文章总结： CISA发布具有约束力的操作指令BOD26-02，强制要求联邦民事行政部门机构在24个月内分阶段移除所有不再接收安全更新的停止支持边缘设备，包括防火墙、路由器、VPN网关等。指令规定了立即更新、3个月内清点、12个月内停用初始清单设备、18个月内全部移除、24个月内建立持续生命周期管理流程的严格时间表。此举旨在解决边缘设备易受高级威胁行为者利用作为网络跳板的重大安全风险，符合联邦政府零信任架构目标，CISA希望该指令能为地方政府、关键基础设施运营商和私营企业树立安全标准。 综合评分： 78 文章分类： 政策法规,安全建设,漏洞预警,网络安全,解决方案

美国网络安全和基础设施安全局 (CISA) 下令移除不受支持的边缘设备，以降低联邦网络风险

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月7日 14:52 北京

CISA 发布了具有约束力的操作指令 (BOD) 26-02，命令联邦民事行政部门 (FCEB) 机构从其网络中消除“停止支持”(EOS) 边缘设备。

该指令是在与管理和预算办公室 (OMB) 协调制定的，旨在解决网络边界上不受支持的硬件（例如防火墙、路由器和 VPN 网关）带来的重大安全风险。

BOD 26-02 强制分阶段移除不再从原始设备制造商 (OEM) 接收安全更新的边缘设备。

CISA 将“边缘设备”定义为位于网络边界且可从公共互联网访问的技术，包括负载均衡器、交换机和无线接入点。

不受支持的设备被视为“实质性和持续性”威胁，因为它们容易受到高级威胁行为者的利用，这些行为者会利用这些设备作为跳板进入更深层的机构网络。

该指令规定了严格的合规时间表：

• 立即行动：各机构必须将当前运行 EOS 软件的任何受支持的边缘设备更新到受支持的版本，前提是更新不会中断关键任务功能。
• 3 个月内：各机构须根据 CISA 提供的已知 EOS 硬件清单清点其边缘设备，并报告其调查结果。
• 12 个月内：各机构必须停用 CISA 初始 EOS 清单上确定的所有设备，并开始清点其环境中的所有其他 EOS 设备。
• 18 个月内：所有剩余的 EOS 边缘设备必须从机构网络中移除，并替换为受支持的替代品。
• 24 个月内：各机构必须建立持续的生命周期管理流程，以便在设备达到停止支持日期之前识别并更换设备。

边缘设备是网络犯罪分子和国家支持的攻击者的理想目标，因为它们通常可以广泛访问组织的网络并与身份管理系统集成。

与拥有强大安全软件的终端（笔记本电脑、台式机）不同，边缘基础设施通常运行专有固件，这些固件可能难以检查或监控。

最近的攻击活动表明，攻击者利用这些设备中的漏洞绕过了边界防御。

一旦边缘设备遭到入侵，攻击者便可拦截网络流量、窃取凭证，或对内部系统发起进一步攻击。CISA 的指令旨在通过强制执行“行之有效的生命周期管理实践”来弥补这一漏洞。

虽然 BOD 26-02 明确适用于联邦民事机构，但CISA 希望它能为其他行业树立标准。CISA 官员表示，“不受支持的设备绝不应留在企业网络中”，并敦促地方政府、关键基础设施运营商和私营企业采取类似措施。

此举符合联邦政府更广泛的零信任架构目标，正如OMB备忘录M-22-09中所述。通过移除易受攻击的边界设备，各机构可以缩小攻击面，迫使攻击者寻找更难的途径入侵联邦系统。

该指令还强化了 OMB A-130 号通告，该通告长期以来一直要求各机构逐步淘汰不受支持的信息系统。

未能遵守这些要求的机构可能会使联邦网络暴露于已知的、目前尚无补丁的漏洞之下。

为了协助过渡，CISA 将提供技术指导、报告模板和不断更新的 EOS 设备清单。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《美国网络安全和基础设施安全局 (CISA) 下令移除不受支持的边缘设备，以降低联邦网络风险》