2021年全球十大網絡安全政策法規

隨著全球網絡空間威脅態勢變得更加復雜和嚴峻，網絡安全已穩步上升到全球各國政府的議程，成為數字時代全球政府治理的核心議題之一。2021年各國政府紛紛推出旨在解決威脅個人和組織的網絡安全問題的舉措。

Forrester的安全和風險分析師Steve Turner指出：“政府主導的網絡安全計劃對于解決網絡安全問題至關重要，例如破壞性攻擊、大規模數據泄露、糟糕的安全態勢以及對關鍵基礎設施的攻擊。這些舉措為組織和消費者如何保護自己提供了一致的指導，為沒有知識或金錢手段來保護自己的公司提供服務，可以利用的立法杠桿，對國家黑客采取進攻性行動，最重要的是，對重大網絡事件的調查以及在這些事件期間或之后的關鍵信息共享。”

以下是GoUpSec整理的2021年世界各國政府推出的十大最著名的網絡安全政策法規和舉措：

01中國網絡安全法規條例密集施行

9月1日注定是中國網絡安全歷史上一個重要里程碑，這一天《數據安全法》和《關鍵信息基礎設施安全保護條例》開始施行，此外，工業和信息化部、國家互聯網信息辦公室、公安部聯合印發的《網絡產品安全漏洞管理規定》，也是9月1日開始實施。

萬眾矚目的《個人信息保護法》則定于今年11月1日開始施行。與較早發布的《中華人民共和國網絡安全法》一起，形成了圍繞《中華人民共和國國家安全法》的較為完善的法律體系和頂層設計，全面維護國家安全、網絡安全、數據安全和個人信息權益。

02美國國防部發布網絡安全成熟度模型認證

今年1月，美國國防部(DoD)發布了網絡安全成熟度模型認證(CMMC)，這是在整個國防工業基地(DIB)實施網絡安全的統一標準，其中包括供應鏈中的30多萬家公司。CMMC借鑒并結合了各種網絡安全標準和最佳實踐，映射了從基本到高級網絡安全的多個成熟度級別的控制和流程。

“對于給定的CMMC級別，相關控制和流程在實施后將降低針對特定網絡威脅的風險，”負責采購和維持的國防部副部長辦公室網站上寫道。“CMMC的工作建立在基于信任的現有法規(DFARS 252.204-7012)之上，通過添加與網絡安全要求相關的驗證組件。”CMMC旨在為所有組織提供具有成本效益和負擔得起的費用，授權和認可的CMMC第三方進行評估并向適當級別的DIB公司頒發CMMC證書。

CREST的美國主席Tom Brennan認為：CMMC可能是美國2021年最重要的政府網絡安全計劃。“長期以來，國防部一直告訴DIB承包商，他們必須遵守NIST標準，但與此特定控制相關的認證、執法或審計為零，因此它失敗了。CMMC非常重要，因為它涉及法律評估，以從安全角度測試政府承包商是否按照他們所說的去做，如果他們未能滿足CMMC要求，他們將失去合同。

CMMC也越來越受到網絡安全行業的關注，因為許多審計公司和服務提供商意識到這是一個搖錢樹。

03西班牙政府向網絡安全行業投入4.5億歐元，開設黑客學院

今年4月，西班牙數字化和人工智能國務秘書Carme Artigas透露，西班牙政府將在三年內投資超過4.5億歐元，以促進該國的網絡安全部門。Artigas還宣布為14歲及以上的西班牙居民開設在線黑客學院，以培訓和吸引人才。該培訓計劃于5月3日至6月25日以在線形式運行，數百名參與者參加網絡安全挑戰。

西班牙國家網絡安全研究所(INCIBE)將監督網絡安全支出的新戰略計劃，解決促進該行業商業生態系統和吸引人才、加強個人、中小企業和專業人士的網絡安全以及鞏固西班牙作為國際網絡安全中心。

04拜登發布網絡安全總統行政命令，強推零信任架構

5月，拜登政府發布了一項大膽的網絡安全行政命令，以制定“改善國家網絡安全和保護聯邦政府網絡的新路線”。該文件是在對SolarWinds和Microsoft的重大供應鏈攻擊以及對Colonial Pipeline的勒索軟件攻擊之后發布的。

該行政命令旨在最大限度地減少此類事件的頻率和影響，提出了一系列加強聯邦機構內部網絡安全的建議，包括：

• 消除政府和私營部門之間威脅信息共享的障礙
• 在聯邦政府中現代化和實施更嚴格的網絡安全標準
• 提高軟件供應鏈安全性
• 建立網絡安全審查委員會
• 提高圍繞網絡安全事件的檢測、調查和補救能力。

“網絡安全行政命令迅速要求各機構通過引入零信任架構、增強技術采購、開發軟件物料清單(SBOM)要求、遷移到云等等來實現安全態勢現代化，”特納說。“這將對其他國家和組織產生廣泛的下游影響，因為它將迫使許多與政府有業務往來的供應商和公司采取特定的安全措施，并擁有其他組織能夠掌握的特定數據。”

05澳大利亞政府推出關鍵基礎設施提升計劃

5月，澳大利亞政府推出了關鍵基礎設施提升計劃(CI-UP)，以識別和解決關鍵基礎設施中的漏洞，通過評估現有安全計劃和實施建議的風險緩解策略，幫助提供商提高網絡安全成熟度。模塊化網絡安全計劃向作為ACSC合作伙伴的關鍵基礎設施實體開放，旨在：

• 結合網絡安全能力和成熟度模型(C2M2)和Essential 8成熟度模型，評估具有國家意義的關鍵基礎設施和系統的網絡安全成熟度
• 提供優先的脆弱性和風險緩解策略
• 協助合作伙伴實施建議的風險緩解策略

“隨著對電網和管道等關鍵基礎設施的攻擊越來越多，這是一項非常重要的服務，可以幫助實體快速提高安全狀況，”特納說。

06美國立法者提出美國網絡安全素養法案

6月，眾議院兩黨議員提出了一項關于《美國網絡安全素養法案》的提案，這是一項旨在提高美國互聯網用戶的網絡安全意識和數據安全知識的新立法。該法案目前正在接受眾議院能源和商務委員會的審查，該法案規定美國在促進網絡安全素養方面具有國家安全和經濟利益，并規定通信和信息部助理部長應制定和開展最佳網絡安全素養運動。降低網絡安全風險的實踐。

美國網絡安全素養法案如果獲得通過，將重點關注網絡釣魚的威脅以及每個人都需要盡可能啟用和使用多因素身份驗證(MFA)。”

07法國政府發布網絡攻擊警報系統

7月，法國政府為中小企業啟動了新的預警系統，以在發生網絡攻擊時為其提供支持，告知企業應對事件應采取的行動。該系統由負責數字轉型和電子通信的國務卿Cédric O以及其他高級官員介紹。

根據政府新聞稿，當檢測到對中小型公司特別重要的漏洞或攻擊活動時，國家受害者援助系統和國家安全局會向商業領袖發布簡短易懂的通知。信息系統(ANSI)。然后將其傳送給包括跨專業組織、工商會(CCI)和貿易和手工藝商會(CMA)的領事網絡在內的機構，然后盡可能廣泛地轉發給商界領袖。法國政府認為，信息速度和立即采取行動的能力將使公司能夠更好地保護自己，從而限制網絡攻擊對法國經濟結構的影響。

08英國國防部完成首個漏洞賞金計劃

8月，英國國防部(MoD)宣布完成其首個漏洞賞金計劃。它與HackerOne合作，邀請道德黑客參加為期30天的挑戰，以調查和識別其數字資產中需要修復的漏洞，允許他們直接訪問其內部系統。該計劃旨在幫助國防部更好地保護和捍衛其網絡系統和750,000臺設備，遵循英國政府的新網絡戰略（于3月發布），以增強該國在日益數字化的世界中的網絡實力。

在項目結束時，英國國防部首席信息安全官克里斯汀·麥克斯韋(Christine Maxwell) 表示，國防部已采用安全設計戰略，透明度是確定開發過程中需要改進的領域不可或缺的一部分。“對我們來說，繼續突破數字和網絡發展的界限以吸引具有技能、精力和承諾的人員，這一點很重要，”她補充道。“與道德黑客社區合作使我們能夠建立我們的技術人才平臺，并帶來更多樣化的觀點來保護和捍衛我們的資產。了解我們的漏洞所在并與更廣泛的道德黑客社區合作來識別和修復它們，是降低網絡風險和提高彈性的重要一步。”

同月，國防部還呼吁初創公司設計新一代安全硬件和軟件，以幫助軍方減少網絡攻擊面，為一份為期9個月的合同提供高達30萬英鎊的資金。

09意大利政府成立國家網絡安全機構

8月，意大利議會批準了政府建立一個新的網絡安全機構以打擊針對國家的網絡攻擊的計劃，這是為該國創建安全、統一的云基礎設施的宏大戰略的一部分。意大利政府6月首次宣布，Agenzia per la Cybersicurezza Nazionale (ACN)最初將由300名員工組成，目標是到2027年達到1,000名員工。它將由信息安全部(DIS)副局長羅伯托·巴爾迪尼(Roberto Baldini)領導。其各種目標包括在網絡安全領域行使國家權力機構的職能，提高國家預防、監測、檢測和緩解能力以應對網絡安全事件和網絡攻擊，并為提高信息和通信技術系統的安全性做出貢獻。

Blackberry歐洲、中東和非洲地區副總裁Adam Bangle表示，意大利政府新的國家網絡安全雄心的成功將取決于它能否實現關鍵目標。“首先是安全標準化。建立安全標準和安全軟件開發原則，在整個系統中實行零信任，并確保實施和執行每個安全協議以避免邊界防御中的任何盲點，應該成為任何國家網絡戰略的組成部分。其次，也是最重要的一點，他們必須對網絡安全采取主動、基于預防的安全態勢。”

10英國政府啟動Cyber Runway業務增長計劃

8月，英國政府公布了旨在促進英國網絡安全部門增長的Cyber Runway項目。Cyber Runway將助推全國各地的企業家和企業獲得商業培訓指導、產品開發支持、社交活動以及支持國際貿易和安全投資，以便他們能夠將他們的想法轉化為商業成功。

英國數字基礎設施部長馬特·沃曼(Matt Warman)表示，該項目將解決增長障礙、增加投資，并為公司提供重要支持，以將其業務提升到一個新的水平。“該計劃還將支持來自不同背景的創始人和創新者——針對來自英國網絡領域代表性不足的群體的申請人，例如女性以及來自黑人、亞洲和少數族裔背景的人。”

Cyber Runway旨在在六個月內支持160家公司，由數字、文化、媒體和體育部(DCMS)資助，并得到CyLon、德勤和安全信息技術中心(CSIT)的支持。CyLon首席執行官尼克莫里斯補充說：“英國的網絡安全生態系統正處于發展的關鍵和激動人心的時刻，大流行帶來了新的挑戰和新的機遇。”“Cyber Runway將支持英國的創新者開發關鍵的安全技術，以保護我們數字經濟的未來。”