美国关键基础设施政策 研究专报 第 5 期 路云天网络安全研究院 云天洞察 第13期 2022年4月2日 强制关键基础设施网络事件报告 加强勒索软件攻击应对措施 ——美国《2022年关键基础设施网络事件报告 法案》解读 2022年3月15，美国总统拜登签署 通过了《2022年综合拨款法 案》 ，这是美国第177届国会第二次年度会议 上通过的系列法案，总 共斥资 136亿美元用于应对俄 乌冲突对国家的影响 ，主要由34个独 立法案组成。其中的《2022年关键基础设施网络事件报 告法案》 (Cyber Incident Reporting For Critical Infrastruct ure ACT Of 2022 ) 作为 美国关键基础设施保护的 重要法案，旨在加强联邦政府与关键基础 设施实体以及 联邦政府机构之间的网络事件信息共享 。该法案的通 过将有助于 联邦政府及时 获取关键基础设施实体遭受网络事件和勒 索软件攻击的情况， 以便及时给予响应，确保 美国政府对关键基础 设施网络安全态势 的即时感知。 一、发布背景 1996年7月15日，美国克林顿政府颁布第 13010号行政令《关 键基础设施保护》 ，首次提出关键基础设施的概念及重要作用， 并成 立关键基础设施保护机构，美国关键基础设施保护时代由此开启。 此后，美国政府陆续出台有关关键基础设施 安全保护政策，不断完 善关键基础 设施安全 保护体系 ，至今已有二十六年的历史。 近年来，网络安全事件和勒索软件攻击 已经对国家安全构成严 重威胁，直接影响到政府和能源等行业的正常运行。面对 SolarWinds 供应链攻击、微软 Exchange 漏洞攻击，以及 Colonial Pipeline输油管道等一连串备受瞩目的重大网络安全事件的发生， 美 国政府必须能够迅速协调响应，并追究不良行为者的责任。 尤其是 当前俄乌冲突持续焦灼， 国与国之间的网络安全攻击也随即展开， 关键基础设施成为网络攻击重点 。仅仅依赖 网络事件 自愿报告 的形 式，不能够及时全面掌握关键基础设施等重要部门受到 攻击的情况， 致使政府不能够有效启动全部有效 资源应对和减轻 攻击造成的 影响。 二、主要内容 美国《2022年关键基础设施网络事件报告 法案》明确了关键基 础设施实体报告网络事件的流程及基本要求，要求政府部门对网络 事件报告进行审查并及时共享，以保证联邦政府对即时网络事件态 势的感知。该法案还突出强调了对勒索软件攻击的应对， 要求建立 勒索软件漏洞 预警试点程序并 协商成立勒索软件防护 工作组。 （一）关键基础设施 网络事件的报告流程 法案要求，关键基础设施实体在遇到网络事件 72小时内、被勒 索软件勒索付款的 24小时内必须向国土安全部（ DHS）上报， 国土安全部的国家网络安全和通信集成中心（ NCCIC）进行报告的接收 和审查工作，并与政府机构信息共享。网络安全与基础设施安全局 （CISA）负责相关机构的整体组织协调，以及 整体报告程序和具体 规则的制定 。 图1：关键基础设施 网络事件 报告流程 1.关键基础设施 实体的范围 该法案定义了涵盖实体包括 了2013年第21号总统令《关键基 础设施安全和弹性》 确定的16个关键基础设施 行业实体，即化工、 通信、水坝、应急服务、金融、政府设施、信息技术、交通运输、 商业设施、关键制造业、 国防工业、 能源、农业食品、医疗 保健与 公共卫生 、核设施、供 水与废水处理行业 。法案指出， 在进一步定 义涵盖实体时， CISA局长将进一步考虑其他因素，如损害一个实体 可能导致的国家和经济安全的后果，该实体是否是恶意网络行为者 的目标，以及 攻击这样一个实体是否能够破坏关键基础设施。 表1：美国 16个关键基础设施 行业实体 关键基础设施 行业 对口机构 化工行业 国土安全部 通信行业 国土安全部 水坝 国土安全部 应急服务行业 国土安全部 金融行业 财政部 政府设施 国土安全部和总务管理局 信息技术行业 国土安全部 交通运输行业 国土安全部和交通部 商业设施 国土安全部 关键制造业 国土安全部 国防工业设施 国防部 能源行业 能源部 农业食品行业 美国农业部和健康与公众服务部 医疗保健和公共卫生行业 健康与公众服务部 核设施行业 国土安全部 供水与废水处理行业 环境保护局 2.关键基础设施 网络事件 的范围 法案规定，当涵盖实体遭受网络事件及勒索软件攻击时，需要 进行相关情况的上报， 上报范围 主要包括网络事件、勒索软件攻击 和赎金支付三类。 报告的网络事件 是指严重损害信息系统或网络的机密性、完整 性、或可用性的；严重影响操作系统和进程的安全性和弹性的；由 于拒绝服务攻击、勒索软件共计或利用 0day漏洞造成操作系统或进 程业务中断的事件。根据该 法案，网络事件必须是一个由 CISA局长 进一步定义的法案所管辖的实体所经历的 “重大网络事件 ”，才能被 涵盖。 勒索软件攻击 包括在信息系统上使用非法访问、恶意代码或其 他数字机制（例如拒绝服务攻击）中断信息系统的操作、损害信息系统存储、处理或破坏电子数据的机密性、可用性或完整性以勒索 赎金的事件。 赎金支付 是指在任何时候作为赎金交付的与勒索软件攻击有关 的任何金钱或其他财产或资产，包括虚拟货币，或其任何部分的传 输。 3.网络事件报告的时间要求 强制要求上报的关键基础设施网络事件报告主要包括涵盖网络 事件报告、赎金支付报告以及补充报告。 涵盖网络事件报告 。经历涵盖网络事件的涵盖实体应在涵盖网 络事件发生后 72小时内向 国土安全部 报告涵盖网络事件。 赎金支付报告 。涵盖实体因勒索软件攻击而支付赎金的，应在 赎金支付 24小时内向 国土安全部 报告付款情况。 补充报告 。如果涵盖实体需要提交大量新的或不同的网络事件 报告 /支付赎金报告，则涵盖实体应及时向 DHS提交之前涵盖网络事 件报告的更新或补充，直到该涵盖网络事件已经结束或已完全减轻 和解决。 除以上法案明确规定的报告以外，实体部门还可自愿向 DHS提 供法案中未规定的网络事件或赎金支付，或是自愿提供报告中未要 求的额外信息，以增强 DHS对网络威胁的态势感知。除此之外，若 有已应用的、同样适用于处理法案中定义的网络事件的应急处置程 序，也建议进行主动上报。 4.网络事件报告 的内容要求 报告内容应包括对涵盖实体 、涵盖网络事件 和赎金支付的描述 等内容。 对涵盖实体的描述 具体应包括 以下内容 ：破坏或损害这一实体可能对国家安全、经济安全或公共健康和安全造成的后果；该实体 可能成为境内外非法攻击目标的可能性；以及对此类实体的破坏、 中断、未经授权的访问（包括对敏感的网络安全漏洞或渗透测试工 具或技术的访问）过程中，可能会破坏关键基础设施的操作。 对涵盖网络事件的描述 具体应包括 基本信息和风险判断内容。 基本信息包括： 已受到影响的信息系统、网络或设备；信息系统、 网络或设备被损害程度；网络事件持续时间；对涵盖实体业务的影 响；目前已实施的防御措施；可能的攻击者身份信息；已被攻击者 获取的信息；被涵盖网络事件影响的涵盖实体的名称和其他信息 （包括形态、商品名称、法律名称或其他标识符） ；涵盖实体授权代 理人的联系信息。风险判断 内容包括 ：判断该事件的复杂性或新颖 性，以及受波及数据的类型、数量和敏感性、直接或间接影响的受 害者人数以及对工业控制系统（比如监控和数据采集系统、分布式 控制系统和可编程的逻辑控制器等）的潜在影响。 对赎金支付的描述 具体应包括：勒索软件攻击具体描述及其攻 击持续时间；勒索软件攻击的漏洞、实施的策略、技术和过程的尽 可能描述；可能攻击者的身份信息；支付赎金的涵盖实体姓名及其 联系信息；支付赎金的日期；赎金支付的要求（包括虚拟货币或其 他商品类型） ；赎金支付指示（包括虚拟地址或物理交易地址） ；以 及支付的金额。 此外，涵盖实体可授权第三方（如事件响应公司、保险提供商、 服务提供商、信息分享和分析阻止或律师事务所等）提交涵盖网络 事件或赎金支付报告。若受勒索软件攻击的涵盖实体使用第三方进 行赎金支付，则不要求第三方为自己提交赎金支付报告，但 应告知 涵盖实体赎金支付的相关信息以便涵盖实体进行上报。 （二）关键基础设施 网络事件报告审查与共享 1.网络事件 报告的审查 国土安全部的 国家网络安全和通信集成中心（ NCCIC）负责关 键基础设施网络事件报告的审查工作，主要包括即时审查和季度审 查。即时审查 是指在接受到涵盖网络事件或赎金支付报告之后，国 家网络安全和通信集成中心根据 2015年网络安全信息共享法案规定 的流程，对所涵盖的网络事件或满足此类定义的相关网络事件的详 细信息进行审查，并评估涉及的持续性网络威胁或安全漏洞的网络 威胁指标，制定恰当的防御措施，传达给利益相关者或相关部门和 机构。季度审查 是指每季度国家网络安全和通信集成中心 对当季涵 盖网络事件报告进行审查，统计相关网络事件的数据，并发布非机 密的公开报告，根据给出描述和整体建议。除此之外 ，在不迟于本 法案生效日期后的 60天起，每月初向上级 政府机构提供简报，以提 高跨关键基础设施部门对网络威胁的态势感知。 2.审查不合格情况的处理 对经过审查不 符合要求的报告， CISA依据法案向涵盖实