美国CISA近期推动云端安全与关键基础设施网络安全相关计画
https://bit.ly/3vVeOWt
CISA四月间发布“安全云端商业应用指引”与“可扩展能见度参考架构”
早在2022年4月美国网络安全暨基础设施安全局(Cybersecurity and Infrastructure
Security Agency，CISA)就针对安全云端商业应用 (Secure Cloud Business
Applications，SCuBA) 计画建立指导文件1.技术参考架构 (Technical Reference
Architecture，TRA)，这是一份安全指引目的在帮助联邦机构采用技术进行云端部署、调
适性(adaptive)解决方案、安全架构、零信任和灵活开发。2.可扩展能见度参考架构
(Extensible Visibility Reference Framework，eVRF) 指引，描述了一个架构，组织可
以使用该架构来识别可用于缓解能见度资料威胁的，并识别能见度差距。虽然这些资源主
要针对政府机构，但 CISA 建议所有组织皆可使用该指引来提高云端安全性。
七月间美国众院针对联邦政府的安全云端采用计画(FedRAMP)
2022年7月美国众议院通过了2023财政年度国防政策法案，其中包括制定一项新计画，政
府机构和行业可以在该计画中提交网络威胁资讯，并为某些关键基础设施提供额外的数位
保护。
美国众议院通过联邦风险与授权管理计画FedRAMP 授权法案，将针对联邦政府的安全云端
采用计画（联邦风险和授权）的活动进行明文化(codify)和现代化改造管理计画。众院并
且通通过了 8390 亿美元国防授权法案—比拜登政府寻求的军费开支多 370 亿美元。
众院要求CIP营运商须制订数位安全标准并分享威胁情报
美国众议院并于今年7月通过的一系列与网络相关的修正案，最引人注目的是通过退休众
议员 Jim Langevin将“系统重要性实体”指定为美国最重要的关键基础设施，这是由网
路空间日光室委员会(Cyberspace Solarium Commission)建议的一项政策。新规定将要求
营运商制定强大的数位安全标准并与政府共享威胁情报，以换取联邦政府的支持。另外，
一项将为五角大楼领导人制定奖励计画，为军事人员在数位作战中的“创新”提供最高
2,500 美元的荣誉肯定和金钱奖励。
基本上众议院法案已经包含了另一个日光室的最高立法优先事项，即建立“网络威胁环境
协作计画”(Cyber Threat Environment Collaboration Program)，计画目的在于增加
CISA新的联合网络防御协作组织成员之间资料共享的入口网站(Portal)， 此外，修正案
将 CISA 主任的任期编为五年，并将该职位的任命程序纳入法律。