CISA要求美国联邦机构淘汰过时路由器与防火墙设备

美国网络安全和基础设施安全局（CISA）近日发布新一轮强制性网络安全指令，要求所有联邦文职机构全面排查并移除已停止厂商支持的边缘网络设备与软件，包括过时的路由器、防火墙、VPN 网关和交换机等。 监管部门强调，这类“寿命终结”的边缘设备已成为国家级黑客渗透政府网络的主要入口之一，必须在限定时间内完成整治。

这份名为“绑定运营指令 26-02”（Binding Operational Directive 26-02）的文件，由 CISA 会同白宫管理和预算办公室联合发布，目标是弥补联邦 IT 体系中长期存在的一个突出薄弱环节：陈旧、无补丁可打的网络边界基础设施。 CISA 指出，在许多攻击事件中，对手并非依赖窃取凭证或钓鱼邮件，而是首先寻找多年未更新、已不再维护的老旧路由器和防火墙，从而获得进入政府网络的立足点。

按照新指令，联邦各机构需立即对仍在厂商支持周期内的设备进行更新，同时必须在 12 个月内更换所有已停止支持的设备。 自指令生效之日起 3 个月内，各机构必须完成一份详尽清单，梳理所有边缘设备，并标明哪些已超过厂商支持期限。 在后续一年中，相关机构需要分步退役这些“服务终止”设备，并同步制定替换计划，以免新一批设备在短期内再次进入过保状态。

指令进一步设定了 18 个月的硬性时间节点：届时，所有不受支持设备必须彻底从联邦政府网络中清除。 为防止“回潮”，文件还要求各机构建立持续追踪机制，确保清理后的过时设备不会被悄然重新接入网络环境。

CISA 代理局长 Madhu Gottumukkala 表示，此举既“姗姗来迟”，也“势在必行”。 多年来，CISA 一直在监测攻击者如何利用不再获得安全更新的网络设备突破本已部署现代终端防护的政府系统。 CISA 网络安全执行助理局长 Nick Andersen 也指出，无论是国家支持的黑客组织还是以牟利为目的的攻击团伙，都越来越多地将这类老旧设备作为攻击目标，利用停更固件中的漏洞进行入侵，一旦得手即可在网络横向移动、窃取数据或干扰关键业务运行。

CISA 维护的“已知被利用漏洞”（Known Exploited Vulnerabilities）目录中，已记录多起与停产网络设备相关的攻击案例，其中包括去年 12 月披露的一个与停产 D-Link 路由器有关的漏洞事件。 该机构还提及一场发生在 2025 年、被归因于与中国有关的国家级攻击行动，攻击方就曾广泛利用老旧网络设备开展网络间谍活动。

虽然这项指令对联邦文职机构具有强制性，但并未设置直接的财政或法律惩罚机制。 CISA 与管理和预算办公室将通过进度跟踪和绩效公开报告施加压力，而在实际操作中，各机构通常会将此类“绑定运营指令”视作高优先级安全任务来执行。

为支持落实工作，CISA 已建立一份内部使用的“停服边缘设备清单”，列出联邦环境中常见、且已接近或已经超过厂商支持寿命的设备型号。 出于安全考虑，这份清单不会对外公开，以避免为潜在攻击者提供目标线索。 对于联邦行政体系以外的机构——包括州与地方政府以及私营企业——CISA则建议其主动与设备厂商沟通，掌握自身所用设备的支持周期与风险状况。