2021年世界各國政府出臺的九項重大網絡安全政策

網絡安全穩步登上世界各國政府的議事日程。各國紛紛推出政府主導的安全倡議，旨在解決威脅個人和組織的網絡安全問題。

佛瑞斯特研究所安全與風險分析師Steve Turner表示：“政府主導的網絡安全倡議是解決破壞性攻擊、大規模數據泄露、不良安全狀況和關鍵基礎設施攻擊等網絡安全問題的關鍵。這些倡議為組織和消費者如何保護自己提供了一致的指南，為沒有知識或金錢手段來保護自己的公司提供各項服務，給出了可以利用的立法杠桿，以及對民族國家對手采取進攻性行動的手段；最重要的是，確立了對重大網絡事件的調查以及在這些事件期間或之后的關鍵信息共享。”

2021年，世界各國政府推出的網絡安全政策或舉措中，以下九項尤為值得關注：

一、美國國防部公布網絡安全成熟度模型認證

今年一月，美國國防部發布網絡安全成熟度模型認證（CMMC），美國國防工業基礎（DIB）超30萬家供應鏈公司從此有了實現網絡安全的統一標準。CMMC仔細考查并整合了各種網絡安全標準和最佳實踐，映射從基礎到高級網絡衛生多個成熟度水平的各項控制措施與過程。

負責采購與維持的國防部副部長辦公室網站上寫道：“對于給定的CMMC級別，實現相關控制措施與過程后，特定網絡威脅的風險將可有所降低。CMMC工作建立在基于信任的現有法規（DFARS 252.204-7012）的基礎之上，添加了網絡安全要求相關的驗證組件。”CMMC旨在為所有組織提供經濟高效且價格合理的服務，由經授權和認可的CMMC第三方執行評估，并向達到適當級別的DIB公司頒發CMMC證書。

Tom Brennan身為紐約知識產權和品牌管理律師事務所Mandelbaum Salsburg P.C.首席信息官，且兼任網絡安全認證機構和行業標準倡導者CREST International美國區主席，對他而言，CMMC可能是美國2021年最重大的政府網絡安全倡議。他表示：“很長一段時間以來，美國國防部都要求DIB承包商必須遵循美國國家標準與技術研究院（NIST）制定的標準，但這一控制措施根本沒有任何相關的認可、實施或審計，可以說是毫無效果。”他說，CMMC真是太重要了，因為其中涉及從安全角度檢測政府承包商是否信守承諾的法律評估，如果承包商未能達到CMMC要求，就將丟掉他們的合約。

“如果要簽下新的國防部合同，這些聯系人會明確指出，在簽訂新合同之前，公司必須符合CMMC 1、2、3、4或5級標準（取決于項目所需的成熟度水平）。”Brennan指出，CMMC也日漸吸引了網絡安全行業的視線，因為許多審計事務所和服務提供商都認識到這就是棵搖錢樹。

二、西班牙政府承諾向網絡安全行業投入4.5億歐元，開設黑客學院

今年四月，西班牙數字化與人工智能國務秘書Carme Artigas透露，西班牙政府將在三年間投資4.5億歐元用于推動該國網絡安全產業發展。Artigas還宣布，將開設在線黑客學院招攬人才，年齡14周歲及以上的西班牙居民均可參與培訓。這項培訓計劃預計以線上形式在5月3日到6月25日期間執行，屆時將有數百名參與者參與網絡安全挑戰。

國家網絡安全研究院（INCIBE）將督導一項新的戰略計劃，監督網絡安全開支，夯實推進網絡安全行業商業生態系統建設的三個重要支柱；并吸引人才，強化個人、中小企業與專業人員的網絡安全狀況，鞏固西班牙作為國際網絡安全中心的地位。

三、美國政府宣布雄心勃勃的網絡安全行政令

今年五月，拜登政府發布雄心勃勃的網絡安全行政令，描繪“改善美國國家網絡安全及保護聯邦政府網絡的新路線”。行政令是在SolarWinds和微軟重大供應鏈攻擊和Colonial Pipeline勒索軟件攻擊等重大攻擊事件之后發布的。

該網絡安全行政令旨在削減此類事件的頻率和影響，提出了一系列加強聯邦機構內部網絡安全的建議，包括：

● 消除政府與私營行業間威脅信息共享的障礙

● 現代化并實現更健壯的聯邦政府網絡安全標準

● 改善軟件供應鏈安全

● 設立網絡安全安全審查委員會

● 提升網絡安全事件檢測、調查與緩解能力

Turner稱：“這項網絡安全行政令要求機構加快現代化其安全形勢：引入零信任架構，強化技術采購，制定軟件物料清單（SBOM），轉移到云端等等。該行政令將給其他國家和組織帶來深遠的下游影響，因為這將會迫使許多跟美國政府有生意往來的供應商和公司設置特定安全措施，并掌握其他組織和機構可以利用的特定數據。”

四、澳大利亞政府推出關鍵基礎設施提升計劃

今年五月，澳大利亞政府提出了關鍵基礎設施提升計劃（CI-UP），旨在識別和解決關鍵基礎設施中的漏洞，幫助提供商通過評估其安全項目和實現建議風險緩解策略，來提升其網絡安全成熟度。該模塊化的網絡安全計劃面向身為ACSC合作伙伴的關鍵基礎設施實體，旨在：

● 綜合采用網絡安全能力與成熟度模型（C2M2）和八種基礎成熟度模型評估國家級關鍵基礎設施與系統的網絡安全成熟度

● 交付劃分了優先順序的漏洞與風險緩解策略

● 輔助合作伙伴實現推薦的風險緩解策略

Turner表示：“隨著電網和油氣管道等關鍵基礎設施面臨的攻擊越來越多，幫助快速提升此類實體的安全狀況也成為了一項十分重要的服務。”

五、美國立法者提出《美國網絡安全素養法案》

今年六月，兩黨眾議院議員提出了《美國網絡安全素養法案》提案，希望設立新的立法以提高美國互聯網用戶的網絡安全意識和數據安全知識。該項提案目前正接受眾議院能源與商業委員會的審查。法案規定，促進網絡安全知識普及符合美國的國家安全與經濟利益，并規定通信和信息部助理部長應制定和開展網絡安全知識普及活動，從而減少網絡安全風險。

CyberGRX首席信息安全官Dave Stapleton評價此提案稱，事實證明，網絡攻擊威脅和對有效對策的需求，是美國政府中少數幾個能獲得兩黨一致同意的問題之一。“《美國網絡安全素養法案》的重點在教育美國公眾。作為個人，我們大家面對的威脅往往與企業所面臨的威脅是相同或類似的。員工個人設備遭遇的商務電郵入侵（BEC）攻擊數量就很能說明問題了。我們工作和個人生活之間的界限越來越模糊，導致員工個人面對的威脅同時也是雇主面臨的威脅。

基于身份的攻擊是美國企業和個人最常見的攻擊類型，有充分的理由相信，竊取合法身份是繞過個人及其公司安全防護措施的有效方法。“因此，如果《美國網絡安全素養法案》能夠通過，我們或可見證關注重點放在網絡釣魚威脅和要求所有人盡可能啟用多因素身份驗證（MFA）上。”

六、法國政府發布網絡攻擊警報系統

今年七月，法國政府為中小企業推出了新的警報系統，旨在支持中小企業應對網絡攻擊事件，告知他們應采取的事件響應動作。該系統是由負責數字轉型與電子通信的國務秘書Cédric O及其他高級官員提出的。

政府新聞稿顯示，檢測到針對中小企業的重大漏洞或攻擊活動時，法國國家受害者輔助系統和國家信息系統安全局（ANSSI）會向企業領導發出簡明扼要且易于理解的通知。然后，在盡可能廣泛地傳達給各企業領導之前，該通知先轉發至包括跨行業組織、工商協會（CCI）和工藝商會（CMA）領事網絡在內的實體。法國政府認為，信息共享的速度和采取即時行動的能力可使企業更好地保護自身，從而限制網絡攻擊對法國經濟結構的影響。

七、英國國防部完成首個漏洞賞金計劃

今年八月，英國國防部（MoD）宣布其首個漏洞賞金計劃完成。英國國防部與HackerOne合作，邀請道德黑客參與為期30天的挑戰，賦予他們直接訪問其內部系統的權限，請他們調查并找出其數字資產中需要修復的漏洞。英國政府今年三月發布了新的網絡戰略，意圖在逐漸數字化的世界中增強國家的網絡力量。該計劃遵循此項網絡戰略，旨在幫助英國國防部更好地護衛自身網絡系統和75萬臺設備。

談及此項計劃的完成，國防部首席信息安全官Christine Maxwell稱，國防部采納了設計安全策略，將透明性作為確定開發過程中有待改進領域的一個組成部分。“我們很有必要推動數字與網絡開發的邊界，吸引具備技術、精力和使命感的人才。與道德黑客社區合作有助于建設我們的技術人才隊伍，從更多樣化的角度保護和防御我們的資產。摸清我們的漏洞位置，與更廣泛的道德社區合作以識別和發現漏洞，是減少網絡風險和提升彈性的重要步驟。”

同樣在八月，英國國防部還向初創企業發出了號召，呼吁他們設計新一代安全硬件及軟件，幫助軍方縮減其網絡攻擊面，并承諾為為期九個月的創新提案合同提供高達30萬英鎊的資金。

八、意大利政府成立國家網絡安全局

八月，意大利議會批準了政府建立新網絡安全機構的計劃，希望能夠打擊針對該國的網絡攻擊，補全該國創建安全、統一云基礎設施的宏大戰略。今年六月首次透出消息的意大利國家安全局（ACN）最初將由300名員工組成，到2027年擴充至1000名雇員的規模。該機構將由信息安全部（DIS）副部長Roberto Baldini領導。其各項任務包括：履行國家當局在網絡安全領域的職能，發展國家預防、監測、檢測和緩解能力，從而能夠應對網絡安全事件和網絡攻擊，并幫助提高信息和通信技術系統的安全性。

黑莓公司歐洲、中東和非洲副總裁Adam Bangle表示，意大利政府新國家網絡安全雄心的成功將取決于其能否實現幾個關鍵目標。“首先，安全標準化。建立安全標準和安全軟件開發原則，跨整個系統施行零信任，并確保實現并強制施行各安全協議以避免邊界防御出現任何盲點，應該成為任何國家網絡策略中不可或缺的組成部分。其次，也是最關鍵的一點，必須采取基于預防的主動式網絡安全方法。”

九、英國政府啟動網絡跑道業務增長計劃

今年八月，英國政府公布了網絡跑道（Cyber Runway）計劃，旨在促進英國網絡安全產業發展。撰寫本文之時，該計劃還處于意向書階段，希望看到英國的創業者和各家公司能夠接觸到商業大師課程、指導、產品開發支持、社交活動，以及國際貿易和安全投資支持，從而能夠將他們的創意轉化為商業成功。

數字基礎設施部長Matt Warman表示，該計劃將解決增長障礙，增加投資，并為企業提供至關重要的支持，推動企業更上一層樓。“該計劃還將支持不同背景的創始人和創新者，面向英國網絡行業弱勢群體的申請人，如女性和黑人、亞裔及少數民族背景的人。”

網絡跑道計劃的目標是在六個月內為160家公司提供支持，資金來源為數字、文化、媒體和體育部（DCMS），并由CyLon、德勤和安全信息技術中心（CSIT）提供的支持。CyLon首席執行官Nick Morris補充道：“英國的網絡安全生態系統正處于令人激動的發展關鍵期，新冠肺炎疫情帶來了新的挑戰和機遇。網絡跑道計劃將支持英國創新者開發重要安全技術，幫助捍衛我們數字經濟的未來。”