智库快讯丨美国CISA发布漏洞管理约束性指令
2021-11-12
来源:苏州信息安全法学所
2021年11月3日,美国网络安全与基础设施安全局(Critical Infrastructure Security Agency, CISA)发布编号为22-01的约束性作业指令(binding operational directive, BOD):《减轻已知被利用安全漏洞重大危害》(Reducing the Significant Risk of Known Exploited Vulnerabilities),要求联邦政府各部门在规定的时间内,对相关漏洞采取修补措施。
BOD是为保障美国联邦信息安全而发布的强制性指令,对联邦政府及各部门具有拘束力,并由美国国土安全部负责监督执行。美国政府认为,其一直面临持续的高强度网络攻击,特别是各类行为体利用漏洞发动网络攻击,对美国国家安全和公众隐私构成严重威胁,因此美国政府必须加强防护,对已知被利用漏洞采取强有力的补救措施,减少网络安全事件发生,切实维护联邦信息系统安全。
一方面,该指令赋予CISA相关职责,要求CISA在其官方网站管理维护已知被利用漏洞目录,并将更新情况和应对措施及时向联邦政府各部门进行预警通报。此外,该指令还要求CISA发布添加到漏洞目录的门槛和要求,并根据网络安全整体情况的变化对指令进行审查,结合漏洞管理最新实践,研究补充完善指令的措施。
另一方面,该指令要求联邦政府各部门密切配合CISA的工作。各部门要根据该指令要求,对本部门内部漏洞管理程序进行审查和更新,并在指令发布60日内,对目录中的漏洞采取修补措施。同时,各部门漏洞管理及修补情况要向CISA进行报告。
美国政府高度重视漏洞管理,并以国家漏洞数据库(NVD)建设为抓手,建成了较为完善的漏洞管理体系,形成了一套协调有序开展漏洞挖掘分析、漏洞编号(CVE)、脆弱性测量与评分等的运营管理机制。与以往重视漏洞的分级与评分策略相比,22-01指令的发布,标志着CISA将对已知被利用漏洞采取补救措施作为重点工作,在网络安全防护上发挥更加积极主动的作用。