美國眾議院透過多項關鍵基礎設施網路安全法案

美國眾議院本週透過了幾項網路安全法案，包括與關鍵基礎設施、工業控制系統 (ICS) 以及州和地方政府撥款相關的法案。這也說明，關鍵基礎設施通常系統脆弱卻又極易受到攻擊，這關係到國家和社會發展，其網路及軟體安全情況尤其需要重視。

其中一項針對關鍵基礎設施的法案是 《網路安全漏洞修復法案》，該法案旨在授權國土安全部的網路安全和基礎設施安全域性 (CISA) 協助關鍵基礎設施的所有者和運營商制定針對嚴重漏洞的緩解策略。

該法案涵蓋了IT和OT系統中的漏洞，以及不再支援的硬體或軟體中的安全漏洞。它還授權 DHS發起一場競賽，以確定IT和ICS產品中漏洞的補救解決方案。通常，在軟體系統開發過程初期，使用靜態程式碼檢測工具可以及時發現常見安全漏洞，並可輕鬆定位到程式碼位置進行修正，節省大量時間精力。

《CISA網路演習法案》

眾議院本週還透過CISA網路演習法案，該法案在CISA內建立了一項計劃，旨在促進對針對關鍵基礎設施的網路攻擊的準備和恢復能力的定期測試和評估。

這些演習將模擬網路攻擊對政府或關鍵基礎設施網路的重大影響，並將幫助組織提高準備和事件響應能力。

《2021年工業控制系統能力增強法案》

另一項法案是2021年DHS工業控制系統能力增強法案，該法案要求CISA提高其識別和解決 ICS威脅的能力，特別是用於關鍵基礎設施的系統。如果該法案成為法律，該機構將被要求保持跨部門事件響應能力，向利益相關者提供技術援助，並與ICS社群共享漏洞資訊。

《州和地方網路安全改進法案》

法案尋求授權一項新的5億美元贈款計劃，其目標是為州、地方、部落和地區政府提供網路安全資金。該法案將允許州和地方政府組織申請資金，用於解決網路安全風險和對其IT系統的威脅。CISA 將負責該計劃。

《國土安全關鍵領域法案》

本週提交給參議院的另一項法案是《國土安全關鍵領域法案》，該法案授權國土安全部識別對經濟安全至關重要的領域的供應鏈風險。雖然它沒有具體提到網路，但它可能適用於這個領域。

“該法案將美國經濟安全的關鍵領域定義為對美國經濟安全至關重要的關鍵基礎設施和其他相關產業、技術和智慧財產權，或它們的任何組合，”該法案的摘要解釋道。

《網路感應法案》

此前在上一屆國會眾議院透過的另一項法案也在7月20日獲得透過。由俄亥俄州共和黨眾議員鮑勃·拉塔(Bob Latta)和加利福尼亞州民主黨眾議員傑裡·麥克納尼(Jerry McNerney)牽頭的兩黨《網路感應法案》(Cyber Sense Act)，將要求能源部長建立一個專案，對打算用於大容量電力系統的產品的網路安全進行測試。大容量電力系統包括執行相互連線的電能傳輸網路所必需的設施和控制系統。

此外，眾議院一致透過了另外兩項旨在保護能源行業免受網路攻擊的法案，這兩項法案此前都得到了眾議院能源和商務委員會(House energy and Commerce Committee)的批准。

主要由眾議員鮑比·拉什(伊利諾伊州民主黨)發起的《能源緊急領導法案》將加強國土安全部在應對網路威脅方面的領導能力，而同樣由麥克納尼和拉塔發起的《透過公私合作伙伴關係加強電網安全法案》將建立一個專案，以加強網路和實際電網安全。

這兩項立法都是去年眾議院透過的。參議院能源和自然資源委員會將《網路感應法案》和《加強電網安全法案》納入其上週透過的大規模能源一攬子計劃，預計將成為兩黨基礎設施框架的一部分。

所有這些法案都是作為2002年《國土安全法》的修正案而提出的。

隨著網路攻擊給美國關鍵基礎設施造成嚴重威脅，美國加緊 頒佈網路安全相關法案。同時不難發現，國際上多數國家也針對網路安全領域不斷 頒佈相關政策。

中國是一個網路大國，同時也是面臨網路安全威脅嚴重的國家之一。迫切需要建立完善的網路安全法律法規來提升全社會的網路安全意識和網路安全保護水平，以確保網路安全在開放便利的同時更加安全透明。

隨著《網路安全法》和《資料安全法》的逐漸實施，在確保規範網路安全建設標準的同時，也提升網路安全管理水平和抵禦網路攻擊能力。

在9月1日即將實施的《資料安全法》第十八條中要求：國家促進資料安全檢測評估、認證等服務的發展，支援資料安全檢測評估、認證等專業機構依法開展服務活動。

國家支援有關部門、行業組織、企業、教育和科研機構、有關專業機構等在資料安全風險評估、防範、處置等方面開展協作。

這也說明，在保護網路和資料要從日常的工作做起，加強 軟體安全檢測和風險評估可以幫助組織、企業等在網路安全防禦上做到未雨綢繆。

參讀連結：

https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills