美國(guó)總統(tǒng)拜登（Joe Biden）當(dāng)?shù)貢r(shí)間7月28日簽署了一份國(guó)家安全備忘錄，要求聯(lián)邦機(jī)構(gòu)制定關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性能目標(biāo)。備忘錄指出，保護(hù)美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施是政府在聯(lián)邦、州、地方、部落和領(lǐng)土層面的責(zé)任，也是基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商的責(zé)任。對(duì)控制和運(yùn)營(yíng)國(guó)家所依賴的關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全威脅，是美國(guó)面臨的最重要和日益嚴(yán)重的問(wèn)題之一?？刂七@一基礎(chǔ)設(shè)施的系統(tǒng)的退化、破壞或故障可能會(huì)對(duì)美國(guó)的國(guó)家和經(jīng)濟(jì)安全造成重大損害。備忘錄共計(jì)五個(gè)部分，其中第2 和第3部分重點(diǎn)闡述了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的計(jì)劃和推進(jìn)落實(shí)計(jì)劃。

　　這一指令是拜登政府的最新舉措，旨在讓關(guān)鍵行業(yè)參與改善可能影響國(guó)家安全和經(jīng)濟(jì)的網(wǎng)絡(luò)安全領(lǐng)域。在這份行政備忘錄之前，美國(guó)運(yùn)輸安全管理局（Transportation security Administration）上周發(fā)布了一項(xiàng)安全指令，要求運(yùn)輸安全管理局指定的關(guān)鍵管道所有者和運(yùn)營(yíng)商實(shí)施緩解措施，以防范勒索軟件和其他威脅。

　　“考慮到我們今天面臨的不斷演變的威脅，我們目前的防御態(tài)勢(shì)是遠(yuǎn)遠(yuǎn)不夠的，”一名高級(jí)政府官員在7月27日的電話會(huì)議上告訴記者。“我們真的拖延了很長(zhǎng)一段時(shí)間。政府致力于利用我們擁有的每一項(xiàng)權(quán)力，盡管這些權(quán)力有限，我們也對(duì)自愿和強(qiáng)制性的新方法持開(kāi)放態(tài)度?！?/p>

　　美國(guó)國(guó)土安全部（Department of Homeland Security）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）以及商務(wù)部（Commerce Department）的國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（National Institute of Standards and Technology）將牽頭實(shí)施這一舉措。這位官員沒(méi)有詳細(xì)說(shuō)明CISA和NIST在性能目標(biāo)中可能包括哪些基準(zhǔn)，但表示，該計(jì)劃將進(jìn)一步推進(jìn)政府實(shí)現(xiàn)美國(guó)網(wǎng)絡(luò)防御現(xiàn)代化的目標(biāo)。

　　備忘錄概述道：“這些績(jī)效目標(biāo)應(yīng)該成為所有者和運(yùn)營(yíng)商在網(wǎng)絡(luò)安全實(shí)踐和防御態(tài)勢(shì)方面的明確指導(dǎo)，美國(guó)人民可以信任這些基本服務(wù)，也應(yīng)該期待這些服務(wù)?！?/p>

　　備忘錄規(guī)定，9月22日是國(guó)土安全部發(fā)布關(guān)鍵基礎(chǔ)設(shè)施部門(mén)初步目標(biāo)的最后期限。最終的跨部門(mén)和單個(gè)行業(yè)目標(biāo)將在備忘錄發(fā)布后的一年內(nèi)發(fā)布。

　　該備忘錄還正式確立了拜登總統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議，該倡議于今年4月在電力部門(mén)啟動(dòng)。該官員表示，作為試點(diǎn)的結(jié)果，代表近9000萬(wàn)客戶的150多家電力公司正在部署或同意部署控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)。天然氣和管道行業(yè)是該計(jì)劃的下一個(gè)重點(diǎn)。

　　“我們想說(shuō)的是，聯(lián)邦政府不能單獨(dú)做這件事，”這位官員告訴記者?！斑@些規(guī)定可能是自愿的，但我們希望并期望所有負(fù)責(zé)任的關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商都能實(shí)施這些規(guī)定?！?/p>

　　近幾個(gè)月來(lái)，一系列備受矚目的網(wǎng)絡(luò)攻擊事件讓美國(guó)關(guān)鍵行業(yè)的安全漏洞暴露在聚光燈下。其中，就在陣亡將士紀(jì)念日（Memorial Day，5月的最后一個(gè)星期一）周末前夕，一場(chǎng)勒索軟件攻擊迫使主要燃料供應(yīng)商Colonial Pipeline停產(chǎn)，導(dǎo)致美國(guó)出現(xiàn)恐慌引發(fā)的天然氣短缺。

　　政府官員說(shuō)，目前，政府是在現(xiàn)有權(quán)力范圍內(nèi)開(kāi)展工作的，涉及關(guān)鍵行業(yè)的企業(yè)時(shí)，現(xiàn)有權(quán)力范圍非常小。美國(guó)絕大多數(shù)的關(guān)鍵基礎(chǔ)設(shè)施都由私營(yíng)部門(mén)擁有。關(guān)鍵行業(yè)的安全標(biāo)準(zhǔn)基本上是零敲碎打的，由部門(mén)或州和地方的指導(dǎo)方針制定。

　　這位高級(jí)官員承認(rèn)，要從自愿標(biāo)準(zhǔn)轉(zhuǎn)變?yōu)閺?qiáng)制性要求，可能需要與國(guó)會(huì)合作。這位官員說(shuō)：“缺乏立法，沒(méi)有一個(gè)全面的方法來(lái)要求部署安全技術(shù)和實(shí)踐，以解決我們面臨的真正威脅環(huán)境?！?/p>

　　國(guó)會(huì)議員已經(jīng)提出了一系列旨在解決關(guān)鍵基礎(chǔ)設(shè)施安全漏洞的法案，其中包括弗吉尼亞州民主黨參議員馬克·華納（Mark Warner）提出的立法。這將要求關(guān)鍵行業(yè)向聯(lián)邦政府報(bào)告違規(guī)行為。

　　該官員表示，政府還在探索績(jī)效激勵(lì)措施，如撥款、稅收抵免和網(wǎng)絡(luò)保險(xiǎn)，以加速自愿采納網(wǎng)絡(luò)安全措施。

　　關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國(guó)家安全備忘錄

　　保護(hù)我們國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施是政府在聯(lián)邦、州、地方、部落和領(lǐng)土層面的責(zé)任，也是基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商的責(zé)任。對(duì)控制和運(yùn)營(yíng)我們所依賴的關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全威脅，是我們國(guó)家面臨的最重要和日益嚴(yán)重的問(wèn)題之一?？刂七@一基礎(chǔ)設(shè)施的系統(tǒng)的退化、破壞或故障可能會(huì)對(duì)美國(guó)的國(guó)家和經(jīng)濟(jì)安全造成重大損害。

　　第1節(jié)，政策。本屆政府的政策是保護(hù)國(guó)家的重要基礎(chǔ)設(shè)施，與特定的網(wǎng)絡(luò)安全和彈性系統(tǒng)支持國(guó)家關(guān)鍵功能（NCF），NCF定義為政府和私營(yíng)部門(mén)的功能對(duì)美國(guó)至關(guān)重要，他們中斷、腐敗或功能障礙將對(duì)國(guó)家安全、經(jīng)濟(jì)安全、公共健康或安全，或兩者的任何組合產(chǎn)生削弱作用。

　　第2節(jié)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議。因此，我提出了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議（Initiative），這是聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施社區(qū)之間自愿的合作努力，以顯著改善這些關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。該倡議的主要目標(biāo)是通過(guò)鼓勵(lì)和促進(jìn)技術(shù)和系統(tǒng)的部署來(lái)保護(hù)美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施，以提供威脅的可視性、跡象、探測(cè)和警告，這有助于提高基本控制系統(tǒng)和操作技術(shù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全響應(yīng)能力。該計(jì)劃的目標(biāo)是在優(yōu)先級(jí)關(guān)鍵基礎(chǔ)設(shè)施中極大地?cái)U(kuò)展這些技術(shù)的部署。

　　第3節(jié)，推進(jìn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議。該倡議為政府和工業(yè)界合作，在各自的控制范圍內(nèi)立即采取行動(dòng)，為解決這些嚴(yán)重威脅創(chuàng)造一條道路。該倡議以關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在進(jìn)行的網(wǎng)絡(luò)安全努力為基礎(chǔ)，擴(kuò)大并加快其步伐，是應(yīng)對(duì)這些威脅的重要一步。我們無(wú)法應(yīng)對(duì)我們看不到的威脅；因此，部署能夠監(jiān)控控制系統(tǒng)以檢測(cè)惡意活動(dòng)并促進(jìn)對(duì)網(wǎng)絡(luò)威脅的響應(yīng)行動(dòng)的系統(tǒng)和技術(shù)，對(duì)于確保這些關(guān)鍵系統(tǒng)的安全運(yùn)行至關(guān)重要。聯(lián)邦政府將與工業(yè)界合作，在全國(guó)范圍內(nèi)共享優(yōu)先控制系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施的威脅信息。

　?。?a ） 該倡議首先是電力部門(mén)的試點(diǎn)工作，現(xiàn)在是天然氣管道的類(lèi)似工作。今年晚些時(shí)候，水和廢水部門(mén)系統(tǒng)和化學(xué)部門(mén)將繼續(xù)努力。

　?。?b ） 根據(jù)公法116-283第9002（a）（7）節(jié)定義的部門(mén)風(fēng)險(xiǎn)管理機(jī)構(gòu)，以及其他執(zhí)行部門(mén)和機(jī)構(gòu)，在適當(dāng)?shù)那闆r下，在符合適用法律的情況下，應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者、所有者和運(yùn)營(yíng)商合作，實(shí)施本備忘錄中概述的原則和政策。

　　第4節(jié)，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全性能目標(biāo)。關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全需求各不相同，網(wǎng)絡(luò)安全實(shí)踐也是如此。然而，我們需要在所有關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域?qū)崿F(xiàn)一致的網(wǎng)絡(luò)安全基線目標(biāo)，同時(shí)還需要對(duì)依賴控制系統(tǒng)的選定關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行安全控制。

　?。?a ） 根據(jù)2013年2月12日第13636號(hào)行政命令（改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全）第7（d）條，國(guó)土安全部部長(zhǎng)與商務(wù)部長(zhǎng)（通過(guò)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所所長(zhǎng)）及其他相關(guān)機(jī)構(gòu)協(xié)調(diào)，應(yīng)制定并發(fā)布關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全績(jī)效目標(biāo)，以促進(jìn)對(duì)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商應(yīng)遵循的基本安全實(shí)踐的共識(shí)，以保護(hù)國(guó)家和經(jīng)濟(jì)安全，以及公共健康和安全。

　?。?b ） 此項(xiàng)努力應(yīng)首先由國(guó)土安全部部長(zhǎng)在不遲于2021年9月22日發(fā)布跨關(guān)鍵基礎(chǔ)設(shè)施部門(mén)控制系統(tǒng)的初步目標(biāo)，然后在本備忘錄簽署之日起一年內(nèi)發(fā)布跨部門(mén)控制系統(tǒng)的最終目標(biāo)。此外，在與相關(guān)機(jī)構(gòu)磋商后，國(guó)土安全部部長(zhǎng)應(yīng)在本備忘錄簽署之日起一年內(nèi)發(fā)布特定行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全性能目標(biāo)。這些績(jī)效目標(biāo)應(yīng)該成為業(yè)主和運(yùn)營(yíng)商關(guān)于美國(guó)人民可以信任的網(wǎng)絡(luò)安全實(shí)踐和防御態(tài)勢(shì)的明確指導(dǎo)，并應(yīng)該期待這些基本服務(wù)。這一努力可能還包括審查額外的法律授權(quán)是否有利于加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，這對(duì)美國(guó)人民和我們國(guó)家的安全至關(guān)重要。

　　第5節(jié)，通用規(guī)定。（ a ） 本備忘錄的任何內(nèi)容不得解釋為損害或以其他方式影響：

　　（ i ） 法律授予行政部門(mén)或機(jī)構(gòu)或其首長(zhǎng)的權(quán)力；或

　?。?ii ） 管理和預(yù)算辦公室主任關(guān)于預(yù)算、行政或立法提案的職能。

　?。?b ） 本備忘錄應(yīng)按照適用法律執(zhí)行，并在可能需要資金援助以執(zhí)行控制系統(tǒng)網(wǎng)絡(luò)安全建議的情況下，在撥款的情況下執(zhí)行。

　　（ c ） 本備忘錄不旨在，也不創(chuàng)造任何一方針對(duì)美國(guó)、其部門(mén)、機(jī)構(gòu)或?qū)嶓w、其官員、雇員或代理或任何其他人士可在法律或衡平法上強(qiáng)制執(zhí)行的任何實(shí)質(zhì)性或程序性權(quán)利或利益。