2021年11月3日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Critical Infrastructure Security Agency, CISA）發(fā)布編號為22-01的約束性作業(yè)指令（binding operational directive, BOD）：《減輕已知被利用安全漏洞重大危害》（Reducing the Significant Risk of Known Exploited Vulnerabilities），要求聯(lián)邦政府各部門在規(guī)定的時間內(nèi)，對相關(guān)漏洞采取修補措施。

　　BOD是為保障美國聯(lián)邦信息安全而發(fā)布的強制性指令，對聯(lián)邦政府及各部門具有拘束力，并由美國國土安全部負(fù)責(zé)監(jiān)督執(zhí)行。美國政府認(rèn)為，其一直面臨持續(xù)的高強度網(wǎng)絡(luò)攻擊，特別是各類行為體利用漏洞發(fā)動網(wǎng)絡(luò)攻擊，對美國國家安全和公眾隱私構(gòu)成嚴(yán)重威脅，因此美國政府必須加強防護，對已知被利用漏洞采取強有力的補救措施，減少網(wǎng)絡(luò)安全事件發(fā)生，切實維護聯(lián)邦信息系統(tǒng)安全。

　　一方面，該指令賦予CISA相關(guān)職責(zé)，要求CISA在其官方網(wǎng)站管理維護已知被利用漏洞目錄，并將更新情況和應(yīng)對措施及時向聯(lián)邦政府各部門進行預(yù)警通報。此外，該指令還要求CISA發(fā)布添加到漏洞目錄的門檻和要求，并根據(jù)網(wǎng)絡(luò)安全整體情況的變化對指令進行審查，結(jié)合漏洞管理最新實踐，研究補充完善指令的措施。

　　另一方面，該指令要求聯(lián)邦政府各部門密切配合CISA的工作。各部門要根據(jù)該指令要求，對本部門內(nèi)部漏洞管理程序進行審查和更新，并在指令發(fā)布60日內(nèi)，對目錄中的漏洞采取修補措施。同時，各部門漏洞管理及修補情況要向CISA進行報告。

　　美國政府高度重視漏洞管理，并以國家漏洞數(shù)據(jù)庫（NVD）建設(shè)為抓手，建成了較為完善的漏洞管理體系，形成了一套協(xié)調(diào)有序開展漏洞挖掘分析、漏洞編號（CVE）、脆弱性測量與評分等的運營管理機制。與以往重視漏洞的分級與評分策略相比，22-01指令的發(fā)布，標(biāo)志著CISA將對已知被利用漏洞采取補救措施作為重點工作，在網(wǎng)絡(luò)安全防護上發(fā)揮更加積極主動的作用。