各國政府正越來越多地關注網(wǎng)絡安全，并積極出臺各項應對網(wǎng)絡威脅的舉措。

[[422633]]

如今，網(wǎng)絡安全已經(jīng)穩(wěn)步上升至全球各國政府的重要議程。這也催生了各項旨在解決威脅個人和組織的網(wǎng)絡安全問題的舉措。Forrester的安全和風險分析師Steve Turner表示，政府主導的網(wǎng)絡安全舉措對于解決網(wǎng)絡安全問題至關重要，例如破壞性攻擊、大規(guī)模數(shù)據(jù)泄露、糟糕的安全態(tài)勢以及對關鍵基礎設施的攻擊等等。這些舉措為組織和消費者如何保護自身安全提供了統(tǒng)一指導;為缺乏知識和金錢手段保護自身安全的企業(yè)提供服務;對采取進攻性行動的民族國家網(wǎng)絡間諜組織，以及最重要的是對重大網(wǎng)絡事件的調(diào)查以及調(diào)查之后的關鍵信息共享，提供可以利用的立法手段。”

以下是2021年世界各國政府推出的一些最值得關注的網(wǎng)絡安全舉措：

美國國防部發(fā)布網(wǎng)絡安全成熟度模型認證

2021年1月，美國國防部(DoD)發(fā)布了網(wǎng)絡安全成熟度模型認證(CMMC)，這是在整個國防工業(yè)基地(DIB)中實施網(wǎng)絡安全的統(tǒng)一標準，其中包括供應鏈中的300,000多家公司。 CMMC審查并結(jié)合了各種網(wǎng)絡安全標準和最佳實踐，映射了從基本到高級網(wǎng)絡衛(wèi)生的多個成熟度級別的控制和流程。參考整合的各類網(wǎng)絡安全標準包括：

• NIST SP 800-171
• NIST SP 800-171B
• NIST SP 800-53
• NIST CSF V1.1
• CERT RMM V1.2
• CIS Controls
• ISO 270001和ISO 27032
• AIA NAS9933

其他成熟的網(wǎng)絡安全最佳實踐體系(UK NCSC、AU ACSC、FAR等)。

CMMC是建立在現(xiàn)有法規(guī)(DFARS 252.204-7012)基礎上的，2015年，美國國防部發(fā)布了《國防采辦聯(lián)邦法規(guī)補充》(稱為DFARS)，該法規(guī)要求私人DoD承包商根據(jù)NIST SP 800-171網(wǎng)絡安全框架采用網(wǎng)絡安全標準，旨在保護美國國防供應鏈免受國內(nèi)外網(wǎng)絡威脅，并降低該部門的整體安全風險。

不過，由于DFARS 252.204-7012法規(guī)的采用速度過慢，實際效果無法滿足國家級網(wǎng)絡防護的需求，所以國防部又發(fā)布了CMMC。除了評估企業(yè)實施網(wǎng)絡安全控制措施的成熟度外，CMMC還將更廣泛地衡量企業(yè)的網(wǎng)絡安全實踐及安全運營過程制度化的成熟度，以確保適當水平的網(wǎng)絡安全控制和流程得當并已部署就位，更好地保護DoD承包商系統(tǒng)上的受控未分類信息(CUI)。

Mandelbaum Salsburg P.C.的CIO Tom Brennan表示，CMMC可能是美國2021年最重要的政府網(wǎng)絡安全計劃。長期以來，國防部一直告誡DIB承包商必須遵守NIST標準，但與此特定控制相關的認證、執(zhí)法或?qū)徲嫗?，結(jié)局可謂一敗涂地。CMMC不同，它涉及法律評估，可以從安全角度測試政府承包商是否符合CMMC 1、2、3、4 或5級(取決于項目所需的成熟度級別)，如果他們不符合CMMC要求，就無法拿到合同。

如今，CMMC也越來越受到網(wǎng)絡安全行業(yè)的關注，因為許多審計公司和服務提供商意識到這是一個“搖錢樹”。

西班牙政府向網(wǎng)絡安全行業(yè)投入4.5億歐元，開設黑客學院

2021年4月，西班牙數(shù)字化和人工智能國務秘書Carme Artigas透露，西班牙政府將在三年內(nèi)投資超過4.5億歐元，以促進該國的網(wǎng)絡安全行業(yè)發(fā)展。此外，該國政府還將為14歲及以上的西班牙居民開設在線黑客學院，以培訓和吸引人才。該培訓計劃于5月3日至6月25日以在線形式運行，吸引了數(shù)百名參與者參加網(wǎng)絡安全挑戰(zhàn)。

國家網(wǎng)絡安全研究所(INCIBE)將負責監(jiān)督這項網(wǎng)絡安全支出的新戰(zhàn)略計劃，大力吸引人才、加強個人、中小企業(yè)和專業(yè)人士的網(wǎng)絡安全以及鞏固西班牙作為國際網(wǎng)絡安全中心的地位。

美國政府宣布雄心勃勃的網(wǎng)絡安全行政命令

2021年5月，拜登政府宣布了一項大膽的網(wǎng)絡安全行政命令，以制定“改善國家網(wǎng)絡安全和保護聯(lián)邦政府網(wǎng)絡的新路線”。該文件是在發(fā)生SolarWinds和Microsoft重大供應鏈攻擊以及Colonial Pipeline勒索軟件攻擊事件之后發(fā)布的。

該行政命令旨在最大限度地減少此類事件的頻率和影響，并提出了一系列加強聯(lián)邦機構(gòu)內(nèi)部網(wǎng)絡安全的建議，包括：

• 消除政府和私營部門之間威脅信息共享的障礙;
• 在聯(lián)邦政府中實現(xiàn)現(xiàn)代化并實施更嚴格的網(wǎng)絡安全標準;
• 提高軟件供應鏈安全性;
• 建立網(wǎng)絡安全審查委員會;
• 提高圍繞網(wǎng)絡安全事件的檢測、調(diào)查和補救能力;
• 該網(wǎng)絡安全行政命令迅速要求各機構(gòu)通過引入零信任架構(gòu)、增強技術采購、開發(fā)軟件物料清單(SBOM)要求、遷移至云等手段來實現(xiàn)安全態(tài)勢現(xiàn)代化。這將對其他國家和組織產(chǎn)生廣泛的下游影響，因為它將迫使許多與政府存在業(yè)務往來的供應商和企業(yè)采取特定的安全措施，并擁有其他組織能夠掌握的特定數(shù)據(jù)。

澳大利亞政府推出關鍵基礎設施提升計劃

2021年5月，澳大利亞政府推出了關鍵基礎設施提升計劃(CI-UP)，以識別和解決關鍵基礎設施中的漏洞，通過評估現(xiàn)有安全計劃和實施建議的風險緩解策略，幫助提供商提高網(wǎng)絡安全成熟度。模塊化網(wǎng)絡安全計劃面向作為ACSC合作伙伴的關鍵基礎設施實體開放，旨在：

• 結(jié)合網(wǎng)絡安全能力和成熟度模型(C2M2)以及Essential 8成熟度模型，評估具有國家意義的關鍵基礎設施和系統(tǒng)的網(wǎng)絡安全成熟度;
• 提供優(yōu)先的脆弱性和風險緩解策略;
• 協(xié)助合作伙伴實施建議的風險緩解策略;
• 隨著針對電網(wǎng)和管道等關鍵基礎設施的攻擊日益增多，這項計劃的出臺可謂意義重大，可以幫助實體快速提高安全態(tài)勢。

美國立法者提出美國網(wǎng)絡安全素養(yǎng)法案

2021年6月，眾議院兩黨議員提出了一項關于《美國網(wǎng)絡安全素養(yǎng)法案》的提案，這是一項旨在提高美國互聯(lián)網(wǎng)用戶的網(wǎng)絡安全意識和數(shù)據(jù)安全認知的新立法。該法案目前正在接受眾議院能源和商務委員會的審查，該法案規(guī)定美國在促進網(wǎng)絡安全素養(yǎng)方面具有國家安全和經(jīng)濟利益，并規(guī)定通信和信息部助理部長應制定和開展網(wǎng)絡安全素養(yǎng)最佳實踐活動，以降低網(wǎng)絡安全風險。

事實證明，網(wǎng)絡攻擊的威脅以及采取高效應對措施的必要性是美國政府獲得兩黨一致認同的少數(shù)問題之一?！睹绹W(wǎng)絡安全素養(yǎng)法案》對提高美國公眾認知的關注是正確的。很多時候，我們個人面臨的威脅與公司面臨的威脅是相同的或衍生的。員工個人設備上收到的商業(yè)電子郵件妥協(xié)(BEC)攻擊數(shù)量便證實了這一點。如今，工作和生活之間的界限已經(jīng)愈發(fā)模糊，這也導致針對個人的威脅很可能會危及整個企業(yè)。

基于身份的攻擊是美國企業(yè)和個人最常見的攻擊類型之一，并且有充分的理由證明——破壞合法身份是繞過個人及其公司實施的安全保護措施的有效方法。因此，令人振奮的是，《美國網(wǎng)絡安全素養(yǎng)法案》如果獲得通過，將重點關注網(wǎng)絡釣魚的威脅以及每個人都需要盡可能啟用和使用多因素身份驗證(MFA)。

法國政府發(fā)布網(wǎng)絡攻擊警報系統(tǒng)

2021年7月，法國政府為中小企業(yè)啟動了新的預警系統(tǒng)，旨在發(fā)生網(wǎng)絡攻擊時為其提供支持，告知企業(yè)應對事件應采取的行動。

根據(jù)政府新聞稿介紹，當檢測到對中小型公司特別重要的漏洞或攻擊行為時，國家受害者援助系統(tǒng)和國家安全局(ANSSI)會向企業(yè)領導者發(fā)布簡短易懂的通知。法國政府認為，信息速度和立即采取行動的能力將使公司能夠更好地保護自己，從而限制網(wǎng)絡攻擊對法國經(jīng)濟結(jié)構(gòu)的影響。

英國國防部完成首個漏洞賞金計劃

2021年8月，英國國防部(MoD)宣布完成其首個漏洞賞金計劃。它與HackerOne合作，邀請道德黑客參加為期30天的挑戰(zhàn)，允許他們直接訪問其內(nèi)部系統(tǒng)以調(diào)查和識別其數(shù)字資產(chǎn)中需要修復的漏洞。該計劃旨在幫助國防部更好地保護和捍衛(wèi)其網(wǎng)絡系統(tǒng)和750,000臺設備，遵循英國政府的新網(wǎng)絡戰(zhàn)略(于3月發(fā)布)，以增強該國在日益數(shù)字化的世界中的網(wǎng)絡實力。

在項目結(jié)束時，英國國防部CISO Christine Maxwell表示，國防部已采用透明設計的安全策略，這是確定開發(fā)過程中需要改進的領域不可或缺的一部分。她表示，對我們來說，繼續(xù)突破數(shù)字和網(wǎng)絡發(fā)展的界限以吸引具有技能、精力和信譽的人員，這一點很重要。與道德黑客社區(qū)合作使我們能夠建立自己的技術人才平臺，并帶來更多樣化的觀點來保護和捍衛(wèi)我們的資產(chǎn)。了解我們的漏洞所在并與更廣泛的道德黑客社區(qū)合作來識別和修復它們，是降低網(wǎng)絡風險和提高彈性的關鍵步驟。

同月，國防部還呼吁初創(chuàng)公司設計新一代安全硬件和軟件，以幫助軍方減少其網(wǎng)絡攻擊面，待遇是一份為期9個月價值30萬英鎊的合同。

意大利政府成立國家網(wǎng)絡安全機構(gòu)

2021年8月，意大利議會批準了政府“建立一個新的網(wǎng)絡安全機構(gòu)以打擊針對國家的網(wǎng)絡攻擊”的計劃，這是該國創(chuàng)建安全、統(tǒng)一的云基礎設施的宏大戰(zhàn)略的一部分。意大利政府6月首次宣布，Agenzia per la Cybersicurezza Nazionale(ACN)最初將由300名員工組成，目標是到2027年發(fā)展壯大至1,000名員工。它將由信息安全部(DIS)副局長Roberto Baldini負責領導。其需要實現(xiàn)的各種目標包括，在網(wǎng)絡安全領域行使國家權(quán)力機構(gòu)的職能，發(fā)展國家預防、監(jiān)測、檢測和緩解能力以應對網(wǎng)絡安全事件和網(wǎng)絡攻擊，并為提高信息和通信技術系統(tǒng)的安全性做出貢獻。

Blackberry歐洲、中東和非洲地區(qū)副總裁Adam Bangle表示，意大利政府新的國家網(wǎng)絡安全雄心成功與否將取決于它能否實現(xiàn)關鍵目標。他說，首先是安全標準化問題。建立安全標準和安全軟件開發(fā)原則，在整個系統(tǒng)中實行零信任，并確保實施和執(zhí)行每個安全協(xié)議以避免邊界防御中的任何盲點，應該成為任何國家網(wǎng)絡戰(zhàn)略的組成部分。其次，也是最重要的一點，他們必須對網(wǎng)絡安全采取主動、基于預防的安全態(tài)勢。

英國政府啟動Cyber Runway業(yè)務增長計劃

2021年8月，英國政府公布了旨在促進英國網(wǎng)絡安全部門增長的Cyber Runway項目。Cyber Runway將助推全國各地的企業(yè)家和企業(yè)獲得商業(yè)培訓指導、產(chǎn)品開發(fā)支持、社交活動以及支持國際貿(mào)易和安全投資，從而將他們的想法轉(zhuǎn)化為商業(yè)實踐。

英國數(shù)字基礎設施部長Matt Warman表示，該項目將解決增長障礙，增加投資，并為企業(yè)提供重要支持，從而將其業(yè)務提升到一個新的水平。此外，該計劃還將支持來自不同背景的創(chuàng)始人和創(chuàng)新者，主要針對英國網(wǎng)絡領域代表性不足的群體，例如女性以及來自黑人、亞洲和少數(shù)族裔背景的人等。

Cyber Runway項目的目標是在六個月內(nèi)支持160家公司，由數(shù)字、文化、媒體和體育部(DCMS)資助，并得到CyLon、德勤和安全信息技術中心(CSIT)的支持。如今，英國的網(wǎng)絡安全生態(tài)系統(tǒng)正處于發(fā)展的關鍵時刻。疫情大流行帶來了新的挑戰(zhàn)和新的機遇，Cyber Runway項目將支持英國的創(chuàng)新者開發(fā)關鍵的安全技術，以保護其數(shù)字經(jīng)濟的未來。

本文翻譯自：https://www.csoonline.com/article/3630632/9-notable-government-cybersecurity-initiatives-of-2021.html如若轉(zhuǎn)載，請注明原文地址。