當前位置：安全 → 行業動態 → 正文

2022年值得關注的22項政府網絡安全舉措

責任編輯：cres 作者：Michael Hill |來源：企業網D1Net 2022-10-09 10:33:51 原創文章企業網D1Net

網絡安全仍然是各國政府議程上的重要議題，因此都在致力于應對網絡安全威脅，并在2022年推出了一些政府主導的重大舉措，以幫助解決各種網絡安全問題。

以下是世界各國在2022年推出的22項值得關注的網絡安全舉措。

2022年2月

(1)以色列承諾支持美洲開發銀行在拉丁美洲和加勒比地區的網絡安全倡議

以色列政府在2月宣布計劃加入美洲開發銀行(IDB)，并將發起一個新的網絡安全倡議，承諾提供200萬美元，以幫助加強拉丁美洲和加勒比(LAC)地區的網絡安全能力。以色列政府表示，這筆資金將有助于該地區的網絡能力建設，使官員和決策者能夠獲得最前沿的實踐和世界領先的專業知識。美洲開發銀行(IDB)理事會的以色列代表Matan Lev Ari表示：“網絡安全倡議正在為拉丁美洲和加勒比地區安全可靠的數字化鋪平道路，這是后疫情時代增長的關鍵因素之一。”

2022年3月

(2)新加坡推出網絡安全認證計劃，以表彰安全實踐良好的企業

新加坡網絡安全局(CSA)推出了一項新的認證計劃，以表彰那些采用并實施了良好網絡安全實踐的企業。該認證包括兩個網絡安全標志：“網絡要素”(Cyber Essentials)和“網絡信任”(Cyber Trust)，前者是對實施了網絡安全措施的中小企業的認可，后者是對擁有綜合措施和實踐的大型或更多數字化企業的認可。

為了支持企業獲得認證，新加坡網絡安全局(CSA)還為IT團隊開發了工具包，并策劃了一個具有產品和服務的合作伙伴的初始生態系統，可以幫助企業滿足認證的要求。新加坡網絡安全局(CSA)首席執行官David Koh表示：“供應鏈網絡攻擊將繼續在數字領域蔓延，在不久的將來，企業可能會被要求在開展業務時展示其網絡安全態勢，以向客戶提供更大的保障。”

2022年4月

(3)新加坡為網絡安全服務提供者制定許可證框架

新加坡網絡安全局(CSA)為網絡安全服務提供商制定了一個許可證框架，并成立了網絡安全服務監管辦公室(CSRO)來管理該框架，并促進與行業和更廣泛的公眾在所有許可證相關事宜上的聯系。新加坡網絡安全局(CSA)表示，該框架旨在更好地維護消費者利益，解決消費者和網絡安全服務提供商之間的信息不對稱的問題，同時提高服務提供商標準。

該機構補充說，提供滲透測試和管理安全運營中心監控服務的提供商將獲得許可。新加坡網絡安全局(CSA表示，這兩項服務之所以被優先考慮，是因為提供這類服務的服務提供商可以大量訪問客戶的計算機系統和敏感信息。如果訪問權限被濫用，客戶端的操作可能會中斷。此外，這些服務已經在市場上廣泛使用，因此有可能對網絡安全格局造成重大影響。

(4)澳大利亞推出REDSPICE計劃以加強國家網絡安全

澳大利亞信號局(ASD)宣布啟動“彈性-影響-國防-空間-情報-網絡-使能者”(REDSPICE)計劃，以增強澳大利亞國家系統和關鍵基礎設施的網絡彈性和防御，并投資99億澳元，在未來10年加強澳大利亞的國家網絡安全能力。澳大利亞信號局(ASD)表示，通過REDSPICE計劃將擴大其情報、進攻和防御網絡能力的范圍和復雜性。澳大利亞信號局(ASD)總干事Rachel Noble指出，“REDSPICE計劃是澳大利亞信號局(ASD)繼續為澳大利亞的安全做出貢獻所需的必要和及時的改變，無論在和平時期還是沖突時期。”

2022年5月

(5)英國制定新的核電安全戰略

英國政府概述了一項新的網絡安全戰略計劃，以保護該國的核電設施。其目的是全面了解當前行業的網絡安全優勢和挑戰，并在2026年之前實現主要目標，作為更廣泛的2022年國家網絡戰略的一部分。在《2022年民用核網絡安全戰略》中，英國政府概述了建立民用核部門的目標，該部門將以合作和成熟的方式有效管理和減輕網絡風險，并具有應對和從事故中恢復的韌性。新計劃尋求建立在核網絡安全方面的現有理解基礎上，并提出該部門應在未來4年內實現的四個關鍵目標：

·適當優先考慮網絡安全，將其作為整體風險管理方法的一部分，以共同的風險理解和以結果為重點的監管為基礎。

·面對不斷變化的威脅、遺留挑戰和新技術的采用，積極采取行動，減輕供應鏈網絡風險。

·通過準備和協同應對網絡安全事件，以最大限度地減少影響和恢復時間，增強恢復能力。

·合作提高網絡成熟度，發展網絡技能，推廣積極的安全文化。

這些目標將通過若干優先事項和支助活動實現，并通過執行方案方法進行監督。這些包括網絡對手模擬(CyAS)評估和跨部門關鍵IT和OT系統的其他威脅知情測試活動，民用核供應鏈的網絡安全標準，以及跨部門的第三方和組件保證和管理合作。

(6)澳大利亞維多利亞州政府投資10萬美元培訓女性網絡安全

澳大利亞維多利亞州政府宣布，將投資10萬澳元用于一項計劃，培訓具有一年IT行業經驗或三年網絡行業經驗的女性，幫助她們開始走上職業生涯，為擔任網絡安全領域的領導職位做準備。該倡議是與澳大利亞婦女參與安全網絡(AWSN)合作發起的。澳大利亞政府稱該計劃旨在提高女性在勞動力中的比例，因為澳大利亞統計局發現，女性僅占當地數字技術工人的31%。該項目于今年7月開始實施，包括專業培訓、輔導和指導服務，以及參加研討會和社交活動。

(7)英國政府開放政府網絡安全咨詢委員會(GCSAB)成員申請

英國政府開放政府網絡安全咨詢委員會(GCSAB)成員申請，其目標是在外部挑戰小組的成功基礎上匯集業界和學術界的觀點，支持政府更廣泛的網絡安全戰略的發展，該戰略于2022年1月啟動，旨在幫助成員建立一個具有網絡彈性的公共部門。根據英國政府在其網站上發布的公告，政府網絡安全咨詢委員會(GCSAB)將由獨立的外部專家組成，以更好地建立政府、私營部門和學術界之間的聯系，提供面對政府網絡安全挑戰的觀點和投入。還將邀請在戰略、標準和保證領域具有網絡安全專業知識或能力的候選人提交加入GCSAB的意向書。將交付治理、風險和管理計劃，采用網絡檢測與響應技術，以及提高網絡技能和安全文化。政府網絡安全咨詢委員會(GCSAB)每兩個月舉行一次會議。

(8)美國提案明確提出了5G安全改進措施

美國政府提出了一項擬議的5G安全評估五個步驟的流程調查，以解決現有安全評估指南和標準中因5G技術的新功能和服務而產生的差距。美國網絡安全與基礎設施安全局(CISA)執行助理局長Eric Goldstein表示：“這一聯合安全評估過程旨在提供一種統一而靈活的方法，美國聯邦機構可以利用該方法評估、理解和解決安全和恢復力評估與技術評估標準和政策之間的差距。這一過程將確保政府和企業系統得到保護，網絡犯罪分子無法通過5G技術秘密進入機構網絡。”具體來說，相關機構在美國聯邦辦公室進行安全評估以獲得運營授權(ATO)之前致力于滿足要求。其提出的五個步驟是：

·定義美國聯邦5G用例。

·確定評估邊界。

·確定安全需求。

·將安全要求與聯邦指導方針聯系起來。

·評估安全指導漏洞和替代方案。

(9)英國提出新的實踐準則，以加強應用程序的安全和隱私

英國政府呼吁科技部門加強應用商店和應用程序開發的安全和隱私要求方面的投入。英國國家網絡安全中心(NCSC)的一份新報告披露，含有惡意軟件或開發不力的應用程序正將用戶置于巨大的風險之中。英國政府表示，因此它的目標是建立一個新的實踐準則，為應用程序設定基本的安全和隱私要求。英國政府網站的一份新聞稿稱，根據新提案，智能手機、游戲機、電視和其他智能設備的應用商店可能被要求遵守一項新的實踐準則，以提高應用安全和隱私標準，這將是世界上第一個此類措施。擬議的代碼將要求商店為每個應用程序設置漏洞報告流程，以便更快地發現和修復缺陷。他們需要以一種可訪問的方式分享更多安全和隱私信息，包括為什么應用程序需要訪問用戶的聯系方式和位置信息。

2022年6月

(10)以色列宣布“網絡穹頂”計劃以提升國家網絡安全

以色列國家網絡理事會(INCD)概述了其新的國家網絡安全 “網絡穹頂”計劃，這是一個主動防御的大數據和人工智能綜合方法。該項目由以色列國家網絡理事會(INCD)總干事Gaby Portnoy宣布，旨在通過國家網絡周邊的新機制提升國家網絡安全，減少對該國的網絡攻擊。Portnoy說，“網絡穹頂計劃還將提供工具和服務，以加強國家資產的保護。它將同步國家級別的實時檢測、分析和緩解威脅。我們需要以最好的方式保護國家資產，并讓更多政府部門和私營機構采用關鍵基礎設施的網絡安全協議。”

(11)加拿大出臺新立法以加強網絡安全

加拿大政府提出了立法提案，以更好地保護本國公民，并加強金融、電信、能源和交通部門的網絡安全。C-26號《網絡安全法案》(ARCS)計劃取代《電信法》，將網絡安全作為一項政策目標，使電信與其他關鍵部門保持一致。這將為加拿大政府提供法律權力，以授權采取必要行動確保加拿大電信系統的安全。這包括禁止加拿大公司使用來自高風險供應商的產品和服務。此外，該立法引入了《關鍵網絡系統保護法》(CCSPA)，為加拿大關鍵基礎設施的安全奠定了基礎。加拿大國防部長Anita Anand評論說，“這些立法措施將有助于進一步保護加拿大人，并在不斷發展和日益復雜的數字環境中捍衛我們的關鍵基礎設施。”

2022年7月

(12)德國加強防御以應對俄烏沖突可能帶來的網絡威脅

德國政府宣布了增加國家網絡防御的計劃，以應對俄烏沖突期間可能帶來的新威脅。德國內政部長Nancy Faeser提出的新措施包括提高中小型企業和提供交通、食品、衛生、能源和供水等關鍵服務的企業的網絡彈性，以及為德國聯邦政府引入一個安全的中央視頻會議系統。還概述了各州和聯邦機構之間交換網絡攻擊信息的中央平臺，以及德國國內情報機構和警察部門的IT基礎設施現代化的計劃。Faeser評論說：“鑒于爆發的俄烏沖突，我們面臨著巨大的變化，這要求我們對網絡安全進行戰略重新定位和重大投資。”

2022年8月

(13)法國承諾提供2000萬歐元加強醫院和醫療機構的網絡安全

法國數字化轉型和電信部長Jean-Noël Barrot和法國衛生部長François Braun宣布向法國國家網絡機構ANSSI追加2000萬歐元投資，以加強該國醫院和醫療機構的網絡安全。8月24日，法國南部法蘭西醫院中心(CHSF)遭受了嚴重的勒索軟件攻擊。據報道，Lockbit是參與攻擊的勒索軟件類型，據報道，勒索軟件攻擊者在此次攻擊之后提出了1000萬美元的贖金要求。Braun稱這次網絡攻擊是不可接受的，而Barrot表示醫院的網絡安全是政府的首要任務。他補充說，這些資金應該能夠加強對醫療機構的支持。

(14)蘇格蘭為數百家組織提供網絡彈性培訓

蘇格蘭政府宣布了一項50萬英鎊的合同，向全國250多家機構提供網絡彈性培訓。該培訓由蘇格蘭商業恢復中心(SBRC)實施，包括為公共服務和第三部門衛生、住房和社會護理機構舉辦的在線研討會，以確保它們更好地應對和保護網絡威脅。此前，蘇格蘭發生的破壞性大規模網絡攻擊越來越多。蘇格蘭司法部長Keith Brown說：“研討會為減輕或應對惡意網絡攻擊提供了實際指導。我敦促符合條件的組織和機構抓住這個機會，確保他們受到保護。蘇格蘭政府致力于確保在網絡彈性和安全方面處于領先地位。”

(15)比利時部長理事會實施歐洲網絡安全證書的法律框架

比利時部長理事會(比利時聯邦政府的最高執行機構)指定比利時網絡安全中心(CCB)為國家網絡安全認證機構(NCCA)，負責認證和發布歐盟網絡安全證書。在新的法律框架內，比利時網絡安全中心(CCB)宣布將在歐盟網絡安全認證過程中為比利時的企業和組織提供指導和支持。此舉實施了關于網絡安全領域信息和通信技術認證的歐洲法規2019/881，即所謂的網絡安全法案。比利時網絡安全中心(CCB) 表示，這些證書是基于網絡安全認證計劃，具有一個或多個保證級別(基本、重要或高級)。其目的是提高信息和通信技術產品、服務和流程的網絡安全透明度。這將增加人們對數字市場的信任。”

(16)新南威爾士州政府為網絡安全加速器投入100萬澳元

澳大利亞新南威爾士州政府選擇了該國網絡安全加速器運營商CyRise公司來運營其價值100萬美元的網絡安全加速器項目，該項目位于悉尼科技中心區。該項目包括為期3天的訓練營、針對初創企業為期14周的加速器項目，以及針對規模化企業的一個擴大項目，這些項目都由CyRise公司運營。澳大利亞企業、投資和貿易部部長Alister Henskens表示：“該計劃將幫助企業提高產品質量，調整商業模式，加強與國際投資者的聯系。它將支持企業更快地‘走出去’，并吸引前沿人才到新南威爾士州，這將促進經濟增長，幫助確保該州有一個更光明的未來。”CyRise公司首席執行官Scott Handsaker補充說，該創新項目旨在使新南威爾士州位于全球網絡安全行業的前沿。

(17)面對日益嚴重的安全威脅，芬蘭計劃為企業提供網絡安全資助計劃

芬蘭宣布通過一項新的代金券計劃，幫助企業為改善網絡安全提供資金。該計劃是對俄烏沖突和芬蘭申請加入北約的回應。這些代金券將為中小企業和非營利組織提供1.5萬歐元的資金。據《華爾街日報》報道，規模較大的公司可能有資格獲得價值高達10萬歐元的代金券。

Vectra AI公司EMEA地區副總裁Teppo Halonen表示，芬蘭政府提出的代金券計劃的規模是迄今為止在全球安全領域中比較少見的。他說：“考慮到北歐國家的網絡安全歷來資金不足，這個新項目是向提高芬蘭網絡安全彈性邁出的一大步。有了更大的自由來提升他們的網絡安全工具和培訓，這些代金券使芬蘭公司在防御日益增加的安全威脅方面處于明顯更好的地位，并避免俄烏沖突的影響以及來自網絡犯罪組織的攻擊。”

(18)美國發布軟件供應鏈網絡安全指南

美國網絡安全和基礎設施安全局(CISA)和美國國家安全局(NSA)發布了指導意見，建議開發者如何更好地保護軟件供應鏈，重點關注開源軟件。該指南概述了符合各行業領域的最佳實踐和原則的建議，強烈鼓勵軟件開發人員參考。這些原則包括安全需求規劃、從安全角度設計軟件體系結構、添加安全特性，以及維護軟件和底層基礎設施(例如，環境、源代碼審查、測試)的安全性。

Cyber GRX公司首席信息官Dave Stapleton在接受行業媒體采訪時表示，雖然該倡議由美國帶頭，但將在全球范圍內產生積極影響，因為供應鏈跨越城市、州、國家和大陸。他說，“我對美國聯邦政府在幫助企業確保軟件供應鏈安全方面所做的努力感到興奮。美國聯邦政府提出的一個重要觀點是，許多補救和緩解措施將嚴重依賴上游和下游利益相關方，這是一種共擔責任模式。”

(19)新加坡呼吁網絡安全行業創新

新加坡網絡安全局(CSA)發起了2022年網絡安全行業創新呼吁(CyberCall 2022)，邀請網絡安全提供商參與開發創新解決方案，以應對具體的網絡安全挑戰。其目的是加強組織的網絡彈性，并為網絡安全公司提供機會，在新加坡促進先進解決方案的商業采用。新加坡網絡安全局(CSA)表示，CyberCall 2022正在尋找以下領域的解決方案：

•用于網絡安全的人工智能

•云安全

•操作技術(OT)/物聯網(IoT)安全

•注重隱私的技術

新加坡網絡安全局(CSA)補充說，將邀請入圍的網絡安全公司的提案與參與的最終用戶進行更深入的討論，以共同進行創新、采用和測試平臺。

(20)加拿大承諾67.5萬美元用于提高人們對量子威脅的認識和準備

加拿大政府宣布，將投資67.5萬加元支持“加拿大量子安全”項目為量子安全的加拿大奠定基礎，該項目旨在提高人們對量子安全威脅的意識和防范能力。加拿大政府在其網站上的一篇文章中表示，這筆資金是在網絡安全合作項目下提供的，旨在幫助加強加拿大準備和應對量子風險的能力，協調研究、技術、工具和培訓。該項目還尋求確保那些負責保護加拿大人所依賴的系統的人擁有量子計算機時代所需的知識和技能。加拿大公共安全部長Marco Mendicino表示：“該項目將有助于更好地保護加拿大人免受網絡威脅，尤其是量子威脅帶來的日益增長的風險。”

2022年9月

(21)美國發布制定勒索軟件報告規則信息請求(RFI)

美國網絡安全和基礎設施安全局(CISA)發布了一項關于即將出臺的報告要求的信息請求(RFI)，該要求將要求組織和機構在72小時內報告重大網絡安全事件，并在支付勒索軟件贖金之后24小時內報告事件。在信息請求(RFI)發布之前，《2022年關鍵基礎設施網絡事件報告法案》(CIRCIA)在今年3月獲得通過，該法案要求美國網絡安全和基礎設施安全局(CISA)為收集事件和勒索軟件支付數據尋求監管規則制定路徑。美國網絡安全和基礎設施安全局(CISA)還宣布將舉辦11場會議，以進一步了解其規則的制定情況。美國網絡安全和基礎設施安全局(CISA)主管Jen Easterly在新聞發布會上表示，“2022年《關鍵基礎設施網絡事件報告法》是整個網絡安全社區和每個致力于保護國家關鍵基礎設施的人的游戲規則的改變者。它將使我們能夠更好地了解面臨的威脅，更早地發現對手的行動，并與我們的公共和私營部門合作伙伴采取更協調的行動來應對。”

(22)歐盟委員會公布歐盟網絡彈性法案的規則草案

歐盟委員會公布了網絡彈性法案(CRA)的規則草案，為整個歐盟的連接設備和服務制定共同的網絡安全標準。該法案于12個月前由歐盟主席烏蘇拉·馮·德萊恩首次宣布，旨在為市場上的數字產品和相關服務制定網絡安全規則。它還將賦予歐盟委員會權力，對未遵守網絡安全規則的企業和組織進行1500萬歐元(或上一年全球營業額的2.5%)的罰款，同時授予歐盟召回和禁止不合規產品的權力。在成為法律之前，這些規則草案需要得到歐盟國家和歐盟議員的同意。

Exiger公司高級副總裁、美國網絡安全和基礎設施安全局(CISA)前助理主任Bob Kolasky表示，為了使歐盟網絡彈性法案(CRA)有效，新法規必須有一個強有力的認證方法，以確保技術提供商滿足要求。他說，“該法規定的要求必須以風險為基礎，并盡可能與其他西方國家，特別是美國所采取的辦法協調一致。如果該法案的執行更多地成為遵守規定的負擔，而不是激勵對安全實踐、措施和協議進行更多投資的積極行動，那么它可能弊大于利。各行業領域必須參與到該法案的實施中來，以確保它在現實中獲得成功，而不僅僅是停留在紙面上。”

關于企業網D1net(hfnxjk.com)：

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智（www.cioall.com）。同時運營18個IT行業公眾號（微信搜索D1net即可關注）。

關鍵字：網絡安全