2022 年,受俄乌冲突的刺激,美、英、俄、澳等国纷纷加强网络安全建设,出台各层级网络战略规划,完善网络安全国家体系,以立法推动芯片等网络安全相关技术研发,制定覆盖整个供应链的网络安全流程,扩充网络部队和网络机构,增加网络预算,积极开展军民联合/多国联合的网络演习,以及加强网络安全国际合作,以期在更加险恶的网络安全形势下维持网络优势地位或保障本国网络安全。
1 多国颁布战略规划,谋划网络发展路线
2022 年,美国国防部、陆军、海军、空军、国防信息系统局和网络安全与基础设施安全局等部门相继颁布战略规划,这些战略虽各有侧重,但或多或少都把向云迁移、数据管理和零信任架构作为近期重点推进的技术方向,同时鼓励出台激励政策以加强网络人才建设。除美国外,英国也接连颁布多份网络战略,以指导各部门加强政府机构和关键基础设施的网络安全水平。
1.1 英国政府发布《2022 年国家网络战略》
2 月,英国政府发布更新版《2022 年国家网络战略》,以强化英国的网络空间安全和维护英国在网络空间内的利益。
该战略明确了英国未来五年的五大优先事项(该战略中亦称“支柱”),并详细阐述了每一“支柱”的具体目标。这些“支柱”包括 :1)加强英国的网络生态体系,加大对网络人才和网络技能的投资,并深化政府、产业界和学术界之间的伙伴关系;2)建设具备网络弹性且繁荣的“数字英国”,降低网络风险,使企业最大限度地利用数字技术获取经济利益;3)在重要的网络技术方面处于领先地位,并建立为未来技术提供保障的各种框架 ;4)借助网络提升英国的全球领导地位和影响力,建立更加安全、繁荣和开放的国际秩序 ;5)检测、干扰和威慑英国的对手,由此加强英国的网络空间安全。除此之外,该战略还简要介绍了 NCSC、国家网络部队(NCF)和国家网络犯罪处(NCCU)等英国最主要的网络相关机构。
该战略将指导英国政府未来五到十年内的网络规划,并进一步加强英国公共部门和私营部门在网络领域的接触与合作。
1.2 英国政府发布《政府网络安全战略:2022 至 2030 年》
2 月,英国政府发布更新版《政府网络安全战略 :2022 至 2030 年》,以指导政府各部门、尤其是关键部门如何抵御网络攻击和改善网络弹性,从而提升英国在网络空间内的地位。
该战略指出,英国政府近期在网络领域有两大核心任务:为各机构的网络弹性奠定坚实基础,以及加强政府各部门之间的网络合作。任务目标则包括管理网络安全风险,防范网络攻击,检测网络安全事件,最大限度地减少网络安全事件的影响,以及培养正确的网络安全技能、知识和文化。该战略还详细阐述了实现每一目标的具体方式、衡量标准和落实途径。
与同期发布的《2022 年国家网络战略》相比,《政府网络安全战略 :2022 至 2030 年》更加务实和具体,而英国政府要想实现后者的目标,关键就在于各主管部门能否评估和掌握辖下公共和私营机构的网络安全态势。
1.3 英国政府发布《2022 年民用核网络安全战略》
5 月,英国商业、能源与行业战略部发布《2022 年民用核网络安全战略》,以进一步加强英国民用核行业的网络安全态势。
该战略概述了英国民用核行业应在 2026 年前实现的四项关键目标 :1)在了解普遍性风险并实施以结果为中心的监管的背景下,采取全局性的风险管理方法,并在该方法中酌情优先考虑网络安全 ;2)在考虑到变化中的威胁、过去的挑战和新技术应用情况的背景下,民用核行业及其供应链应主动采取措施来减轻网络风险 ;3)全行业共同为各种网络事件做好准备并迅速响应,以此提高行业的网络弹性,从而尽量减轻网络事件的影响和缩短事后的恢复时间 ;4)全行业共同提高网络成熟度、培养网络技能并推动安全至上的网络文化。
为实现这些目标,该战略提出采取以下行动 :1)对英国民用核行业的关键 IT 和运营技术(OT)系统进行网络对抗模拟(CyAS)评估及其它威胁背景下的测试 ;2)为民用核供应链确立网络安全基本标准 ;3)与NCSC 共同开展覆盖全行业的实时网络事件响应演习,且高层决策者还应另行演练专项计划 ;4)全行业就第三方的保证和管理展开合作 ;5)与先进核技术的开发者进行合作,以便在设计上就满足网络安全需求。成员包括核行业高层决策者在内的“网络安全监督组”(CSOG)将负责落实这一战略。
1.4 澳大利亚启动 REDSPICE 计划以增强网络战能力
3 月,澳大利亚情报机构澳大利亚信号局(ASD)启动了名为“弹性、效果、防御、空间、情报、网络”(REDSPICE)的计划,以增强澳大利亚的网络战能力。
REDSPICE 本质上是 ASD 的发展规划,澳大利亚政府预计将在 10 年内为 REDSPICE 计划提供 99 亿澳元的经费,其中前 4 年的经费为 42 亿澳元。REDSPICE 计划预计将使澳大利亚的网络攻击能力提高三倍,“数字追猎”(digital hunting)活动的数量增加一倍,开发出更先进的人工智能和机器学习技术,并使 ASD 在全球各地的活动范围扩大四倍。为实现这些目标,ASD 还将在布里斯班、珀斯和墨尔本招收 1900 名新员工。
澳大利亚国防部表示,REDSPICE 计划将为澳方提供新的网络情报、网络防御和网络反击能力,从而确保澳大利亚的网络战能力始终不输于其潜在对手的发展水平。
1.5 美国国会推动网络威胁情报共享计划
6 月,美国众议院军事委员会在其修订过的《2023 财年国防授权法案》草案中提出创建“网络威胁环境协作项目”,以帮助联邦机构和私营企业更好地共享数字威胁情报。
该项目要求国土安全部长、国防部长、国家情报总监和国家安全局局长着手建立某种信息协作环境,以使各机构能够识别、减轻和防止恶意网络活动。该环境将包括一个查询和分析平台,有权访问的用户能通过该平台了解与网络安全风险和网络安全威胁有关的运营数据,比如恶意软件的取证信息和来自网络传感器程序的数据等。
“网络威胁环境协作项目”的原型是网络空间日光浴委员会(CSC)提出的“联合协作环境”,其目标是改善联邦机构和私营公司之间的信息共享,而参议院军事委员会不久前已批准了相关政策的路线图草案。
1.6 美国空军发布《首席信息官战略》草案
8 月,美国空军发布《首席信息官战略》草案,其中概述了 2023 至2028 财年间空军在 IT 领域的优先事项。
该战略确立了以下六大工作方向 :1)加大云服务的使用力度,以利用全球范围内的分布式云计算能力快速部署强大的业务和任务功能 ;2)创建并持续增强安全且有弹性的数字环境,以保护空军的数据和关键资产免受威胁 ;3)通过劳动力政策为人才提供权限、设备和绩效激励,以确保所有人都有机会作出贡献 ;4)按照物尽其用的原则管理 IT 资产,淘汰昂贵且冗余的能力,并订立物美价廉的企业级协议 ;5)为空军和太空军提供任务所需的网络、设备以及数字工具和数据 ;6)将自动化、分析工具和人工智能融入系统设计,使所有人员都能轻松访问决策和行动所需的数据。
该战略希望在整个空军范围内协调相关工作,以便始终根据作战人员的要求提供信息,甚至在不久的将来将杀伤链的准备时间从数小时缩短至数秒钟。
1.7 美国国防信息系统局发布《数据战略实施计划》
8 月,美国国防信息系统局(DISA)发布《数据战略实施计划》,以改善其数据集成与利用能力、信息技术和网络能力。
该计划描述了信息架构和数据管理的现代方法,概述了组织活动所需的工作流程,阐明了未来的活动,并确定了 DISA 的下一步工作。
具体而言,该计划确立了四大工作方向 :1)推动数据架构和治理,为此 DISA 将开展适当的数据管理,以确保数据是可发现、可访问、可理解、可链接、可信赖、可互操作和安全的,从而为作战人员提供关键优势;2)采用先进分析流程,为此 DISA 将采用预测模型、机器学习算法、业务流程自动化及其它统计方法来分析各种来源的数据,以消除“信息孤岛”,并以敏捷且可扩展的方式将信息告知决策者,从而通过改善决策过程的速度和准确性来提高响应能力 ;3)建立数据驱动型文化,为此 DISA将从根本上转变机构文化,重新界定机构与数据的关系,重视所有数据的内在价值,建立将数据保持在决策过程中心的环境 ;4)实践知识管理,为此 DISA 将确保在整个机构中有效传达机构领导人的意图,使员工可以轻松获取权威数据和信息,并提供快速更新和分发数据与信息的流程,从而提升 DISA 在辅助决策方面的作用。
DISA 强调,IPlan 的目标是改善该机构将数据作为战略资产的能力,而这与 DISA 2022 至 2024 财年战的战略规划相一致。
1.8 美国网络安全与基础设施安全局发布战略规划
9 月,美国 CISA 发布《CISA 2023 至 2025 年战略规划》。该战略规划立足于美国 DHS 的《2020 至 2024 财年战略规划》,并阐明了 CISA 的愿景:保护美国关键基础设施的安全和弹性。
该战略规划的重点是尽量减少针对关键基础设施之系统和网络的渗透、利用或破坏行为所带来的影响,为此 CISA 将积极寻找网络威胁,并与网络安全社区合作,以更好地披露和修复关键漏洞。该战略规划指出,CISA 担任着 8 个关键基础设施行业的行业风险管理机构(SRMA),其需要协助相关机构识别和管理风险,并开放 CISA 的能力和资源,以支持其它 SRMA 的安全工作和网络弹性工作。该战略规划希望扩大基础设施、系统和网络风险的可见性,同时提高 CISA 的风险分析能力和方法,以及 CISA 在安全与风险缓解方面的指导和影响力。该战略规划最后表示,CISA 必须作为一个机构统一起来,以简化现有运营,采用敏捷的新技术,并及时为客户提供现代和安全的服务。
CISA 将按照该战略规划来加强网络防御、提高弹性、建立和发展关键伙伴关系以及培养其员工队伍。
1.9 美国陆军发布《2022 年陆军云计划》
10 月,美国陆军发布了《2022 年陆军云计划》,该计划取代了《2020年陆军云计划》,以推动陆军的数字现代化工作和进一步将关键服务整合到全陆军的云环境中。
该计划列出了以下七大战略目标 :1)扩展云服务 ;2)落实零信任架构;3)实现安全、快速的软件开发;4)加速数据驱动型决策;5)加强云运营 ;6)发展云劳动力 ;7)改善成本透明度和问责机制。除此之外,该计划还提供了路线图和衡量工作进展的指标,以帮助陆军实现上述目标,在与对手的竞争中保持数字优势,实现全球云架构,以及达成可持续的战略目标。
美国陆军认为云是陆军现代化的基础,而此前陆军的企业云管理局已在保密和非密环境下使用过云服务 cARMY,其经验为陆军广泛运用云服务铺平了道路。
1.10 美国海军发布《网络空间优势愿景》
10 月,美国海军发布《网络空间优势愿景》,以指导海军赢得网络空间优势和改善海军的网络态势。
该愿景提出了三大原则:安全、生存和打击。具体而言,就是加强信息技术、网络、数据、关键基础设施、平台和武器系统的网络安全;训练培训水手、海军陆战队、平民和承包商在断网等恶劣网络环境下维持行动、快速响应和恢复网络的能力;海军和海军陆战队应能在网络空间开展防御前置行动,从而在指挥官指定的时间和位置夺取网络空间优势。
按照该愿景的设想,这三个因素应能彼此协同,产生一加一加一大于三的效果。此外该愿景也有助于确保有关方面向海军交付可用的数据及其它关键的网络安全工具。
1.11 美国国防部发布《国防部零信任战略》
11 月,美国国防部发布《国防部零信任战略》和配套路线图,以指导国防部各部门未来五年的网络安全工作和投资方向。
为指导国防部实现零信任愿景,该战略的重点是从较高的层面提出了以下四项综合性战略目标 :1)推行零信任文化 ;2)保障和保护国防部信息系统;3)技术加速;4)零信任赋能。此外该战略还围绕用户、设备、网络与环境、应用程序和工作负载、数据、可见性与分析工具以及自动化与编排这七大“支柱”,概述了零信任架构应具备的 45 项独立能力(包括用户清单、联合身份凭证、访问管理方案、端点检测与响应工具以及软件定义型网络等),以便国防部根据这些能力的状况来考察零信任建设的进展。
该战略希望最终能建立起覆盖整个国防部信息网络(DODIN)的零信任网络安全框架,从而减少 DODIN 的攻击面,改善合作环境下的风险管理和数据共享,以及迅速遏制对手的恶意活动并修复其造成的损害。
2 密集出台政策法规,补强网络安全短板
2022 年,在大国竞争的背景下,美国密集出台涉及网络安全的政策法规,其中的重中之重是补强芯片产业和网络事件报告制度等安全短板,以此降低美国的网络安全风险。除此之外,各方也在汲取俄乌网络战和认知战的经验教训,俄罗斯出台政策加强本国网络的独立自主,欧盟则希望通过打击虚假信息来遏制俄方的舆论影响力。
2.1 美国参议院通过《加强美国网络安全法案》
3 月,美国参议院通过《加强美国网络安全法案》,以加强美国的网络安全。
该法案由《网络事件报告法案》、《2021 年联邦信息安全现代化法案》和《联邦安全云改进和就业法案》三项网络安全法案合并而成,其要求关键基础设施所有者和运营商在遭受重大网络攻击后的 72 小时内,以及支付勒索软件赎金后的 24 小时内,向 CISA 上报网络事件。此外该法案还提出了一揽子网络安全计划,包括改善联邦机构之间的协调,要求政府采取给予风险的网络安全方法,授权联邦风险和授权管理计划(FedRAMP)确保联邦机构能够采用基于云的技术,要求所有民间机构向 CISA 上报所有网络攻击,以及为 CISA 提供额外的权力,以确保该机构能有效应对政府文职机构的网络安全事件。
该法案若能成为法律,则将有助于确保银行、电网、供水和交通系统等关键基础设施能在网络遭到破坏后迅速恢复。该法案现已提交美国众议院做进一步审议。
2.2 美国总统签署《2022 年关键基础设施网络事件上报法案》
3 月,拜登总统签署《2022 年关键基础设施网络事件上报法案》(CIRCIA),使该法案成为正式法律。
在 CIRCIA 中,最重要的条款是要求运营关键基础设施的公司在发生网络事件后的 72 小时内上报事件,以及在支付勒索软件赎金后的 24 小时内上报此类事件。CIRCIA 并未详述许多重要的法律细节,而是由 CISA制定具体规则。举例来说,CISA 应阐明“涉事机构”、“相关网络事件”、必要的通知内容、数据保留义务和补充报告的具体概念和范围。
尽管已经完成立法,但 CIRCIA 不会立即生效,而是由 CISA 在颁布CIRCIA 后的 24 个月内或 2024 年 3 月制定相关上报规则。
2.3 俄罗斯建立本国数字证书机构以应对制裁
3 月,受西方制裁的影响,许多俄方网站因“传输层安全”(TLS)证书过期而无法访问,为此俄罗斯建立了本国的 TLS 证书机构(CA)。
TLS 证书的作用是帮助浏览器确认用户访问的域属于经过认证的机构,且用户与服务器之间的信息交换是加密的。一旦 TLS 证书过期,Chrome、Safari、Edge 和 Firefox 等主流浏览器就会警告用户,促使用户离开网站。当前西方政府和企业因俄乌冲突而对俄罗斯实施制裁,导致众多俄方网站无法更新 TLS 证书,以至于用户难以访问这些网站。鉴于此,俄罗斯联邦数字发展部建立了本国的 CA,以便向俄方网站发布完全免费的 TLS 证书。
不过俄罗斯的 TLS 证书仅自动适用于俄方公司开发的 Yandex 浏览器,其它浏览器则需用户手动添加证书。此外西方网络安全人士也怀疑俄方会利用此类证书来监视用户或发起中间人攻击。
2.4 俄罗斯批准《保护关键信息技术基础设施国家政策基本原则》
5 月,俄罗斯联邦安全委员会批准了《保护国家关键信息基础设施的国家政策基本原则》草案。
该草案明确了在俄罗斯 IT 部门实施国家政策的目的、目标和机制,特别是计划通过使用国产信息技术来提高关键信息基础设施的安全水平。草案还规定创建有竞争力的电子元件基地和高科技企业,以发展用于检测、预防和消除计算机攻击后果的国家系统。
俄罗斯总统普京提出了落实该草案的三项关键任务 :1)不断完善和调整与国防能力以及经济和社会稳定发展息息相关的关键设施领域的信息安全保障机制 ;2)提高国家机构信息系统和通信网络的安全性,减少公民信息和个人数据泄露的风险 ;3)从根本上降低采用外国程序、计算机技术和电信设备所带来的风险。
2.5 美国总统签署两份推进量子技术的总统指令
5 月,美国总统拜登签署两份关于推动量子信息科学(QIS)的总统指令,以便为美国继续在 QIS 领域发挥领导作用奠定基础。
第一份指令是一项行政命令,该命令要求加强国家量子倡议咨询委员会,即指示该委员会接受白宫的直接领导,以确保总统、国会、联邦政府机构以及公众及时获得准确的 QIS 信息,进而协助美国制定相关政策和获取技术优势。
第二份指令是一份国家安全备忘录,该备忘录概述了本届政府将如何处理量子计算机对美国网络安全构成的风险,具体包括以下几个方面:1)由联邦机构制定覆盖全社会的方法,以促使所有美国人都能从 QIS 中受益;2)推动联邦政府与私营部门之间的合作 ;3)为联邦机构制定更新密码系统的相关要求 ;4)制定综合性计划,以避免美国的量子技术遭到盗窃或滥用。
2.6 欧盟发布打击虚假信息的行为准则
6 月,欧盟发布了新版网络内容监管行为准则,以推动网络平台更积极和系统性地打击虚假宣传、封杀传播虚假信息的账户以及加强事实核查。
新版行为准则包含约 40 项承诺(大约是 2018 版本行为准则的两倍),并添加了衡量承诺履行情况的指标。尽管新版行为准则仍属自愿性准则,但“脸书”母公司 Meta、“推特”、微软公司和 TikTok 公司等诸多社交媒体巨头都参与起草了新版行为准则,因此预计这些公司将遵守这些准则。
需要指出的是,《欧盟数字服务法案》(DSA)要求大型网络平台(即在欧盟拥有至少 4500 万用户的平台)降低与虚假信息有关的风险,否则将面临高达全球营业额 6% 的罚款,而遵循上述行为准则正是 DSA 所要求的“风险缓解”措施之一。
2.7 美国总统签署芯片产业发展法案
8 月,美国总统拜登签署《推动美国生产半导体的激励措施(CHIPS)与科学法案》(简称 CHIPS+ 法案),使该法案成为正式法律。
为促进美国在半导体领域的研究、开发和制造,CHIPS+ 法案将向半导体供应链中的制造商提供大量发展机遇机会和经济鼓励。具体而言,该法案将向“美国 CHIPS 基金”提供 500 亿美元,以资助半导体、半导体材料和半导体制造设备的生产 ;向“美国国防 CHIPS 基金”提供 20 亿美元,以便国防部建立研发新型微电子材料和设备的国家网络,以及加快新技术的商业应用;向“美国国际技术安全与创新 CHIPS 基金”提供 5 亿美元,以便国务院、进出口银行和国际开发金融公司等机构与外国政府进行协调,从而支持信息与通信技术安全方面和半导体供应链方面的合作;向“美国劳动力与教育 CHIPS 基金”提供 2 亿美元,以便为半导体领域的关键性企业培养人才。另外该法案也为美国国内的半导体制造投资提供了最高达 25% 的税收抵免优惠。
除此之外,为维持美国在半导体领域的技术优势,CHIPS+ 方案还禁止中国、俄罗斯、伊朗或朝鲜机构投资美国的半导体产业或半导体技术研发。
2.8 美国陆军启动士兵自带设备入网试点
9 月,美国陆军启动“自带设备”(BYOD)概念的试点工作,即允许士兵将他们的个人通信和 IT 设备连接至陆军网络。
随着远程办公理念的普及,美国陆军开始尝试允许官兵用个人设备开展工作,以进一步推动陆军的 IT 现代化。整个陆军将有 2 万名用户参与此次“自带设备”试点,其中包括 5 千名陆军国民警卫队成员,5 千名陆军预备役人员,以及 1 万名现役官兵和陆军文职人员。试点前陆军已根据零信任原则对安全权限进行了分级,并对整个过程中都进行了网络安全评估。在此次试点中,用户登录的是国防部托管在云中的虚拟化环境cARMY,其数据也存储在云端而非个人设备上,因此网络安全风险很低,用户也无需将个人设备交由陆军管理。
美国陆军希望“自带设备”概念能够提高作战效率并节省资金,并希望在未来两到三年内,陆军能完全通过虚拟桌面基础设施(VDI)来远程处理保密和非密工作。
2.9 欧洲议会批准新版网络安全指令
11 月,欧洲议会批准了简称“NIS2 指令”的新版网络安全指令。NIS2 指令将取代欧盟现行的网络与信息系统安全指令(简称“NIS 指令”,编号 2016/1148/EC),其目标是改善欧盟内部的网络安全水平,并促进欧盟成员国之间的网络安全协作。
NIS2 指令要求欧盟成员国实施更严格的新版网络安全规则,特别是必须确保所辖范围内的各机构针对一系列特定事项(包括事件处理、业务连续性、供应链安全、加密、访问控制、多重认证以及漏洞的处理和披露等)采取适当的网络安全措施。NIS2 指令还要求有关机构遵守新的事件通报要求,其中包括在得知发生重大事件后的 24 小时内提交“早期警报”,继而在 72 小时内发布事件通报。此外 NIS2 指令也要求欧盟各成员国建立更好的网络合作与信息共享框架,并创建一个欧洲的漏洞数据库。
值得注意的是,与之前的 NIS 指令相比,NIS2 指令扩大了受各类网络安全法规管辖的机构范围,将社交媒体、网上购物、网络搜索引擎和云计算服务等行业的机构也纳入其中。
2.10 加拿大制定《网络安全法》以保护关键基础设施
6 月,加拿大政府提出了一项新法案,以加强加拿大在金融、电信、能源和运输行业的网络安全。
该法案名为《网络安全法》(ARCS),其将允许加拿大政府指定对国家安全或公共安全至关重要的服务和系统,明确负责保护它们的运营商或运营商类别,并确保被指定的运营商为支撑加拿大关键基础设施的网络系统提供保护。该法案还规定了有关方面需要上报达到或超过特定阈值的网络事件,强制要求有关单位采取措施以应对发现的网络安全威胁或漏洞,并提供了跨行业的网络安全措施。此外该法案还扩大了网络威胁信息共享的范围,赋予总督议会(GIC)发布网络安全指示(CSD)的权力,并将加强私营部门与政府之间的合作。
按照加拿大国防部长的说法,ARCS 将有助于在日益复杂的数字环境中进一步保护加拿大的关键基础设施。
2.11 印度发布新版《数字个人数据保护法》草案
11 月,印度政府近日发布了新版《数字个人数据保护法》草案,这是印度政府自 2018 年 7 月以来第四次更新该法草案。
印度的《数字个人数据保护法》旨在保护个人数据,其要求网络公司在收集个人数据时,应以“清晰明了的语言”描述所收集信息的确切类型和收集目的,并征求用户同意。该法草案还规定了数据最小化要求以及网络公司必须采用的额外防护措施,以免有人越权收集或处理个人数据。此外值得注意的是,该法草案不再强制要求数据本地化,而是允许科技巨头将个人数据转移到印度之外的特定国家和地区。最后该法草案要求印度政府组建数据保护委员会,以监管相关合规情况。
印度政府表示,该法案将建立管理数字个人数据保护的综合法律框架,而若有公司因未采取法定措施而造成数据泄露,则可能产生高达6130 万美元的罚款。
3 相继发布标准指南,形成全面安全流程
2022 年,为顺应政府和军队向云迁移的总体趋势,美国网络安全与基础设施安全局相继发布两份涉云指南,以指导有关部门将数据和服务安全迁移到云环境中。同时鉴于关键基础设施和软件供应链的网络安全问题越发严峻,美国国家安全局等机构也发布相关指南,希望能在设施和软件的整个寿命周期内贯彻网络安全理念。
3.1 美国国家安全局发布《网络基础设施安全指南》
3 月,美国 NSA 发布《网络基础设施安全指南》,其中提供了保护网络基础设施的最佳做法。
该指南侧重于指导用户设计和配置网络基础设施,以防范当前网络上的常见漏洞和弱点。举例来说,该指南建议用户加强外围和内部网络防御,以改进整个网络的监控和访问控制。虽然现有的网络可能已或多或少采用了该指南推荐的配置和设备,但网络管理员仍可对照该指南来确定今后强化网络安全的优先事项。
该指南强调,网络环境会随着新技术和新漏洞的出现而发生变化,因此任何网络都无法完全消除网络安全风险。但网络管理员若能积极采纳该指南的建议,则能大大降低网络安全风险及其影响。
3.2 美国国家标准与技术研究院发布新版供应链网络安全指南
5 月,美国国家标准与技术研究院(NIST)发布更新版《面向系统和组织的网络安全供应链风险管理做法》(简称“C-SCRM 指南”),以帮助各类机构制定行之有效的计划来识别、评估和应对整个供应链中的网络安全风险。
C-SCRM 指南详述了供应链可能产生的风险,企业与供应链之间的关系,在采购或操作第三方技术时如何确保安全,如何将供应链网络安全风险管理理念整合到企业的风险管理之中。该指南建议各组织不仅应考虑所用产品的安全漏洞,也应该追溯该产品的各个部件及其来源是否安全。此外该指南也鼓励网络安全专家、网络风险管理人员和系统工程师等人士参考该指南来采购 IT 产品。
NIST 指出,C-SCRM 指南主要面向各类产品、软件及服务的采购方和终端用户,若有机构尚未着手管理供应链的网络风险问题,该指南则可帮助其从头建立起一套完整的供应链网络安全风险管理体系。
3.3 美国网络安全与基础设施安全局发布云应用指南
6 月,美国 CISA 发布《可信互联网连接(TIC)3.0 版云用例》指南的征求意见稿,以指导在云环境中运营的机构加强网络安全水平。
该指南涵盖了“基础设施即服务”(IaaS)、“平台即服务”(PaaS)、“软件即服务”(SaaS)及“电子邮件即服务”(EaaS)产品和服务,并概述了面向联邦政府机构的安全模式、适用的安全功能和遥测要求,以及云安全技术参考架构中的共享服务模型和云安全态势管理原则等注意事项。CISA 强调,该指南的着眼点是云托管服务,而不是访问此类服务的客户端。
TIC 是美国联邦政府的一项网络安全计划,旨在保护联邦数据、网络和边界,以及改善各机构网络流量(包括云通信流量)的可见性。
3.4 美国网络安全与基础设施安全局发布云安全技术参考架构
6 月,美国 CISA 发布《云安全技术参考架构》(CSTRA)指南,以指导联邦政府的文职机构安全地迁移到云环境中。
CSTRA 指南由 CISA、美国数字服务局(USDS)和“联邦风险与授权管理项目”团队共同编写,其阐明了共享服务、云迁移和云安全态势管理的注意事项,并从基础层面指导各机构如何更安全地使用公共云环境,以及指导联邦政府如何更好地识别、检测、防范、处理网络事件并从中恢复过来。
CISA 指出,CSTRA 是推动联邦政府各机构向云环境过渡的关键一步,而尽管 CSTRA 的目标受众是联邦机构,但所有使用云环境或向云环境迁移的组织都应参考 CSTRA 指南中的建议来管理组织风险。
3.5 德国联邦信息安全办公室发布太空网络安全标准
7 月,德国联邦信息安全局(BSI)发布《太空基础设施的 IT 基准保护配置》标准,以明确卫星等航天器的基本网络安全要求。
该标准由德国航天局、BSI 及空中客车防务与航天公司联合发布,其将航天器的网络安全要求划分为“正常”、“高”和“非常高”三个等级,其中“正常”要求意味着航天器应能抵御有限且可控的网络攻击,“高”要求意味着航天器应能抵御严重限制卫星系统运行的网络攻击,“非常高”要求意味着航天器应能抵御可能导致卫星系统关闭并对系统运营商或制造商造成灾难性影响的网络攻击。从阶段上看,该标准涵盖了从设计、测试、运输、调试运行到最终退役的整个航天器生命周期;从对象上看,该标准则涵盖了航天器本身以及用于支持航天器的网络和应用程序等。
不过该标准也强调,鉴于 IT 技术的快速发展和航天器的复杂程度,即使标准中的所有要求都得到满足,也无法保证彻底消除网络安全风险。
3.6 英国国家网络安全中心发布人工智能安全指南
8 月,英国 NCSC 发布《机器学习安全原则》指南,以帮助开发人员及其他人员消除机器学习(ML)系统中的漏洞。
ML 是人工智能领域的主流技术之一,该指南则可帮助开发、部署和淘汰 ML 系统的人员从以下角度弥补此类系统的薄弱环节 :1)避免训练数据遭到攻击者的操纵;2)增强开发人员对 ML 模型运行逻辑的理解;3)改善验证 ML 模型的能力;4)防止攻击者通过逆向工程重建 ML 模型及其训练数据;5)减轻因 ML 模型持续学习而产生的安全评估负担。
NCSC 指出,目前已有黑客组织使用对抗性机器学习(AML)技术来攻击 ML 系统或其它人工智能系统,而该指南则有助于减轻 AML 造成的威胁。
3.7 美国政府机构联合发布软件供应链安全指南
9 月,美国 NSA、CISA 以及国家情报总监办公室(ODNI)联合发布《为开发人员保护软件供应链》指南,以应对美国关键基础设施面临的高优先级威胁。
该指南由“持久安全框架”(ESF)软件供应链工作组制定,其指明了软件开发人员保护其软件所需的资源,并从保护产品标准与管理、开发安全的代码、验证第三方组件、维护开发环境和交付代码的角度,给出了 IT 领域关于保护软件安全的最佳做法。此外该指南还建议实施自上而下的软件安全管理体制,以及使用自动化工具来帮助开发人员保护软件开发环节。
该指南只是 ESF 软件供应链安全指南的第一部分,之后 ESF 工作组还将编写面向软件供应商和软件客户的此类安全指南。
3.8 美国政府机构联合发布联邦机构 DDoS 攻击指南
10 月,美国 CISA、FBI 和多州信息共享与分析中心(MS-ISAC)发布《了解和应对分布式拒绝服务攻击》指南,以帮助各类组织减轻 DDoS攻击的可能性和后果。
该指南先阐述了 DDoS 攻击的概念和类型,然后分别就 DDoS 攻击的事前、事中和事后措施提出了建议。具体来说,DDoS 攻击发生前,组织应明确其关键资产和服务,了解用户如何连接到网络,启用 DDoS 防护服务,并与互联网服务提供商(ISP)和云服务提供商展开合作,以了解专用的边缘网络防御,审查系统 / 网络设计,以及制定组织的 DDoS 响应计划等 ;发生 DDoS 攻击时,组织应联系 ISP 等方面的技术人员,监控其它网络资产,并向 ISP 提供攻击方的 IP 地址,以便 ISP 的防火墙阻止相关流量 ;DDoS 攻击发生后,组织应监控其它网络是否遭受第二轮攻击,更新 DDoS 响应计划,并建立常规网络活动基线,以便日后判断是否遭受了DDoS 攻击。
该指南虽无法帮助各组织彻底避免 DDoS 攻击,但若遵循该指南的建议,则有助于减少 DDoS 攻击造成的时间、经济和声誉损失。
3.9 美国网络安全与基础设施安全局发布关键基础设施网络性能目标
10 月,美国 CISA 发布一组面向关键基础设施的网络安全绩效基本目标,其中涵盖了身份、设备、网络安全以及运营技术系统、事件响应、网络培训、治理和安全采购等方面的指导方针,运营商可在自愿基础上对照这组目标开展工作。
为有效应对网络安全风险,这组目标包含了广泛适用于所有行业的网络风险削减措施。这些措施多种多样,其中既包括多重认证和密码强度等基础知识,也包括“尽可能使运营技术资产远离公共互联网”等具体措施。在发布上述目标的同时,CISA 也随之发布了一个用于讨论的网页,以征求针对特定行业关键基础设施的网络安全建议和意见。
此次 CISA 提出的目标是 2021 年《总统国家安全备忘录》的产物,而该备忘录要求 DHS 为关键基础设施制定各行业的绩效目标。CISA 建议所有行业的每家关键基础设施运营商都设立一个全权负责网络安全的领导人,并将在未来几个月内与关键基础设施合作方继续制定特定行业的网络安全目标。
3.10 国际组织 AMTSO 发布物联网安全指南
8 月,反恶意软件测试标准组织(AMTSO)发布《物联网安全产品测试指南》,以便测试人员和厂商检测物联网安全产品的功能和效率。
该指南围绕以下六个方面提出了建议 :1)在一般原则方面,该指南要求凡是针对物联网安全产品的测试,都应侧重于验证最终结果和保护效果,而不是产品的后台功能 ;2)在样本选择方面,该指南将指导用户如何选择正确的样本来建立安全基准 ;3)在检测方式方面,该指南建议使用可由测试人员控制的管理控制台或已知设备发动网络攻击 ;4)在测试环境方面,该指南建议尽量使用使用真实设备在可控环境下开展所有测试 ;5)在安全功能测试方面,该指南分别针对侦察、初始访问和执行等不同攻击阶段提出了建议 ;6)在确立性能基准方面,该指南提出了区分各种用例等注意事项。
AMTSO 是由全球 60 多家安全与测试公司组成的国际组织,其此次发布的指南是首份专门针对物联网安全产品的行业指南,将有助于保护在敏感环境中使用的物联网设备。
4 扩充网络机构,加紧强化攻防能力
2022 年,为适应大国竞争的需要,美国建设网络攻击部队的力度不断加强,其中美国陆军表现得最为积极。同时为维持网络空间的技术优势,美国也在积极推动研究机构和重点企业围绕量子和 5G 等新兴技术建立研究联盟,以便通过信息、技术和资源共享来降低研发成本,加快研发进度,从而继续掌控网络空间的技术制高点。
4.1 美国空军组建信息战训练特遣队
3 月,美国空战司令部宣布组建一支信息战训练与研究特遣队,以改善空军人员的行动能力。
该特遣队将隶属于驻奥夫特空军基地(Offutt Air Force Base)的第 55联队,并与第 67 网络空间联队共同驻扎在圣安东尼奥联合基地(Joint Base San Antonio)。在美国空军看来,未来大多数作战都将在信息环境下和电磁频谱中开展,因此数字领域的攻防对确保空军战斗力至关重要。为此,该特遣队将围绕信息战开展各项训练与研究活动,以满足空军的战略需求。
近年来,包括空战司令部和空军研究实验室在内的机构一直在设法提升美国空军的信息战能力,为此美国空军已组织了 22 次以信息战为重点的演训活动,并于 2019 年组建了第 16 航空队,从而首次将网络、电子战、信息行动和情报整合到同一单位下。
4.2 美国务院成立网络空间和数字政策局
4 月,美国国务院宣布成立网络空间与数字政策(CDP)局,该局将负责领导和协调国务院在网络空间和数字外交方面的工作,并协助保护互联网基础设施的完整性和安全性。
CDP 局下设三个政策部门,分别负责国际网络空间安全、国际信息与通信政策以及数字自由事务。其中国际网络空间安全部门致力于网络威慑、政策制定以及与盟友/对手谈判等国际网络安全问题,国际信息与通信政策部门致力于数字政策,比如与国际电信联盟及其它标准制定机构展开合作,以及推动可信的多边议程等;数字自由部门致力于推进数字自由,包括保护网络人权以及与民间社会加强合作等。
目前 CDP 局已配备 60 多名工作人员,多数来自国务院网络协调与国际通信办公室。该局现阶段的工作重点是提高对网络外交的认识,以应对 Lapsus$ 黑客攻击、科洛尼尔油气管道中断事件、俄乌冲突和微软Exchange 服务器数据泄露等近年来的重大网络事件。
4.3 美国陆军正在组建网络风险管理委员会
4 月,美国陆军宣布正在组建网络风险管理委员会,以便更好地管理与网络有关的技术风险和运行风险。
美国陆军副参谋长(G-6)约翰·莫里森(John Morrison)中将表示,该委员会将决定陆军可以接受哪些网络风险,并运用适当的人员、资金或时间来降低风险,从而消除不同官员在网络事宜上的冲突立场。美国陆军组建该委员会是为了按照《统一网络计划》的要求来改革陆军的网络安全流程,以减少重复、耗时且繁琐的流程,而其中的一大重点就是从原有的《陆军风险管理框架》(RMF)过渡到注重“关键网络和武器系统的主动安全、防御和监控”的 RMF 2.0。
不过莫里森也强调,相关改革不是要抛弃原有的体制机制,而是为了将初步的网络风险评估纳入到现有体制之下。
4.4 美国陆军计划将网络部队的规模扩大一倍
6 月,美国陆军发言人布鲁斯·安德森(Bruce Anderson)表示,陆军计划到 2030 年时将网络部队的规模扩大一倍,从 3000 人出头增加至6000 人以上。
安德森所说的网络部队包含了网络任务部队(CMF)以及连级和排级电子战部队中的网络人员,若再加上陆军预备役和陆军国民警卫队中的网络人员,陆军的网络部队则会进一步增至 7000 多人。随着美军网络电磁活动和能力的增长,陆军的所有战术编队都将逐渐具备网络战和电子战能力。
受美国网络司令部指挥的大部分网络部队都在陆军的编制以内,而在俄乌冲突和大国竞争的推动下,陆军开始加大网络领域的资金投入,而陆军网络部队的扩员计划正体现了这一趋势。
4.5 韩国总统承诺建立网络预备部队
7 月,为更好地应对日益增长的网络威胁,韩国总统尹锡悦承诺组建负责网络战的“预备部队”。
尹锡悦在韩国的第 11 个信息安全日作出这一承诺的。他表示从基础设施到普通公民都面临着越发严峻的网络威胁,为此韩国需要组建由政府机构和民众共同组成的“网络预备部队”,以加强韩国的网络战能力。
尹锡悦还承诺扩大大学和学院的相关课程,并培养 10 万名网络人员,以此解决韩国网络人才短缺的问题。
4.6 美国陆军将于 2023 年设立进攻性网络能力办公室
8 月,美国陆军表示将于 2023 年设立一个新的进攻性网络与太空项目办公室。
该办公室名为“网络与太空项目经理”办公室,它将由上校级官员领导,并将隶属于“情报、电子战与传感器项目执行”办公室。“电子战与网络(EW&C)项目经理”办公室届时将把进攻性网络项目和能力将移交给该办公室,而“国家能力战术运用”办公室也将把高度敏感的太空能力移交给该办公室。
之所以要设立该办公室,是因为陆军网络任务部队的能力和项目在不断增长,相关工作的繁重程度已超出了“EW&C 项目经理”办公室的处理能力,必须另设平级的办公室来管理陆军的进攻性网络能力(此前陆军进攻性网络能力的负责人为中校级别)。
4.7 美国组建量子网络研究联盟
8 月,为提高美国在量子网络领域的能力及领导力,美国陆军研究实验室(ARL)、海军研究实验室(NRL)、海军天文台(USNO)、NIST、NSA 及国家航空航天局(NASA)联合成立“华盛顿都会区量子网络研究联盟”(DC-QNet),以创建、验证和运行一套作为都会区测试平台的量子网络。同时,该联盟还在海军信息战太平洋中心及空军研究实验室设立了分支机构。
该联盟的工作重点如下:一是开发高保真量子存储节点、单光子器件和量子位元平台,并持续开展网络计量学、换能、变频和同步等领域的科技研发;二是发展连通 DC-QNet 六大机构的网络基础设施;三是研发在节点间转移量子纠缠态的技术;四是量子网络的仿真、建模和模拟;五是为量子网络研发标准的管控、路由、监测与计量技术以及相关软件。该联盟的目标是为美国政府和国防部建设值得信赖的量子网络测试平台,从计时角度帮助美国政府实现网络同步,以及重点研究运行量子网络所需的计量学技术。
美国认为量子网络对未来的安全通信、计算、传感器和精确授时至关重要,因此希望通过组建 DC-QNet 来强化美国在量子网络领域的能力和领导地位。
4.8 美国陆军正在组建零信任项目办公室
10 月,美国陆军宣布正在组建一个零信任项目办公室,以便更好地了解安全架构下的各项工作,并由此确定相关技术投资的优先顺序。
该办公室将统管零信任架构下的所有项目,这样陆军才能摸清如何将近百种零信任功能整合起来,以及整合而成的零信任架构能否发挥预期作用。此外该办公室预计也将帮助陆军理顺零信任投资的优先顺序,而不会对某些环节投入过量资源。此外陆军网络司令部司令表示,该办公室并非采办办公室,而是隶属于该司令部的业务办公室。
鉴于美国国防部计划在未来五年内落实零信任架构,陆军的这一零信任办公室或将有助于推进美军在零信任方面的工作进展。
4.9 美国头部企业组建 5G 技术联盟
11 月,通用动力、亚马逊、思科、戴尔、Splunk 和 T-Mobile 公司等几家 IT 巨头组建“5G 与边缘加速器联盟”,以推动美国政府机构采用 5G技术以及其它先进的无线技术和边缘技术。
该联盟将通过与各方的合作来设计、部署和维护安全的端到端 5G 解决方案。具体而言,亚马逊公司负责提供将边缘设备连接到云服务的云基础设施 ;思科公司负责提供 5G 核心和数据处理所需的移动边缘计算能力;戴尔公司负责提供开放式基础架构、边缘运行软件以及人工智能增强型边缘设备和传感器 ;Splunk 公司负责提供网络安全自动化和边缘计算能力 ;T-Mobile 公司负责提供网络带宽、专业知识以及面向智慧基础设施等大型场景的先进行业解决方案。
目前该联盟正在与政府机构合作,以便更快、更便捷、更经济地为这些机构提供 5G 技术、其它先进无线技术和边缘技术,进而满足美国各级政府机构在军事、物流、供应链、医疗保健、教育和智慧基础设施等方面的独特需求。
4.10 澳大利亚设立网络犯罪打击中心
3 月,澳大利亚内政部耗资 8900 万澳元设立网络犯罪打击中心,以加强对网络犯罪的打击力度。该中心名为“联合警务网络犯罪中心”(JPC3),隶属于澳大利亚国家警察(AFP)。JPC3 将汇集各方的经验、权力、能力和情报,并利用高端技术能力积极打击网络诈骗和网络盗窃等网络犯罪行为。
JPC3 是澳大利亚国家网络犯罪计划的一部分,而该计划则提出了打击网络犯罪的三大优先事项 :1)预防和阻止网络犯罪 ;2)调查、破坏和起诉网络犯罪事件;3)帮助受害者从网络犯罪事件中恢复过来。
5 继续增加网络预算,全面加速体系建设
2022 年,在政府总预算显著下降的情况下,美国的网络安全预算却继续保持增长势头,其国会甚至主动追加网络安全与基础设施安全局的预算,表明美国已将网络安全放在十分优先的位置。从预算份额来看,在组织建设上,美国将着重扩员网络任务部队;在技术研发上,美国将着重研发半导体技术;在体系架构上,美国将着重推动零信任架构的落实。
5.1 美国政府增加 2023 财年网络预算
3 月,美国政府向国会递交了《2023 财年美国政府预算》草案,其中联邦文职机构的网络预算为 109 亿美元,比上一年增加 11% ;国防部的非保密网络预算为 112 亿美元,比上一年增加近 5%。
近年来,美国文职机构的网络安全预算连续多年增长,且涨幅明显超过军事机构。就 2023 财年而言,网络安全预算最高的文职部门是 DHS,为 26 亿美元,占文职机构总预算的约四分之一。而 DHS 的绝大部分预算分配给了下辖的 CISA(25 亿美元),反映出 CISA 在政府网络安全领域的主导地位。国防部的网络预算虽增幅不大,但多年来始终占美国网络预算的一半以上。具体而言,国防部的网络安全预算为 66 亿美元,网络行动预算为 42 亿美元,网络技术研发预算为 3.8 亿美元,三者之间的比例近三年来基本没有变化,这表明国防部始终将网络安全放在最首要的位置。
美国 2023 年的网络预算增幅看似不高,但在政府总预算显著下降的背景(从 2022 财年的约 6 万亿美元下降至 2023 财年的约 5.8 万亿美元)下,网络预算的增长无疑体现了拜登政府对网络空间的高度重视。
5.2 美国网络司令部向国会提交无预算优先事项清单
4 月,美国网络司令部向美国国会提交了一份不在 2023 财年预算申请范围内的优先事项清单。这些事项预计需花费 2.36 亿美元,其中约 1.68亿美元将用于支持网络司令部辖下的 CMF。
从该清单来看,网络司令部将用 1.68 亿美元来进一步支持各 CMF 的行动和高级网络训练,以便使联合网络作战架构(JCWA)下的所有单位都形成关键的网络能力。另有 5640 万美元将用于整合 JCWA,以确保各CMF 的指挥与控制能力均达到战备水平,以及按照影响网络行动成败的战略优先事项来推动 JCWA 下的各项要素。其余 1210 万美元则将用于加快发展网络司令部的“有机网络情报能力”,以便更好地从网络空间入侵战略竞争对手的各类目标。
美国网络司令部从 2015 年开始设立 CMF,目前已有 133 支 CMF,共约 6200 人,承担着保卫国防部网络、配合军事目标、为作战任务提供分析能力及保护关键基础设施等网络攻防任务。JCWA 则将为美军提供标准化的网络作战能力,使网络司令部能够整合任务数据和监控数据,进而协助指挥官迅速且成规模地评估相关风险、及时做出决定和采取行动。
5.3 美国国防先进研究项目局加大关键技术研发投资
4 月,美国国防先进研究项目局(DARPA)发布 2023 财年预算申请书,其中把微电子和人工智能等关键技术视为优先投资方向。
DARPA 为 2023 财年申请了 41 亿美元的预算,比上一财年增加了 2.5亿美元。其中 8.83 亿美元将用于开发微电子技术,4.12 亿美元将用于开发人工智能。在微电子领域,DARPA 在 2023 财年的主要工作是落实“2.0版电子复兴计划”(ERI 2.0),包括用 1800 万美元开展“联合大学微电子项目”(JUMP),以便通过学术界、军界和半导体企业界之间的合作关系来克服重大技术挑战 ;以及用 2500 万美元开展“下一代微电子原型设计”(NGMPD)项目,以便在提高芯片性能的同时减少其尺寸和成本。在人工智能领域,DARPA 在 2023 财年的主要工作是开展“下一代 AI”(AI Next)活动,以实现国防部业务流程的自动化,提高弹性和安全性,减少性能问题,以及开发下一代算法和应用程序 ;此外 DARPA 官员指出,DARPA 的 250 个项目中有近一半都开发或使用了人工智能。
除微电子和人工智能外,生物技术、网络安全、高超音速武器、量子技术和太空技术也是 DARPA 的主要投资领域。
5.4 美国联邦调查局申请追加 2023 财年网络预算
5 月,美国 FBI 向国会申请在其 2023 财年预算中追加 1.06 亿美元,以解决一系列网络安全问题。
FBI 局长克里斯托弗·雷(Christopher Wray)表示,这约 1 亿美元将用于对外情报工作、处理国内外恐怖主义威胁以及升级处理数据所需的IT 系统。具体而言,其中 5200 万美元将用于招收 38 名特工、15 名情报分析师和 84 名专业网络人员,以改善网络信息共享能力和增加网络工具与能力;3690 万美元将用于保护 FBI 的内部网络;1700 万美元将用于升级工具和网络,以便处理与调查工作有关的大量数据。
此前 FBI 申请的 2023 财年预算为 108 亿美元,比 2022 年增加 6%,其中的网络预算主要用于升级内部系统和打击网络犯罪。
5.5 美国众议院追加网络安全与基础设施安全局 2023 财年预算
6 月,美国众议院修订了 DHS 的 2023 财年预算申请,为 DHS 下辖的CISA 追加了 3.341 亿美元的预算,此举使 CISA 的 2023 财年总预算达到29.3 亿美元。
为 CISA 追加的预算将用于网络与基础设施安全、应急通信、综合和风险管理运营、利益相关方合作和需求以及任务支持。具体而言,这些预算将推动 CISA 建立自动化网络安全测试功能,开展外延活动,参与“联合网络防御协作”等组织举行的桌面网络演习,以及在 MITRE 公司的ATT&CK 框架等工具的帮助下改进网络取证与分析能力。
美国国会之所以主动追加 CISA 的预算,主要是受到了俄乌冲突中网络对抗的刺激,此外在美国中期选举的背景下,国会也希望 CISA 通过红蓝对抗和渗透测试的方式来保护各州选举基础设施的网络安全。
5.6 美国管理与预算局明确 2024 财年的网络安全优先事项
7 月,美国管理与预算局(OMB)发布题为《2024 财年预算中的行政类网络安全优先事项》的备忘录,其中明确了美国政府 2024 财年在网络安全领域的优先事项。
在网络安全领域,该备忘录要求各文职机构在 2024 财年优先投资以下三项工作 :1)着力推动零信任理念的落实和 IT 的现代化升级,以此提高政府网络的防御能力和恢复能力 ;2)深化跨部门合作,以便更好地保护关键基础设施 ;3)为数字化未来奠定基础。除要求各机构优先安排这些工作的预算外,OMB 和国家网络总监办公室(ONCD)还将联合审查各机构对这些优先事项的反应,确定潜在差距,以及找出填补这些差距的解决方案。OMB 和 ONCD 还将告知各机构优先事项是否已安排妥当,以及这些事项是否符合美国的网络安全总体战略与政策,然后通过常规预算流程协助各机构制定多年预算规划。
不过在具体的工作方向上,该备忘录与本届美国政府的其它网络安全文件基本保持一致,比如借助零信任架构来加快使用安全的云基础设施和服务,以及探索有利于培养网络人才的激励政策等。
5.7 美国陆军计划投资 10 亿美元以推动云迁移
10 月,美国陆军表示将在 2022 年内推出一项价值高达 10 亿美元的新合同,以便将陆军的系统逐渐迁移到云端。
这项包含多个授权项目和厂商的合同名为“企业应用程序迁移与现代化”(EAMM),旨在使陆军更轻易、更经济地实现软件快速开发、数据驱动型决策制定和零信任网络安全等涉云目标。与以往的云迁移合同相比,EAMM 将细致指引各司令部如何将应用程序迁移到云端,比如如何建立架构、如何迁移数据和如何订立合同等,并同时将以往需要 9 个月的云迁移工作大幅缩短至 4 周。
美国陆军认为云迁移和云服务的广泛运用是 IT 现代化的基础,因此陆军在 2023 财年为云计算申请了数亿美元的预算。
6 接连开展网络演习,提升网络协同水平
2022 年,美国举行了一系列例行网络安全演习,其中“网络风暴”和“网络盾牌”等演习以民用设施的网络防御为主,重在提升私营机构的网络防御水平,以及加强政府与企业间的网络合作 ;“网络夺旗”演习则更加军事化和专业化,重在考验各国网络部队的攻防能力。除此之外,北约、欧盟和国际原子能机构等国际组织也积极开展联合网络演习,以加强成员国在网络安全事件中的联动和协调。
6.1 美国基础设施与网络安全局举行“网络风暴 VIII”演习
3 月,美国 CISA 为期三天的“网络风暴 VIII”(Cyber Storm VIII)网络演习,共有来自约 200 家政府机构、私营部门和外国组织的近 2000 人参与了此次演习。
“网络风暴 VIII”演习的场景既涉及运营(如工业控制系统),也涉及传统企业系统,并为参演组织设置了勒索软件和数据泄露等威胁。此次演习的具体目标如下 :1)检验国家网络安全计划和政策的有效性 ;2)厘清在产生或可能产生物理性影响的网络事件中,各方所应承担的职责;3)加强网络事件期间的信息共享和协调机制 ;4)促进公共机构和私营机构之间的合作关系,提高这些机构及时分享相关信息的能力。
“网络风暴”系列演习是美国涉及范围最广的网络安全演习之一,每两年举行一次。该系列演习并不针对任何具体或可信的威胁,而是考察国家关键基础设施面临网络危机时的各方反应,以此评估网络安全准备状况,同时检查相应的事件响应流程、程序和信息共享机制。每次演习后,CISA 都将与各参与单位合作找出、分享和梳理经验教训,以改进网络事件响应规划、信息共享和响应活动。
6.2 美国陆军举行“网络影响 2022”演习
3 月,美国陆军第 46 特遣部队在纽约州举行“网络影响 2022”(CyberImpact 2022)演习。
此次演习由来自陆军国民警卫队和其它部队的 12 家单位主办,除部队外,参演方还包括国家全域作战中心(NADWC),以警察、应急响应单位、环境保护机构、电力公司和美加边境安全人士为主的地方、州和联邦各级的政府和行业领袖,以及加拿大皇家骑警等。此次演习为期三天,旨在帮助国土防卫(HD)领域、全面危害领域、民事当局的国防支持(DSCA)领域以及化学、生物、放射性和核(CBRN)领域的合作方加强合作和熟悉网络攻击的影响,从而为灾难响应和后果管理做好准备。演习的第 1 天举行了学术演讲,第 2 天举行了桌面训练演习和红队机动演习,第 3 天举行了通信演习并考察了纽约电力局等地区关键基础设施。
密歇根国民警卫队表示,这次演习考验了美国的应变能力,加强了合作方的战备水平和合作力度,并改善了各方联合保护国家安全的成效。
6.3 北约举行“锁定盾牌 2022”集体网络防御演习
4 月,北约 CCDCOE 举行“锁定盾牌 2022”(Locked Shields 2022)演习,以期改善北约的集体网络防御态势。
此次演习假设位于北大西洋的虚构岛国“贝里利亚”(Berylia)的军用网络以及通信、净水、电网和金融等领域的关键基础设施遭到大规模网络攻击,引发社会动荡。此次演习设置了约 5500 套虚拟系统,这些系统在演习期间共受到来自红队的 8000 多次攻击,而由北约成员国网络人员组成的 24 支蓝队则负责为该国提供网络防御,后者不但要保护复杂的IT 系统,还需有效上报事件以及解决取证、法律、媒体运营和信息战方面的挑战。共有来自 32 个国家的 2000 多人参与了此次演习,参演机构则包括 CCDCOE 以及西门子公司、TalTech 公司和微软公司等关键基础设施领域的龙头企业。芬兰最终赢得此次演习的冠军。
与以往的“锁盾”系列演习相比,“2022 年锁盾”演习的一大特点是首次在网络靶场环境中模拟了中央银行的储备管理和金融信息系统,并将一套独立的 5G 移动通信平台纳入了关键基础设施的范畴。
6.4 美国国家安全局举行“国家网络演习”
4 月,美国 NSA 举行“国家网络演习”(NCX),以培养和检验下一代网络人才的团队合作、规划、沟通和决策能力。
NCX 是由 NSA 主办的非保密年度网络安全演习,旨在检验各参演团队在密码学、恶意软件、软件开发和网络政策方面的技能水平。2022 年的 NCX 围绕关键基础设施面临的威胁场景展开,为期三天,美国所有的军事学院和高等军事院校都派人参与了演习。各参演团队通过相互攻防来争夺名次,最终美国空军学院(U.S. Air Force Academy)排名第一,美国军事学院(U.S. Military Academy)和美国海岸警卫队学院(U.S. Coast Guard Academy)分别排第二和第三名。
NCX 为美国网络安全领域的新人提供了一个将网络安全知识转化为实践的平台,同时也加强了 NSA 与美军教育体系的关系,并从战略层面增强了 NSA 的网络安全能力。
6.5 国际原子能机构举行首次核设施网络安全国际演习
5 月,国际原子能机构(IAEA)联合斯洛文尼亚核安全局(SNSA)和奥地利理工学院(AIT),举行了全球首次核设施网络安全国际演习KiVA 2022。
此次演习以一座虚拟的核设施为背景,模拟了真实的核电运行技术系统遭遇内部威胁、外部网络攻击和物理入侵的场景,以展示针对关键控制系统的网络攻击会对核安全产生何种影响。此次演习使用了核电厂模拟器等 IAEA 和 AIT 专为此次演习制定/开发的信息、技术基础设施、组件和系统。来自斯洛文尼亚核设施运营商、政府信息安全办公室和内政部等政府机构、国防部等国家级技术支持机构以及计算机设备供应商的 70 名专家参与了此次演习。美国、奥地利、阿根廷、罗马尼亚、瑞士和阿联酋等国则以观察员身份观摩了此次演习。
此次演习展示了核设施网络安全的高度重要性,并反映出要想解决核设施网络安全事件,就必须及时在国内外的相关方之间展开有效的沟通和协调。
6.6 美国国民警卫队举行“网络盾牌 2022”演习
6 月,美国国民警卫队举行为期 13 天的年度非保密网络演习“网络盾牌 2022”(Cyber Shield 2022),以提升政府机构的内部网络防御措施和网络事件响应能力,并强化国民警卫队与政府和企业等合作伙伴在网络安全领域的关系。
此次演习的参演方包括来自各州国民警卫队的约 800 名网络专家,以及来自海军、海岸警卫队、执法机构、法律组织、政府和企业等合作伙伴的人员。今年的演习重点是应对类似于 SolarWinds 事件的供应链攻击,而为提高真实性,组织方还将社交媒体信息纳入了演习场景。演习第一阶段(5 日 -11 日)向参演人员提供了培训课程和练习机会,包括参加15 门信息技术课程和通过军队和企业所需的行业标准认证;第二阶段(12日 -17 日)是由红蓝双方在“持久性网络训练环境”(PCTE)网络训练平台中进行攻防对抗,以测试军队网络安全人员的技能。此外此次演习还设立了“紫色日”,以供红蓝两队就网络攻防情况展开交流讨论。
与只有军事人员参与的网络演习相比,“网络盾牌”系列演习的优势在于邀请了各级政府、执法机关、科技企业及其它合作伙伴参与演习,从而能够吸收非军事人员的网络安全技能与经验。
6.7 美国国民警卫队举行“网络美国人 2022”演习
6 月,美国新英格兰地区六州的国民警卫队以及美国海军陆战队举行了以电力系统为场景的“网络美国人 2022”(Cyber Yankee 2022)演习,以训练企业抵挡针对电力等关键基础设施的网络攻击。
此次演习为期两周,参演方包括新英格兰地区六州的国民警卫队、美国海军陆战队、其它美军单位以及企业合作伙伴。此次演习模拟了四种威胁程度各不相同的黑客攻击,其中既包括通过简单的安全措施就能防范的低级网络犯罪行为,也包括能利用 IT 飞地渗透进关键基础设施网络的尖端网络攻击。在演习期间,来自美国海军陆战队第 6 通信营“防御性网络作战-内部防御措施”(DCO- IDM)B 连和“海洋创新单位”(MIU)的预备役人员充当网络红队,包括国民警卫队在内的其它参演方充当蓝队,由双方展开红蓝网络对抗。
此次演习使预备役人员得以深入了解现役军人如何开展网络安全工作,从而确保了被征召的预备役人员具备足够的经验来应对紧急网络事件。
6.8 美国网络司令部举行“网络夺旗 22”演习
7 月,美国网络司令部举行了为期 24 天的“网络夺旗 22”(Cyber Flag 22)演习,以加强多国网络部队的防御能力和合作水平。
此次演习中,来自美国网络司令部和英国的 60 多名网络保护团队(CPT)成员组成红队,负责攻击某一虚拟网络 ;来自美国国防部和政府机构及其它“五眼联盟”成员国 CPT 的 275 人则组成 15 支蓝队,负责检测、识别、隔离和对抗红队;此外还设有一个由新西兰、英国和美国情报专家组成的情报融合小组,负责在演习期间为各 CPT 提供紧要信息和意见。为增加演习的复杂性,部分场景不允许蓝队之间直接协作,但鼓励他们使用实际任务中所用的工具来保护网络。在演习期间,各国参演人员还以研讨会等形式探讨了如何加强训练和演习中的互操作性。
此次演习使用了 PCTE 平台来建立虚拟训练环境,且环境规模是上一次“网络夺旗”系列演习的五倍。此外参演人员分散在五个国家,地理范围横跨九个时区,体现了 PCTE 可在全球范围内开展网络演训的能力。
6.9 美国网络司令部举行“网络夺旗 23-1”演习
10 月,美国网络司令部举行“网络夺旗 23-1”(Cyber Flag 23-1)演习,以加强多国网络部队的防御能力和合作水平。
此次演习使用了“试验资源管理中心”(TRMC)的“国家网络靶场”(NCR)来建立对抗高级持续性威胁(APT)组织的常见演习场景,负责网络防御的各支蓝队需要独立检测、识别和遏制各自网络上的红队或攻击活动。来自澳大利亚、法国、日本、新西兰、韩国、新加坡、英国和美国的 250 多人参与了此次演习,他们共组成了 13 支国家级或国际级蓝队,其中美国的参演人员来自美国网络司令部、美国陆军网络司令部、美国海军舰队网络司令部和美国海军陆战队网络司令部,联合部队总部-国防部信息网络(JFHQ-DODIN)则提供了业务支持。此外和“网络夺旗22”一样,各国参演人员也以研讨会等形式探讨了如何加强各国的网络战备水平和互操作性。
此次演习是美国在 2022 年内举行的第二次“网络夺旗”演习,其中“网络夺旗 22”侧重于欧洲地区,“网络夺旗 23-1”则是首次以亚洲地区为主的“网络夺旗”演习,因此两次演习的参演国家有所不同。
6.10 欧盟举行网络危机联合响应演习
1 月,欧盟启动为期五周的“欧盟网络危机联结团结演习”(EUCyCLES),以便对欧洲的网络响应能力进行压力测试、加强成员国在网络领域的准备与合作以及增强联合响应的效果。
EU CyCLES 演习以大规模供应链网络攻击为场景,假设欧盟内一家工业制造企业的供应链遭受一个网络犯罪团伙和一个有国家背景的黑客组织攻击,以检验欧盟的响应能力。此次演习的主要目的是考察欧盟在技术、操作和政治三个层面上的合作水平,包括欧盟内部的危机管理机制以及欧盟对外部网络攻击作出的政治反应。在具体分工上,“计算机应急响应组(CSIRT)网络”团队负责技术层面的事宜,“网络危机联络组织网络”(CyCLONe)团队负责协调业务层面的事宜,“网络问题横向工作组”(HWPCI)/ 政治与安全委员会(PSC)、欧盟成员国常驻代表委员会(COREPER)乃至欧盟各成员国的外交部长负责开展战略/政治层面的事宜。
值得注意的是,此次 EU CyCLES 演习假设网络危机将恶化到足以被视为武装侵略的程度,从而为欧盟成员国提供援引《欧洲联盟条约》第42.7 条(共同防御条款)的机会,这可能意味着欧盟日后可能会动用武力来回应网络攻击。
6.11 欧盟举行“蓝色 OLEx”网络演习
11 月,在立陶宛首都维尔纽斯,欧盟网络安全局(ENISA)与立陶宛国防部(MoND)共同举行 “2022 年蓝色 OLEx”(Blue OLEx 2022)网络演习,以测试“欧盟网络危机联络组织网络高管”(CyCLONe)的标准作业程序。
共有 25 个欧盟成员国的网络危机管理和 / 或网络政策高层管理者以及欧盟委员会成员参加了此次演习,ENISA 则既担任此次演习的组织方,又以 CyCLONe 秘书处的身份提供了工具和专业知识。此次演习的总体目标是在发生大规模网络事件 / 危机的背景下,进一步促进欧盟业务层面(即 CyCLONe 层面)的协调。同时演习也检验了成员国与欧盟机构(EUIBA)之间的横向互动,以便实施修订后的《网络与信息安全系统修订指令》(NIS2 指令)。
欧盟将在此次演习的基础上,推动制定适用于欧盟 CyCLONe 网络的标准作业程序。
7 国际合作持续扩大,网络协同显著增强
2022 年,由于乌克兰、美国、立陶宛和日本等多国纷纷遭到大规模网络攻击,各国开展网络安全合作的积极性显著提高。在短短一年内,以北约 CCDCOE 为代表的国际性网络合作组织就吸收了乌克兰、韩国和日本等多个新成员。除此之外,美国也不断以协防名义向立陶宛和克罗地亚等国派驻网络部队,以美国为核心的多国网络协同程度显著增强。
7.1 韩国加入北约网络防御机构
5 月,韩国情报机构“国家情报院”(NIS)宣布加入北约 CCDCOE,成为亚洲第一个加入 CCDCOE 的国家。
CCDCOE 于 2008 年成立于爱沙尼亚首都塔林,韩国加入后现有 32 个成员国,其中包括 27 个北约成员国和 5 个伙伴国。CCDCOE 的主要任务是通过训练、研发和演习等方式,加强北约整体以及各成员国和伙伴国在网络防御领域的能力与合作(特别是情报共享)。NIS 早在 2019 年就申请加入 CCDCOE,并从 2020 年起连续 2 次参加 CCDCOE 举行的全球规模最大的“锁定盾牌”网络演习。
NIS 之所以加入 CCDCOE,除了意在提升网络安全水平外,很可能还希望以此提高韩国在网络空间的话语权和加强美韩合作。
7.2 美国与立陶宛共同开展网络防御任务
5 月,美国网络司令部宣布其国家网络任务部队(CNMF)此前向立陶宛派出一支“前出追猎”(hunt forward)小组开展主动防御任务,目前该任务业已结束。
在为期三个月的任务期间,该小组与立陶宛的网络部队一同在立陶宛的主要国防系统中和立陶宛外交部的网络上寻找恶意网络活动,这也是美立两国首次共同执行网络防御任务。网络司令部并未说明此次任务的过程和成果,但在“前出追猎”任务中,CNMF 通常会搜索东道国指定的网络,从中寻找恶意网络活动和漏洞,再将任务发现与东道国共享,然后返回美国与美国国内公共和私营部门分享这些信息。
美国与立陶宛的此次合作正值俄乌冲突爆发之际,包括立陶宛在内的许多国家都遭受了大规模网络攻击,但造成的损害却普遍小于预期,而背后的一大原因就是美国以“前出追猎”等形式为多国提供了网络防御支持。
7.3 美日印澳四国深化网络安全合作
5 月,美国总统、日本首相、印度总理和澳大利亚总理在日本东京举行“四方安全对话”(Quad)会议,决定深化四国间的网络安全合作。
四国称将共同建立有弹性的网络安全体系,其中澳大利亚将牵头推动对关键基础设施的保护,印度将牵头改善供应链的弹性和安全,日本将牵头发展网络安全劳动力,美国则将牵头制定软件安全标准。这些工作将以新的联合网络原则为指导,而该原则的目标则是防范网络事件,使各国及国际社会为潜在的网络事件做好准备,和/或在发生网络事件时快速有效地作出回应。
除此之外,四国还决定加强“计算机应急响应小组”(CERT)之间的信息共享(包括交流经验教训和最佳实践),并通过协调四国政府软件采购机制中的网络安全标准来提高软件及托管服务提供商(MSP)的安全水平。另外四国也将向学童、小企业和老年人提供基本的网络安全信息和培训,并举办面向印太地区及其它国家的网络安全日活动。
7.4 北约马德里峰会宣布加强网络安全态势
6 月,北大西洋公约组织(NATO)在西班牙首都马德里举行年度峰会,会议期间评估了北约对抗网络威胁、太空威胁、混合威胁及其它不对称威胁的形势,并评价了恶意使用新兴技术和破坏性技术的情形。
在峰会宣言中,北约表示将加强其威慑与防御态势,以应对包括陆地、空中、海上、网络和太空等所有领域的威胁和挑战。为此北约将加快适应各个领域,改善网络弹性,并增强互操作性。北约还将扩大与企业界的合作关系,以便相关方自愿利用国家资产来形成和运用虚拟的网络快速响应能力,从而应对重大恶意网络活动。
北约还强调了对乌克兰的支持,表示将致力于提高乌克兰的网络防御能力和网络弹性,并支持其国防部门在转型过程中实现现代化,从而在长远上加强北约与乌克兰之间的互操作水平。
7.5 美国与乌克兰签署网络安全合作协议
7 月,美国 CISA 与乌克兰 SSCIP 签署了一份合作备忘录(MOC),以加强两国在网络安全事务上的合作。
该 MOC 将扩大 CISA 和 SSCIP 在以下三个领域的合作 :1)交流情报和分享网络事件中的最佳做法 ;2)交流关于关键基础设施安全的技术信息 ;3)开展网络安全培训和联合演习。CISA 则表示将通过此类 MOC 在全球范围内实现弹性网络防御。
在签署该 MOC 的同时,美乌两国还讨论了如何更好地应对来自俄罗斯的网络威胁。
7.6 美国网络司令部向克罗地亚部署网络防御部队
8 月,美国网络司令部称已于 7 月向克罗地亚派出 CNMF 执行“前出追猎”(hunt forward)行动,这是该司令部第 35 次开展此类主动网络防御任务。
CNMF 与克罗地亚安全和情报局下辖的网络安全中心合作开展这项行动,以搜寻对国家意义重大的优先网络,并寻找恶意网络活动和漏洞。网络司令部表示,“前出追猎”行动是其“持续参与”战略的一部分,而按照该战略,美军需要不断快速而灵活地与网络空间中的对手交战。CNMF不会直接消除合作伙伴网络上的威胁,而是使合作伙伴有能力追踪并解决所发现的威胁。
截至 2022 年 8 月,CNMF 已在爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰等 18 个国家和 50 多套外国网络中开展过“前出追猎”行动。
7.7 美国与以色列加强金融网络安全合作
8 月,美国财政部和以色列财政部签署了网络安全合作谅解备忘录,以加强两国金融系统的网络弹性。
该备忘录强调美以两国将共同保护金融领域的关键基础设施,其重点是在数字漏洞与威胁方面加强两国间的信息共享和沟通,以及开展针对相关员工的培训计划等。
美国财政部表示,鉴于以色列长期致力于发展强大的金融科技经济行业,两国间的合作将帮助美国政府制定有利于发展网络安全软硬件产品的政策,从而进一步打击威胁金融行业的勒索软件。
7.8 日本加入北约网络防御机构
11 月,继韩国于今年 5 月加入北大西洋公约组织(简称“北约”)的CCDCOE 以来,日本也宣布加入 CCDCOE,成为亚洲第二个加入 CCDCOE的国家。
日本的加入使 CCDCOE 扩员到 34 个成员国,其中包括 25 个北约成员国和 9 个伙伴国。和韩国类似,日本早在 2018 年就申请加入 CCDCOE,并从 2019 年起连续 3 次参加 CCDCOE 的“锁定盾牌”网络演习。日本之所以加入 CCDCOE,除了担心受到俄乌网络战的波及外,还可能希望拉拢北约更多关注东亚事务。
韩日接连加入 CCDCOE 已引起了包括中国在内的周边国家的警惕,它们的行为损害了东亚各国间的互信,也不利于地区的和平与稳定。
7.9 乌克兰与爱沙尼亚签署数字合作备忘录
9 月,乌克兰与爱沙尼亚签署了一份数字合作备忘录,以促进两国在数字化转型领域的经验交流,特别是在网络安全和国家数字化解决方案方面的交流。
爱沙尼亚 IT 与外贸部长指出,乌克兰在应对网络攻击方面十分成功,而爱沙尼亚作为全球最主要的网络安全倡导者之一,已派遣顾问推动乌克兰的网络弹性。目前乌克兰已将爱沙尼亚视为发展其数字政府的关键合作伙伴,而爱沙尼亚也在积极促进乌克兰数字服务与欧洲的整合。
乌克兰的数字治理能力在过去几年中发展迅速,在俄乌冲突期间,乌克兰人建立了良好的网络弹性,即使遭到网络攻击,也能在短至几天、长至几周的时间内提供新的电子服务。
7.10 以色列政府与美国波音公司合作保护航空业网络安全
7 月,以色列国家网络理事会(INCD)与美国航空与军工巨头波音公司签署了一项合作协议,以便为航空业提供网络安全保障。
双方不仅将在网络服务方面展开合作,还将致力于全方位共享网络情报,提前识别网络威胁,共同做好应对网络威胁的准备,减轻恶意网络活动带来的危害,以及为民用机场提供各种网络防御方案等。INCD 表示希望包括空中客车公司在内的其它大型防务公司以及其它国家也能加入此类机场网络防御合作。
INCD 与波音的合作协议将有助于美以两国更深入地了解航空业的网络风险,进而改善民用机场的网络安全水平。
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):2022全球网络空间安全建设研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论