智库快讯丨美国CISA发布漏洞管理约束性指令

2021年11月3日，美国网络安全与基础设施安全局(Critical Infrastructure Security Agency, CISA)发布编号为22-01的约束性作业指令（binding operational directive, BOD）：《减轻已知被利用安全漏洞重大危害》（Reducing the Significant Risk of Known Exploited Vulnerabilities），要求联邦政府各部门在规定的时间内，对相关漏洞采取修补措施。

BOD是为保障美国联邦信息安全而发布的强制性指令，对联邦政府及各部门具有拘束力，并由美国国土安全部负责监督执行。美国政府认为，其一直面临持续的高强度网络攻击，特别是各类行为体利用漏洞发动网络攻击，对美国国家安全和公众隐私构成严重威胁，因此美国政府必须加强防护，对已知被利用漏洞采取强有力的补救措施，减少网络安全事件发生，切实维护联邦信息系统安全。

一方面，该指令赋予CISA相关职责，要求CISA在其官方网站管理维护已知被利用漏洞目录，并将更新情况和应对措施及时向联邦政府各部门进行预警通报。此外，该指令还要求CISA发布添加到漏洞目录的门槛和要求，并根据网络安全整体情况的变化对指令进行审查，结合漏洞管理最新实践，研究补充完善指令的措施。

另一方面，该指令要求联邦政府各部门密切配合CISA的工作。各部门要根据该指令要求，对本部门内部漏洞管理程序进行审查和更新，并在指令发布60日内，对目录中的漏洞采取修补措施。同时，各部门漏洞管理及修补情况要向CISA进行报告。

美国政府高度重视漏洞管理，并以国家漏洞数据库（NVD）建设为抓手，建成了较为完善的漏洞管理体系，形成了一套协调有序开展漏洞挖掘分析、漏洞编号（CVE）、脆弱性测量与评分等的运营管理机制。与以往重视漏洞的分级与评分策略相比，22-01指令的发布，标志着CISA将对已知被利用漏洞采取补救措施作为重点工作，在网络安全防护上发挥更加积极主动的作用。

信息来源：

• https://cyber.dhs.gov/bod/22-01/

• https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf