網(wǎng)絡(luò)安全穩(wěn)步登上世界各國政府的議事日程。各國紛紛推出政府主導(dǎo)的安全倡議，旨在解決威脅個(gè)人和組織的網(wǎng)絡(luò)安全問題。

佛瑞斯特研究所安全與風(fēng)險(xiǎn)分析師Steve Turner表示：“政府主導(dǎo)的網(wǎng)絡(luò)安全倡議是解決破壞性攻擊、大規(guī)模數(shù)據(jù)泄露、不良安全狀況和關(guān)鍵基礎(chǔ)設(shè)施攻擊等網(wǎng)絡(luò)安全問題的關(guān)鍵。這些倡議為組織和消費(fèi)者如何保護(hù)自己提供了一致的指南，為沒有知識或金錢手段來保護(hù)自己的公司提供各項(xiàng)服務(wù)，給出了可以利用的立法杠桿，以及對民族國家對手采取進(jìn)攻性行動的手段;最重要的是，確立了對重大網(wǎng)絡(luò)事件的調(diào)查以及在這些事件期間或之后的關(guān)鍵信息共享。”

[[421714]]

2021年，世界各國政府推出的網(wǎng)絡(luò)安全政策或舉措中，以下九項(xiàng)尤為值得關(guān)注：

一、美國國防部公布網(wǎng)絡(luò)安全成熟度模型認(rèn)證

今年一月，美國國防部發(fā)布網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)，美國國防工業(yè)基礎(chǔ)(DIB)超30萬家供應(yīng)鏈公司從此有了實(shí)現(xiàn)網(wǎng)絡(luò)安全的統(tǒng)一標(biāo)準(zhǔn)。CMMC仔細(xì)考查并整合了各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和最佳實(shí)踐，映射從基礎(chǔ)到高級網(wǎng)絡(luò)衛(wèi)生多個(gè)成熟度水平的各項(xiàng)控制措施與過程。

負(fù)責(zé)采購與維持的國防部副部長辦公室網(wǎng)站上寫道：“對于給定的CMMC級別，實(shí)現(xiàn)相關(guān)控制措施與過程后，特定網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)將可有所降低。CMMC工作建立在基于信任的現(xiàn)有法規(guī)(DFARS 252.204-7012)的基礎(chǔ)之上，添加了網(wǎng)絡(luò)安全要求相關(guān)的驗(yàn)證組件。”CMMC旨在為所有組織提供經(jīng)濟(jì)高效且價(jià)格合理的服務(wù)，由經(jīng)授權(quán)和認(rèn)可的CMMC第三方執(zhí)行評估，并向達(dá)到適當(dāng)級別的DIB公司頒發(fā)CMMC證書。

Tom Brennan身為紐約知識產(chǎn)權(quán)和品牌管理律師事務(wù)所Mandelbaum Salsburg P.C.首席信息官，且兼任網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)和行業(yè)標(biāo)準(zhǔn)倡導(dǎo)者CREST International美國區(qū)主席，對他而言，CMMC可能是美國2021年最重大的政府網(wǎng)絡(luò)安全倡議。他表示：“很長一段時(shí)間以來，美國國防部都要求DIB承包商必須遵循美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的標(biāo)準(zhǔn)，但這一控制措施根本沒有任何相關(guān)的認(rèn)可、實(shí)施或?qū)徲?jì)，可以說是毫無效果。”他說，CMMC真是太重要了，因?yàn)槠渲猩婕皬陌踩嵌葯z測政府承包商是否信守承諾的法律評估，如果承包商未能達(dá)到CMMC要求，就將丟掉他們的合約。

“如果要簽下新的國防部合同，這些聯(lián)系人會明確指出，在簽訂新合同之前，公司必須符合CMMC 1、2、3、4或5級標(biāo)準(zhǔn)(取決于項(xiàng)目所需的成熟度水平)。”Brennan指出，CMMC也日漸吸引了網(wǎng)絡(luò)安全行業(yè)的視線，因?yàn)樵S多審計(jì)事務(wù)所和服務(wù)提供商都認(rèn)識到這就是棵搖錢樹。

二、西班牙政府承諾向網(wǎng)絡(luò)安全行業(yè)投入4.5億歐元，開設(shè)黑客學(xué)院

今年四月，西班牙數(shù)字化與人工智能國務(wù)秘書Carme Artigas透露，西班牙政府將在三年間投資4.5億歐元用于推動該國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展。Artigas還宣布，將開設(shè)在線黑客學(xué)院招攬人才，年齡14周歲及以上的西班牙居民均可參與培訓(xùn)。這項(xiàng)培訓(xùn)計(jì)劃預(yù)計(jì)以線上形式在5月3日到6月25日期間執(zhí)行，屆時(shí)將有數(shù)百名參與者參與網(wǎng)絡(luò)安全挑戰(zhàn)。

國家網(wǎng)絡(luò)安全研究院(INCIBE)將督導(dǎo)一項(xiàng)新的戰(zhàn)略計(jì)劃，監(jiān)督網(wǎng)絡(luò)安全開支，夯實(shí)推進(jìn)網(wǎng)絡(luò)安全行業(yè)商業(yè)生態(tài)系統(tǒng)建設(shè)的三個(gè)重要支柱;并吸引人才，強(qiáng)化個(gè)人、中小企業(yè)與專業(yè)人員的網(wǎng)絡(luò)安全狀況，鞏固西班牙作為國際網(wǎng)絡(luò)安全中心的地位。

三、美國政府宣布雄心勃勃的網(wǎng)絡(luò)安全行政令

今年五月，拜登政府發(fā)布雄心勃勃的網(wǎng)絡(luò)安全行政令，描繪“改善美國國家網(wǎng)絡(luò)安全及保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線”。行政令是在SolarWinds和微軟重大供應(yīng)鏈攻擊和Colonial Pipeline勒索軟件攻擊等重大攻擊事件之后發(fā)布的。

該網(wǎng)絡(luò)安全行政令旨在削減此類事件的頻率和影響，提出了一系列加強(qiáng)聯(lián)邦機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全的建議，包括：

• 消除政府與私營行業(yè)間威脅信息共享的障礙
• 現(xiàn)代化并實(shí)現(xiàn)更健壯的聯(lián)邦政府網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
• 改善軟件供應(yīng)鏈安全
• 設(shè)立網(wǎng)絡(luò)安全安全審查委員會
• 提升網(wǎng)絡(luò)安全事件檢測、調(diào)查與緩解能力

Turner稱：“這項(xiàng)網(wǎng)絡(luò)安全行政令要求機(jī)構(gòu)加快現(xiàn)代化其安全形勢：引入零信任架構(gòu)，強(qiáng)化技術(shù)采購，制定軟件物料清單(SBOM)，轉(zhuǎn)移到云端等等。該行政令將給其他國家和組織帶來深遠(yuǎn)的下游影響，因?yàn)檫@將會迫使許多跟美國政府有生意往來的供應(yīng)商和公司設(shè)置特定安全措施，并掌握其他組織和機(jī)構(gòu)可以利用的特定數(shù)據(jù)。”

四、澳大利亞政府推出關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃

今年五月，澳大利亞政府提出了關(guān)鍵基礎(chǔ)設(shè)施提升計(jì)劃(CI-UP)，旨在識別和解決關(guān)鍵基礎(chǔ)設(shè)施中的漏洞，幫助提供商通過評估其安全項(xiàng)目和實(shí)現(xiàn)建議風(fēng)險(xiǎn)緩解策略，來提升其網(wǎng)絡(luò)安全成熟度。該模塊化的網(wǎng)絡(luò)安全計(jì)劃面向身為ACSC合作伙伴的關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，旨在：

• 綜合采用網(wǎng)絡(luò)安全能力與成熟度模型(C2M2)和八種基礎(chǔ)成熟度模型評估國家級關(guān)鍵基礎(chǔ)設(shè)施與系統(tǒng)的網(wǎng)絡(luò)安全成熟度
• 交付劃分了優(yōu)先順序的漏洞與風(fēng)險(xiǎn)緩解策略
• 輔助合作伙伴實(shí)現(xiàn)推薦的風(fēng)險(xiǎn)緩解策略

Turner表示：“隨著電網(wǎng)和油氣管道等關(guān)鍵基礎(chǔ)設(shè)施面臨的攻擊越來越多，幫助快速提升此類實(shí)體的安全狀況也成為了一項(xiàng)十分重要的服務(wù)。”

五、美國立法者提出《美國網(wǎng)絡(luò)安全素養(yǎng)法案》

今年六月，兩黨眾議院議員提出了《美國網(wǎng)絡(luò)安全素養(yǎng)法案》提案，希望設(shè)立新的立法以提高美國互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全意識和數(shù)據(jù)安全知識。該項(xiàng)提案目前正接受眾議院能源與商業(yè)委員會的審查。法案規(guī)定，促進(jìn)網(wǎng)絡(luò)安全知識普及符合美國的國家安全與經(jīng)濟(jì)利益，并規(guī)定通信和信息部助理部長應(yīng)制定和開展網(wǎng)絡(luò)安全知識普及活動，從而減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

CyberGRX首席信息安全官Dave Stapleton評價(jià)此提案稱，事實(shí)證明，網(wǎng)絡(luò)攻擊威脅和對有效對策的需求，是美國政府中少數(shù)幾個(gè)能獲得兩黨一致同意的問題之一。“《美國網(wǎng)絡(luò)安全素養(yǎng)法案》的重點(diǎn)在教育美國公眾。作為個(gè)人，我們大家面對的威脅往往與企業(yè)所面臨的威脅是相同或類似的。員工個(gè)人設(shè)備遭遇的商務(wù)電郵入侵(BEC)攻擊數(shù)量就很能說明問題了。我們工作和個(gè)人生活之間的界限越來越模糊，導(dǎo)致員工個(gè)人面對的威脅同時(shí)也是雇主面臨的威脅。

基于身份的攻擊是美國企業(yè)和個(gè)人最常見的攻擊類型，有充分的理由相信，竊取合法身份是繞過個(gè)人及其公司安全防護(hù)措施的有效方法。“因此，如果《美國網(wǎng)絡(luò)安全素養(yǎng)法案》能夠通過，我們或可見證關(guān)注重點(diǎn)放在網(wǎng)絡(luò)釣魚威脅和要求所有人盡可能啟用多因素身份驗(yàn)證(MFA)上。”

六、法國政府發(fā)布網(wǎng)絡(luò)攻擊警報(bào)系統(tǒng)

今年七月，法國政府為中小企業(yè)推出了新的警報(bào)系統(tǒng)，旨在支持中小企業(yè)應(yīng)對網(wǎng)絡(luò)攻擊事件，告知他們應(yīng)采取的事件響應(yīng)動作。該系統(tǒng)是由負(fù)責(zé)數(shù)字轉(zhuǎn)型與電子通信的國務(wù)秘書Cédric O及其他高級官員提出的。

政府新聞稿顯示，檢測到針對中小企業(yè)的重大漏洞或攻擊活動時(shí)，法國國家受害者輔助系統(tǒng)和國家信息系統(tǒng)安全局(ANSSI)會向企業(yè)領(lǐng)導(dǎo)發(fā)出簡明扼要且易于理解的通知。然后，在盡可能廣泛地傳達(dá)給各企業(yè)領(lǐng)導(dǎo)之前，該通知先轉(zhuǎn)發(fā)至包括跨行業(yè)組織、工商協(xié)會(CCI)和工藝商會(CMA)領(lǐng)事網(wǎng)絡(luò)在內(nèi)的實(shí)體。法國政府認(rèn)為，信息共享的速度和采取即時(shí)行動的能力可使企業(yè)更好地保護(hù)自身，從而限制網(wǎng)絡(luò)攻擊對法國經(jīng)濟(jì)結(jié)構(gòu)的影響。

七、英國國防部完成首個(gè)漏洞賞金計(jì)劃

今年八月，英國國防部(MoD)宣布其首個(gè)漏洞賞金計(jì)劃完成。英國國防部與HackerOne合作，邀請道德黑客參與為期30天的挑戰(zhàn)，賦予他們直接訪問其內(nèi)部系統(tǒng)的權(quán)限，請他們調(diào)查并找出其數(shù)字資產(chǎn)中需要修復(fù)的漏洞。英國政府今年三月發(fā)布了新的網(wǎng)絡(luò)戰(zhàn)略，意圖在逐漸數(shù)字化的世界中增強(qiáng)國家的網(wǎng)絡(luò)力量。該計(jì)劃遵循此項(xiàng)網(wǎng)絡(luò)戰(zhàn)略，旨在幫助英國國防部更好地護(hù)衛(wèi)自身網(wǎng)絡(luò)系統(tǒng)和75萬臺設(shè)備。

談及此項(xiàng)計(jì)劃的完成，國防部首席信息安全官Christine Maxwell稱，國防部采納了設(shè)計(jì)安全策略，將透明性作為確定開發(fā)過程中有待改進(jìn)領(lǐng)域的一個(gè)組成部分。“我們很有必要推動數(shù)字與網(wǎng)絡(luò)開發(fā)的邊界，吸引具備技術(shù)、精力和使命感的人才。與道德黑客社區(qū)合作有助于建設(shè)我們的技術(shù)人才隊(duì)伍，從更多樣化的角度保護(hù)和防御我們的資產(chǎn)。摸清我們的漏洞位置，與更廣泛的道德社區(qū)合作以識別和發(fā)現(xiàn)漏洞，是減少網(wǎng)絡(luò)風(fēng)險(xiǎn)和提升彈性的重要步驟。”

同樣在八月，英國國防部還向初創(chuàng)企業(yè)發(fā)出了號召，呼吁他們設(shè)計(jì)新一代安全硬件及軟件，幫助軍方縮減其網(wǎng)絡(luò)攻擊面，并承諾為為期九個(gè)月的創(chuàng)新提案合同提供高達(dá)30萬英鎊的資金。

八、意大利政府成立國家網(wǎng)絡(luò)安全局

八月，意大利議會批準(zhǔn)了政府建立新網(wǎng)絡(luò)安全機(jī)構(gòu)的計(jì)劃，希望能夠打擊針對該國的網(wǎng)絡(luò)攻擊，補(bǔ)全該國創(chuàng)建安全、統(tǒng)一云基礎(chǔ)設(shè)施的宏大戰(zhàn)略。今年六月首次透出消息的意大利國家安全局(ACN)最初將由300名員工組成，到2027年擴(kuò)充至1000名雇員的規(guī)模。該機(jī)構(gòu)將由信息安全部(DIS)副部長Roberto Baldini領(lǐng)導(dǎo)。其各項(xiàng)任務(wù)包括：履行國家當(dāng)局在網(wǎng)絡(luò)安全領(lǐng)域的職能，發(fā)展國家預(yù)防、監(jiān)測、檢測和緩解能力，從而能夠應(yīng)對網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)攻擊，并幫助提高信息和通信技術(shù)系統(tǒng)的安全性。

黑莓公司歐洲、中東和非洲副總裁Adam Bangle表示，意大利政府新國家網(wǎng)絡(luò)安全雄心的成功將取決于其能否實(shí)現(xiàn)幾個(gè)關(guān)鍵目標(biāo)。“首先，安全標(biāo)準(zhǔn)化。建立安全標(biāo)準(zhǔn)和安全軟件開發(fā)原則，跨整個(gè)系統(tǒng)施行零信任，并確保實(shí)現(xiàn)并強(qiáng)制施行各安全協(xié)議以避免邊界防御出現(xiàn)任何盲點(diǎn)，應(yīng)該成為任何國家網(wǎng)絡(luò)策略中不可或缺的組成部分。其次，也是最關(guān)鍵的一點(diǎn)，必須采取基于預(yù)防的主動式網(wǎng)絡(luò)安全方法。”

九、英國政府啟動網(wǎng)絡(luò)跑道業(yè)務(wù)增長計(jì)劃

今年八月，英國政府公布了網(wǎng)絡(luò)跑道(Cyber Runway)計(jì)劃，旨在促進(jìn)英國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展。撰寫本文之時(shí)，該計(jì)劃還處于意向書階段，希望看到英國的創(chuàng)業(yè)者和各家公司能夠接觸到商業(yè)大師課程、指導(dǎo)、產(chǎn)品開發(fā)支持、社交活動，以及國際貿(mào)易和安全投資支持，從而能夠?qū)⑺麄兊膭?chuàng)意轉(zhuǎn)化為商業(yè)成功。

數(shù)字基礎(chǔ)設(shè)施部長Matt Warman表示，該計(jì)劃將解決增長障礙，增加投資，并為企業(yè)提供至關(guān)重要的支持，推動企業(yè)更上一層樓。“該計(jì)劃還將支持不同背景的創(chuàng)始人和創(chuàng)新者，面向英國網(wǎng)絡(luò)行業(yè)弱勢群體的申請人，如女性和黑人、亞裔及少數(shù)民族背景的人。”

網(wǎng)絡(luò)跑道計(jì)劃的目標(biāo)是在六個(gè)月內(nèi)為160家公司提供支持，資金來源為數(shù)字、文化、媒體和體育部(DCMS)，并由CyLon、德勤和安全信息技術(shù)中心(CSIT)提供的支持。CyLon首席執(zhí)行官Nick Morris補(bǔ)充道：“英國的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)正處于令人激動的發(fā)展關(guān)鍵期，新冠肺炎疫情帶來了新的挑戰(zhàn)和機(jī)遇。網(wǎng)絡(luò)跑道計(jì)劃將支持英國創(chuàng)新者開發(fā)重要安全技術(shù)，幫助捍衛(wèi)我們數(shù)字經(jīng)濟(jì)的未來。”