網(wǎng)絡安全穩(wěn)步登上世界各國政府的議事日程。各國紛紛推出政府主導的安全倡議，旨在解決威脅個人和組織的網(wǎng)絡安全問題。

佛瑞斯特研究所安全與風險分析師Steve Turner表示：“政府主導的網(wǎng)絡安全倡議是解決破壞性攻擊、大規(guī)模數(shù)據(jù)泄露、不良安全狀況和關鍵基礎設施攻擊等網(wǎng)絡安全問題的關鍵。這些倡議為組織和消費者如何保護自己提供了一致的指南，為沒有知識或金錢手段來保護自己的公司提供各項服務，給出了可以利用的立法杠桿，以及對民族國家對手采取進攻性行動的手段;最重要的是，確立了對重大網(wǎng)絡事件的調(diào)查以及在這些事件期間或之后的關鍵信息共享。”

[[421714]]

2021年，世界各國政府推出的網(wǎng)絡安全政策或舉措中，以下九項尤為值得關注：

一、美國國防部公布網(wǎng)絡安全成熟度模型認證

今年一月，美國國防部發(fā)布網(wǎng)絡安全成熟度模型認證(CMMC)，美國國防工業(yè)基礎(DIB)超30萬家供應鏈公司從此有了實現(xiàn)網(wǎng)絡安全的統(tǒng)一標準。CMMC仔細考查并整合了各種網(wǎng)絡安全標準和最佳實踐，映射從基礎到高級網(wǎng)絡衛(wèi)生多個成熟度水平的各項控制措施與過程。

負責采購與維持的國防部副部長辦公室網(wǎng)站上寫道：“對于給定的CMMC級別，實現(xiàn)相關控制措施與過程后，特定網(wǎng)絡威脅的風險將可有所降低。CMMC工作建立在基于信任的現(xiàn)有法規(guī)(DFARS 252.204-7012)的基礎之上，添加了網(wǎng)絡安全要求相關的驗證組件。”CMMC旨在為所有組織提供經(jīng)濟高效且價格合理的服務，由經(jīng)授權和認可的CMMC第三方執(zhí)行評估，并向達到適當級別的DIB公司頒發(fā)CMMC證書。

Tom Brennan身為紐約知識產(chǎn)權和品牌管理律師事務所Mandelbaum Salsburg P.C.首席信息官，且兼任網(wǎng)絡安全認證機構和行業(yè)標準倡導者CREST International美國區(qū)主席，對他而言，CMMC可能是美國2021年最重大的政府網(wǎng)絡安全倡議。他表示：“很長一段時間以來，美國國防部都要求DIB承包商必須遵循美國國家標準與技術研究院(NIST)制定的標準，但這一控制措施根本沒有任何相關的認可、實施或?qū)徲?，可以說是毫無效果。”他說，CMMC真是太重要了，因為其中涉及從安全角度檢測政府承包商是否信守承諾的法律評估，如果承包商未能達到CMMC要求，就將丟掉他們的合約。

“如果要簽下新的國防部合同，這些聯(lián)系人會明確指出，在簽訂新合同之前，公司必須符合CMMC 1、2、3、4或5級標準(取決于項目所需的成熟度水平)。”Brennan指出，CMMC也日漸吸引了網(wǎng)絡安全行業(yè)的視線，因為許多審計事務所和服務提供商都認識到這就是棵搖錢樹。

二、西班牙政府承諾向網(wǎng)絡安全行業(yè)投入4.5億歐元，開設黑客學院

今年四月，西班牙數(shù)字化與人工智能國務秘書Carme Artigas透露，西班牙政府將在三年間投資4.5億歐元用于推動該國網(wǎng)絡安全產(chǎn)業(yè)發(fā)展。Artigas還宣布，將開設在線黑客學院招攬人才，年齡14周歲及以上的西班牙居民均可參與培訓。這項培訓計劃預計以線上形式在5月3日到6月25日期間執(zhí)行，屆時將有數(shù)百名參與者參與網(wǎng)絡安全挑戰(zhàn)。

國家網(wǎng)絡安全研究院(INCIBE)將督導一項新的戰(zhàn)略計劃，監(jiān)督網(wǎng)絡安全開支，夯實推進網(wǎng)絡安全行業(yè)商業(yè)生態(tài)系統(tǒng)建設的三個重要支柱;并吸引人才，強化個人、中小企業(yè)與專業(yè)人員的網(wǎng)絡安全狀況，鞏固西班牙作為國際網(wǎng)絡安全中心的地位。

三、美國政府宣布雄心勃勃的網(wǎng)絡安全行政令

今年五月，拜登政府發(fā)布雄心勃勃的網(wǎng)絡安全行政令，描繪“改善美國國家網(wǎng)絡安全及保護聯(lián)邦政府網(wǎng)絡的新路線”。行政令是在SolarWinds和微軟重大供應鏈攻擊和Colonial Pipeline勒索軟件攻擊等重大攻擊事件之后發(fā)布的。

該網(wǎng)絡安全行政令旨在削減此類事件的頻率和影響，提出了一系列加強聯(lián)邦機構內(nèi)部網(wǎng)絡安全的建議，包括：

• 消除政府與私營行業(yè)間威脅信息共享的障礙
• 現(xiàn)代化并實現(xiàn)更健壯的聯(lián)邦政府網(wǎng)絡安全標準
• 改善軟件供應鏈安全
• 設立網(wǎng)絡安全安全審查委員會
• 提升網(wǎng)絡安全事件檢測、調(diào)查與緩解能力

Turner稱：“這項網(wǎng)絡安全行政令要求機構加快現(xiàn)代化其安全形勢：引入零信任架構，強化技術采購，制定軟件物料清單(SBOM)，轉(zhuǎn)移到云端等等。該行政令將給其他國家和組織帶來深遠的下游影響，因為這將會迫使許多跟美國政府有生意往來的供應商和公司設置特定安全措施，并掌握其他組織和機構可以利用的特定數(shù)據(jù)。”

四、澳大利亞政府推出關鍵基礎設施提升計劃

今年五月，澳大利亞政府提出了關鍵基礎設施提升計劃(CI-UP)，旨在識別和解決關鍵基礎設施中的漏洞，幫助提供商通過評估其安全項目和實現(xiàn)建議風險緩解策略，來提升其網(wǎng)絡安全成熟度。該模塊化的網(wǎng)絡安全計劃面向身為ACSC合作伙伴的關鍵基礎設施實體，旨在：

• 綜合采用網(wǎng)絡安全能力與成熟度模型(C2M2)和八種基礎成熟度模型評估國家級關鍵基礎設施與系統(tǒng)的網(wǎng)絡安全成熟度
• 交付劃分了優(yōu)先順序的漏洞與風險緩解策略
• 輔助合作伙伴實現(xiàn)推薦的風險緩解策略

Turner表示：“隨著電網(wǎng)和油氣管道等關鍵基礎設施面臨的攻擊越來越多，幫助快速提升此類實體的安全狀況也成為了一項十分重要的服務。”

五、美國立法者提出《美國網(wǎng)絡安全素養(yǎng)法案》

今年六月，兩黨眾議院議員提出了《美國網(wǎng)絡安全素養(yǎng)法案》提案，希望設立新的立法以提高美國互聯(lián)網(wǎng)用戶的網(wǎng)絡安全意識和數(shù)據(jù)安全知識。該項提案目前正接受眾議院能源與商業(yè)委員會的審查。法案規(guī)定，促進網(wǎng)絡安全知識普及符合美國的國家安全與經(jīng)濟利益，并規(guī)定通信和信息部助理部長應制定和開展網(wǎng)絡安全知識普及活動，從而減少網(wǎng)絡安全風險。

CyberGRX首席信息安全官Dave Stapleton評價此提案稱，事實證明，網(wǎng)絡攻擊威脅和對有效對策的需求，是美國政府中少數(shù)幾個能獲得兩黨一致同意的問題之一。“《美國網(wǎng)絡安全素養(yǎng)法案》的重點在教育美國公眾。作為個人，我們大家面對的威脅往往與企業(yè)所面臨的威脅是相同或類似的。員工個人設備遭遇的商務電郵入侵(BEC)攻擊數(shù)量就很能說明問題了。我們工作和個人生活之間的界限越來越模糊，導致員工個人面對的威脅同時也是雇主面臨的威脅。

基于身份的攻擊是美國企業(yè)和個人最常見的攻擊類型，有充分的理由相信，竊取合法身份是繞過個人及其公司安全防護措施的有效方法。“因此，如果《美國網(wǎng)絡安全素養(yǎng)法案》能夠通過，我們或可見證關注重點放在網(wǎng)絡釣魚威脅和要求所有人盡可能啟用多因素身份驗證(MFA)上。”

六、法國政府發(fā)布網(wǎng)絡攻擊警報系統(tǒng)

今年七月，法國政府為中小企業(yè)推出了新的警報系統(tǒng)，旨在支持中小企業(yè)應對網(wǎng)絡攻擊事件，告知他們應采取的事件響應動作。該系統(tǒng)是由負責數(shù)字轉(zhuǎn)型與電子通信的國務秘書Cédric O及其他高級官員提出的。

政府新聞稿顯示，檢測到針對中小企業(yè)的重大漏洞或攻擊活動時，法國國家受害者輔助系統(tǒng)和國家信息系統(tǒng)安全局(ANSSI)會向企業(yè)領導發(fā)出簡明扼要且易于理解的通知。然后，在盡可能廣泛地傳達給各企業(yè)領導之前，該通知先轉(zhuǎn)發(fā)至包括跨行業(yè)組織、工商協(xié)會(CCI)和工藝商會(CMA)領事網(wǎng)絡在內(nèi)的實體。法國政府認為，信息共享的速度和采取即時行動的能力可使企業(yè)更好地保護自身，從而限制網(wǎng)絡攻擊對法國經(jīng)濟結(jié)構的影響。

七、英國國防部完成首個漏洞賞金計劃

今年八月，英國國防部(MoD)宣布其首個漏洞賞金計劃完成。英國國防部與HackerOne合作，邀請道德黑客參與為期30天的挑戰(zhàn)，賦予他們直接訪問其內(nèi)部系統(tǒng)的權限，請他們調(diào)查并找出其數(shù)字資產(chǎn)中需要修復的漏洞。英國政府今年三月發(fā)布了新的網(wǎng)絡戰(zhàn)略，意圖在逐漸數(shù)字化的世界中增強國家的網(wǎng)絡力量。該計劃遵循此項網(wǎng)絡戰(zhàn)略，旨在幫助英國國防部更好地護衛(wèi)自身網(wǎng)絡系統(tǒng)和75萬臺設備。

談及此項計劃的完成，國防部首席信息安全官Christine Maxwell稱，國防部采納了設計安全策略，將透明性作為確定開發(fā)過程中有待改進領域的一個組成部分。“我們很有必要推動數(shù)字與網(wǎng)絡開發(fā)的邊界，吸引具備技術、精力和使命感的人才。與道德黑客社區(qū)合作有助于建設我們的技術人才隊伍，從更多樣化的角度保護和防御我們的資產(chǎn)。摸清我們的漏洞位置，與更廣泛的道德社區(qū)合作以識別和發(fā)現(xiàn)漏洞，是減少網(wǎng)絡風險和提升彈性的重要步驟。”

同樣在八月，英國國防部還向初創(chuàng)企業(yè)發(fā)出了號召，呼吁他們設計新一代安全硬件及軟件，幫助軍方縮減其網(wǎng)絡攻擊面，并承諾為為期九個月的創(chuàng)新提案合同提供高達30萬英鎊的資金。

八、意大利政府成立國家網(wǎng)絡安全局

八月，意大利議會批準了政府建立新網(wǎng)絡安全機構的計劃，希望能夠打擊針對該國的網(wǎng)絡攻擊，補全該國創(chuàng)建安全、統(tǒng)一云基礎設施的宏大戰(zhàn)略。今年六月首次透出消息的意大利國家安全局(ACN)最初將由300名員工組成，到2027年擴充至1000名雇員的規(guī)模。該機構將由信息安全部(DIS)副部長Roberto Baldini領導。其各項任務包括：履行國家當局在網(wǎng)絡安全領域的職能，發(fā)展國家預防、監(jiān)測、檢測和緩解能力，從而能夠應對網(wǎng)絡安全事件和網(wǎng)絡攻擊，并幫助提高信息和通信技術系統(tǒng)的安全性。

黑莓公司歐洲、中東和非洲副總裁Adam Bangle表示，意大利政府新國家網(wǎng)絡安全雄心的成功將取決于其能否實現(xiàn)幾個關鍵目標。“首先，安全標準化。建立安全標準和安全軟件開發(fā)原則，跨整個系統(tǒng)施行零信任，并確保實現(xiàn)并強制施行各安全協(xié)議以避免邊界防御出現(xiàn)任何盲點，應該成為任何國家網(wǎng)絡策略中不可或缺的組成部分。其次，也是最關鍵的一點，必須采取基于預防的主動式網(wǎng)絡安全方法。”

九、英國政府啟動網(wǎng)絡跑道業(yè)務增長計劃

今年八月，英國政府公布了網(wǎng)絡跑道(Cyber Runway)計劃，旨在促進英國網(wǎng)絡安全產(chǎn)業(yè)發(fā)展。撰寫本文之時，該計劃還處于意向書階段，希望看到英國的創(chuàng)業(yè)者和各家公司能夠接觸到商業(yè)大師課程、指導、產(chǎn)品開發(fā)支持、社交活動，以及國際貿(mào)易和安全投資支持，從而能夠?qū)⑺麄兊膭?chuàng)意轉(zhuǎn)化為商業(yè)成功。

數(shù)字基礎設施部長Matt Warman表示，該計劃將解決增長障礙，增加投資，并為企業(yè)提供至關重要的支持，推動企業(yè)更上一層樓。“該計劃還將支持不同背景的創(chuàng)始人和創(chuàng)新者，面向英國網(wǎng)絡行業(yè)弱勢群體的申請人，如女性和黑人、亞裔及少數(shù)民族背景的人。”

網(wǎng)絡跑道計劃的目標是在六個月內(nèi)為160家公司提供支持，資金來源為數(shù)字、文化、媒體和體育部(DCMS)，并由CyLon、德勤和安全信息技術中心(CSIT)提供的支持。CyLon首席執(zhí)行官Nick Morris補充道：“英國的網(wǎng)絡安全生態(tài)系統(tǒng)正處于令人激動的發(fā)展關鍵期，新冠肺炎疫情帶來了新的挑戰(zhàn)和機遇。網(wǎng)絡跑道計劃將支持英國創(chuàng)新者開發(fā)重要安全技術，幫助捍衛(wèi)我們數(shù)字經(jīng)濟的未來。”