針對由SolarWinds入侵事件引發的一系列黑客活動，白宮即將發布行政命令，要求采取包括提高軟件透明度在內的一系列應對措施。

　　美國白宮高級網絡安全官員正在與證券交易委員會、環境保護局、能源部門以及工業控制系統專家合作，制定關鍵基礎設施保護計劃。

　　隨著互聯網連接度的不斷提升，與水資源管理、電網運行、地鐵系統以及其它基礎服務相關的底層系統也面臨著愈發嚴峻的網絡攻擊威脅。就在上個月，一個身份不明的攻擊者試圖將佛羅里達州一家水處理廠的化學成分操縱到危險的水平。這個案例說明系統的低能見度不僅能造成數字威脅，還能造成物理傷害，帶來災難性的后果。

　　美國網絡與新興技術國家安全副顧問Anne Neuberger表示，“考慮到任務影響、風險、威脅與文化差異，我們需要建立起有針對性的OT（運行技術）網絡安全方法，來保護美國本土的工業基礎設施。”

　　Neuberger上周五在SANS研究所舉辦的工業控制系統安全虛擬峰會上發表講話，她強調：“如果你無法看見網絡，自然無法保護網絡；如果無法快速看見網絡，自然無法及時捍衛網絡。我們必須把這兩點作為IT與OT的核心原則。”

　　Neuberger表示，這項計劃的初步范圍將集中在對美國民眾影響最大，或者對國防、天然氣、電力、管道、水資源以及化學系統具有重大意義的運營技術身上。此項計劃還迎來另一位私營電力組織的重量級參與者——美國南方電力公司CEO Tom Fanning，同時也是國會授權的網絡空間日光浴委員會成員。

　　由多位立法者組成的網絡空間日光浴委員會，曾建議對2002年頒布的《薩班斯-奧克斯利法案》做出修訂，批準證券交易委員會針對上市公司提出的網絡安全監督與報告要求。上周三，該委員會的審查部門已經將信息安全與運營彈性（特別是網絡安全）列為2021年內的高優先級事項。

　　Neuberger強調，白宮也在與美國證券交易委員會進行對話，“希望在采取實際行動之前明確雙方擁有共同的目標，并通過討論確定有效方法。”

　　目前，受SolarWinds事件影響的至少9家聯邦政府部門與100多家企業受害者都表達了系統與軟件透明度的重要意義。Neuberger認為，政府不僅需要從企業處獲取洞見，同時也應關注企業所運營產品的實際質量，在源頭上阻遏入侵行為的發生。

　　她認為，“我們需要從根本上轉變觀念，從事件響應轉變為事先預防，并據此規劃時間與資源投入。”

　　她還提到，即將發布的這項最新行政令還將包括一系列標準，可引導軟件采購方輕松做出更好的安全決策。此外，美國國家電信與信息管理局也將提出一項改進軟件物科清單質量的措施。

　　最后，她對這份即將發布的行政令做出總結：

　　“如今，一個網絡所有者在采購網絡管理軟件等技術方案時，往往無法了解軟件構建當中所使用的具體網絡安全實踐，也無法了解做出的產品選擇將引入怎樣的風險級別。我們必須扭轉不利局面，推動軟件物料清單及其他相關信息建立起良好的可見性。也只有這樣，我們才能有效運用網絡安全資金，明確表達我們在決策中最為重視的考量因素。”