拜登《提升国家安全、国防和情报系统网络安全备忘录》全文

主题：提升国家安全、国防和情报系统网络安全
本备忘录规定了国家安全系统（NSS）的网络安全要求，该要求相当于或超过 2021 年
5 月 12 日第 14028 号行政令《改善国家网络安全》对联邦信息系统的网络安全要求，并引
入基于特殊任务需求的例外情况。第 14028 号行政令规定，联邦政府必须通过对网络安全
的大胆变革和重大投资，加强其识别、阻止、防范、检测和应对恶意网络活动及其参与者
的工作。本备忘录确立并阐明了美国国家安全局（NSA）局长，在 1990 年 7 月 5 日第 42
号国家安全指令《关于国家安全电信和信息系统安全的国家政策》、经修订的 1981 年 12 月
4 日第 12333 号行政令《美国情报活动》和第 14028 号行政令中，作为“国家安全系统管
理者”（National Manager for National Security Systems，以下简称“国家管理者”）的额外权
利与义务。
根据 14028 号行政令，NSS 应包括 44 USC 3552（b）（6）中定义为 NSS 的系统以及
所有其他国防部和情报界的系统，如 44 USC 3553（e）（2）和 3553（e）（3）所述。
第 1 节. 为国家安全系统落实第 14028 号行政令
（a）第 14028 号行政令的第 1 节和第 2 节全部适用于 NSS，除了管理和预算办公
室主任和国土安全部部长在第 2 节中行使的权力应由国家管理者对 NSS 行使。
（b）与第 14028 号行政令第 3 节一致：
（i）在本备忘录发布之日起 90 天内，国家安全系统委员会（CNSS）应制定并发布
指南，除 CNSS 指令（CNSSI）1253 之外，对于 NSS 关于云迁移和操作相关的最低安全
标准和控制，应将商务部下属国家标准与技术研究院（NIST）在标准和指南中概述的迁
移步骤纳入考虑。
（ii）在本备忘录发布之日起 60 天内，NSS 各执行部门或机构（以下简称“各机
构”）的负责人或执行人应根据其法定权限：
（A）更新现有机构计划，优先考虑采用和使用云技术，包括尽可能采用零信任
架构；
（B）制定实施零信任架构计划，其中应酌情纳入：
（1）NIST 特别出版物 800-207 指南（零信任架构）；
（2）关于零信任参考架构的 CNSS 指令；
（3）其他企业架构、内部威胁和访问管理的相关 CNSS 指示、指令和政策；

（C）向 CNSS 和国家管理者提交根据本备忘录第 1 节（b）（ii）（A）和（B）中
所要求的计划报告。
（iii）在本备忘录发布之日起 180 天内，各机构应对 NSS 静态数据和传输数据实施
多因素认证（Multifactor Authentication）和加密（Encryption）措施。在机构负责人确定
该机构没有能力实施这些措施的情况下，其应按照本备忘录第 3 节规定的程序授权采取
例外情况。
（iv）为确保 NSS 之间广泛的密码协议互操作性（Cryptographic Interoperability），
所有机构应使用 NSA 批准的、基于公共标准的密码协议（Cryptographic Protocols）。特
殊任务需求导致机构无法使用基于公共标准的密码协议，则该机构可使用经 NSA 批准的
特殊任务协议。除机构负责人根据本备忘录第 3 节授权的例外情况外，机构不得授权运
行未使用经 NSA 批准的加密算法和加密工具的新系统。
（A）自本备忘录发布之日起 30 天内，NSA 应审查《国家安全系统委员会第 15
号政策》，并向 CNSS 提供有关已批准的商用国家安全算法（Commercial National
Security Algorithms，CNSA）列表的任何更新或修改。
（B）自本备忘录发布之日起 60 天内，NSA 应修订并向首席信息官提供 CNSS 咨
询备忘录 01-07（信息保障密码设备现代化）与相关附件，以及有关现代化规划、不
受支持的加密使用、经批准的特殊任务协议、抗量子协议（Quantum Resistant
Protocol）以及必要时计划使用抗量子密码（Quantum Resistant Cryptography）的参考
资料。
（C）在本备忘录发布之日起 90 天内，CNSS 应确定并优先更新所有与密码相关
的政策、指令和文件，且应向国防部长、国家情报局局长和国家管理者提交为期不超
过 6 个月的（密码政策更新）规划表，以便酌情发布新版密码政策文件。
（D）在本备忘录发布之日起 180 天内，各机构应依据本备忘录第 1 节（b）（iv）
（A）和（B）的规定，识别不符合 NSA 批准的抗量子算法（Quantum Resistant
Algorithms）或 CNSA 的加密实例，并应以不超过绝密//SI//NOFORN 的机密级，向国
家管理者报告：
（1）使用加密不合规的系统，包括在现有豁免规定或例外情况下运行的系统；
（2）将这些系统转换使用加密合规（包括抗量子加密）的时间表；
（3）根据本备忘录第 3 节，国家管理者应对所有转换为加密合规的例外情况进
行额外审查，并每季度向国防部长和国家情报局局长报告其管辖范围内的系统情
况。国家管理者必须在与系统所有者沟通协调且系统所有者参与的情况下，才可将
其他面临共同风险的机构也纳入范围。
（v）在本备忘录发布之日起 90 天内，国家管理者应与国家情报局局长、中央情报
局局长、联邦调查局局长和国防部有关部门的负责人协调，开发与 NSS 商业云技术相关
的网络安全和事件响应活动协作机制，以确保机构、国家管理者和云服务商（CSP）之
间的有效信息共享。
（A）国家管理者应与国土安全部部长协商，确保按照该协作机制，国土安全部
长和国家管理者在商业 CSP 网络安全和事件管理方面存在联邦层面的统一工作和协
作，与每个机构对联邦民事行政部门（FCEB）和 NSS 网络安全的职责一致，确保在
跨 CSP 环境中快速、彻底地降低端到端风险。
（B）国家管理者应确保与国家情报局局长、中央情报局局长、联邦调查局局长
以及国防部相关部门负责人协调最终版本的框架。
（c）与第 14028 号行政令第 4 节一致：
（i）除非法律另有授权，或机构负责人根据本备忘录第 3 节授权的例外情况，否则
代理机构应遵守根据 14028 号行政令第 4 节制定的，适用于此类软件的 NSS 上使用的软
件的标准。
（ii）在本备忘录发布之日起 60 天内，国家管理者应与国防部长和国家情报局局长
协调，审查管理和预算办公室根据第 14028 号行政令第 4 节（i）发布的指南，并应发布
类似指南。
（iii）机构可以申请国家管理者延长为满足本备忘录第 1 节（c）（ii）中发布的适用
要求相关的时间期限，国家管理者将根据具体情况考虑，以案例为基础，并且仅附带满
足要求的计划。国家管理者应向国防部长和国家情报局局长提交一份季度报告，说明在
其各自管辖范围内授予系统的所有扩展以及这样做的理由。国家管理者必须在与系统所
有者沟通协调且系统所有者参与的情况下，可将其他面临共同风险的机构也纳入范围。
（d）第 14028 号行政令第 6 节应适用于 NSS 所有者和运营商，在机构根据
14028 行政令第 6 节（f）完成事件响应后，利用国家管理者审查和验证机构的事件响
应和补救结果。
（e）行政令 14028 的第 7 节应适用于行政令中特别提及的 NSS 所有者和运营
商，附加要求如本备忘录第 2 节（b）中所述。
（f）在本备忘录日期的 14 天内，国家管理者应与国防部长和国家情报局局长协
调，向 CNSS 提供第 14028 号行政令第 8 节（b）所述的建议。
（i）在收到根据本备忘录第 1 节（f）发布的建议后 90 天内，CNSS 应制定政策，
供机构建立此类要求，确保最高级别安全运营中心对每个机构的集中访问和可见性。
（ii）为协助响应已知或可疑的 NSS 危害，根据本备忘录第 1 节（f）发布的建议应
包括：根据国家管理者和机构负责人或指定人员之间的协议，机构将根据要求，允许指
定的个人或基于特定的 NSA 网络防御任务角色访问日志。

第 2 节. 与国家安全系统有关的国家管理机构
（a）国家安全系统的指定和识别
（i）国家管理者应促进整个联邦政府 NSS 的指定机制。每个机构应持续负责识
别、指定、认证和保护在其所有或控制下的所有 NSS，包括代表该机构运营和/或维护的
NSS。国家管理者可能会定期向运营 NSS 的机构请求访问有关指定和识别此类系统的
NSS 信息。
（ii）在本备忘录发布之日起 30 天内，国家管理者应制定流程，以协助机构识别和
清点那些构成或可能构成 NSS 的信息系统，并应发布指导以支持机构向机构首席信息官
做出这些决定。NSS 信息的详细程度应足以可以了解社区范围内的网络安全风险，并由
国家管理者确定，此外，此类信息不得超过绝密//SI//NOFORN 的分类级别。
（iii）在本备忘录发布之日起 90 天内，各机构应通过本备忘录第 2 节（a）（ii）中
指定的流程，确定并维护指定为 NSS 的系统清单。机构应保留自己的清单，以供指定的
个人访问，或根据国家管理者与机构负责人或指定人员之间的协议，根据特定的 NSA 网
络防御任务角色进行访问授权。
（iv）如果国家管理者对确定一个系统是否构成 NSS 存在疑虑，国家管理者应聘请
相关机构的负责人以解决该类问题。如果国家管理者和机构负责人无法达成双方都能接
受的解决方案，国家管理者可以要求机构负责人将分歧报告至给国防部长和国家情报局
局长，以便进一步考虑内部系统各自的管辖范围。国家管理者必须在与系统所有者沟通
协调且系统所有者参与的情况下，可将其他面临共同风险的机构也纳入范围。
（v）一旦一个系统被确定并指定为 NSS，将需要通知国家管理者、国防部长和国
家情报局局长，对于在其各自管辖范围内的系统，将需对原本为非 NSS 的系统进行重新
指定。国家管理者必须在与系统所有者沟通协调且系统所有者参与的情况下，可将其他
面临共同风险的机构也纳入范围。

（b）事件报告

（i）为促进威胁检测和响应，以及对 NSS 网络安全状态的全面了解，机构应在机
构检测或承包商（包括信息和通信技术服务提供商）或其他联邦或非联邦实体，报告已
知或疑似危害 NSS 或以其他方式未经授权访问 NSS 的网络安全事件时，通过适当的联
邦网络中心或其他指定的中央部门联络点向国家管理者报告此类危害 NSS 或未经授权访
问 NSS 的网络安全事件。机构还应根据本备忘录第 1 节（f）中制定的政策向国家管理
者提供相关信息。
（ii）机构在检测到或向机构报告后，当跨域解决方案（CDS）的一侧连接到由机构
或代表机构运营的 NSS 时，还应通过其适当的联邦网络中心或其他指定的中央部门联系
点，向国家管理者报告托管 CDS 的网络其任何损害或未经授权的访问。
（iii）在本备忘录发布之日起 90 天内，国家管理者应与国家情报局局长和中央情报
局局长协调，制定报告已知或疑似 NSS 危害或未经授权的 NSS 访问，其中应包括：
（A）阈值、所需信息和其他标准；
（B）检测到 NSS 面临紧急威胁时的应急程序；
（C）对受影响机构启动响应活动的及时性预期；
（D）国家管理者和受影响机构之间的威胁和妥协报告机制
（E）国家管理者对根据本节收到的任何信息的保护和处理的期望，包括有关保
护情报来源和方法以及进行反情报调查的任何考虑；
（F）期望在机构未报告已知或疑似 NSS 危害的情况下，就其各自管辖范围内的
系统向国防部长和国家情报局局长提供建议；
（G）国家管理者可将其他面临共同风险的机构纳入范围的程序，前提是与系统
所有者沟通协调且系统所有者参与。
（iv）本节要求的任何报告的接收者可能仅限于指定的特定个人，或者根据特定的
NSA 网络防御任务角色，由国家管理者和机构负责人或指定人员商定。在机构负责人认
为应限制报告以保护情报来源和方法、反情报调查或执法敏感信息的特殊情况下，则根
据本备忘录第 2 节（a）（iii）所述的国家管理者访问权限，该机构可能会保留该报告。
（c）国家管理者指令
（i）紧急指令。为响应已知或合理怀疑的信息安全威胁、漏洞或对 NSS 的信息安
全构成重大威胁的事件，或针对 NSS 的对手能力和意图的情报，国家管理者可以向机构
负责人发布国家管理者紧急指令，通过该机构的首席信息官、首席信息安全官或该机构
负责人指定的官员，就该 NSS 的运营采取任何合法行动，如本备忘录所定义，包括由其
他实体代表机构使用或运营的此类系统，目的是保护 NSS 免受或减轻威胁、脆弱性或风
险。
（ii）具有约束力的操作指令。为保护 NSS 免受已知或合理怀疑的信息安全威胁
漏洞或风险，国家管理者可与国防部长和国家情报局局长协调，针对各自管辖范围内的
系统发布国家管理者对机构负责人的约束性运营指令，通过该机构的首席信息官、首席
信息安全官或机构负责人指定的官员，就该 NSS 的运营采取任何合法行动，如本备忘录
所定义，包括由其他实体代表机构使用或运营的此类系统，目的是保护 NSS 免受或减轻
威胁、脆弱性或风险。
（iii）实施程序。在本备忘录发布之日起 30 天内，国家管理者应与国防部长和国家
情报局局长协调，制定有关根据本款发布指令的程序，其中应包括：
（A）阈值和其他标准；
（B）向可能受影响的第三方发出通知；
（C）要求采取行动的原因和指令的持续时间；
（D）隐私和公民自由保护；
（E）采取措施确保在这种情况下对运营产生最小影响的 NSS；
（F）将指令限制在可行的最短期限内。
（iv）通知和协助。国家管理者应在发布紧急指令或具有约束力的行动指令后立即
以书面形式通知任何受影响机构的负责人、国防部长、国土安全部长和国家情报局局
长，并应提供技术和对执行机构的业务援助。
（v）指令的协调和调整。为确保 NSS 和 FCEB 信息系统指令的国家管理者指令一
致，国家管理者和国土安全部长与国防部长和国家情报局局长协调，应：
（A）在本备忘录签署之日起 60 天内，制定程序让国家管理者和国土安全部部长
立即相互分享国家管理者约束性操作指令和紧急指令，以及国土安全部紧急指令和约
束性操作指令指令，适用于各自管辖范围内的信息网络。该程序应充分处理适用的信
息共享指南，包括保护机密信息、保护情报来源和方法以及保护其他机构来源的信
息；
（B）评估是否采用根据本备忘录第 2 节（c）（v）（A）中所规定的程序收到的指
令中包含的任何要求或指导，与法律、行政令、联邦法规和指令相一致，以共享机密
信息；
（C）在收到根据本备忘录第 2 节（c）（v）（A）中所规定的程序发布的指令通知
的 7 天内，通知总统国家安全事务助理（APNSA）或其指定人员本备忘录第 2 节
（c）（v）（B）中描述的评估、是否采用收到的指令中包含的要求或指南的决定、决
定的理由以及采用要求的时间表或指导（如适用）
（D）跨域解决方案。
（i）由于 CDS 分离并支持不同安全域之间的受控信息交换，它们是需要集中可见
性的重要 NSS。
（ii）在运营国家跨域战略和管理办公室（NCDSMO）时，国家管理者应是 NSS 跨
域能力和任务需求的焦点，并应：
（A）作为 NSS 所有者跨域能力的主要顾问；
（B）制定和维护社区外展计划和论坛；
（C）为 CDS 开发和建立改进的安全解决方案、远程管理和监控、网络防御、过
滤要求以及标准和技术；
（D）运行跨域安全测试程序，确保统一的综合测试。
（iii）在本备忘录发布之日起 60 天内，国家管理者应与情报首席信息官协调，向所
有运营与 NSS 连接的 CDS 的机构发出指令，以提供有关这些部署和应制定收集和接收
此类信息的时间表，要求各机构：
（A）验证来自 CDS、支持系统和连接系统的日志是否由机构收集和存档，足以
支持调查和事件响应活动，并确保日志完整且机器可读，并根据本备忘录第 2 节（b）
所要求提供给国家管理者访问权限；
（B）确认已为部署的 CDS 安装了最新的授权补丁；
（C）报告升级到其 CDS 的 Raise-the-Bar（RTB）版本兼容的状态；
（D）更新或制定所有 CDS 安装的行动计划和里程碑，以符合 NCDSMO CDS 安
全要求，并将这些计划提供给国家管理者，包括已确定的可能妨碍 RTB 合规的资金障
碍。
（iv）在本备忘录签署之日起 90 天内，相关机构负责人应为其管辖范围内的所有
CDS 部署建立和维护 CDS 部署清单，但须由指定的个人访问，或基于特定的 NSA 网络
防御任务角色，由国家管理者和机构负责人或指定人员商定。与国防部长和国家情报局
局长协调，国家管理者应定义保持准确库存不超过绝密//SI//NOFORN 分类级别所需的基
本信息要素，应定义初始和持续机构报告期望，并应向 CDS 所有者提供报告和更新所需
的流程。

第 3 节. 例外情况（Exceptions）
（a）当确定出于特殊任务需求有必要将某一 NSS 或某一类 NSS 排除在第 14028
号行政令或本备忘录网络安全要求范围之外时，机构负责人可授权符合下列情形的例
外情况：
（i）支持或开展军事、情报或敏感执法活动的系统，其机构负责人确定执行上述要
求（第 14028 号行政令或本备忘录网络安全要求）不切实际或违反国家安全要求；
（ii）在美国政府内归属难以界定的系统，若执行上述要求会导致其归属受到威
胁；或者
（iii）为漏洞研究、测试或评估目的而采购的信息系统、软件，其不用于机构网络
运营。
（b）如果机构负责人根据本备忘录第 3 节（a）所述选择授权例外，机构负责人
应通知国家管理者并提供：
（i）对所讨论的一个或多个系统的功能的一般描述；
（ii）接受由例外导致的网络安全风险增加的理由；
（iii）描述该 NSS 可能受到的任务影响和机构响应；
（iv）证明已经或将要实施所有可行的风险缓解措施。
（c）为确保国家管理者对整个 NSS 的额外网络安全风险保持意识，国家管理者
应与国防部长和国家情报局局长协调，在本备忘录发布之日起 30 天内：
（i）发布例外规定流程，包括：报告时间表预期；格式；允许在一个例外中组合在
一起的系统类别；和其他所需的信息元素，包括本备忘录第 3 节（b）中描述的所需元
素。例外情况应足够详细，以建立和保持适当水平的全社区风险意识，并适当删减以保
护敏感的情报来源或方法，并且分类不得超过绝密//SI//NOFORN；
（ii）与各机构协调，为每个机构建立一个权威资料库，以维护该机构授权的所有
例外情况的综合清单，但须由指定的个人或基于特定的 NSA 网络防御任务角色访问，如
国家之间达成的协议经理和机构负责人或指定人员。
（d）机构的首席信息官应保留有关系统异常的内部记录，该记录足够详细以有效
和及时地识别和缓解可能影响这些系统的任何网络安全问题。
（e）如果国家管理者和机构负责人无法就例外理由的充分性、影响的描述、响应、缓
解措施的充分性或对风险增加的总体接受程度达成一致，国家管理者应要求机构负责
人将差异报告给国防部长和国家情报局局长，以进一步考虑其各自管辖范围内的系
统。国家管理者必须在与系统所有者沟通协调且系统所有者参与的情况下，可将其他
面临共同风险的机构也纳入范围。

第 4 节. NSS 政策制定或调整行动总结
在本备忘录发布之日起 90 天内，CNSS 应与国家管理者协商，审查本备忘录并向
APNSA 提交 NSS 政策制定或调整行动及其实施时间表的摘要。本摘要将包括以前未在本
备忘录中针对国家管理者或机构的任何其他项目。

第 5 节. 一般规定
（a）本备忘录旨在补充 NSD-42。
（b）本备忘录中的任何内容均不得解释为更改或取代：
（i）法律授予行政部门或机构或其负责人的权力，包括保护情报来源和方法；
（ii）管理和预算办公室主任职能以及预算关联预算、行政或立法提案。
（c）本备忘录中的任何内容均未授权干预或指导反情报、人员、刑事或国家安全
调查、逮捕、搜查、扣押或破坏行动，或更改要求机构保护信息的法律限制在反情
报、人事、刑事或国家安全调查过程中获取的信息。
（d）本备忘录应以符合适用法律的方式实施，并应视拨款情况而定。任何实施措
施均不得妨碍情报活动的进行或支持，所有此类实施措施均应旨在保护情报来源和方
法。
（e）本备忘录无意也不会创造任何权利或利益，无论是实质性的还是程序性的，
任何一方在法律上或衡平法上都可以针对美国、其部门、机构或实体、其官员、雇员
执行，或代理人，或任何其他人。