Page 49 - 清流雙月刊 NO.51

P. 49

CI 學堂

2021 年 11 月 Log4j 漏洞事件，造成美國金融業者至 2021 年 5 月，美國最大油管公司
少 400 多萬客戶之重要金融資料被竊。（Photo Credit: Colonial Pipeline 遭勒索軟體攻擊，
GovCERT.CH, https://www.ncsc.gov.ie/emailsfrom/Reports/ 造成營運嚴重停擺。（Photo Credit:
Log4j） Famartin, https://w.wiki/4qej）

美國政府重要政策 EO-14028 行政命令要求之重點 5

2021 年 5 月 12 日，美國總統拜登公一、EO-14028 要求確保 IT 服務提供者能
布「改善國家網路安全的行政命令」（Ex- 夠與聯邦政府分享資訊，尤其針對重

ecutive Order on Improving the Nation’s 大違規的資訊。
Cybersecurity, EO-14028），其中針對商
3
二、要求實施更嚴格網路安全標準，強化雲
業軟體開發因缺乏透明度、難以防止惡意
端服務保護和推展零信任架構，在特定
行為者篡改等問題，實施更嚴格的安全維
時間內部署多因子驗證和加密措施。
護機制。該命令要求美國網路安全及關鍵

基礎設施安全署（Cybersecurity and Infra- 三、要求銷售予政府軟體開發者應建立基

structure Security Agency, CISA）等主管本的軟體安全標準，包含開發人員應
機關，應定期發布安全指引，增強軟體供對其開發之軟體內容，保有更高的可
應鏈之安全性。 4 見性（visibility），以及持續確保外界

得以公開取得與其相關之軟體資訊。

3 The White House, “Executive Order on Improving the Nation’s Cybersecurity”, May 12, 2021, https://www.whitehouse.gov/briefing-room/
presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity.
4
EO-14028 適用範圍為 FCEB 之聯邦部門（Federal Civilian Executive Branch），不包含國安、國防與情治單位。
5 CISA, “Executive Order on Improving the Nation’s Cybersecurity”, https://www.cisa.gov/topics/cybersecurity-best-practices/executive-order-
improving-nations-cybersecurity.

No.51 MAY. 2024 47

44 45 46 47 48 49 50 51 52 53 54