最新的國家網路安全指令：資安團隊應該知道什麼

國家網路安全策略 （NCS） 不只是一套網路指南，而是一通喚醒電話。網路威脅不斷升級，而且國家和罪犯正以前所未有的方式鎖定關鍵基礎架構和企業。這些並非理論上的風險。它們正在發生。 

該策略為聯邦政府期望企業如何升級奠定基調：採用安全的軟體實務，加強供應鏈安全性，並為新興威脅做好準備。如果您的企業不符合這些期望，您不僅容易遭受攻擊，您還會面臨陷入網路安全不再是選擇性，而是企業必須承擔的風險。下面，我們來看看最新的網路安全指令，以及聯邦機構和私營部門如何保持韌性並做好準備。  重要的是要記住，雖然從科技的角度來看，許多指令都是面向未來的指令，但現在正是開始制定計劃，以長期因應它們的時候。

2025 年最新消息：強化並推動全國網路安全的創新

2025 年 1 月 16 日，總統 Joe Biden 發佈了一份行政命令，旨在加強國家網路安全防禦，解決 AI、開源軟體問題、量子計算、IoT 安全、身分盜竊威脅（身分是新的網路安全邊界）和針對關鍵基礎設施的攻擊等主題。一般而言，該指令會跟進去年 NCS 的一些關鍵承諾，包括：

• 聯邦承包商的強化標準：政府技術承包商嚴格的網路安全標準，將要求他們提供符合安全軟體開發實務的可驗證證據。
• 對第三方軟體供應鏈負責： 為減輕威脅關鍵聯邦系統的漏洞，軟體供應商必須提交證明和假影，證明其符合安全開發實務。這些提交資料經過 CISA 軟體認證與偽影儲存庫驗證，將使供應商負責處理已知漏洞，並專注於評估、修補和安全貢獻。
• 對外國網路威脅犯罪者的爆發後果： 該指令擴大了對涉及對美國進行網路攻擊的外國個人和實體實施制裁的權力，尤其是針對醫療保健設施等關鍵基礎設施的勒索軟體攻擊。
• 關注抗量子的安全措施： 聯邦機構需要加速轉換到抗量加密演算法，以保護敏感資料免受未來量子計算解密進展所帶來的威脅。 
• 人工智慧整合於網路防禦中： 該指令推動使用人工智慧工具，以強化聯邦網路安全工作。在諸如五角籠等部門內推動網路防禦機制的新 AI 計畫，將包括在能源等關鍵產業的試驗計畫。
• 適用於IoT的全新網路信任標章計畫：該命令宣佈，去年全國網路安全策略中發佈了網路信任標章計畫，旨在證明智慧設備的安全性，以改善聯邦機構和私營部門的保護。 

2024 年國家網路安全策略

2024 年 6 月更新的 NCS 包括 100 項聯邦措施，較 2023 年 69 項上升，有 31 項新措施可解決新興威脅，並重新調整「有利於長期投資網路安全和彈性的激勵措施」。更新後的策略也旨在強化關鍵基礎架構，並更加重視特定產業的網路安全措施，以用於醫療、教育和公共工作基礎架構，如廢水系統。

面對網路犯罪的戰爭中有許多面相，很容易被忽視，最重要的面相幾乎總是在您自己的資料中心。讓我們展開 NCS，以及您可以如何運用其指引與支援。

新的威脅需要新的防禦

許多報告的目標都是回應可能被證明是雙手被翻倒的劍的技術： 

• 人工智慧與 WormGPT 等工具，只會刮傷 AI 在不法份子手中的表現。
• 量子運算，「可能突破現今部署的一些最普遍的加密標準。」 未來的目標是“優先考慮將易受攻擊的公共網路和系統過渡到以量子為基礎的加密環境，並制定互補的緩解策略，以便在面對未知的未來風險時提供加密靈活性。”
• IoT 裝置將受自願性網路安全標籤計劃約束，以開發“未來的智慧電網”，並激勵製造商滿足更高的網路安全標準。
• 智慧、連線的數位供應鏈。一項計畫包括提供供應鏈風險評估工具的存取和使用，以及專業的分析支援服務，以識別、評估、減輕和監控供應鏈風險。 

該策略還進一步解決勒索軟體問題，並承諾全球合作，以消除勒索軟體和國家資助的網路間諜活動。 

關鍵公共基礎設施的重要焦點

2021 年的管線中斷讓我們學到了寶貴的教訓：收購一家關鍵基礎架構供應商，可能會產生毀滅性的漣漪效應。2024 年策略的第一大支柱包括新的要求，基礎架構供應商必須符合網路安全標準的基準，包括水、電網、鐵路和管線。

這些將來自於美國國家標準與技術研究所 （National Institute of Standards and Technology， NIST） 網路安全架構 （Cybersecurity Framework， CSF） 的第二次發展，這些架構將經過精進與改善，以跟上技術與威脅趨勢，整合經驗教訓，並實行最佳實務。

即使您的組織不在公共部門，也值得模仿。現在是時候保持警惕，並採取措施保護對您業務最重要的數位資產。 

需要注意的關鍵支柱和目標

第一支柱：防禦關鍵基礎架構

關鍵基礎設施在網路安全方面一直佔據頭條新聞，包括航空、鐵路、石油和天然氣、廢棄物和水，以及能源，以及其第三方供應商。這是 NCS 的首要任務，它需要強制遵守 NIST、網路安全與基礎架構安全局 （CISA） 等組織的更新架構。密切的公私合作是這一支柱的主要目標，旨在推動軟體和硬體的開發和採用，這些軟體和硬體在設計上是安全的，在預設情況下是安全的。 

優先要務包括：

• 與軟體、硬體和管理服務供應商合作，協助重塑網路環境，以增強安全性和韌性。其中包括執行安全設計原則，開發從頭開始安全的產品。
• 此產業中關鍵系統與服務的彈性、可復原性與可用性/安全故障轉移，可透過分層備份架構達成。（詳情如下。）
• 所有第三方供應商和供應商的合規性。您的安全程度與最脆弱的連結一樣。

閱讀更多內容： 如何將 CISA 的「屏蔽」建議付諸行動

第二支柱：顛覆並消除威脅發動者

該政府宣誓使用“所有國家權力的工具”，包括針對惡意發動者的對抗抱摔和破壞活動。策略特別指出：

• 不鼓勵公司支付贖金，這需要您擁有彈性的基礎架構，並以安全備份作為元件，使支付贖金成為誘餌
• 改善雙向情報分享—CISA 可以分享警告，並讓私人組織透過“中心”來分享分類威脅，以更有條理的報告工作

這令人鼓舞，但組織本身也需要保持攻擊性，而不只是防禦性。這來自於了解攻擊者是誰，他們追隨了什麼，以及透過進階異常偵測全面掌握資料資產。為了善加利用，您需要快速、準確、可存取的安全紀錄、具備強大底層儲存技術的 SIEM，所以擷取永遠不會是瓶頸，以及鑑識流程的備份計畫。

第三支柱：塑造市場力量，以推動安全性和韌性

策略中的一個關鍵主題是，隨著攻擊面區域持續擴展，透過第三方供應商和軟體即服務來降低個人和小型企業的負擔。執行越來越多更好的資料合規性和隱私政策，將有助於“如果軟硬體的銷售商未能採用公認的安全開發實踐，他們將承擔法律責任。”

為提高安全性和韌性，NCS 旨在透過執行以下措施，讓組織對資料安全性承擔更多責任：

• 限制收集和使用，以保護敏感個人資料。現在是檢視您法規遵循最佳實務的好時機。
• 軟體漏洞的責任
• 任何聯邦廠商（例如 FIPS 或 SOC 2 Type II）必須遵守

網路保險的“阻礙”基金，協助處理災難性安全事件，仍是這一支柱下的策略目標。

第四支柱：投資彈性的未來 

這是第四大支柱，但我認為最重要，也是最可行的。聯邦的目標是“[lead]世界透過策略投資和協調、合作的行動，確保下一代的彈性技術和基礎架構。” 其中包括解決邊界閘道器協定 （BGP） 和網際網路協定第 6 版 （IPv6） 安全性漏洞的新措施。根據策略，投資彈性意味著： 

• 減少基礎技術中的弱點，包括儲存等關鍵基礎架構，應能夠進行分層備份、SLA 式復原保證、不可變快照，以及快速復原時間。
• 強化並保護開源軟體生態系統，以減少第三方軟體供應商的弱點。
• 數位身份解決方案具有“右”控制功能，可以限制或防止非人類身份和帳戶遭到入侵。
• 部署乾淨的能源基礎設施，以建立另一層韌性，以增加能源成本和中斷，並符合政府減碳目標。從資料中心開始。
• 採用量子後演算法的 Quantum 抗加密技術。

這增加了一個關鍵概念：分層彈性架構。 彈性架構可以保護您的整個資料資產，這篇文章中概述了這一點。這是在安全事件發生後，所有復原機會的最佳方式。

第五支柱：建立國際夥伴關係，追求共同目標

協作和溝通對於縮小攻擊面、應對威脅、保護全球供應鏈，以及在攻擊後互相支援至關重要。國家電信與資訊管理局已向公共無線供應鏈創新基金投資超過 1.4 億美元，以協助強化全球供應鏈的韌性，並降低消費者和網路營運商的成本。

雖然政府努力推廣“負責任的國家行為”，並給予盟友最佳的網路安全韌性，但事實仍然是組織在運作期間將成為目標。對您而言，這代表要勤奮並準備面對最糟的情況。在 Pure Storage，我們不僅協助客戶為最糟糕的情況做好準備，還能在創紀錄的時間內從中恢復。

你要如何做好準備？ Pure Storage 資料平台上經實證的多層網路彈性

在 Pure Storage，我們共享這些優先事項，並不斷創新和發展，以保持客戶處於網路韌性和安全性的最前線。我們最近宣布的 SLA 和 AI 驅動的安全與網路韌性功能，為我們的客戶在持續的網路犯罪戰役中帶來明顯優勢。 

從哪裡開始？ 維持彈性的最有效方式，就是使用 Pure Storage 等整合式資料平台所打造的分層彈性基礎架構。 Pure Storage 這樣您的企業就能在幾分鐘內復原，而不需花費數小時或數天。

1. 第 1 級：主要、任務關鍵的資料和安全備份。儲存對營運至關重要的應用程式，以及三到七天的 SafeMode 快照。
2. 第 2 級：經濟實惠的二線資料、快照檔案和鑑識資料。 在攻擊後，以實惠的價格（最好是 6-12 個月）保存卸載的 Tier 1 快照和鑑識所需的資料，並保存複本檔案，以供長期儲存（6-12 個月，或更長，如可能）。
3. 第三級：快速備份層。 這一層適用於極端情況，長期保留合規性或不需要快照的應用程式。 
4. 第 4 級：單向資料緩衝器。 對於大規模災害，資料緩衝器非常安全，在主要和次要備份站台後方提供額外、選擇性的災害復原站台。您可以在 Tier 4 層儲存數年的資料。 

即使如此，時間還是無關緊要。深入了解我們在 Evergreen//Onetta（Evergreen） 最新更新的網路復原 SLA，其中包含下一個工作天的乾淨復原陣列* 運送服務，讓您在網路事件發生後能有乾淨的復原環境。 

我們都在打擊網路犯罪的戰爭中扮演著重要的角色。Pure Storage 在這個不斷演進的環境下提供極致的安心。

*運送時間表：陣列運送到北美和歐洲、中東和非洲的下一個工作天。前往亞洲和澳洲/紐西蘭的三個工作天。視地區而定，可能提供快速運送服務。