各國政府正越來越多地關注網絡安全，并積極出臺各項應對網絡威脅的舉措。

[[422633]]

如今，網絡安全已經穩步上升至全球各國政府的重要議程。這也催生了各項旨在解決威脅個人和組織的網絡安全問題的舉措。Forrester的安全和風險分析師Steve Turner表示，政府主導的網絡安全舉措對于解決網絡安全問題至關重要，例如破壞性攻擊、大規模數據泄露、糟糕的安全態勢以及對關鍵基礎設施的攻擊等等。這些舉措為組織和消費者如何保護自身安全提供了統一指導;為缺乏知識和金錢手段保護自身安全的企業提供服務;對采取進攻性行動的民族國家網絡間諜組織，以及最重要的是對重大網絡事件的調查以及調查之后的關鍵信息共享，提供可以利用的立法手段。”

以下是2021年世界各國政府推出的一些最值得關注的網絡安全舉措：

美國國防部發布網絡安全成熟度模型認證

2021年1月，美國國防部(DoD)發布了網絡安全成熟度模型認證(CMMC)，這是在整個國防工業基地(DIB)中實施網絡安全的統一標準，其中包括供應鏈中的300,000多家公司。 CMMC審查并結合了各種網絡安全標準和最佳實踐，映射了從基本到高級網絡衛生的多個成熟度級別的控制和流程。參考整合的各類網絡安全標準包括：

• NIST SP 800-171
• NIST SP 800-171B
• NIST SP 800-53
• NIST CSF V1.1
• CERT RMM V1.2
• CIS Controls
• ISO 270001和ISO 27032
• AIA NAS9933

其他成熟的網絡安全最佳實踐體系(UK NCSC、AU ACSC、FAR等)。

CMMC是建立在現有法規(DFARS 252.204-7012)基礎上的，2015年，美國國防部發布了《國防采辦聯邦法規補充》(稱為DFARS)，該法規要求私人DoD承包商根據NIST SP 800-171網絡安全框架采用網絡安全標準，旨在保護美國國防供應鏈免受國內外網絡威脅，并降低該部門的整體安全風險。

不過，由于DFARS 252.204-7012法規的采用速度過慢，實際效果無法滿足國家級網絡防護的需求，所以國防部又發布了CMMC。除了評估企業實施網絡安全控制措施的成熟度外，CMMC還將更廣泛地衡量企業的網絡安全實踐及安全運營過程制度化的成熟度，以確保適當水平的網絡安全控制和流程得當并已部署就位，更好地保護DoD承包商系統上的受控未分類信息(CUI)。

Mandelbaum Salsburg P.C.的CIO Tom Brennan表示，CMMC可能是美國2021年最重要的政府網絡安全計劃。長期以來，國防部一直告誡DIB承包商必須遵守NIST標準，但與此特定控制相關的認證、執法或審計為0，結局可謂一敗涂地。CMMC不同，它涉及法律評估，可以從安全角度測試政府承包商是否符合CMMC 1、2、3、4 或5級(取決于項目所需的成熟度級別)，如果他們不符合CMMC要求，就無法拿到合同。

如今，CMMC也越來越受到網絡安全行業的關注，因為許多審計公司和服務提供商意識到這是一個“搖錢樹”。

西班牙政府向網絡安全行業投入4.5億歐元，開設黑客學院

2021年4月，西班牙數字化和人工智能國務秘書Carme Artigas透露，西班牙政府將在三年內投資超過4.5億歐元，以促進該國的網絡安全行業發展。此外，該國政府還將為14歲及以上的西班牙居民開設在線黑客學院，以培訓和吸引人才。該培訓計劃于5月3日至6月25日以在線形式運行，吸引了數百名參與者參加網絡安全挑戰。

國家網絡安全研究所(INCIBE)將負責監督這項網絡安全支出的新戰略計劃，大力吸引人才、加強個人、中小企業和專業人士的網絡安全以及鞏固西班牙作為國際網絡安全中心的地位。

美國政府宣布雄心勃勃的網絡安全行政命令

2021年5月，拜登政府宣布了一項大膽的網絡安全行政命令，以制定“改善國家網絡安全和保護聯邦政府網絡的新路線”。該文件是在發生SolarWinds和Microsoft重大供應鏈攻擊以及Colonial Pipeline勒索軟件攻擊事件之后發布的。

該行政命令旨在最大限度地減少此類事件的頻率和影響，并提出了一系列加強聯邦機構內部網絡安全的建議，包括：

• 消除政府和私營部門之間威脅信息共享的障礙;
• 在聯邦政府中實現現代化并實施更嚴格的網絡安全標準;
• 提高軟件供應鏈安全性;
• 建立網絡安全審查委員會;
• 提高圍繞網絡安全事件的檢測、調查和補救能力;
• 該網絡安全行政命令迅速要求各機構通過引入零信任架構、增強技術采購、開發軟件物料清單(SBOM)要求、遷移至云等手段來實現安全態勢現代化。這將對其他國家和組織產生廣泛的下游影響，因為它將迫使許多與政府存在業務往來的供應商和企業采取特定的安全措施，并擁有其他組織能夠掌握的特定數據。

澳大利亞政府推出關鍵基礎設施提升計劃

2021年5月，澳大利亞政府推出了關鍵基礎設施提升計劃(CI-UP)，以識別和解決關鍵基礎設施中的漏洞，通過評估現有安全計劃和實施建議的風險緩解策略，幫助提供商提高網絡安全成熟度。模塊化網絡安全計劃面向作為ACSC合作伙伴的關鍵基礎設施實體開放，旨在：

• 結合網絡安全能力和成熟度模型(C2M2)以及Essential 8成熟度模型，評估具有國家意義的關鍵基礎設施和系統的網絡安全成熟度;
• 提供優先的脆弱性和風險緩解策略;
• 協助合作伙伴實施建議的風險緩解策略;
• 隨著針對電網和管道等關鍵基礎設施的攻擊日益增多，這項計劃的出臺可謂意義重大，可以幫助實體快速提高安全態勢。

美國立法者提出美國網絡安全素養法案

2021年6月，眾議院兩黨議員提出了一項關于《美國網絡安全素養法案》的提案，這是一項旨在提高美國互聯網用戶的網絡安全意識和數據安全認知的新立法。該法案目前正在接受眾議院能源和商務委員會的審查，該法案規定美國在促進網絡安全素養方面具有國家安全和經濟利益，并規定通信和信息部助理部長應制定和開展網絡安全素養最佳實踐活動，以降低網絡安全風險。

事實證明，網絡攻擊的威脅以及采取高效應對措施的必要性是美國政府獲得兩黨一致認同的少數問題之一。《美國網絡安全素養法案》對提高美國公眾認知的關注是正確的。很多時候，我們個人面臨的威脅與公司面臨的威脅是相同的或衍生的。員工個人設備上收到的商業電子郵件妥協(BEC)攻擊數量便證實了這一點。如今，工作和生活之間的界限已經愈發模糊，這也導致針對個人的威脅很可能會危及整個企業。

基于身份的攻擊是美國企業和個人最常見的攻擊類型之一，并且有充分的理由證明——破壞合法身份是繞過個人及其公司實施的安全保護措施的有效方法。因此，令人振奮的是，《美國網絡安全素養法案》如果獲得通過，將重點關注網絡釣魚的威脅以及每個人都需要盡可能啟用和使用多因素身份驗證(MFA)。

法國政府發布網絡攻擊警報系統

2021年7月，法國政府為中小企業啟動了新的預警系統，旨在發生網絡攻擊時為其提供支持，告知企業應對事件應采取的行動。

根據政府新聞稿介紹，當檢測到對中小型公司特別重要的漏洞或攻擊行為時，國家受害者援助系統和國家安全局(ANSSI)會向企業領導者發布簡短易懂的通知。法國政府認為，信息速度和立即采取行動的能力將使公司能夠更好地保護自己，從而限制網絡攻擊對法國經濟結構的影響。

英國國防部完成首個漏洞賞金計劃

2021年8月，英國國防部(MoD)宣布完成其首個漏洞賞金計劃。它與HackerOne合作，邀請道德黑客參加為期30天的挑戰，允許他們直接訪問其內部系統以調查和識別其數字資產中需要修復的漏洞。該計劃旨在幫助國防部更好地保護和捍衛其網絡系統和750,000臺設備，遵循英國政府的新網絡戰略(于3月發布)，以增強該國在日益數字化的世界中的網絡實力。

在項目結束時，英國國防部CISO Christine Maxwell表示，國防部已采用透明設計的安全策略，這是確定開發過程中需要改進的領域不可或缺的一部分。她表示，對我們來說，繼續突破數字和網絡發展的界限以吸引具有技能、精力和信譽的人員，這一點很重要。與道德黑客社區合作使我們能夠建立自己的技術人才平臺，并帶來更多樣化的觀點來保護和捍衛我們的資產。了解我們的漏洞所在并與更廣泛的道德黑客社區合作來識別和修復它們，是降低網絡風險和提高彈性的關鍵步驟。

同月，國防部還呼吁初創公司設計新一代安全硬件和軟件，以幫助軍方減少其網絡攻擊面，待遇是一份為期9個月價值30萬英鎊的合同。

意大利政府成立國家網絡安全機構

2021年8月，意大利議會批準了政府“建立一個新的網絡安全機構以打擊針對國家的網絡攻擊”的計劃，這是該國創建安全、統一的云基礎設施的宏大戰略的一部分。意大利政府6月首次宣布，Agenzia per la Cybersicurezza Nazionale(ACN)最初將由300名員工組成，目標是到2027年發展壯大至1,000名員工。它將由信息安全部(DIS)副局長Roberto Baldini負責領導。其需要實現的各種目標包括，在網絡安全領域行使國家權力機構的職能，發展國家預防、監測、檢測和緩解能力以應對網絡安全事件和網絡攻擊，并為提高信息和通信技術系統的安全性做出貢獻。

Blackberry歐洲、中東和非洲地區副總裁Adam Bangle表示，意大利政府新的國家網絡安全雄心成功與否將取決于它能否實現關鍵目標。他說，首先是安全標準化問題。建立安全標準和安全軟件開發原則，在整個系統中實行零信任，并確保實施和執行每個安全協議以避免邊界防御中的任何盲點，應該成為任何國家網絡戰略的組成部分。其次，也是最重要的一點，他們必須對網絡安全采取主動、基于預防的安全態勢。

英國政府啟動Cyber Runway業務增長計劃

2021年8月，英國政府公布了旨在促進英國網絡安全部門增長的Cyber Runway項目。Cyber Runway將助推全國各地的企業家和企業獲得商業培訓指導、產品開發支持、社交活動以及支持國際貿易和安全投資，從而將他們的想法轉化為商業實踐。

英國數字基礎設施部長Matt Warman表示，該項目將解決增長障礙，增加投資，并為企業提供重要支持，從而將其業務提升到一個新的水平。此外，該計劃還將支持來自不同背景的創始人和創新者，主要針對英國網絡領域代表性不足的群體，例如女性以及來自黑人、亞洲和少數族裔背景的人等。

Cyber Runway項目的目標是在六個月內支持160家公司，由數字、文化、媒體和體育部(DCMS)資助，并得到CyLon、德勤和安全信息技術中心(CSIT)的支持。如今，英國的網絡安全生態系統正處于發展的關鍵時刻。疫情大流行帶來了新的挑戰和新的機遇，Cyber Runway項目將支持英國的創新者開發關鍵的安全技術，以保護其數字經濟的未來。

本文翻譯自：https://www.csoonline.com/article/3630632/9-notable-government-cybersecurity-initiatives-of-2021.html如若轉載，請注明原文地址。