孔勇 韓繼登 王義華

2022年3月15.美國總統(tǒng)拜登簽署通過了《2022年綜合撥款法案》，這是美國第177屆國會第二次年度會議上通過的系列法案，總共斥資136億美元用于應(yīng)對俄烏沖突對國家的影響，主要由34個獨立法案組成。其中的《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》（Cyber Incident Reporting For Critical InfrastructureACT Of 2022）作為美國關(guān)鍵基礎(chǔ)設(shè)施保護的重要法案，旨在加強聯(lián)邦政府與關(guān)鍵基礎(chǔ)設(shè)施實體以及聯(lián)邦政府機構(gòu)之間的網(wǎng)絡(luò)事件信息共享。該法案的通過將有助于聯(lián)邦政府及時獲取關(guān)鍵基礎(chǔ)設(shè)施實體遭受網(wǎng)絡(luò)事件和勒索軟件攻擊的情況，以便及時給予響應(yīng)，確保美國政府對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢的即時感知。

一、發(fā)布背景

1996年7月15日，美國克林頓政府頒布第13010號行政令《關(guān)鍵基礎(chǔ)設(shè)施保護》，首次提出關(guān)鍵基礎(chǔ)設(shè)施的概念及重要作用，并成立關(guān)鍵基礎(chǔ)設(shè)施保護機構(gòu)，美國關(guān)鍵基礎(chǔ)設(shè)施保護時代由此開啟。此后，美國政府陸續(xù)出臺有關(guān)關(guān)鍵基礎(chǔ)設(shè)施安全保護政策.不斷完善關(guān)鍵基礎(chǔ)設(shè)施安全保護體系，至今已有二十六年的歷史。

近年來，網(wǎng)絡(luò)安全事件和勒索軟件攻擊已經(jīng)對國家安全構(gòu)成嚴(yán)重威脅，直接影響到政府和能源等行業(yè)的正常運行。面對SolarWinds供應(yīng)鏈攻擊、微軟Exchange漏洞攻擊，以及Colonial Pipeline輸油管道等一連串備受矚目的重大網(wǎng)絡(luò)安全事件的發(fā)生，美國政府必須能夠迅速協(xié)調(diào)響應(yīng)，并追究不良行為者的責(zé)任。尤其是當(dāng)前俄烏沖突持續(xù)焦灼，國與國之間的網(wǎng)絡(luò)安全攻擊也隨即展開，關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊重點。僅僅依賴網(wǎng)絡(luò)事件自愿報告的形式，不能夠及時全面掌握關(guān)鍵基礎(chǔ)設(shè)施等重要部門受到攻擊的情況，致使政府不能夠有效啟動全部有效資源應(yīng)對和減輕攻擊造成的影響。

二、主要內(nèi)容

美國《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》明確了關(guān)鍵基礎(chǔ)設(shè)施實體報告網(wǎng)絡(luò)事件的流程及基本要求，要求政府部門對網(wǎng)絡(luò)事件報告進行審查并及時共享，以保證聯(lián)邦政府對即時網(wǎng)絡(luò)事件態(tài)勢的感知。該法案還突出強調(diào)了對勒索軟件攻擊的應(yīng)對，要求建立勒索軟件漏洞預(yù)警試點程序并協(xié)商成立勒索軟件防護工作組。

（一）關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件的報告流程

法案要求，關(guān)鍵基礎(chǔ)設(shè)施實體在遇到網(wǎng)絡(luò)事件72小時內(nèi)、被勒索軟件勒索付款的24小時內(nèi)必須向國土安全部（DHS）上報，國土安全部的國家網(wǎng)絡(luò)安全和通信集成中心（NCCIC）進行報告的接收和審查工作，并與政府機構(gòu)信息共享。網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（ CISA）負(fù)責(zé)相關(guān)機構(gòu)的整體組織協(xié)調(diào)，以及整體報告程序和具體規(guī)則的制定。

1.關(guān)鍵基礎(chǔ)設(shè)施實體的范圍

該法案定義了涵蓋實體包括了2013年第21號總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》確定的16個關(guān)鍵基礎(chǔ)設(shè)施行業(yè)實體，即化工、通信、水壩、應(yīng)急服務(wù)、金融、政府設(shè)施、信息技術(shù)、交通運輸、商業(yè)設(shè)施、關(guān)鍵制造業(yè)、國防工業(yè)、能源、農(nóng)業(yè)食品、醫(yī)療保健與公共衛(wèi)生、核設(shè)施、供水與廢水處理行業(yè)。法案指出，在進一步定義涵蓋實體時，CISA局長將進一步考慮其他因素，如損害一個實體可能導(dǎo)致的國家和經(jīng)濟安全的后果，該實體是否是惡意網(wǎng)絡(luò)行為者的目標(biāo)，以及攻擊這樣一個實體是否能夠破壞關(guān)鍵基礎(chǔ)設(shè)施。

2.關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件的范圍

法案規(guī)定，當(dāng)涵蓋實體遭受網(wǎng)絡(luò)事件及勒索軟件攻擊時，需要進行相關(guān)情況的上報，上報范圍主要包括網(wǎng)絡(luò)事件、勒索軟件攻擊和贖金支付三類。

報告的網(wǎng)絡(luò)事件是指嚴(yán)重?fù)p害信息系統(tǒng)或網(wǎng)絡(luò)的機密性、完整性、或可用性的：嚴(yán)重影響操作系統(tǒng)和進程的安全性和彈性的：由于拒絕服務(wù)攻擊、勒索軟件共計或利用Oday漏洞造成操作系統(tǒng)或進程業(yè)務(wù)中斷的事件。根據(jù)該法案，網(wǎng)絡(luò)事件必須是一個由CISA局長進一步定義的法案所管轄的實體所經(jīng)歷的“重大網(wǎng)絡(luò)事件”，才能被涵蓋。

勒索軟件攻擊包括在信息系統(tǒng)上使用非法訪問、惡意代碼或其他數(shù)字機制（例如拒絕服務(wù)攻擊）中斷信息系統(tǒng)的操作、損害信息系統(tǒng)存儲、處理或破壞電子數(shù)據(jù)的機密性、可用性或完整性以勒索贖金的事件。

贖金支付是指在任何時候作為贖金交付的與勒索軟件攻擊有關(guān)的任何金錢或其他財產(chǎn)或資產(chǎn)，包括虛擬貨幣，或其任何部分的傳輸。

3.網(wǎng)絡(luò)事件報告的時間要求

強制要求上報的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告主要包括涵蓋網(wǎng)絡(luò)事件報告、贖金支付報告以及補充報告。

涵蓋網(wǎng)絡(luò)事件報告。經(jīng)歷涵蓋網(wǎng)絡(luò)事件的涵蓋實體應(yīng)在涵蓋網(wǎng)絡(luò)事件發(fā)生后72小時內(nèi)向國土安全部報告涵蓋網(wǎng)絡(luò)事件。

贖金支付報告。涵蓋實體因勒索軟件攻擊而支付贖金的，應(yīng)在贖金支付24小時內(nèi)向國土安全部報告付款情況。

補充報告。如果涵蓋實體需要提交大量新的或不同的網(wǎng)絡(luò)事件報告/支付贖金報告，則涵蓋實體應(yīng)及時向DHS提交之前涵蓋網(wǎng)絡(luò)事件報告的更新或補充，直到該涵蓋網(wǎng)絡(luò)事件已經(jīng)結(jié)束或已完全減輕和解決。

除以上法案明確規(guī)定的報告以外，實體部門還可自愿向DHS提供法案中未規(guī)定的網(wǎng)絡(luò)事件或贖金支付，或是自愿提供報告中未要求的額外信息，以增強DHS對網(wǎng)絡(luò)威脅的態(tài)勢感知。除此之外，若有已應(yīng)用的、同樣適用于處理法案中定義的網(wǎng)絡(luò)事件的應(yīng)急處置程序，也建議進行主動上報。

4.網(wǎng)絡(luò)事件報告的內(nèi)容要求

報告內(nèi)容應(yīng)包括對涵蓋實體、涵蓋網(wǎng)絡(luò)事件和贖金支付的描述等內(nèi)容。

對涵蓋實體的描述具體應(yīng)包括以下內(nèi)容：破壞或損害這一實體可能對國家安全、經(jīng)濟安全或公共健康和安全造成的后果;該實體可能成為境內(nèi)外非法攻擊目標(biāo)的可能性;以及對此類實體的破壞、中斷、未經(jīng)授權(quán)的訪問（包括對敏感的網(wǎng)絡(luò)安全漏洞或滲透測試工具或技術(shù)的訪問）過程中，可能會破壞關(guān)鍵基礎(chǔ)設(shè)施的操作。

對涵蓋網(wǎng)絡(luò)事件的描述具體應(yīng)包括基本信息和風(fēng)險判斷內(nèi)容?；拘畔ǎ阂咽艿接绊懙男畔⑾到y(tǒng)、網(wǎng)絡(luò)或設(shè)備：信息系統(tǒng)、網(wǎng)絡(luò)或設(shè)備被損害程度;網(wǎng)絡(luò)事件持續(xù)時間;對涵蓋實體業(yè)務(wù)的影響;目前已實施的防御措施：可能的攻擊者身份信息：已被攻擊者獲取的信息：被涵蓋網(wǎng)絡(luò)事件影響的涵蓋實體的名稱和其他信息（包括形態(tài)、商品名稱、法律名稱或其他標(biāo)識符）;涵蓋實體授權(quán)代理人的聯(lián)系信息。風(fēng)險判斷內(nèi)容包括：判斷該事件的復(fù)雜性或新穎性，以及受波及數(shù)據(jù)的類型、數(shù)量和敏感性、直接或間接影響的受害者人數(shù)以及對工業(yè)控制系統(tǒng)（比如監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和可編程的邏輯控制器等）的潛在影響。

對贖金支付的描述具體應(yīng)包括：勒索軟件攻擊具體描述及其攻擊持續(xù)時間：勒索軟件攻擊的漏洞、實施的策略、技術(shù)和過程的盡可能描述：可能攻擊者的身份信息;支付贖金的涵蓋實體姓名及其聯(lián)系信息：支付贖金的日期;贖金支付的要求（包括虛擬貨幣或其他商品類型）：贖金支付指示（包括虛擬地址或物理交易地址）：以及支付的金額。

此外，涵蓋實體可授權(quán)第三方（如事件響應(yīng)公司、保險提供商、服務(wù)提供商、信息分享和分析阻止或律師事務(wù)所等）提交涵蓋網(wǎng)絡(luò)事件或贖金支付報告。若受勒索軟件攻擊的涵蓋實體使用第三方進行贖金支付，則不要求第三方為自己提交贖金支付報告，但應(yīng)告知涵蓋實體贖金支付的相關(guān)信息以便涵蓋實體進行上報。

（二）關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告審查與共享

1.網(wǎng)絡(luò)事件報告的審查

國土安全部的國家網(wǎng)絡(luò)安全和通信集成中心（NCCIC）負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告的審查工作，主要包括即時審查和季度審查。即時審查是指在接受到涵蓋網(wǎng)絡(luò)事件或贖金支付報告之后，國家網(wǎng)絡(luò)安全和通信集成中心根據(jù)2015年網(wǎng)絡(luò)安全信息共享法案規(guī)定的流程，對所涵蓋的網(wǎng)絡(luò)事件或滿足此類定義的相關(guān)網(wǎng)絡(luò)事件的詳細(xì)信息進行審查，并評估涉及的持續(xù)性網(wǎng)絡(luò)威脅或安全漏洞的網(wǎng)絡(luò)威脅指標(biāo)，制定恰當(dāng)?shù)姆烙胧?，傳達(dá)給利益相關(guān)者或相關(guān)部門和機構(gòu)。季度審查是指每季度國家網(wǎng)絡(luò)安全和通信集成中心對當(dāng)季涵蓋網(wǎng)絡(luò)事件報告進行審查，統(tǒng)計相關(guān)網(wǎng)絡(luò)事件的數(shù)據(jù)，并發(fā)布非機密的公開報告，根據(jù)給出描述和整體建議。除此之外，在不遲于本法案生效日期后的60天起，每月初向上級政府機構(gòu)提供簡報，以提高跨關(guān)鍵基礎(chǔ)設(shè)施部門對網(wǎng)絡(luò)威脅的態(tài)勢感知。

2.審查不合格情況的處理

對經(jīng)過審查不符合要求的報告，CISA依據(jù)法案向涵蓋實體發(fā)出傳票，提起訴訟強制執(zhí)行，以確保其收集發(fā)生的網(wǎng)絡(luò)事件或贖金支付的信息。如果有充分理由證明所涵蓋的實體經(jīng)歷了涵蓋網(wǎng)絡(luò)事件或支付了贖金，但未收到網(wǎng)絡(luò)事件或支付贖金的報告.CISA可以要求涵蓋實體提供補充資料。如果在局長提出信息請求之日起72小時后，沒有收到有關(guān)涵蓋實體的回應(yīng)，則可向該涵蓋實體發(fā)出傳票，要求其按程序進行必要信息的強制上報。若涵蓋實體未遵守傳票，局長可將此事提交司法部長，向美國地區(qū)法院提起民事訴訟，以執(zhí)行該傳票。倘若根據(jù)局長發(fā)出的傳票以及所提供的資料，確定與有關(guān)網(wǎng)絡(luò)事件或贖金支付有關(guān)，且可構(gòu)成采取監(jiān)管執(zhí)法行動或刑事檢控的理由，法院可將未遵守根據(jù)本款發(fā)出的傳票作為藐視法庭罪對涵蓋實體予以處罰。

3.網(wǎng)絡(luò)事件報告共享的時間要求

該法案要求CISA應(yīng)在收到涵蓋網(wǎng)絡(luò)事件或贖金支付報告之后的24之內(nèi)，參照報告信息公開要求并考慮隱私保護，盡可能以最大程度分享和協(xié)調(diào)每一份關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告。此外，如果CISA在與相關(guān)政府機構(gòu)之間具有更短時間期限的協(xié)議，應(yīng)按照協(xié)議規(guī)定時間進行報告共享。

4.報告共享的信息披露、保留與使用

信息授權(quán)披露。依據(jù)法案規(guī)定向國土安全部提供的信息可向聯(lián)邦法律的其他適用規(guī)定、任何政府機構(gòu)或部門、官員、雇員或代理人披露以：保護網(wǎng)絡(luò)安全：識別網(wǎng)絡(luò)威脅和安全漏洞：阻止和減輕恐怖主義威脅：應(yīng)對、調(diào)查、起訴或阻止和減輕對未成年人造成的威脅：阻止、調(diào)查、擾亂或起訴法案（包括本法案以及2015《網(wǎng)絡(luò)安全法》）規(guī)定的網(wǎng)絡(luò)事件引起的犯罪。

網(wǎng)絡(luò)威脅指標(biāo)共享。在收到根據(jù)本法案提交的網(wǎng)絡(luò)事件或贖金支付報告后.NCCIC應(yīng)立即審查報告，以確定報告中涵蓋的網(wǎng)絡(luò)事件是否與持續(xù)性網(wǎng)絡(luò)威脅或安全漏洞有關(guān)。在適用的情況下，根據(jù)報告制定匿名網(wǎng)絡(luò)威脅指標(biāo)和可行的防御措施，并迅速傳達(dá)給利益相關(guān)者。

安全漏洞管理。報告中提及到的安全漏洞信息，CISA應(yīng)參考行業(yè)最佳做法以及美國和國際相關(guān)標(biāo)準(zhǔn)，制定漏洞修復(fù)時間和漏洞管理規(guī)定，管理與安全漏洞相關(guān)的信息。

公民隱私和數(shù)字安全。依據(jù)法案規(guī)定提交給DHS的網(wǎng)絡(luò)事件和贖金支付報告中的信息可依規(guī)定保留、使用和傳播。但依據(jù)《網(wǎng)絡(luò)安全法》，聯(lián)邦政府對于與網(wǎng)絡(luò)安全威脅沒有直接關(guān)系的特定個人的信息不得進行未經(jīng)授權(quán)的使用和披露;除此之外.DHS應(yīng)確保報告以及其包含的任何信息至少按照《美國聯(lián)邦信息處理標(biāo)準(zhǔn)（199）》中所述的最低保護要求進行收集、存儲和保護。

監(jiān)管活動中的信息使用。聯(lián)邦、州或地方政府不得在監(jiān)管活動（包括執(zhí)法、支付贖金）中直接使用報告中提供的的網(wǎng)絡(luò)事件或贖金支付信息，除非政府明確允許實體向機構(gòu)提交報告以滿足實體的監(jiān)管報告義務(wù)。

5.報告共享的其他要求

涵蓋實體及其信息的保護。對于涵蓋實體根據(jù)法案向DHS提交的網(wǎng)絡(luò)事件或贖金的報告，以及自愿提交的網(wǎng)絡(luò)事件報告.DHS應(yīng)避免披露被覆蓋實體指定的商業(yè)、財務(wù)及專有信息和信息公開或信息保護相關(guān)法律要求避免披露的信息。

與非政府實體的共享。在將報告中提供的信息提供給關(guān)鍵基礎(chǔ)設(shè)施所有者、運營商和一般公眾時，報告應(yīng)匿名化該信息的受害者。

存儲通信法案。本法案的任何內(nèi)容均不得解釋為允許或要求遠(yuǎn)程計算服務(wù)的提供者或電子通信服務(wù)的提供者向公眾披露《存儲通信法案》不允許披露的信息。

（三）應(yīng)對勒索軟件攻擊的措施

1.建立勒索軟件漏洞預(yù)警試點程序

在本法案頒布之后1年之內(nèi)，CISA應(yīng)利用現(xiàn)有的技術(shù)和已匯總的信息，建立勒索軟件漏洞預(yù)警試點程序，以識別常見的或已發(fā)生過的勒索軟件攻擊，并及時預(yù)警相關(guān)信息系統(tǒng)所有者。在試點程序建立之后，CISA每年都應(yīng)向國土安全部、政府事務(wù)委員會和眾議院國土安全委員會進行報告，對該年度勒索軟件漏洞預(yù)警試點程序識別漏洞、發(fā)出預(yù)警的次數(shù)、有效阻止或減輕威脅的情況進行說明。

2.成立聯(lián)合勒索軟件防護工作組

不遲于本法案頒布后的180天內(nèi)，CISA局長應(yīng)與國家網(wǎng)絡(luò)總監(jiān)、檢察長、聯(lián)邦調(diào)查局局長協(xié)商，建立聯(lián)合勒索軟件工作組。由CISA領(lǐng)導(dǎo)聯(lián)合勒索軟件工作組，協(xié)調(diào)組織勒索軟件攻擊防范工作，并擇機開展國際合作。

（四）聯(lián)邦政府的其他責(zé)任

1.報告程序和規(guī)則的制定

在法案頒布30天之內(nèi).CISA應(yīng)就報告程序的最終規(guī)則以及利益相關(guān)者的參與方式進行構(gòu)想并向國會進行報告。

本法案頒布之后24個月之內(nèi).CISA應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施行業(yè)風(fēng)險管理機構(gòu)、司法部和其他政府機構(gòu)協(xié)商，在聯(lián)邦政府公報上發(fā)布擬制定規(guī)則的通知。在擬制定規(guī)則通知發(fā)布之后18個月之內(nèi).CISA應(yīng)發(fā)布最終規(guī)則，以執(zhí)行以上要求。在后續(xù)規(guī)則的修訂和發(fā)布過程中，CISA局長有權(quán)發(fā)布條例，以修訂最終規(guī)則，但遵守《美國法典》第553條發(fā)布建議的規(guī)則制定的通知。

2.報告流程的協(xié)調(diào)要求

國土安全部部長以及CISA局長，應(yīng)定期審查現(xiàn)有的網(wǎng)絡(luò)事件監(jiān)管要求，在符合適用的法律和政策要求、不影響機構(gòu)及時了解網(wǎng)絡(luò)事件或贖金支付的能力的情況下，盡量簡化報告流程，促進相關(guān)機構(gòu)之間的跨部門協(xié)議。CISA應(yīng)與管理和預(yù)算辦公室主任、司法部長、國家網(wǎng)絡(luò)總監(jiān)、行業(yè)風(fēng)險管理機構(gòu)等政府機構(gòu)協(xié)商，成立關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告委員會，以協(xié)調(diào)、消除沖突或調(diào)整聯(lián)邦事件報告要求（包括已發(fā)布的要求）。

在法案實施180天之后，針對重復(fù)性的網(wǎng)絡(luò)事件、減輕網(wǎng)絡(luò)事件發(fā)生采取的行動以及相關(guān)的法案修訂建議，CISA應(yīng)匯總形成法規(guī)協(xié)調(diào)報告，并上報給國會。

3.加大法案的宣傳教育

國土安全部應(yīng)針對涵蓋實體、服務(wù)提供商、第三方實體等開展宣傳和教育活動，主要對報告的最終規(guī)則、報告程序、可提供的保護措施、以及不按要求報告的懲罰措施等進行宣貫。

在進行宣傳和教育活動時，國土安全部可與關(guān)鍵基礎(chǔ)設(shè)施伙伴關(guān)系咨詢委員會、信息共享和分析組織、貿(mào)易協(xié)會、信息共享和分析中心、行業(yè)協(xié)調(diào)委員會等相關(guān)實體進行協(xié)商合作。

三、要點分析

通過分析美國《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》，可以得到以下要點。

（一）通過立法強制報告，加強事件態(tài)勢感知

與2016年第41號總統(tǒng)令《美國網(wǎng)絡(luò)事件協(xié)調(diào)政策》和2021年CISA的《聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊》對比，本法案強制要求關(guān)鍵基礎(chǔ)設(shè)施實體在發(fā)生涵蓋網(wǎng)絡(luò)事件或勒索軟件攻擊之后，必須在規(guī)定時間內(nèi)進行上報。在報告信息不完善或不主動上報時，CISA可采取強制措施保證網(wǎng)絡(luò)事件的信息獲取，并在造成嚴(yán)重后果時提起訴訟程序。與之前規(guī)定采取激勵措施相比，本法案采取更強硬的手段，以確保對網(wǎng)絡(luò)事件發(fā)展態(tài)勢的感知，從而確保關(guān)鍵基礎(chǔ)設(shè)施安全。

（二）建立預(yù)警試點程序，應(yīng)對勒索軟件攻擊

除了對于網(wǎng)絡(luò)事件的信息上報，該法案還著重強調(diào)了對勒索軟件攻擊的響應(yīng)，以應(yīng)對近年來頻發(fā)的勒索軟件攻擊。法案要求相關(guān)實體在遭受勒索軟件攻擊或進行贖金支付后，在24小時之內(nèi)向國土安全部上報，并要求國土安全部對該類信息進行及時的審查和信息共享。在本法案生效一年之內(nèi)，要求CISA建立勒索軟件漏洞預(yù)警試點程序，并協(xié)商成立專門的聯(lián)合勒索軟件防護工作組，以及時識別攻擊、快速響應(yīng)，減輕勒索軟件攻擊造成的威脅和損失。

（三）明確報告交付時間，監(jiān)督法案實施成效

針對網(wǎng)絡(luò)事件報告的各個環(huán)節(jié)，法案均明確了其時間節(jié)點。對于關(guān)鍵基礎(chǔ)設(shè)施實體，主要側(cè)重其對網(wǎng)絡(luò)事件的主動上報：對于聯(lián)邦政府機構(gòu)，主要側(cè)重其對報告的審查和信息共享，以及對尚不明確的規(guī)則和程序進行制定，并加強組織機構(gòu)間的協(xié)商交流。針對法案實施的情況、報告程序的制定、新設(shè)立的工作組及新建立的勒索軟件漏洞預(yù)警試點程序的有效性，法案規(guī)定CISA在法案實施1年之后進行政策執(zhí)行有效性的考察并向國會進行相關(guān)情況的報告。針對法案中網(wǎng)絡(luò)事件報告的相關(guān)行動明確時間節(jié)點，能夠有效監(jiān)督檢驗法案的實施成效。

四、總結(jié)與建議

環(huán)顧全球，網(wǎng)絡(luò)空間安全形勢愈發(fā)復(fù)雜化，當(dāng)前俄烏沖突事件的爆發(fā)，更使得關(guān)鍵基礎(chǔ)設(shè)施安全保護成為網(wǎng)絡(luò)空間安全的重中之重。美國通過《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》，強制關(guān)鍵基礎(chǔ)設(shè)施實體對網(wǎng)絡(luò)事件及時報告，進一步強化了“公私協(xié)作”的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的核心策略。針對關(guān)鍵基礎(chǔ)設(shè)施實體，法案強制要求其對涵蓋網(wǎng)絡(luò)事件進行主動報告，并配合政府部門補充相關(guān)信息，明確了報告網(wǎng)絡(luò)事件的基本流程及要求：針對美國聯(lián)邦政府，法案明確了國土安全部、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、國家網(wǎng)絡(luò)安全和通信集成中心的責(zé)任，要求對應(yīng)部門及時審查和共享網(wǎng)絡(luò)事件及贖金支付信息，并建立組織機構(gòu)，完善報告程序，以保證聯(lián)邦政府對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件態(tài)勢的感知。此外，該法案還突出強調(diào)了對勒索軟件攻擊的應(yīng)對，要求建立勒索軟件漏洞預(yù)警試點程序并協(xié)商成立勒索軟件防護工作組。

近年來，我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等相關(guān)政策法規(guī)頻頻發(fā)布，構(gòu)建起了我國網(wǎng)絡(luò)空間安全保障和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護政策法規(guī)體系。在信息共享、漏洞管理、統(tǒng)籌協(xié)調(diào)和指導(dǎo)監(jiān)督等方面不斷完善，但對于我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力要求和具體落地措施缺乏標(biāo)準(zhǔn)指南等可落地文件支撐。

通過分析美國《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》思考我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，建議如下：一是強化信息共享機制，通過出臺相關(guān)落地執(zhí)行的制度政策，加強政府和關(guān)鍵信息基礎(chǔ)設(shè)施運營者之間，以及政府各部門之間有關(guān)網(wǎng)絡(luò)事件的態(tài)勢信息交流和協(xié)調(diào)響應(yīng);二是重視勒索軟件攻擊，通過開展專項研究，提升對勒索軟件漏洞與攻擊事件的及時識別和預(yù)警，減輕關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的威脅：三是加強政策法規(guī)執(zhí)行的監(jiān)督檢查，通過明確時間節(jié)點的監(jiān)督檢查機制，確保關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)督管理部門、安全保護部門和運營者對相關(guān)政策法規(guī)的落地執(zhí)行，真正做實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、保障和保衛(wèi)工作，維護國家網(wǎng)絡(luò)空間安全。