2021年11月3日，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Critical Infrastructure Security Agency, CISA）發(fā)布編號(hào)為22-01的約束性作業(yè)指令（binding operational directive, BOD）：《減輕已知被利用安全漏洞重大危害》（Reducing the Significant Risk of Known Exploited Vulnerabilities），要求聯(lián)邦政府各部門(mén)在規(guī)定的時(shí)間內(nèi)，對(duì)相關(guān)漏洞采取修補(bǔ)措施。

　　BOD是為保障美國(guó)聯(lián)邦信息安全而發(fā)布的強(qiáng)制性指令，對(duì)聯(lián)邦政府及各部門(mén)具有拘束力，并由美國(guó)國(guó)土安全部負(fù)責(zé)監(jiān)督執(zhí)行。美國(guó)政府認(rèn)為，其一直面臨持續(xù)的高強(qiáng)度網(wǎng)絡(luò)攻擊，特別是各類(lèi)行為體利用漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊，對(duì)美國(guó)國(guó)家安全和公眾隱私構(gòu)成嚴(yán)重威脅，因此美國(guó)政府必須加強(qiáng)防護(hù)，對(duì)已知被利用漏洞采取強(qiáng)有力的補(bǔ)救措施，減少網(wǎng)絡(luò)安全事件發(fā)生，切實(shí)維護(hù)聯(lián)邦信息系統(tǒng)安全。

　　一方面，該指令賦予CISA相關(guān)職責(zé)，要求CISA在其官方網(wǎng)站管理維護(hù)已知被利用漏洞目錄，并將更新情況和應(yīng)對(duì)措施及時(shí)向聯(lián)邦政府各部門(mén)進(jìn)行預(yù)警通報(bào)。此外，該指令還要求CISA發(fā)布添加到漏洞目錄的門(mén)檻和要求，并根據(jù)網(wǎng)絡(luò)安全整體情況的變化對(duì)指令進(jìn)行審查，結(jié)合漏洞管理最新實(shí)踐，研究補(bǔ)充完善指令的措施。

　　另一方面，該指令要求聯(lián)邦政府各部門(mén)密切配合CISA的工作。各部門(mén)要根據(jù)該指令要求，對(duì)本部門(mén)內(nèi)部漏洞管理程序進(jìn)行審查和更新，并在指令發(fā)布60日內(nèi)，對(duì)目錄中的漏洞采取修補(bǔ)措施。同時(shí)，各部門(mén)漏洞管理及修補(bǔ)情況要向CISA進(jìn)行報(bào)告。

　　美國(guó)政府高度重視漏洞管理，并以國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）建設(shè)為抓手，建成了較為完善的漏洞管理體系，形成了一套協(xié)調(diào)有序開(kāi)展漏洞挖掘分析、漏洞編號(hào)（CVE）、脆弱性測(cè)量與評(píng)分等的運(yùn)營(yíng)管理機(jī)制。與以往重視漏洞的分級(jí)與評(píng)分策略相比，22-01指令的發(fā)布，標(biāo)志著CISA將對(duì)已知被利用漏洞采取補(bǔ)救措施作為重點(diǎn)工作，在網(wǎng)絡(luò)安全防護(hù)上發(fā)揮更加積極主動(dòng)的作用。