2021年11月3日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（Critical Infrastructure Security Agency, CISA）發(fā)布編號為22-01的約束性作業(yè)指令（binding operational directive, BOD）：《減輕已知被利用安全漏洞重大危害》（Reducing the Significant Risk of Known Exploited Vulnerabilities）,，要求聯(lián)邦政府各部門在規(guī)定的時(shí)間內(nèi),，對相關(guān)漏洞采取修補(bǔ)措施。

　　BOD是為保障美國聯(lián)邦信息安全而發(fā)布的強(qiáng)制性指令,，對聯(lián)邦政府及各部門具有拘束力,，并由美國國土安全部負(fù)責(zé)監(jiān)督執(zhí)行。美國政府認(rèn)為,，其一直面臨持續(xù)的高強(qiáng)度網(wǎng)絡(luò)攻擊,，特別是各類行為體利用漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊，對美國國家安全和公眾隱私構(gòu)成嚴(yán)重威脅,，因此美國政府必須加強(qiáng)防護(hù),，對已知被利用漏洞采取強(qiáng)有力的補(bǔ)救措施，減少網(wǎng)絡(luò)安全事件發(fā)生,，切實(shí)維護(hù)聯(lián)邦信息系統(tǒng)安全,。

　　一方面,，該指令賦予CISA相關(guān)職責(zé),，要求CISA在其官方網(wǎng)站管理維護(hù)已知被利用漏洞目錄，并將更新情況和應(yīng)對措施及時(shí)向聯(lián)邦政府各部門進(jìn)行預(yù)警通報(bào),。此外,，該指令還要求CISA發(fā)布添加到漏洞目錄的門檻和要求，并根據(jù)網(wǎng)絡(luò)安全整體情況的變化對指令進(jìn)行審查,，結(jié)合漏洞管理最新實(shí)踐,，研究補(bǔ)充完善指令的措施。

　　另一方面,，該指令要求聯(lián)邦政府各部門密切配合CISA的工作,。各部門要根據(jù)該指令要求，對本部門內(nèi)部漏洞管理程序進(jìn)行審查和更新,，并在指令發(fā)布60日內(nèi),，對目錄中的漏洞采取修補(bǔ)措施,。同時(shí)，各部門漏洞管理及修補(bǔ)情況要向CISA進(jìn)行報(bào)告,。

　　美國政府高度重視漏洞管理,，并以國家漏洞數(shù)據(jù)庫（NVD）建設(shè)為抓手，建成了較為完善的漏洞管理體系,，形成了一套協(xié)調(diào)有序開展漏洞挖掘分析,、漏洞編號（CVE）、脆弱性測量與評分等的運(yùn)營管理機(jī)制,。與以往重視漏洞的分級與評分策略相比,，22-01指令的發(fā)布，標(biāo)志著CISA將對已知被利用漏洞采取補(bǔ)救措施作為重點(diǎn)工作,，在網(wǎng)絡(luò)安全防護(hù)上發(fā)揮更加積極主動(dòng)的作用,。