各国政府对网络安全的重视程度越来越高,积极出台各种应对网络威胁的措施。如今,网络安全已稳步上升到世界各国政府议程的首要位置。这也催生了旨在解决对个人和组织的网络安全威胁的各种举措。Forrester的安全和风险分析师SteveTurner表示,政府主导的网络安全举措对于解决网络安全问题至关重要,例如破坏性攻击、大规模数据泄露、糟糕的安全态势以及对关键基础设施的攻击。这些举措为组织和消费者如何确保自身安全提供了统一的指导;缺乏知识和财力来保证自身安全的企业;民族国家网络间谍组织采取进攻性行动;事件的调查和调查后的关键信息共享提供了可利用的立法手段。以下是2021年世界各国政府最值得注意的一些网络安全举措:美国国防部发布网络安全成熟度模型认证2021年1月,美国国防部(DoD)发布了网络安全成熟度模型认证(CMMC),它是国防工业基地(DIB)实施网络安全的统一标准,其中包括供应链中的300,000多家公司。CMMC审查并结合各种网络安全标准和最佳实践,将多个成熟度级别的控制和流程映射到高级网络卫生。对各种网络安全标准的引用包括:NISTSP800-171NISTSP800-171BNISTSP800-53NISTCSFV1.1CERTRMMV1.2CIS控制ISO270001和ISO27032AIANAS9933其他成熟的网络安全最佳实践系统(英国NCSC、AUACSC、FAR等)。CMMC建立在现有法规(DFARS252.204-7012)的基础上,2015年,美国国防部发布《国防采办联邦法规补充》(称为DFARS),要求私营DoD承包商采用基于NISTSP800-171网络安全框架的网络安全标准,旨在保护美国国防供应链免受国内外网络威胁,降低该部门的整体安全风险。但是,由于DFARS252.204-7012法规的采用速度太慢,实际效果无法满足国家网络保护的需要,因此国防部发布了CMMC。除了评估组织实施网络安全控制的成熟度外,CMMC还将更广泛地衡量组织网络安全实践的成熟度和安全操作流程的制度化,以确保适当级别的网络安全控制和流程到位和到位.更好地保护DoD承包商系统上的受控非机密信息(CUI)。MandelbaumSalsburgP.C.的CIOTomBrennan表示,CMMC可能是美国2021年最重要的政府网络安全计划。国防部长期以来一直敦促DIB承包商遵守NIST标准,但零认证、执行或与此特定控制相关的审计,结果是一场灾难。CMMC的不同之处在于它涉及法律评估,可以从安全角度测试政府承包商是否符合CMMC级别1、2、3、4或5(取决于项目所需的成熟度级别),以及他们是否符合不符合CMMC要求,他们无法获得合同。如今,CMMC在网络安全行业也受到越来越多的关注,许多审计公司和服务提供商都意识到它是一棵“摇钱树”。西班牙政府投资4.5亿欧元发展网络安全产业并开设黑客学院2021年4月,西班牙数字化和人工智能国务秘书CarmeArtigas透露,西班牙政府将在三年内投资超过4.5亿欧元以促进国家网络安全产业发展。此外,政府还将为14岁及以上的西班牙居民开设在线黑客学院,以培训和吸引人才。该培训计划于5月3日至6月25日以在线形式进行,吸引了数百名参与者参加网络安全挑战。国家网络安全研究所(INCIBE)将监督这项新的网络安全支出战略计划,以吸引人才,加强个人、中小企业和专业人士的网络安全,并巩固西班牙作为国际网络安全中心的地位。美国政府宣布雄心勃勃的网络安全行政命令2021年5月,拜登政府宣布了一项大胆的网络安全行政命令,以制定“改善国家网络安全和保护联邦政府网络的新路线”。该文件是在对SolarWinds和Microsoft的主要供应链攻击以及ColonialPipeline勒索软件攻击之后发布的。该行政命令旨在最大限度地减少此类事件的发生频率和影响,并提出一系列建议以加强联邦机构内部的网络安全,包括:消除政府与私营部门之间威胁信息共享的障碍;现代化并执行更严格的网络安全标准;提高软件供应链的安全性;建立网络安全审查委员会;提高网络安全事件的检测、调查和补救能力;通过利用您的架构、加强技术采购、制定软件物料清单(SBOM)要求以及迁移到云,使您的安全态势现代化。这将对其他国家和组织产生广泛的下游影响,因为它将迫使许多与政府有业务往来的供应商和企业采取特定的安全措施,并拥有其他组织可以获得的特定数据。澳大利亚政府启动关键基础设施升级计划2021年5月,澳大利亚政府启动了关键基础设施升级计划(CI-UP),通过评估现有安全计划的风险和实施建议缓解策略来识别和解决关键基础设施中的漏洞,以帮助提供商提高网络安全到期。模块化网络安全计划向作为ACSC合作伙伴的关键基础设施实体开放,旨在:提供优先的脆弱性和风险缓解策略;协助合作伙伴实施建议的风险缓解策略;随着对电网和管道等关键基础设施的攻击,越来越多的实体迅速改善了它们的安全态势。美国立法者提出《美国网络安全扫盲法》2021年6月,众议院两党议员提出了《美国网络安全素养法案》的提案,这是一项旨在提高美国互联网用户网络安全意识和数据安全意识的新倡议。立法。目前正在由众议院能源和商务委员会审查的该法案指出,美国在促进网络安全素养方面具有国家安全和经济利益,通信和信息助理部长应制定和开展网络安全素养最佳实践活动,以降低网络安全风险。事实证明,网络攻击的威胁和有效响应的必要性是美国政府中为数不多的两党同意的问题之一。《美国网络安全素养法案》把重点放在提高美国公众认知上是对的。很多时候,我们作为个人面临的威胁与我们公司面临的威胁相同或派生。员工个人设备上收到的商业电子邮件妥协(BEC)攻击数量证明了这一点。如今,工作和生活之间的界限越来越模糊,这意味着对个人的威胁很容易危及整个企业。基于身份的攻击是针对美国企业和个人的最常见攻击类型之一,并且有充分的理由-损害合法身份是绕过个人及其公司实施的安全保护的有效方法。因此,如果《美国网络安全素养法案》获得通过,我们将关注网络钓鱼的威胁以及每个人都尽可能启用和使用多重身份验证(MFA)的需求,这令人鼓舞。法国政府发布网络攻击预警系统2021年7月,法国政府推出全新中小企业预警系统,旨在在发生网络攻击时提供支持,告知企业应采取的行动回应事件。根据一份政府新闻稿,当检测到对中小型公司特别重要的违规或攻击时,国家受害者援助系统和国家安全局(ANSSI)会向企业领导人发出简短易懂的通知。法国政府认为,信息的速度和立即行动的能力将使企业能够更好地保护自己,从而限制网络攻击对法国经济结构的影响。英国国防部完成其首个漏洞赏金计划2021年8月,英国国防部(MoD)宣布完成其首个漏洞赏金计划。它与HackerOne合作,邀请道德黑客参加为期30天的挑战,让他们可以直接访问其内部系统,以调查和识别其数字资产中需要修复的漏洞。该计划旨在帮助国防部更好地保护和捍卫其网络系统和750,000台设备,遵循英国政府新的网络战略(3月发布)以加强该国在日益数字化的世界中的网络能力。在项目结束时,英国国防部CISOChristineMaxwell表示,国防部通过透明设计采用了安全策略,这是确定开发过程中需要改进的领域的一个组成部分。她说,对我们来说,继续突破数字和在线发展的界限以吸引具有技能、活力和信誉的人才非常重要。与道德黑客社区合作使我们能够建立自己的技术人才平台,并带来更多不同的观点来保护和捍卫我们的资产。了解我们的漏洞所在并与更广泛的道德黑客社区合作以识别和修复它们是降低网络风险和提高弹性的关键步骤。同月,国防部还呼吁初创企业设计新一代安全硬件和软件,以帮助军方减少其网络攻击面,以换取为期九个月、价值30万英镑的合同。意大利政府成立国家网络安全机构2021年8月,意大利议会批准了政府“建立新的网络安全机构以打击针对该国的网络攻击”的计划,这是该国创建安全统一的云基础设施的雄心勃勃计划的一部分.战略的一部分。意大利政府于6月首次宣布,AgenziaperlaCyber??sicurezzaNazionale(ACN)最初将由300名员工组成,目标是到2027年增加到1,000人。它将由信息安全部副主任RobertoBaldini领导(分流器)。要实现的各种目标包括国家权力机构在网络安全领域的运作,发展国家预防、检测、检测和缓解能力以应对网络安全事件和网络攻击,以及做出贡献。黑莓负责欧洲、中东和非洲的副总裁AdamBangle表示,意大利政府新的国家网络安全计划能否成功将取决于它是否实现了关键目标。他说,首先是安全标准化问题。建立安全标准和安全软件开发原则,在整个系统中实施零信任,并确保每一个安全协议得到实施和执行,以避免边境防御中的任何盲点,应该是任何国家网络战略的一个组成部分。其次,也是最重要的一点,他们必须为网络安全采取主动、基于预防的安全态势。英国政府启动网络跑道业务增长计划2021年8月,英国政府宣布了网络跑道项目,旨在促进英国网络安全领域的增长。Cyber??Runway将帮助全国各地的企业家和企业获得商业培训指导、产品开发支持、社交活动以及国际贸易和安全投资支持,将他们的想法转化为商业实践。数字基础设施部长马特·沃曼(MattWarman)表示,该项目将解决增长障碍、增加投资并为企业将业务提升到一个新的水平提供重要支持。此外,该计划将支持来自不同背景的创始人和创新者,针对在英国在线空间中代表性不足的群体,例如女性以及来自黑人、亚裔和少数民族背景的人。旨在在六个月内支持160家公司的网络跑道项目由数字、文化、媒体和体育部(DCMS)资助,并得到CyLon、德勤和安全信息技术中心(CSIT)的支持。如今,英国的网络安全生态系统正处于发展的关键时刻。疫情带来了新的挑战和新的机遇,网络跑道项目将支持英国创新者开发关键安全技术,以保护其数字经济的未来。本文翻译自:https://www.csoonline.com/article/3630632/9-notable-government-cybersecurity-initiatives-of-2021.html如有转载请注明出处。
