随着全球网络空间威胁态势变得更加复杂和严峻,网络安全已稳步上升到全球各国政府的议程,成为数字时代全球政府治理的核心议题之一。2021年各国政府纷纷推出旨在解决威胁个人和组织的网络安全问题的举措。

Forrester的安全和风险分析师Steve Turner指出:“政府主导的网络安全计划对于解决网络安全问题至关重要,例如破坏性攻击、大规模数据泄露、糟糕的安全态势以及对关键基础设施的攻击。这些举措为组织和消费者如何保护自己提供了一致的指导,为没有知识或金钱手段来保护自己的公司提供服务,可以利用的立法杠杆,对国家黑客采取进攻性行动,最重要的是,对重大网络事件的调查以及在这些事件期间或之后的关键信息共享。”

以下是GoUpSec整理的2021年世界各国政府推出的十大最著名的网络安全政策法规和举措:

1、中国网络安全法规条例密集施行

9月1日注定是中国网络安全历史上一个重要里程碑,这一天《数据安全法》和《关键信息基础设施安全保护条例》开始施行,此外,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》,也是9月1日开始实施。

万众瞩目的《个人信息保护法》则定于今年11月1日开始施行。与较早发布的《中华人民共和国网络安全法》一起,形成了围绕《中华人民共和国国家安全法》的较为完善的法律体系和顶层设计,全面维护国家安全、网络安全、数据安全和个人信息权益。

2、美国国防部发布网络安全成熟度模型认证

今年1月,美国国防部(DoD)发布了网络安全成熟度模型认证(CMMC),这是在整个国防工业基地(DIB)实施网络安全的统一标准,其中包括供应链中的30多万家公司。CMMC借鉴并结合了各种网络安全标准和最佳实践,映射了从基本到高级网络安全的多个成熟度级别的控制和流程。

“对于给定的CMMC级别,相关控制和流程在实施后将降低针对特定网络威胁的风险,”负责采购和维持的国防部副部长办公室网站上写道。“CMMC的工作建立在基于信任的现有法规(DFARS 252.204-7012)之上,通过添加与网络安全要求相关的验证组件。”CMMC旨在为所有组织提供具有成本效益和负担得起的费用,授权和认可的CMMC第三方进行评估并向适当级别的DIB公司颁发CMMC证书。

CREST的美国主席Tom Brennan认为:CMMC可能是美国2021年最重要的政府网络安全计划。“长期以来,国防部一直告诉DIB承包商,他们必须遵守NIST标准,但与此特定控制相关的认证、执法或审计为零,因此它失败了。CMMC非常重要,因为它涉及法律评估,以从安全角度测试政府承包商是否按照他们所说的去做,如果他们未能满足CMMC要求,他们将失去合同。

CMMC也越来越受到网络安全行业的关注,因为许多审计公司和服务提供商意识到这是一个摇钱树。

3、西班牙政府向网络安全行业投入4.5亿欧元,开设黑客学院

今年4月,西班牙数字化和人工智能国务秘书Carme Artigas透露,西班牙政府将在三年内投资超过4.5亿欧元,以促进该国的网络安全部门。Artigas还宣布为14岁及以上的西班牙居民开设在线黑客学院,以培训和吸引人才。该培训计划于5月3日至6月25日以在线形式运行,数百名参与者参加网络安全挑战。

西班牙国家网络安全研究所(INCIBE)将监督网络安全支出的新战略计划,解决促进该行业商业生态系统和吸引人才、加强个人、中小企业和专业人士的网络安全以及巩固西班牙作为国际网络安全中心。

4、拜登发布网络安全总统行政命令,强推零信任架构

5月,拜登政府发布了一项大胆的网络安全行政命令,以制定“改善国家网络安全和保护联邦政府网络的新路线”。该文件是在对SolarWinds和Microsoft的重大供应链攻击以及对Colonial Pipeline的勒索软件攻击之后发布的。

该行政命令旨在最大限度地减少此类事件的频率和影响,提出了一系列加强联邦机构内部网络安全的建议,包括:

  • 消除政府和私营部门之间威胁信息共享的障碍

  • 在联邦政府中现代化和实施更严格的网络安全标准

  • 提高软件供应链安全性

  • 建立网络安全审查委员会

  • 提高围绕网络安全事件的检测、调查和补救能力。

“网络安全行政命令迅速要求各机构通过引入零信任架构、增强技术采购、开发软件物料清单(SBOM)要求、迁移到云等等来实现安全态势现代化,”特纳说。“这将对其他国家和组织产生广泛的下游影响,因为它将迫使许多与政府有业务往来的供应商和公司采取特定的安全措施,并拥有其他组织能够掌握的特定数据。”

5、澳大利亚政府推出关键基础设施提升计划

5月,澳大利亚政府推出了关键基础设施提升计划(CI-UP),以识别和解决关键基础设施中的漏洞,通过评估现有安全计划和实施建议的风险缓解策略,帮助提供商提高网络安全成熟度。模块化网络安全计划向作为ACSC合作伙伴的关键基础设施实体开放,旨在:

  • 结合网络安全能力和成熟度模型(C2M2)和Essential 8成熟度模型,评估具有国家意义的关键基础设施和系统的网络安全成熟度

  • 提供优先的脆弱性和风险缓解策略

  • 协助合作伙伴实施建议的风险缓解策略

“随着对电网和管道等关键基础设施的攻击越来越多,这是一项非常重要的服务,可以帮助实体快速提高安全状况,”特纳说。

6、美国立法者提出美国网络安全素养法案

6月,众议院两党议员提出了一项关于《美国网络安全素养法案》的提案,这是一项旨在提高美国互联网用户的网络安全意识和数据安全知识的新立法。该法案目前正在接受众议院能源和商务委员会的审查,该法案规定美国在促进网络安全素养方面具有国家安全和经济利益,并规定通信和信息部助理部长应制定和开展最佳网络安全素养运动。降低网络安全风险的实践。

美国网络安全素养法案如果获得通过,将重点关注网络钓鱼的威胁以及每个人都需要尽可能启用和使用多因素身份验证(MFA)。”

7、法国政府发布网络攻击警报系统

7月,法国政府为中小企业启动了新的预警系统,以在发生网络攻击时为其提供支持,告知企业应对事件应采取的行动。该系统由负责数字转型和电子通信的国务卿Cédric O以及其他高级官员介绍。

根据政府新闻稿,当检测到对中小型公司特别重要的漏洞或攻击活动时,国家受害者援助系统和国家安全局会向商业领袖发布简短易懂的通知。信息系统(ANSI)。然后将其传送给包括跨专业组织、工商会(CCI)和贸易和手工艺商会(CMA)的领事网络在内的机构,然后尽可能广泛地转发给商界领袖。法国政府认为,信息速度和立即采取行动的能力将使公司能够更好地保护自己,从而限制网络攻击对法国经济结构的影响。

8、英国国防部完成首个漏洞赏金计划

8月,英国国防部(MoD)宣布完成其首个漏洞赏金计划。它与HackerOne合作,邀请道德黑客参加为期30天的挑战,以调查和识别其数字资产中需要修复的漏洞,允许他们直接访问其内部系统。该计划旨在帮助国防部更好地保护和捍卫其网络系统和750,000台设备,遵循英国政府的新网络战略(于3月发布),以增强该国在日益数字化的世界中的网络实力。

在项目结束时,英国国防部首席信息安全官克里斯汀·麦克斯韦(Christine Maxwell) 表示,国防部已采用安全设计战略,透明度是确定开发过程中需要改进的领域不可或缺的一部分。“对我们来说,继续突破数字和网络发展的界限以吸引具有技能、精力和承诺的人员,这一点很重要,”她补充道。“与道德黑客社区合作使我们能够建立我们的技术人才平台,并带来更多样化的观点来保护和捍卫我们的资产。了解我们的漏洞所在并与更广泛的道德黑客社区合作来识别和修复它们,是降低网络风险和提高弹性的重要一步。”

同月,国防部还呼吁初创公司设计新一代安全硬件和软件,以帮助军方减少网络攻击面,为一份为期9个月的合同提供高达30万英镑的资金。

9、意大利政府成立国家网络安全机构

8月,意大利议会批准了政府建立一个新的网络安全机构以打击针对国家的网络攻击的计划,这是为该国创建安全、统一的云基础设施的宏大战略的一部分。意大利政府6月首次宣布,Agenzia per la Cybersicurezza Nazionale (ACN)最初将由300名员工组成,目标是到2027年达到1,000名员工。它将由信息安全部(DIS)副局长罗伯托·巴尔迪尼(Roberto Baldini)领导。其各种目标包括在网络安全领域行使国家权力机构的职能,提高国家预防、监测、检测和缓解能力以应对网络安全事件和网络攻击,并为提高信息和通信技术系统的安全性做出贡献。

Blackberry欧洲、中东和非洲地区副总裁Adam Bangle表示,意大利政府新的国家网络安全雄心的成功将取决于它能否实现关键目标。“首先是安全标准化。建立安全标准和安全软件开发原则,在整个系统中实行零信任,并确保实施和执行每个安全协议以避免边界防御中的任何盲点,应该成为任何国家网络战略的组成部分。其次,也是最重要的一点,他们必须对网络安全采取主动、基于预防的安全态势。”

10、英国政府启动Cyber Runway业务增长计划

8月,英国政府公布了旨在促进英国网络安全部门增长的Cyber Runway项目。Cyber Runway将助推全国各地的企业家和企业获得商业培训指导、产品开发支持、社交活动以及支持国际贸易和安全投资,以便他们能够将他们的想法转化为商业成功。

英国数字基础设施部长马特·沃曼(Matt Warman)表示,该项目将解决增长障碍、增加投资,并为公司提供重要支持,以将其业务提升到一个新的水平。“该计划还将支持来自不同背景的创始人和创新者——针对来自英国网络领域代表性不足的群体的申请人,例如女性以及来自黑人、亚洲和少数族裔背景的人。”

Cyber Runway旨在在六个月内支持160家公司,由数字、文化、媒体和体育部(DCMS)资助,并得到CyLon、德勤和安全信息技术中心(CSIT)的支持。CyLon首席执行官尼克莫里斯补充说:“英国的网络安全生态系统正处于发展的关键和激动人心的时刻,大流行带来了新的挑战和新的机遇。”“Cyber Runway将支持英国的创新者开发关键的安全技术,以保护我们数字经济的未来。”

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。