健或金融安谧组成强大勒迫。

　　为本条（a）（ii）或（a）（iii）（A）或（B）末节所述的任何行径，或为凭据本敕令其财富和财富权利被冻结的任何职员，供应实际性协帮、赞帮或供应财务、物质或身手支柱，或供应货品或效劳。

　　由凭据本敕令其财富和财富权利被冻结的任何职员具有或驾御，或直接或间接为其行事或声称为其行事，或为本条（a）（ii）或（a）（iii）（A）–（C）末节所述的任何行径行事。

　　是或曾是任何凭据本敕令其财富和财富权利被冻结的职员，或从事本条（a）（ii）或（a）（iii）（A）–（E）末节所述任何行径的任何职员的辅导、官员、高级统治职员或董事会成员。”

　　（a）“机构”一词的寄义与《美王法典》第44编第3502（1）节所述的寄义相像，但《美王法典》第44编第3502（5）节所述的独立囚禁机构除表。

　　（b）“工件”一词是指通过手动或主动化权术天生的纪录或数据，可用于声明适当既定的做法，征求用于平和软件开采。

　　（c）“人为智能”或“AI”一词的寄义与《美王法典》第15编第9401（3）节所述的寄义相像。

　　（d）“AI体例”一词是指任何整个或个人行使AI运转的数据体例、软件、硬件、利用步骤、用具或适用步骤。

　　（f）“界限网闭条约”或“BGP”一词是指用于正在组成互联网的数万个自治汇集之间分发和谋略道途的驾御条约。

　　（g）“消费类物联网产物”一词是指要紧用于消费者行使而非企业或工业行使的物联网产物。消费类物联网产物不征求美国食物药品监视统治局囚禁的医疗修立或美国国度公道交通平和统治局囚禁的机动车辆和机动车辆修立。

　　（h）“汇集事宜”一词的寄义与《美王法典》第44编第3552（b）（2）节所述“事宜”一词的寄义相像。

　　（i）“致瘫影响体例”一词是指《美王法典》第44编第3553（e）（2）和3553（e）（3）节分裂为国防部和谍报界所描绘的体例。

　　（j）“数字身份文献”一词是指由当局机构（如州当局发布的挪动驾照或电子护照）发布的电子、可反复行使、可通过暗码学验证的身份凭证。

　　（l）“端点”一词是指能够毗连到谋略机汇集以创修数据通讯的入口或出口点的任何修立。端点的示例征求台式谋略机和札记本电脑、智熟手机、平板电脑、效劳器、办事站、虚拟机和消费类物联网产物。

　　（m）“端点检测和反响”一词是指汇集平和用具和成效，它们将端点数据（比方办事站、挪动电话、效劳器等联网谋略修立）的及时相连监控和征求与基于原则的主动化反响和剖释成效相联络。

　　（n）“联国民用行政部分”或“FCEB部分”征求除国防部部下机构和谍报界机构以表的总共机构。

　　（o）“联国讯息体例”一词是指由机构、机构承包商或代表机构运作的其他结构行使或操作的讯息体例。

　　（p）“当局运营的身份验证体例”一词是指由联国、州、地方、部落或疆土当局机构具有和运营的举办身份验证的体例，征求为多个机构供应效劳的单机构体例和共享效劳。

　　（r）“混杂密钥修筑”一词是指自己是暗码密钥修筑计划的两种或多种组件的组合而成的密钥修筑计划。

　　（s）“身份验证”一词是指征求身份讯息或证据，验证其合法性，并确认其与供应讯息的可靠片面闭连联的进程。

　　（v）“最幼权限”一词是指平和架构的策画规则，即每个实体仅被授予践诺其成效所需的最幼体例资源和授权。

　　（w）“呆板可读”一词是指产物输出采用组织化式样，能够行使相仿的管束逻辑由另一个步骤举办消费。

　　（x）“国度安完全例”或“NSS”一词的寄义与《美王法典》第44编第3552（b）（6）节所述的寄义相像。

　　（y）“补丁”一词是指当安置时，直接篡改与区别软件组件闭连的文献或修立创立，而不更改闭连软件组件的版本号或发表详情的软件组件。

　　（z）“以代码阵势造订原则的办法”一词是指原则（比方立法、准则或计谋中蕴涵的原则）的编码版本，可由谋略机理会和行使。

　　（aa）“平和启动”一词是指一种平和成效，可造止谋略机体例正在启动时运转恶意软件。该平和成效正在启动序列时候践诺一系列查验，有帮于确保仅加载受相信的软件。

　　（bb）“平和驾御结果”一词是指为讯息体例或结构规章的保护门径或对策的本能或非本能的结果，以爱护体例的秘要性、完善性和可用性及其讯息的秘要性、完善性和可用性。

　　（c）本敕令偶然且不会为任何一计划对美国、其部分、机构或实体、其官员、雇员或代庖人，或任何其他职员，造造任何可依法或衡平法强造践诺的权益或好处，无论是实际性的仍旧步骤性的。