孔勇 韓繼登 王義華

2022年3月15.美國(guó)總統(tǒng)拜登簽署通過了《2022年綜合撥款法案》，這是美國(guó)第177屆國(guó)會(huì)第二次年度會(huì)議上通過的系列法案，總共斥資136億美元用于應(yīng)對(duì)俄烏沖突對(duì)國(guó)家的影響，主要由34個(gè)獨(dú)立法案組成。其中的《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》（Cyber Incident Reporting For Critical InfrastructureACT Of 2022）作為美國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的重要法案，旨在加強(qiáng)聯(lián)邦政府與關(guān)鍵基礎(chǔ)設(shè)施實(shí)體以及聯(lián)邦政府機(jī)構(gòu)之間的網(wǎng)絡(luò)事件信息共享。該法案的通過將有助于聯(lián)邦政府及時(shí)獲取關(guān)鍵基礎(chǔ)設(shè)施實(shí)體遭受網(wǎng)絡(luò)事件和勒索軟件攻擊的情況，以便及時(shí)給予響應(yīng)，確保美國(guó)政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢(shì)的即時(shí)感知。

一、發(fā)布背景

1996年7月15日，美國(guó)克林頓政府頒布第13010號(hào)行政令《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》，首次提出關(guān)鍵基礎(chǔ)設(shè)施的概念及重要作用，并成立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)機(jī)構(gòu)，美國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)時(shí)代由此開啟。此后，美國(guó)政府陸續(xù)出臺(tái)有關(guān)關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)政策.不斷完善關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)體系，至今已有二十六年的歷史。

近年來，網(wǎng)絡(luò)安全事件和勒索軟件攻擊已經(jīng)對(duì)國(guó)家安全構(gòu)成嚴(yán)重威脅，直接影響到政府和能源等行業(yè)的正常運(yùn)行。面對(duì)SolarWinds供應(yīng)鏈攻擊、微軟Exchange漏洞攻擊，以及Colonial Pipeline輸油管道等一連串備受矚目的重大網(wǎng)絡(luò)安全事件的發(fā)生，美國(guó)政府必須能夠迅速協(xié)調(diào)響應(yīng)，并追究不良行為者的責(zé)任。尤其是當(dāng)前俄烏沖突持續(xù)焦灼，國(guó)與國(guó)之間的網(wǎng)絡(luò)安全攻擊也隨即展開，關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊重點(diǎn)。僅僅依賴網(wǎng)絡(luò)事件自愿報(bào)告的形式，不能夠及時(shí)全面掌握關(guān)鍵基礎(chǔ)設(shè)施等重要部門受到攻擊的情況，致使政府不能夠有效啟動(dòng)全部有效資源應(yīng)對(duì)和減輕攻擊造成的影響。

二、主要內(nèi)容

美國(guó)《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》明確了關(guān)鍵基礎(chǔ)設(shè)施實(shí)體報(bào)告網(wǎng)絡(luò)事件的流程及基本要求，要求政府部門對(duì)網(wǎng)絡(luò)事件報(bào)告進(jìn)行審查并及時(shí)共享，以保證聯(lián)邦政府對(duì)即時(shí)網(wǎng)絡(luò)事件態(tài)勢(shì)的感知。該法案還突出強(qiáng)調(diào)了對(duì)勒索軟件攻擊的應(yīng)對(duì)，要求建立勒索軟件漏洞預(yù)警試點(diǎn)程序并協(xié)商成立勒索軟件防護(hù)工作組。

（一）關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件的報(bào)告流程

法案要求，關(guān)鍵基礎(chǔ)設(shè)施實(shí)體在遇到網(wǎng)絡(luò)事件72小時(shí)內(nèi)、被勒索軟件勒索付款的24小時(shí)內(nèi)必須向國(guó)土安全部（DHS）上報(bào)，國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全和通信集成中心（NCCIC）進(jìn)行報(bào)告的接收和審查工作，并與政府機(jī)構(gòu)信息共享。網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（ CISA）負(fù)責(zé)相關(guān)機(jī)構(gòu)的整體組織協(xié)調(diào)，以及整體報(bào)告程序和具體規(guī)則的制定。

1.關(guān)鍵基礎(chǔ)設(shè)施實(shí)體的范圍

該法案定義了涵蓋實(shí)體包括了2013年第21號(hào)總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》確定的16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)實(shí)體，即化工、通信、水壩、應(yīng)急服務(wù)、金融、政府設(shè)施、信息技術(shù)、交通運(yùn)輸、商業(yè)設(shè)施、關(guān)鍵制造業(yè)、國(guó)防工業(yè)、能源、農(nóng)業(yè)食品、醫(yī)療保健與公共衛(wèi)生、核設(shè)施、供水與廢水處理行業(yè)。法案指出，在進(jìn)一步定義涵蓋實(shí)體時(shí)，CISA局長(zhǎng)將進(jìn)一步考慮其他因素，如損害一個(gè)實(shí)體可能導(dǎo)致的國(guó)家和經(jīng)濟(jì)安全的后果，該實(shí)體是否是惡意網(wǎng)絡(luò)行為者的目標(biāo)，以及攻擊這樣一個(gè)實(shí)體是否能夠破壞關(guān)鍵基礎(chǔ)設(shè)施。

2.關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件的范圍

法案規(guī)定，當(dāng)涵蓋實(shí)體遭受網(wǎng)絡(luò)事件及勒索軟件攻擊時(shí)，需要進(jìn)行相關(guān)情況的上報(bào)，上報(bào)范圍主要包括網(wǎng)絡(luò)事件、勒索軟件攻擊和贖金支付三類。

報(bào)告的網(wǎng)絡(luò)事件是指嚴(yán)重?fù)p害信息系統(tǒng)或網(wǎng)絡(luò)的機(jī)密性、完整性、或可用性的：嚴(yán)重影響操作系統(tǒng)和進(jìn)程的安全性和彈性的：由于拒絕服務(wù)攻擊、勒索軟件共計(jì)或利用Oday漏洞造成操作系統(tǒng)或進(jìn)程業(yè)務(wù)中斷的事件。根據(jù)該法案，網(wǎng)絡(luò)事件必須是一個(gè)由CISA局長(zhǎng)進(jìn)一步定義的法案所管轄的實(shí)體所經(jīng)歷的“重大網(wǎng)絡(luò)事件”，才能被涵蓋。

勒索軟件攻擊包括在信息系統(tǒng)上使用非法訪問、惡意代碼或其他數(shù)字機(jī)制（例如拒絕服務(wù)攻擊）中斷信息系統(tǒng)的操作、損害信息系統(tǒng)存儲(chǔ)、處理或破壞電子數(shù)據(jù)的機(jī)密性、可用性或完整性以勒索贖金的事件。

贖金支付是指在任何時(shí)候作為贖金交付的與勒索軟件攻擊有關(guān)的任何金錢或其他財(cái)產(chǎn)或資產(chǎn)，包括虛擬貨幣，或其任何部分的傳輸。

3.網(wǎng)絡(luò)事件報(bào)告的時(shí)間要求

強(qiáng)制要求上報(bào)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告主要包括涵蓋網(wǎng)絡(luò)事件報(bào)告、贖金支付報(bào)告以及補(bǔ)充報(bào)告。

涵蓋網(wǎng)絡(luò)事件報(bào)告。經(jīng)歷涵蓋網(wǎng)絡(luò)事件的涵蓋實(shí)體應(yīng)在涵蓋網(wǎng)絡(luò)事件發(fā)生后72小時(shí)內(nèi)向國(guó)土安全部報(bào)告涵蓋網(wǎng)絡(luò)事件。

贖金支付報(bào)告。涵蓋實(shí)體因勒索軟件攻擊而支付贖金的，應(yīng)在贖金支付24小時(shí)內(nèi)向國(guó)土安全部報(bào)告付款情況。

補(bǔ)充報(bào)告。如果涵蓋實(shí)體需要提交大量新的或不同的網(wǎng)絡(luò)事件報(bào)告/支付贖金報(bào)告，則涵蓋實(shí)體應(yīng)及時(shí)向DHS提交之前涵蓋網(wǎng)絡(luò)事件報(bào)告的更新或補(bǔ)充，直到該涵蓋網(wǎng)絡(luò)事件已經(jīng)結(jié)束或已完全減輕和解決。

除以上法案明確規(guī)定的報(bào)告以外，實(shí)體部門還可自愿向DHS提供法案中未規(guī)定的網(wǎng)絡(luò)事件或贖金支付，或是自愿提供報(bào)告中未要求的額外信息，以增強(qiáng)DHS對(duì)網(wǎng)絡(luò)威脅的態(tài)勢(shì)感知。除此之外，若有已應(yīng)用的、同樣適用于處理法案中定義的網(wǎng)絡(luò)事件的應(yīng)急處置程序，也建議進(jìn)行主動(dòng)上報(bào)。

4.網(wǎng)絡(luò)事件報(bào)告的內(nèi)容要求

報(bào)告內(nèi)容應(yīng)包括對(duì)涵蓋實(shí)體、涵蓋網(wǎng)絡(luò)事件和贖金支付的描述等內(nèi)容。

對(duì)涵蓋實(shí)體的描述具體應(yīng)包括以下內(nèi)容：破壞或損害這一實(shí)體可能對(duì)國(guó)家安全、經(jīng)濟(jì)安全或公共健康和安全造成的后果;該實(shí)體可能成為境內(nèi)外非法攻擊目標(biāo)的可能性;以及對(duì)此類實(shí)體的破壞、中斷、未經(jīng)授權(quán)的訪問（包括對(duì)敏感的網(wǎng)絡(luò)安全漏洞或滲透測(cè)試工具或技術(shù)的訪問）過程中，可能會(huì)破壞關(guān)鍵基礎(chǔ)設(shè)施的操作。

對(duì)涵蓋網(wǎng)絡(luò)事件的描述具體應(yīng)包括基本信息和風(fēng)險(xiǎn)判斷內(nèi)容?；拘畔ǎ阂咽艿接绊懙男畔⑾到y(tǒng)、網(wǎng)絡(luò)或設(shè)備：信息系統(tǒng)、網(wǎng)絡(luò)或設(shè)備被損害程度;網(wǎng)絡(luò)事件持續(xù)時(shí)間;對(duì)涵蓋實(shí)體業(yè)務(wù)的影響;目前已實(shí)施的防御措施：可能的攻擊者身份信息：已被攻擊者獲取的信息：被涵蓋網(wǎng)絡(luò)事件影響的涵蓋實(shí)體的名稱和其他信息（包括形態(tài)、商品名稱、法律名稱或其他標(biāo)識(shí)符）;涵蓋實(shí)體授權(quán)代理人的聯(lián)系信息。風(fēng)險(xiǎn)判斷內(nèi)容包括：判斷該事件的復(fù)雜性或新穎性，以及受波及數(shù)據(jù)的類型、數(shù)量和敏感性、直接或間接影響的受害者人數(shù)以及對(duì)工業(yè)控制系統(tǒng)（比如監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和可編程的邏輯控制器等）的潛在影響。

對(duì)贖金支付的描述具體應(yīng)包括：勒索軟件攻擊具體描述及其攻擊持續(xù)時(shí)間：勒索軟件攻擊的漏洞、實(shí)施的策略、技術(shù)和過程的盡可能描述：可能攻擊者的身份信息;支付贖金的涵蓋實(shí)體姓名及其聯(lián)系信息：支付贖金的日期;贖金支付的要求（包括虛擬貨幣或其他商品類型）：贖金支付指示（包括虛擬地址或物理交易地址）：以及支付的金額。

此外，涵蓋實(shí)體可授權(quán)第三方（如事件響應(yīng)公司、保險(xiǎn)提供商、服務(wù)提供商、信息分享和分析阻止或律師事務(wù)所等）提交涵蓋網(wǎng)絡(luò)事件或贖金支付報(bào)告。若受勒索軟件攻擊的涵蓋實(shí)體使用第三方進(jìn)行贖金支付，則不要求第三方為自己提交贖金支付報(bào)告，但應(yīng)告知涵蓋實(shí)體贖金支付的相關(guān)信息以便涵蓋實(shí)體進(jìn)行上報(bào)。

（二）關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告審查與共享

1.網(wǎng)絡(luò)事件報(bào)告的審查

國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全和通信集成中心（NCCIC）負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告的審查工作，主要包括即時(shí)審查和季度審查。即時(shí)審查是指在接受到涵蓋網(wǎng)絡(luò)事件或贖金支付報(bào)告之后，國(guó)家網(wǎng)絡(luò)安全和通信集成中心根據(jù)2015年網(wǎng)絡(luò)安全信息共享法案規(guī)定的流程，對(duì)所涵蓋的網(wǎng)絡(luò)事件或滿足此類定義的相關(guān)網(wǎng)絡(luò)事件的詳細(xì)信息進(jìn)行審查，并評(píng)估涉及的持續(xù)性網(wǎng)絡(luò)威脅或安全漏洞的網(wǎng)絡(luò)威脅指標(biāo)，制定恰當(dāng)?shù)姆烙胧?，傳達(dá)給利益相關(guān)者或相關(guān)部門和機(jī)構(gòu)。季度審查是指每季度國(guó)家網(wǎng)絡(luò)安全和通信集成中心對(duì)當(dāng)季涵蓋網(wǎng)絡(luò)事件報(bào)告進(jìn)行審查，統(tǒng)計(jì)相關(guān)網(wǎng)絡(luò)事件的數(shù)據(jù)，并發(fā)布非機(jī)密的公開報(bào)告，根據(jù)給出描述和整體建議。除此之外，在不遲于本法案生效日期后的60天起，每月初向上級(jí)政府機(jī)構(gòu)提供簡(jiǎn)報(bào)，以提高跨關(guān)鍵基礎(chǔ)設(shè)施部門對(duì)網(wǎng)絡(luò)威脅的態(tài)勢(shì)感知。

2.審查不合格情況的處理

對(duì)經(jīng)過審查不符合要求的報(bào)告，CISA依據(jù)法案向涵蓋實(shí)體發(fā)出傳票，提起訴訟強(qiáng)制執(zhí)行，以確保其收集發(fā)生的網(wǎng)絡(luò)事件或贖金支付的信息。如果有充分理由證明所涵蓋的實(shí)體經(jīng)歷了涵蓋網(wǎng)絡(luò)事件或支付了贖金，但未收到網(wǎng)絡(luò)事件或支付贖金的報(bào)告.CISA可以要求涵蓋實(shí)體提供補(bǔ)充資料。如果在局長(zhǎng)提出信息請(qǐng)求之日起72小時(shí)后，沒有收到有關(guān)涵蓋實(shí)體的回應(yīng)，則可向該涵蓋實(shí)體發(fā)出傳票，要求其按程序進(jìn)行必要信息的強(qiáng)制上報(bào)。若涵蓋實(shí)體未遵守傳票，局長(zhǎng)可將此事提交司法部長(zhǎng)，向美國(guó)地區(qū)法院提起民事訴訟，以執(zhí)行該傳票。倘若根據(jù)局長(zhǎng)發(fā)出的傳票以及所提供的資料，確定與有關(guān)網(wǎng)絡(luò)事件或贖金支付有關(guān)，且可構(gòu)成采取監(jiān)管執(zhí)法行動(dòng)或刑事檢控的理由，法院可將未遵守根據(jù)本款發(fā)出的傳票作為藐視法庭罪對(duì)涵蓋實(shí)體予以處罰。

3.網(wǎng)絡(luò)事件報(bào)告共享的時(shí)間要求

該法案要求CISA應(yīng)在收到涵蓋網(wǎng)絡(luò)事件或贖金支付報(bào)告之后的24之內(nèi)，參照?qǐng)?bào)告信息公開要求并考慮隱私保護(hù)，盡可能以最大程度分享和協(xié)調(diào)每一份關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告。此外，如果CISA在與相關(guān)政府機(jī)構(gòu)之間具有更短時(shí)間期限的協(xié)議，應(yīng)按照協(xié)議規(guī)定時(shí)間進(jìn)行報(bào)告共享。

4.報(bào)告共享的信息披露、保留與使用

信息授權(quán)披露。依據(jù)法案規(guī)定向國(guó)土安全部提供的信息可向聯(lián)邦法律的其他適用規(guī)定、任何政府機(jī)構(gòu)或部門、官員、雇員或代理人披露以：保護(hù)網(wǎng)絡(luò)安全：識(shí)別網(wǎng)絡(luò)威脅和安全漏洞：阻止和減輕恐怖主義威脅：應(yīng)對(duì)、調(diào)查、起訴或阻止和減輕對(duì)未成年人造成的威脅：阻止、調(diào)查、擾亂或起訴法案（包括本法案以及2015《網(wǎng)絡(luò)安全法》）規(guī)定的網(wǎng)絡(luò)事件引起的犯罪。

網(wǎng)絡(luò)威脅指標(biāo)共享。在收到根據(jù)本法案提交的網(wǎng)絡(luò)事件或贖金支付報(bào)告后.NCCIC應(yīng)立即審查報(bào)告，以確定報(bào)告中涵蓋的網(wǎng)絡(luò)事件是否與持續(xù)性網(wǎng)絡(luò)威脅或安全漏洞有關(guān)。在適用的情況下，根據(jù)報(bào)告制定匿名網(wǎng)絡(luò)威脅指標(biāo)和可行的防御措施，并迅速傳達(dá)給利益相關(guān)者。

安全漏洞管理。報(bào)告中提及到的安全漏洞信息，CISA應(yīng)參考行業(yè)最佳做法以及美國(guó)和國(guó)際相關(guān)標(biāo)準(zhǔn)，制定漏洞修復(fù)時(shí)間和漏洞管理規(guī)定，管理與安全漏洞相關(guān)的信息。

公民隱私和數(shù)字安全。依據(jù)法案規(guī)定提交給DHS的網(wǎng)絡(luò)事件和贖金支付報(bào)告中的信息可依規(guī)定保留、使用和傳播。但依據(jù)《網(wǎng)絡(luò)安全法》，聯(lián)邦政府對(duì)于與網(wǎng)絡(luò)安全威脅沒有直接關(guān)系的特定個(gè)人的信息不得進(jìn)行未經(jīng)授權(quán)的使用和披露;除此之外.DHS應(yīng)確保報(bào)告以及其包含的任何信息至少按照《美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)（199）》中所述的最低保護(hù)要求進(jìn)行收集、存儲(chǔ)和保護(hù)。

監(jiān)管活動(dòng)中的信息使用。聯(lián)邦、州或地方政府不得在監(jiān)管活動(dòng)（包括執(zhí)法、支付贖金）中直接使用報(bào)告中提供的的網(wǎng)絡(luò)事件或贖金支付信息，除非政府明確允許實(shí)體向機(jī)構(gòu)提交報(bào)告以滿足實(shí)體的監(jiān)管報(bào)告義務(wù)。

5.報(bào)告共享的其他要求

涵蓋實(shí)體及其信息的保護(hù)。對(duì)于涵蓋實(shí)體根據(jù)法案向DHS提交的網(wǎng)絡(luò)事件或贖金的報(bào)告，以及自愿提交的網(wǎng)絡(luò)事件報(bào)告.DHS應(yīng)避免披露被覆蓋實(shí)體指定的商業(yè)、財(cái)務(wù)及專有信息和信息公開或信息保護(hù)相關(guān)法律要求避免披露的信息。

與非政府實(shí)體的共享。在將報(bào)告中提供的信息提供給關(guān)鍵基礎(chǔ)設(shè)施所有者、運(yùn)營(yíng)商和一般公眾時(shí)，報(bào)告應(yīng)匿名化該信息的受害者。

存儲(chǔ)通信法案。本法案的任何內(nèi)容均不得解釋為允許或要求遠(yuǎn)程計(jì)算服務(wù)的提供者或電子通信服務(wù)的提供者向公眾披露《存儲(chǔ)通信法案》不允許披露的信息。

（三）應(yīng)對(duì)勒索軟件攻擊的措施

1.建立勒索軟件漏洞預(yù)警試點(diǎn)程序

在本法案頒布之后1年之內(nèi)，CISA應(yīng)利用現(xiàn)有的技術(shù)和已匯總的信息，建立勒索軟件漏洞預(yù)警試點(diǎn)程序，以識(shí)別常見的或已發(fā)生過的勒索軟件攻擊，并及時(shí)預(yù)警相關(guān)信息系統(tǒng)所有者。在試點(diǎn)程序建立之后，CISA每年都應(yīng)向國(guó)土安全部、政府事務(wù)委員會(huì)和眾議院國(guó)土安全委員會(huì)進(jìn)行報(bào)告，對(duì)該年度勒索軟件漏洞預(yù)警試點(diǎn)程序識(shí)別漏洞、發(fā)出預(yù)警的次數(shù)、有效阻止或減輕威脅的情況進(jìn)行說明。

2.成立聯(lián)合勒索軟件防護(hù)工作組

不遲于本法案頒布后的180天內(nèi)，CISA局長(zhǎng)應(yīng)與國(guó)家網(wǎng)絡(luò)總監(jiān)、檢察長(zhǎng)、聯(lián)邦調(diào)查局局長(zhǎng)協(xié)商，建立聯(lián)合勒索軟件工作組。由CISA領(lǐng)導(dǎo)聯(lián)合勒索軟件工作組，協(xié)調(diào)組織勒索軟件攻擊防范工作，并擇機(jī)開展國(guó)際合作。

（四）聯(lián)邦政府的其他責(zé)任

1.報(bào)告程序和規(guī)則的制定

在法案頒布30天之內(nèi).CISA應(yīng)就報(bào)告程序的最終規(guī)則以及利益相關(guān)者的參與方式進(jìn)行構(gòu)想并向國(guó)會(huì)進(jìn)行報(bào)告。

本法案頒布之后24個(gè)月之內(nèi).CISA應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)、司法部和其他政府機(jī)構(gòu)協(xié)商，在聯(lián)邦政府公報(bào)上發(fā)布擬制定規(guī)則的通知。在擬制定規(guī)則通知發(fā)布之后18個(gè)月之內(nèi).CISA應(yīng)發(fā)布最終規(guī)則，以執(zhí)行以上要求。在后續(xù)規(guī)則的修訂和發(fā)布過程中，CISA局長(zhǎng)有權(quán)發(fā)布條例，以修訂最終規(guī)則，但遵守《美國(guó)法典》第553條發(fā)布建議的規(guī)則制定的通知。

2.報(bào)告流程的協(xié)調(diào)要求

國(guó)土安全部部長(zhǎng)以及CISA局長(zhǎng)，應(yīng)定期審查現(xiàn)有的網(wǎng)絡(luò)事件監(jiān)管要求，在符合適用的法律和政策要求、不影響機(jī)構(gòu)及時(shí)了解網(wǎng)絡(luò)事件或贖金支付的能力的情況下，盡量簡(jiǎn)化報(bào)告流程，促進(jìn)相關(guān)機(jī)構(gòu)之間的跨部門協(xié)議。CISA應(yīng)與管理和預(yù)算辦公室主任、司法部長(zhǎng)、國(guó)家網(wǎng)絡(luò)總監(jiān)、行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)等政府機(jī)構(gòu)協(xié)商，成立關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告委員會(huì)，以協(xié)調(diào)、消除沖突或調(diào)整聯(lián)邦事件報(bào)告要求（包括已發(fā)布的要求）。

在法案實(shí)施180天之后，針對(duì)重復(fù)性的網(wǎng)絡(luò)事件、減輕網(wǎng)絡(luò)事件發(fā)生采取的行動(dòng)以及相關(guān)的法案修訂建議，CISA應(yīng)匯總形成法規(guī)協(xié)調(diào)報(bào)告，并上報(bào)給國(guó)會(huì)。

3.加大法案的宣傳教育

國(guó)土安全部應(yīng)針對(duì)涵蓋實(shí)體、服務(wù)提供商、第三方實(shí)體等開展宣傳和教育活動(dòng)，主要對(duì)報(bào)告的最終規(guī)則、報(bào)告程序、可提供的保護(hù)措施、以及不按要求報(bào)告的懲罰措施等進(jìn)行宣貫。

在進(jìn)行宣傳和教育活動(dòng)時(shí)，國(guó)土安全部可與關(guān)鍵基礎(chǔ)設(shè)施伙伴關(guān)系咨詢委員會(huì)、信息共享和分析組織、貿(mào)易協(xié)會(huì)、信息共享和分析中心、行業(yè)協(xié)調(diào)委員會(huì)等相關(guān)實(shí)體進(jìn)行協(xié)商合作。

三、要點(diǎn)分析

通過分析美國(guó)《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》，可以得到以下要點(diǎn)。

（一）通過立法強(qiáng)制報(bào)告，加強(qiáng)事件態(tài)勢(shì)感知

與2016年第41號(hào)總統(tǒng)令《美國(guó)網(wǎng)絡(luò)事件協(xié)調(diào)政策》和2021年CISA的《聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè)》對(duì)比，本法案強(qiáng)制要求關(guān)鍵基礎(chǔ)設(shè)施實(shí)體在發(fā)生涵蓋網(wǎng)絡(luò)事件或勒索軟件攻擊之后，必須在規(guī)定時(shí)間內(nèi)進(jìn)行上報(bào)。在報(bào)告信息不完善或不主動(dòng)上報(bào)時(shí)，CISA可采取強(qiáng)制措施保證網(wǎng)絡(luò)事件的信息獲取，并在造成嚴(yán)重后果時(shí)提起訴訟程序。與之前規(guī)定采取激勵(lì)措施相比，本法案采取更強(qiáng)硬的手段，以確保對(duì)網(wǎng)絡(luò)事件發(fā)展態(tài)勢(shì)的感知，從而確保關(guān)鍵基礎(chǔ)設(shè)施安全。

（二）建立預(yù)警試點(diǎn)程序，應(yīng)對(duì)勒索軟件攻擊

除了對(duì)于網(wǎng)絡(luò)事件的信息上報(bào)，該法案還著重強(qiáng)調(diào)了對(duì)勒索軟件攻擊的響應(yīng)，以應(yīng)對(duì)近年來頻發(fā)的勒索軟件攻擊。法案要求相關(guān)實(shí)體在遭受勒索軟件攻擊或進(jìn)行贖金支付后，在24小時(shí)之內(nèi)向國(guó)土安全部上報(bào)，并要求國(guó)土安全部對(duì)該類信息進(jìn)行及時(shí)的審查和信息共享。在本法案生效一年之內(nèi)，要求CISA建立勒索軟件漏洞預(yù)警試點(diǎn)程序，并協(xié)商成立專門的聯(lián)合勒索軟件防護(hù)工作組，以及時(shí)識(shí)別攻擊、快速響應(yīng)，減輕勒索軟件攻擊造成的威脅和損失。

（三）明確報(bào)告交付時(shí)間，監(jiān)督法案實(shí)施成效

針對(duì)網(wǎng)絡(luò)事件報(bào)告的各個(gè)環(huán)節(jié)，法案均明確了其時(shí)間節(jié)點(diǎn)。對(duì)于關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，主要側(cè)重其對(duì)網(wǎng)絡(luò)事件的主動(dòng)上報(bào)：對(duì)于聯(lián)邦政府機(jī)構(gòu)，主要側(cè)重其對(duì)報(bào)告的審查和信息共享，以及對(duì)尚不明確的規(guī)則和程序進(jìn)行制定，并加強(qiáng)組織機(jī)構(gòu)間的協(xié)商交流。針對(duì)法案實(shí)施的情況、報(bào)告程序的制定、新設(shè)立的工作組及新建立的勒索軟件漏洞預(yù)警試點(diǎn)程序的有效性，法案規(guī)定CISA在法案實(shí)施1年之后進(jìn)行政策執(zhí)行有效性的考察并向國(guó)會(huì)進(jìn)行相關(guān)情況的報(bào)告。針對(duì)法案中網(wǎng)絡(luò)事件報(bào)告的相關(guān)行動(dòng)明確時(shí)間節(jié)點(diǎn)，能夠有效監(jiān)督檢驗(yàn)法案的實(shí)施成效。

四、總結(jié)與建議

環(huán)顧全球，網(wǎng)絡(luò)空間安全形勢(shì)愈發(fā)復(fù)雜化，當(dāng)前俄烏沖突事件的爆發(fā)，更使得關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)成為網(wǎng)絡(luò)空間安全的重中之重。美國(guó)通過《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》，強(qiáng)制關(guān)鍵基礎(chǔ)設(shè)施實(shí)體對(duì)網(wǎng)絡(luò)事件及時(shí)報(bào)告，進(jìn)一步強(qiáng)化了“公私協(xié)作”的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的核心策略。針對(duì)關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，法案強(qiáng)制要求其對(duì)涵蓋網(wǎng)絡(luò)事件進(jìn)行主動(dòng)報(bào)告，并配合政府部門補(bǔ)充相關(guān)信息，明確了報(bào)告網(wǎng)絡(luò)事件的基本流程及要求：針對(duì)美國(guó)聯(lián)邦政府，法案明確了國(guó)土安全部、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、國(guó)家網(wǎng)絡(luò)安全和通信集成中心的責(zé)任，要求對(duì)應(yīng)部門及時(shí)審查和共享網(wǎng)絡(luò)事件及贖金支付信息，并建立組織機(jī)構(gòu)，完善報(bào)告程序，以保證聯(lián)邦政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件態(tài)勢(shì)的感知。此外，該法案還突出強(qiáng)調(diào)了對(duì)勒索軟件攻擊的應(yīng)對(duì)，要求建立勒索軟件漏洞預(yù)警試點(diǎn)程序并協(xié)商成立勒索軟件防護(hù)工作組。

近年來，我國(guó)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)政策法規(guī)頻頻發(fā)布，構(gòu)建起了我國(guó)網(wǎng)絡(luò)空間安全保障和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)政策法規(guī)體系。在信息共享、漏洞管理、統(tǒng)籌協(xié)調(diào)和指導(dǎo)監(jiān)督等方面不斷完善，但對(duì)于我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力要求和具體落地措施缺乏標(biāo)準(zhǔn)指南等可落地文件支撐。

通過分析美國(guó)《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》思考我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，建議如下：一是強(qiáng)化信息共享機(jī)制，通過出臺(tái)相關(guān)落地執(zhí)行的制度政策，加強(qiáng)政府和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者之間，以及政府各部門之間有關(guān)網(wǎng)絡(luò)事件的態(tài)勢(shì)信息交流和協(xié)調(diào)響應(yīng);二是重視勒索軟件攻擊，通過開展專項(xiàng)研究，提升對(duì)勒索軟件漏洞與攻擊事件的及時(shí)識(shí)別和預(yù)警，減輕關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的威脅：三是加強(qiáng)政策法規(guī)執(zhí)行的監(jiān)督檢查，通過明確時(shí)間節(jié)點(diǎn)的監(jiān)督檢查機(jī)制，確保關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)督管理部門、安全保護(hù)部門和運(yùn)營(yíng)者對(duì)相關(guān)政策法規(guī)的落地執(zhí)行，真正做實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、保障和保衛(wèi)工作，維護(hù)國(guó)家網(wǎng)絡(luò)空間安全。