网络安全稳步提上世界各国政府的议事日程。各国正在推出政府主导的安全举措,旨在解决对个人和组织的网络安全威胁。“政府主导的网络安全举措是解决网络安全问题的关键,例如破坏性攻击、大规模数据泄露、安全状况不佳以及对关键基础设施的攻击,”ForresterInstitute安全和风险分析师史蒂夫特纳说。为组织和消费者提供关于如何保护自己的一致指导,为没有智力或金钱手段的公司提供服务来保护自己,提供立法杠杆,以及对民族国家对手采取进攻行动的手段,最重要的是,建立对重大网络事件的调查以及在这些事件发生期间或之后共享关键信息。”在2021年世界各国政府推出的网络安全政策或举措中,以下九项特别值得关注:1.美国国务院国防部公布网络安全成熟度模型认证今年1月,美国国防部发布网络安全成熟度模型认证(CMMC),美国国防工业基地(DIB)超过30万家供应链企业已通过从此有能力实现网络安全。统一标准。CMMC仔细检查和集成了各种网络安全标准和最佳实践,映射了从基础到高级网络卫生的多个成熟度级别的控制和流程。负责采购和维持的国防部副部长办公室在网站上写道:“对于给定的CMMC级别,控制和流程的实施将降低某些网络威胁的风险。CMMC的工作是在基于信任的法规(DFARS252.204-7012)的基础上,增加了与网络安全要求相关的验证组件。”CMMC旨在为所有组织提供具有成本效益和负担得起的服务,评估是由授权和认可的CMMC第三方执行,并向达到相应级别的DIB公司颁发CMMC证书。对于TomBrennan,纽约知识产权和品牌管理律师事务所MandelbaumSalsburgP.C.的首席信息官,兼网络安全认证机构和行业标准倡导者CRESTInternational美国主席,CMMC可能是美国2021年最重要的政府网络安全倡议。“长期以来,国防部要求DIB承包商遵守标准由美国国家标准技术研究院(NIST)制定,但根本没有对此控制的认可、实施或审计,“他说。可以说是没有作用。他说,CMMC真的很重要,因为它涉及从安全角度对政府承包商是否遵守承诺进行法律评估。如果承包商未能满足CMMC的要求,他们将失去合同。“如果你想签署一份新的DoD合同,这些联系人将指定公司必须满足CMMC1、2、3、4或5级标准(取决于该计划所需的成熟度水平),然后才能签订合同。新合同。布伦南指出,CMMC也逐渐引起了网络安全行业的关注,因为许多审计公司和服务提供商已经意识到它是摇钱树。其次,西班牙政府已承诺投资4.5亿欧元用于网络安全产业,今年4月成立黑客学院3月,西班牙数字化和人工智能国务秘书CarmeArtigas透露,西班牙政府将在三年内投资4.5亿欧元,推动该国的发展网络安全行业,阿蒂加斯还宣布将开设在线黑客学院,招募人才,14岁及以上的西班牙居民可以参加培训。网络安全挑战赛预计将于5月3日至6月25日期间以在线形式进行,届时将有数百名参与者参与网络安全挑战赛。国家网络安全研究所(INCIBE)将监督一项新的战略计划,以监督网络安全支出,巩固促进网络安全行业商业生态系统建立的三大重要支柱;吸引人才,加强个人、中小企业和专业人士的网络安全形象,巩固西班牙作为国际网络安全中心的地位。3、美国政府公布雄心勃勃的网络安全行政令今年5月,拜登政府发布了雄心勃勃的网络安全行政令,描述了“提高美国国家网络安全和保护联邦政府网络的新途径”。该行政命令是在重大攻击之后发布的,例如对SolarWinds和Microsoft的主要供应链攻击以及ColonialPipeline勒索软件攻击。网络安全行政命令旨在减少此类事件的发生频率和影响,并提出一系列措施来加强联邦机构的内部网络安全。建议包括:消除政府和私营企业之间威胁信息共享的障碍实现更强大的联邦政府网络安全标准的现代化和实施提高软件供应链安全性建立网络安全审查委员会提高网络安全事件检测、调查和缓解能力,Turner说:“这网络安全行政命令要求各机构加速其安全态势的现代化:引入零信任架构、加强技术收购、开发软件物料清单(SBOM)、迁移到云端等等。该行政命令将对其他国家和组织产生深远的下游影响,因为它将迫使许多与美国政府有业务往来的供应商和公司采取某些安全措施并持有其他组织和机构可以使用的某些数据。“四、澳大利亚政府启动关键基础设施改善计划今年5月,澳大利亚政府提出了关键基础设施改善计划(CI-UP),旨在识别和解决关键基础设施中的漏洞,帮助供应商通过评估他们的安全项目。并实施建议的风险缓解策略以提高其网络安全成熟度。此模块化网络安全计划针对作为ACSC合作伙伴的关键基础设施实体,旨在:八个基础成熟度模型评估国家关键基础设施和系统的网络安全成熟度优先交付漏洞和风险缓解策略协助合作伙伴实施建议的风险缓解策略关键基础设施越来越容易受到攻击,帮助快速改善此类实体的安全态势是一项必不可少的服务。5.美国立法者提出《美国网络安全素养法案》6月今年,两党众议院议员提出了提案《美国网络安全素养法案》,希望通过建立新的立法来提高美国互联网用户的网络安全意识和数据安全知识。该提案目前正在接受众议院能源和商业委员会的审议。法案规定,提升网络安全意识符合美国国家安全和经济利益,并规定通信和信息部助理部长制定和开展网络安全意识活动,以降低网络安全风险。Cyber??GRX首席信息安全官DaveStapleton对提案发表评论称,网络攻击的威胁和有效应对措施的必要性已被证明是美国政府中为数不多的可以享受两党协议的问题之一。”《美国网络安全素养法案》重点是教育美国公众。作为个人,我们都面临着与企业面临的威胁相同或相似的威胁。针对员工个人设备的商业电子邮件妥协(BEC)攻击的数量说明了很多。我们之间的界线工作和个人生活越来越模糊,对作为个人的雇员造成威胁,同时也对雇主构成威胁。基于身份的攻击是对美国企业和个人最常见的攻击类型,有充分的理由相信窃取合法身份是一种绕过个人及其公司安全保护措施的有效方法。“因此,如果《美国网络安全素养法案》通过,我们可以看到网络钓鱼威胁的重点,并询问g每个人都尽可能启用多因素身份验证(MFA)。》6、法国政府发布网络攻击预警系统今年7月,法国政府推出了新的中小企业预警系统,旨在支持中小企业应对网络攻击,并及时通报他们应该采取的事件响应行动。该系统由负责数字转型和电子通信的国务卿CédricO和其他高级官员介绍。法国国家受害者援助系统和国家信息系统安全局(ANSSI)向商界领袖发出简明易懂的通知。然后将通知转发给包括跨行业组织、工商会(CCI)和商会(CMA)在内的领事网络,然后尽可能广泛地传播对商界领袖法国政府认为,信息共享的速度和立即采取行动的能力行动可以使企业更好地保护自己,从而限制网络攻击对法国经济结构的影响。七、英国国防部完成首个漏洞赏金计划今年8月,英国国防部(MoD)宣布完成其首个漏洞赏金计划。英国国防部与HackerOne合作,邀请道德黑客参加为期30天的挑战,让他们直接访问其内部系统,要求他们调查并识别其数字资产中需要修复的漏洞。英国政府于今年3月发布了一项新的网络战略,旨在加强该国在日益数字化的世界中的网络能力。该计划遵循这一网络战略,旨在帮助英国国防部更好地保护自己的网络系统和750,000台设备。谈到这一计划的完成,国防部首席信息安全官克里斯蒂娜·麦克斯韦表示,国防部通过设计采用了安全策略,并在制定过程中将透明度作为一项决心。改进领域的一个组成部分。“我们必须突破数字和网络开发的界限,以吸引具有技能、精力和目标的人。与道德黑客社区合作有助于建立我们的技术人才库,以从更多样化的角度保护和捍卫我们的资产。了解我们的弱点在哪里,并与更广泛的道德社区合作来识别和发现它们,是降低网络风险和提高弹性的重要步骤。同样在8月,国防部呼吁初创企业设计新一代安全硬件和软件,以帮助军方减少其网络攻击面,承诺为期9个月的创新提案合同高达300%。八、意大利政府成立国家网络安全局8月,意大利议会批准了政府成立新的网络安全机构的计划,希望打击针对该国的网络攻击,与该国建立安全统一的云相辅相成基础设施大战略。意大利国家安全局(ACN)于今年6月首次亮相,最初将由300名员工组成,到2027年将扩大到1,000人。该机构将由负责信息安全(DIS)的副部长罗伯托·巴尔迪尼(RobertoBaldini)领导。其各项任务包括:履行国家主管部门在网络安全领域的职能,发展国家预防、监测、检测和缓解能力,以便他们能够应对网络安全事件和网络攻击,并帮助提高信息和通信技术系统的安全性.BlackBerry负责欧洲、中东和非洲的副总裁AdamBangle表示,意大利政府新的国家网络安全计划的成功将取决于几个关键目标的实现。“一是安全标准化。为安全软件开发建立安全标准和原则,在整个系统中实施零信任,并确保实施和执行安全协议以避免边境防御中的任何盲点,这些应该是任何国家网络战略不可或缺的一部分。其次,也是最关键的,必须采取基于预防的积极主动的网络安全方法。”九、英国政府启动网络跑道业务增长计划今年8月,英国政府公布了网络跑道(Cyber??Runway)计划,旨在促进英国网络安全行业的发展。在撰写本文时,该计划正处于意向表达阶段,希望看到英国企业家和公司获得商业硕士课程、指导、产品开发支持、社交活动和支持用于国际贸易和安全投资,以便他们可以利用他们的想法转化为商业成功。数字基础设施部长马特沃曼表示,该计划将解决增长障碍,增加投资并为企业提供重要支持以将其提升到一个新的水平。“该计划还将支持来自不同背景的创始人和创新者,针对来自英国网络行业弱势群体的申请人,例如女性以及来自黑人、亚裔和少数民族背景的人。”它支持其中的160家公司,由数字、文化、媒体和体育部(DCMS)资助,并得到CyLon、德勤和安全信息技术中心(CSIT)的支持。CyLon首席执行官NickMorris补充说:“英国的网络安全生态系统正处于激动人心的关键发展时期,COVID-19大流行带来了新的挑战和机遇。Cyber??Runway计划将支持英国创新者开发重要的安全性有助于保护我们数字经济未来的技术。”
