美國總統(tǒng)拜登（Joe Biden）當(dāng)?shù)貢r間7月28日簽署了一份國家安全備忘錄，要求聯(lián)邦機構(gòu)制定關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性能目標(biāo)。備忘錄指出，保護(hù)美國的關(guān)鍵基礎(chǔ)設(shè)施是政府在聯(lián)邦、州、地方、部落和領(lǐng)土層面的責(zé)任，也是基礎(chǔ)設(shè)施所有者和運營商的責(zé)任。對控制和運營國家所依賴的關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全威脅，是美國面臨的最重要和日益嚴(yán)重的問題之一。控制這一基礎(chǔ)設(shè)施的系統(tǒng)的退化、破壞或故障可能會對美國的國家和經(jīng)濟(jì)安全造成重大損害。備忘錄共計五個部分，其中第2 和第3部分重點闡述了加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的計劃和推進(jìn)落實計劃。

　　這一指令是拜登政府的最新舉措，旨在讓關(guān)鍵行業(yè)參與改善可能影響國家安全和經(jīng)濟(jì)的網(wǎng)絡(luò)安全領(lǐng)域。在這份行政備忘錄之前，美國運輸安全管理局（Transportation security Administration）上周發(fā)布了一項安全指令，要求運輸安全管理局指定的關(guān)鍵管道所有者和運營商實施緩解措施，以防范勒索軟件和其他威脅。

　　“考慮到我們今天面臨的不斷演變的威脅，我們目前的防御態(tài)勢是遠(yuǎn)遠(yuǎn)不夠的，”一名高級政府官員在7月27日的電話會議上告訴記者。“我們真的拖延了很長一段時間。政府致力于利用我們擁有的每一項權(quán)力，盡管這些權(quán)力有限，我們也對自愿和強制性的新方法持開放態(tài)度?！?/p>

　　美國國土安全部（Department of Homeland Security）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）以及商務(wù)部（Commerce Department）的國家標(biāo)準(zhǔn)與技術(shù)協(xié)會（National Institute of Standards and Technology）將牽頭實施這一舉措。這位官員沒有詳細(xì)說明CISA和NIST在性能目標(biāo)中可能包括哪些基準(zhǔn)，但表示，該計劃將進(jìn)一步推進(jìn)政府實現(xiàn)美國網(wǎng)絡(luò)防御現(xiàn)代化的目標(biāo)。

　　備忘錄概述道：“這些績效目標(biāo)應(yīng)該成為所有者和運營商在網(wǎng)絡(luò)安全實踐和防御態(tài)勢方面的明確指導(dǎo)，美國人民可以信任這些基本服務(wù)，也應(yīng)該期待這些服務(wù)?！?/p>

　　備忘錄規(guī)定，9月22日是國土安全部發(fā)布關(guān)鍵基礎(chǔ)設(shè)施部門初步目標(biāo)的最后期限。最終的跨部門和單個行業(yè)目標(biāo)將在備忘錄發(fā)布后的一年內(nèi)發(fā)布。

　　該備忘錄還正式確立了拜登總統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議，該倡議于今年4月在電力部門啟動。該官員表示，作為試點的結(jié)果，代表近9000萬客戶的150多家電力公司正在部署或同意部署控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)。天然氣和管道行業(yè)是該計劃的下一個重點。

　　“我們想說的是，聯(lián)邦政府不能單獨做這件事，”這位官員告訴記者?！斑@些規(guī)定可能是自愿的，但我們希望并期望所有負(fù)責(zé)任的關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商都能實施這些規(guī)定?！?/p>

　　近幾個月來，一系列備受矚目的網(wǎng)絡(luò)攻擊事件讓美國關(guān)鍵行業(yè)的安全漏洞暴露在聚光燈下。其中，就在陣亡將士紀(jì)念日（Memorial Day，5月的最后一個星期一）周末前夕，一場勒索軟件攻擊迫使主要燃料供應(yīng)商Colonial Pipeline停產(chǎn)，導(dǎo)致美國出現(xiàn)恐慌引發(fā)的天然氣短缺。

　　政府官員說，目前，政府是在現(xiàn)有權(quán)力范圍內(nèi)開展工作的，涉及關(guān)鍵行業(yè)的企業(yè)時，現(xiàn)有權(quán)力范圍非常小。美國絕大多數(shù)的關(guān)鍵基礎(chǔ)設(shè)施都由私營部門擁有。關(guān)鍵行業(yè)的安全標(biāo)準(zhǔn)基本上是零敲碎打的，由部門或州和地方的指導(dǎo)方針制定。

　　這位高級官員承認(rèn)，要從自愿標(biāo)準(zhǔn)轉(zhuǎn)變?yōu)閺娭菩砸螅赡苄枰c國會合作。這位官員說：“缺乏立法，沒有一個全面的方法來要求部署安全技術(shù)和實踐，以解決我們面臨的真正威脅環(huán)境。”

　　國會議員已經(jīng)提出了一系列旨在解決關(guān)鍵基礎(chǔ)設(shè)施安全漏洞的法案，其中包括弗吉尼亞州民主黨參議員馬克·華納（Mark Warner）提出的立法。這將要求關(guān)鍵行業(yè)向聯(lián)邦政府報告違規(guī)行為。

　　該官員表示，政府還在探索績效激勵措施，如撥款、稅收抵免和網(wǎng)絡(luò)保險，以加速自愿采納網(wǎng)絡(luò)安全措施。

　　關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國家安全備忘錄

　　保護(hù)我們國家的關(guān)鍵基礎(chǔ)設(shè)施是政府在聯(lián)邦、州、地方、部落和領(lǐng)土層面的責(zé)任，也是基礎(chǔ)設(shè)施所有者和運營商的責(zé)任。對控制和運營我們所依賴的關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)構(gòu)成的網(wǎng)絡(luò)安全威脅，是我們國家面臨的最重要和日益嚴(yán)重的問題之一?？刂七@一基礎(chǔ)設(shè)施的系統(tǒng)的退化、破壞或故障可能會對美國的國家和經(jīng)濟(jì)安全造成重大損害。

　　第1節(jié)，政策。本屆政府的政策是保護(hù)國家的重要基礎(chǔ)設(shè)施，與特定的網(wǎng)絡(luò)安全和彈性系統(tǒng)支持國家關(guān)鍵功能（NCF），NCF定義為政府和私營部門的功能對美國至關(guān)重要，他們中斷、腐敗或功能障礙將對國家安全、經(jīng)濟(jì)安全、公共健康或安全，或兩者的任何組合產(chǎn)生削弱作用。

　　第2節(jié)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議。因此，我提出了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議（Initiative），這是聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施社區(qū)之間自愿的合作努力，以顯著改善這些關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。該倡議的主要目標(biāo)是通過鼓勵和促進(jìn)技術(shù)和系統(tǒng)的部署來保護(hù)美國的關(guān)鍵基礎(chǔ)設(shè)施，以提供威脅的可視性、跡象、探測和警告，這有助于提高基本控制系統(tǒng)和操作技術(shù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全響應(yīng)能力。該計劃的目標(biāo)是在優(yōu)先級關(guān)鍵基礎(chǔ)設(shè)施中極大地擴(kuò)展這些技術(shù)的部署。

　　第3節(jié)，推進(jìn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全倡議。該倡議為政府和工業(yè)界合作，在各自的控制范圍內(nèi)立即采取行動，為解決這些嚴(yán)重威脅創(chuàng)造一條道路。該倡議以關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正在進(jìn)行的網(wǎng)絡(luò)安全努力為基礎(chǔ)，擴(kuò)大并加快其步伐，是應(yīng)對這些威脅的重要一步。我們無法應(yīng)對我們看不到的威脅；因此，部署能夠監(jiān)控控制系統(tǒng)以檢測惡意活動并促進(jìn)對網(wǎng)絡(luò)威脅的響應(yīng)行動的系統(tǒng)和技術(shù)，對于確保這些關(guān)鍵系統(tǒng)的安全運行至關(guān)重要。聯(lián)邦政府將與工業(yè)界合作，在全國范圍內(nèi)共享優(yōu)先控制系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施的威脅信息。

　?。?a ） 該倡議首先是電力部門的試點工作，現(xiàn)在是天然氣管道的類似工作。今年晚些時候，水和廢水部門系統(tǒng)和化學(xué)部門將繼續(xù)努力。

　?。?b ） 根據(jù)公法116-283第9002（a）（7）節(jié)定義的部門風(fēng)險管理機構(gòu)，以及其他執(zhí)行部門和機構(gòu)，在適當(dāng)?shù)那闆r下，在符合適用法律的情況下，應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者、所有者和運營商合作，實施本備忘錄中概述的原則和政策。

　　第4節(jié)，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全性能目標(biāo)。關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的網(wǎng)絡(luò)安全需求各不相同，網(wǎng)絡(luò)安全實踐也是如此。然而，我們需要在所有關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域?qū)崿F(xiàn)一致的網(wǎng)絡(luò)安全基線目標(biāo)，同時還需要對依賴控制系統(tǒng)的選定關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行安全控制。

　?。?a ） 根據(jù)2013年2月12日第13636號行政命令（改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全）第7（d）條，國土安全部部長與商務(wù)部長（通過國家標(biāo)準(zhǔn)與技術(shù)研究所所長）及其他相關(guān)機構(gòu)協(xié)調(diào)，應(yīng)制定并發(fā)布關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全績效目標(biāo)，以促進(jìn)對關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商應(yīng)遵循的基本安全實踐的共識，以保護(hù)國家和經(jīng)濟(jì)安全，以及公共健康和安全。

　?。?b ） 此項努力應(yīng)首先由國土安全部部長在不遲于2021年9月22日發(fā)布跨關(guān)鍵基礎(chǔ)設(shè)施部門控制系統(tǒng)的初步目標(biāo)，然后在本備忘錄簽署之日起一年內(nèi)發(fā)布跨部門控制系統(tǒng)的最終目標(biāo)。此外，在與相關(guān)機構(gòu)磋商后，國土安全部部長應(yīng)在本備忘錄簽署之日起一年內(nèi)發(fā)布特定行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全性能目標(biāo)。這些績效目標(biāo)應(yīng)該成為業(yè)主和運營商關(guān)于美國人民可以信任的網(wǎng)絡(luò)安全實踐和防御態(tài)勢的明確指導(dǎo)，并應(yīng)該期待這些基本服務(wù)。這一努力可能還包括審查額外的法律授權(quán)是否有利于加強關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，這對美國人民和我們國家的安全至關(guān)重要。

　　第5節(jié)，通用規(guī)定。（ a ） 本備忘錄的任何內(nèi)容不得解釋為損害或以其他方式影響：

　　（ i ） 法律授予行政部門或機構(gòu)或其首長的權(quán)力；或

　　（ ii ） 管理和預(yù)算辦公室主任關(guān)于預(yù)算、行政或立法提案的職能。

　?。?b ） 本備忘錄應(yīng)按照適用法律執(zhí)行，并在可能需要資金援助以執(zhí)行控制系統(tǒng)網(wǎng)絡(luò)安全建議的情況下，在撥款的情況下執(zhí)行。

　　（ c ） 本備忘錄不旨在，也不創(chuàng)造任何一方針對美國、其部門、機構(gòu)或?qū)嶓w、其官員、雇員或代理或任何其他人士可在法律或衡平法上強制執(zhí)行的任何實質(zhì)性或程序性權(quán)利或利益。