美國眾議院通過多項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法案

美國眾議院本周通過了幾項(xiàng)網(wǎng)絡(luò)安全法案，包括與關(guān)鍵基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng) (ICS) 以及州和地方政府撥款相關(guān)的法案。這也說明，關(guān)鍵基礎(chǔ)設(shè)施通常系統(tǒng)脆弱卻又極易受到攻擊，這關(guān)系到國家和社會(huì)發(fā)展，其網(wǎng)絡(luò)及軟件安全情況尤其需要重視。

其中一項(xiàng)針對關(guān)鍵基礎(chǔ)設(shè)施的法案是《網(wǎng)絡(luò)安全漏洞修復(fù)法案》，該法案旨在授權(quán)國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 協(xié)助關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營商制定針對嚴(yán)重漏洞的緩解策略。

該法案涵蓋了IT和OT系統(tǒng)中的漏洞，以及不再支持的硬件或軟件中的安全漏洞。它還授權(quán) DHS發(fā)起一場競賽，以確定IT和ICS產(chǎn)品中漏洞的補(bǔ)救解決方案。通常，在軟件系統(tǒng)開發(fā)過程初期，使用靜態(tài)代碼檢測工具可以及時(shí)發(fā)現(xiàn)常見安全漏洞，并可輕松定位到代碼位置進(jìn)行修正，節(jié)省大量時(shí)間精力。

《CISA網(wǎng)絡(luò)演習(xí)法案》

眾議院本周還通過CISA網(wǎng)絡(luò)演習(xí)法案，該法案在CISA內(nèi)建立了一項(xiàng)計(jì)劃，旨在促進(jìn)對針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的準(zhǔn)備和恢復(fù)能力的定期測試和評估。

這些演習(xí)將模擬網(wǎng)絡(luò)攻擊對政府或關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的重大影響，并將幫助組織提高準(zhǔn)備和事件響應(yīng)能力。

《2021年工業(yè)控制系統(tǒng)能力增強(qiáng)法案》

另一項(xiàng)法案是2021年DHS工業(yè)控制系統(tǒng)能力增強(qiáng)法案，該法案要求CISA提高其識(shí)別和解決 ICS威脅的能力，特別是用于關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)。如果該法案成為法律，該機(jī)構(gòu)將被要求保持跨部門事件響應(yīng)能力，向利益相關(guān)者提供技術(shù)援助，并與ICS社區(qū)共享漏洞信息。

《州和地方網(wǎng)絡(luò)安全改進(jìn)法案》

法案尋求授權(quán)一項(xiàng)新的5億美元贈(zèng)款計(jì)劃，其目標(biāo)是為州、地方、部落和地區(qū)政府提供網(wǎng)絡(luò)安全資金。該法案將允許州和地方政府組織申請資金，用于解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和對其IT系統(tǒng)的威脅。CISA 將負(fù)責(zé)該計(jì)劃。

《國土安全關(guān)鍵領(lǐng)域法案》

本周提交給參議院的另一項(xiàng)法案是《國土安全關(guān)鍵領(lǐng)域法案》，該法案授權(quán)國土安全部識(shí)別對經(jīng)濟(jì)安全至關(guān)重要的領(lǐng)域的供應(yīng)鏈風(fēng)險(xiǎn)。雖然它沒有具體提到網(wǎng)絡(luò)，但它可能適用于這個(gè)領(lǐng)域。

“該法案將美國經(jīng)濟(jì)安全的關(guān)鍵領(lǐng)域定義為對美國經(jīng)濟(jì)安全至關(guān)重要的關(guān)鍵基礎(chǔ)設(shè)施和其他相關(guān)產(chǎn)業(yè)、技術(shù)和知識(shí)產(chǎn)權(quán)，或它們的任何組合，”該法案的摘要解釋道。

《網(wǎng)絡(luò)感應(yīng)法案》

此前在上一屆國會(huì)眾議院通過的另一項(xiàng)法案也在7月20日獲得通過。由俄亥俄州共和黨眾議員鮑勃·拉塔(Bob Latta)和加利福尼亞州民主黨眾議員杰里·麥克納尼(Jerry McNerney)牽頭的兩黨《網(wǎng)絡(luò)感應(yīng)法案》(Cyber Sense Act)，將要求能源部長建立一個(gè)項(xiàng)目，對打算用于大容量電力系統(tǒng)的產(chǎn)品的網(wǎng)絡(luò)安全進(jìn)行測試。大容量電力系統(tǒng)包括運(yùn)行相互連接的電能傳輸網(wǎng)絡(luò)所必需的設(shè)施和控制系統(tǒng)。

此外，眾議院一致通過了另外兩項(xiàng)旨在保護(hù)能源行業(yè)免受網(wǎng)絡(luò)攻擊的法案，這兩項(xiàng)法案此前都得到了眾議院能源和商務(wù)委員會(huì)(House energy and Commerce Committee)的批準(zhǔn)。

主要由眾議員鮑比·拉什(伊利諾伊州民主黨)發(fā)起的《能源緊急領(lǐng)導(dǎo)法案》將加強(qiáng)國土安全部在應(yīng)對網(wǎng)絡(luò)威脅方面的領(lǐng)導(dǎo)能力，而同樣由麥克納尼和拉塔發(fā)起的《通過公私合作伙伴關(guān)系加強(qiáng)電網(wǎng)安全法案》將創(chuàng)建一個(gè)項(xiàng)目，以加強(qiáng)網(wǎng)絡(luò)和實(shí)際電網(wǎng)安全。

這兩項(xiàng)立法都是去年眾議院通過的。參議院能源和自然資源委員會(huì)將《網(wǎng)絡(luò)感應(yīng)法案》和《加強(qiáng)電網(wǎng)安全法案》納入其上周通過的大規(guī)模能源一攬子計(jì)劃，預(yù)計(jì)將成為兩黨基礎(chǔ)設(shè)施框架的一部分。

所有這些法案都是作為2002年《國土安全法》的修正案而提出的。

隨著網(wǎng)絡(luò)攻擊給美國關(guān)鍵基礎(chǔ)設(shè)施造成嚴(yán)重威脅，美國加緊出臺(tái)網(wǎng)絡(luò)安全相關(guān)法案。同時(shí)不難發(fā)現(xiàn)，國際上多數(shù)國家也針對網(wǎng)絡(luò)安全領(lǐng)域不斷出臺(tái)相關(guān)政策。

中國是一個(gè)網(wǎng)絡(luò)大國，同時(shí)也是面臨網(wǎng)絡(luò)安全威脅嚴(yán)重的國家之一。迫切需要建立完善的網(wǎng)絡(luò)安全法律法規(guī)來提升全社會(huì)的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全保護(hù)水平，以確保網(wǎng)絡(luò)安全在開放便利的同時(shí)更加安全透明。

隨著《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的逐漸實(shí)施，在確保規(guī)范網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)的同時(shí)，也提升網(wǎng)絡(luò)安全管理水平和抵御網(wǎng)絡(luò)攻擊能力。

在9月1日即將實(shí)施的《數(shù)據(jù)安全法》第十八條中要求：國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。

國家支持有關(guān)部門、行業(yè)組織、企業(yè)、教育和科研機(jī)構(gòu)、有關(guān)專業(yè)機(jī)構(gòu)等在數(shù)據(jù)安全風(fēng)險(xiǎn)評估、防范、處置等方面開展協(xié)作。

這也說明，在保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)要從日常的工作做起，加強(qiáng)軟件安全檢測和風(fēng)險(xiǎn)評估可以幫助組織、企業(yè)等在網(wǎng)絡(luò)安全防御上做到未雨綢繆。

參讀鏈接：

https://www.woocoom.com/b021.html?id=8f832a2660534ab097c85318ec5908d0

https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills

https://baijiahao.baidu.com/s?id=1706313039588462272&wfr=spider&for=pc