美国众议院通过多项关键基础设施网络安全法案 – 作者:中科天齐软件安全中心

美国众议院本周通过了几项网络安全法案，包括与关键基础设施、工业控制系统 (ICS) 以及州和地方政府拨款相关的法案。这也说明，关键基础设施通常系统脆弱却又极易受到攻击，这关系到国家和社会发展，其网络及软件安全情况尤其需要重视。

其中一项针对关键基础设施的法案是《网络安全漏洞修复法案》，该法案旨在授权国土安全部的网络安全和基础设施安全局 (CISA) 协助关键基础设施的所有者和运营商制定针对严重漏洞的缓解策略。

该法案涵盖了IT和OT系统中的漏洞，以及不再支持的硬件或软件中的安全漏洞。它还授权 DHS发起一场竞赛，以确定IT和ICS产品中漏洞的补救解决方案。通常，在软件系统开发过程初期，使用静态代码检测工具可以及时发现常见安全漏洞，并可轻松定位到代码位置进行修正，节省大量时间精力。

《CISA网络演习法案》

众议院本周还通过CISA网络演习法案，该法案在CISA内建立了一项计划，旨在促进对针对关键基础设施的网络攻击的准备和恢复能力的定期测试和评估。

这些演习将模拟网络攻击对政府或关键基础设施网络的重大影响，并将帮助组织提高准备和事件响应能力。

《2021年工业控制系统能力增强法案》

另一项法案是2021年DHS工业控制系统能力增强法案，该法案要求CISA提高其识别和解决 ICS威胁的能力，特别是用于关键基础设施的系统。如果该法案成为法律，该机构将被要求保持跨部门事件响应能力，向利益相关者提供技术援助，并与ICS社区共享漏洞信息。

《州和地方网络安全改进法案》

法案寻求授权一项新的5亿美元赠款计划，其目标是为州、地方、部落和地区政府提供网络安全资金。该法案将允许州和地方政府组织申请资金，用于解决网络安全风险和对其IT系统的威胁。CISA 将负责该计划。

《国土安全关键领域法案》

本周提交给参议院的另一项法案是《国土安全关键领域法案》，该法案授权国土安全部识别对经济安全至关重要的领域的供应链风险。虽然它没有具体提到网络，但它可能适用于这个领域。

“该法案将美国经济安全的关键领域定义为对美国经济安全至关重要的关键基础设施和其他相关产业、技术和知识产权，或它们的任何组合，”该法案的摘要解释道。

《网络感应法案》

此前在上一届国会众议院通过的另一项法案也在7月20日获得通过。由俄亥俄州共和党众议员鲍勃·拉塔(Bob Latta)和加利福尼亚州民主党众议员杰里·麦克纳尼(Jerry McNerney)牵头的两党《网络感应法案》(Cyber Sense Act)，将要求能源部长建立一个项目，对打算用于大容量电力系统的产品的网络安全进行测试。大容量电力系统包括运行相互连接的电能传输网络所必需的设施和控制系统。

此外，众议院一致通过了另外两项旨在保护能源行业免受网络攻击的法案，这两项法案此前都得到了众议院能源和商务委员会(House energy and Commerce Committee)的批准。

主要由众议员鲍比·拉什(伊利诺伊州民主党)发起的《能源紧急领导法案》将加强国土安全部在应对网络威胁方面的领导能力，而同样由麦克纳尼和拉塔发起的《通过公私合作伙伴关系加强电网安全法案》将创建一个项目，以加强网络和实际电网安全。

这两项立法都是去年众议院通过的。参议院能源和自然资源委员会将《网络感应法案》和《加强电网安全法案》纳入其上周通过的大规模能源一揽子计划，预计将成为两党基础设施框架的一部分。

所有这些法案都是作为2002年《国土安全法》的修正案而提出的。

随着网络攻击给美国关键基础设施造成严重威胁，美国加紧出台网络安全相关法案。同时不难发现，国际上多数国家也针对网络安全领域不断出台相关政策。

中国是一个网络大国，同时也是面临网络安全威胁严重的国家之一。迫切需要建立完善的网络安全法律法规来提升全社会的网络安全意识和网络安全保护水平，以确保网络安全在开放便利的同时更加安全透明。

随着《网络安全法》和《数据安全法》的逐渐实施，在确保规范网络安全建设标准的同时，也提升网络安全管理水平和抵御网络攻击能力。

在9月1日即将实施的《数据安全法》第十八条中要求：国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

这也说明，在保护网络和数据要从日常的工作做起，加强软件安全检测和风险评估可以帮助组织、企业等在网络安全防御上做到未雨绸缪。

参读链接：

https://www.woocoom.com/b021.html?id=8f832a2660534ab097c85318ec5908d0

https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills

https://baijiahao.baidu.com/s?id=1706313039588462272&wfr=spider&for=pc

来源：freebuf.com 2021-07-29 11:04:16 by: 中科天齐软件安全中心