一.美国强调全面开展网络安全评估,敦实网络安全体系改进
不论是去年多起网络事件的暴雷还是今年俄乌冲突的网络战和认知战,都让网络空间安全的风险不容忽视。网络安全工作起始于风险管理,落实于网络安全体系建设,闭环于各项工作的评估和检验,而美国正在全面督促上述环节的衔接。
一是政府总体监督核心网络安全工作评估的开展。在美国政府问责局公布的“2022年-2027年战略计划”中,网络安全评估作为重要的战略目标列入其中,涉及国家网络安全战略、国家信息化体系保护、国家关键基础设施保护和数据安全保护四个层面。
二是各关键部门对内部非核心网络资产进行风险评估。以NASA为代表,虽然2014年就针对机密IT系统建立了内部威胁计划,但其非机密系统的高价值资产仍然面临非常高的网络安全风险,包括网络钓鱼和数据泄露等,所以NASA将对其非机密系统启动全面的内部威胁风险评估。
三是各主管部门对外部供应链进行网络安全评估。在这方面,美国国防部走在前面,一直在推动对国防承包商开展网络安全成熟度模型认证(CMMC)。作为保护国防工业基础免受日益频繁和复杂的网络攻击的综合框架,CMMC 2.0签署成为法律可能还需要7到20个月,美国国防部审计官建议国防承包商在此期间开展准备工作,以确保受控非机密信息的安全。
四是国土安全部对重要行业和政府部门进行全面的实战检验。国土安全部以网络风暴演习为抓手,对联邦部门、州和地方政府、以及关键基础设施领域的特定行业组织进行网络安全评估。本周举办了网络风暴VIII演习,主要通过影响关键基础设施的多部门重大网络事件,评估各组织的网络安全就绪状态,检验与加强事件响应的流程、程序、信息共享和协调。
二.欧盟推动基于标准化的网络安全立法,统筹各成员国网络安全体系建设
欧盟在结构组织方面的特点,决定了不能采用美国自上而下的网络安全体系建设模式,而是在全体成员国范围内采用了一种自下而上、标准化立法的网络安全体系建设模式。本周欧盟第六届标准化年度会议举行,重点为“支持欧盟网络安全立法的欧洲标准化”,并认为网络安全标准化将促进政策制定者、行业、研究机构、消费者协会、以及标准化和认证组织之间的对话。
在会议中,欧盟网络安全局发布了两份关于标准化的报告,《风险管理标准》和《5G网络安全标准》,基本阐述了欧盟将基于标准化网络安全立法推进全体成员国网络安全体系建设的脉络,主要体现为三个环节:
1)当没有适用于特定网络安全问题的欧洲标准时,欧盟成员国提出标准化需求,欧盟政策制定者成立工作组,制定相关标准;
2)欧盟政策制定者推动标准的应用,欧盟成员国参考欧洲标准使用统一的概念、术语和定义;
3)欧盟网络安全局协助欧盟机构、欧盟成员国和私人组织落实标准化要求,包括提供标准执行所需的方法和工具。当然,这种模式也存在标准未能全面覆盖复杂性网络安全风险的不足之处,但能够推动诸多国情不同的成员国在网络安全风险应对方面统筹协调,进而控制欧盟整体性风险水平。
三.空天态势
美国持续关注高超音速武器,尤其是在俄罗斯对高超音速滑翔飞行器多次成功测试的情况下,成为美国国会的战略问题;同时,美国太空部队计划在年底之前从传统的太空防御作战中心过渡到现代化的太空指挥控制系统,相关太空监视网络以及地面和天基传感器将同步转接入新系统。
四.本周推荐关注新闻要点
美国网络司令部转向综合信息战,急需信息运营专家。
推荐理由:在俄乌冲突中,认知战的突起,让全世界思考网络空间对抗的新形态和影响,美国网络司令部认为网络“效应”作战结合传统信息战方法可以成为极其强大的工具,能够影响对手认知和在决策周期中保持领先优势,并计划在未来5至10年内发展真正同步与综合的信息战方法。同时,美国网络司令部提出了更多信息运营专家的需求,为这种新型信息战筹备力量建设。