战略政策

美国NIST发布网络安全框架第二稿

发布时间：2017年12月12日

美国国家标准与技术研究院（NIST）已经于2017年12月5日发布《改进关键信息基础设施网络安全框架》第二稿（即网络安全框架1.1版本第二稿）。NIST方面指出，第二稿草案旨在澄清、改进及加强网络安全框架，扩大其价值与易用性。新的草案反映了NIST迄今为止收到的意见，包括2017年1月启动的公开审查流程与2017年5月召开的研讨会活动。

NIST网络安全框架最初发布于2014年，旨在帮助各类组织机构——特别是来自关键信息基础设施领域的组织机构——管理网络安全风险。当时，NIST方面发布了《改进关键信息基础设施安全框架》报告，这份文件就安全计划与网络安全标准及实践的制定提出了指导性意见。

时至今日，NIST网络安全框架被广泛视为各类组织机构与企业实现网络安全保障的最佳实践性指南。

此项网络安全框架基于美国前任总统奥巴马发布的总统行政令，现任特朗普政府亦将该框架视为一套适用于政府机构以及各关键信息基础设施运营商的最佳实践指导方案。

特朗普政府在发布的网络安全总统行政令中，同样要求各联邦政府机构及关键信息基础设施运营商使用这套框架。

（来源：E安全）

北约向网络战规则中添加“攻击性防御”条款

发布时间：2017年12月10日

北约成员国中的美国、英国、德国、挪威、西班牙、丹麦以及荷兰目前正考虑对国家支持型计算机黑客活动作出更为强硬的反应，将制定网络战争规则，旨在指导其部队更为广泛地部署网络攻击性武器，具体可能涉及利用网络攻击击退对方入侵行动，且计划在2019年年初就具体条款达成共识。

相关官员认为这一理论依据可能将北约的相关实践由防御转化为反击，用以对抗俄罗斯、中国与朝鲜用于破坏西方政府职能并窃取技术的黑客手段。

美国海军司令迈克尔·韦德曼表示，北约的思维模式正在发生改变，开始接受计算机与飞机及舰艇一样，拥有攻击能力。

美国方面已经掌握有网络武器——例如计算机代码，可用于关闭网站或者目标IT系统，并于2011年宣布将对网络攻击行为作出反应。而2010年被用于摧毁伊朗核离心机的计算机病毒“震网”，则被广泛认为是美国或者以色列的“杰作”，但两国政府都没有证实这一论断。

部分北约盟国认为通过网络攻击关闭敌方供电设施，在效果上可能比突袭更加有效。韦德曼指出，“假设需要完成一项确切的任务，摆在面前的选择包括空中打击力量与网络攻击力量。那么，哪种选项能确保我更为高效地完成任务？”

拥有29个成员国的北约联盟于2014年将网络正式认定为战场概念，同地面、空中与海洋并列，但并没有提供更具体的描述。

在欧洲，指挥官与技术专家们一直专注于捍卫自己的网络，并阻止对数据加以恶意操控的企图。波罗的海与英国安全部门的高级官员们表示，他们掌握的情报表明，俄罗斯一直在试图利用网络黑客手段打击欧洲的能源与通信网络，同时借此实现网络宣传活动。

（来源：E安全）

产业发展

定义和保护物联网：ENISA发布应对关键信息基础设施网络威胁研究

发布时间：2017年12月20日

欧盟的网络安全机构欧洲网络与信息安全局（ENISA）发布了物联网（IoT）安全报告。这项题为“物联网关键信息基础设施安全基准建议”的研究旨在为欧洲的物联网安全奠定基础。它是物联网领域的参考标准和发展基石，也是具体实施的办法举措。该报告是与ENISA物联网安全专家组和其他利益相关方合作制定的。

物联网形式错综复杂，对公民的安全和隐私产生重大影响，物联网威胁形势非常复杂。因此，重要的是要了解究竟需要保障什么，并实施具体的安全措施以保护物联网免受网络威胁。在信息通信技术系统中，这对于关键基础设施及其运行至关重要。

ENISA的报告将重点放在关键基础设施上，报告以ENISA通过其在智能家居、智能城市、智能公共交通、智能汽车、智能机场等智能基础设施的部门研究获得的专业知识为基础。

报告提出的建议对相关方面而言皆具实际意义，具体包括欧盟委员会、各国政府乃至整个物联网产业中的供应商、运营商、制造商以及消费者协会等等。

物联网正在进入我们日常生活的方方面面，因此需要一套强有力的整体性方法，包括：

●促进协调物联网相关安全的举措与法规

●提高对物联网网络安全需求的认知

●为物联网定义安全的软件与硬件开发生命周期指南

●对物联网生态系统的互操作性达成共识

●促进物联网安全领域的经济与行政性激励举措

●建立安全的物联网产品/服务生命周期管理机制

●明确物联网各相关方之间的责任划分

（来源：国防科技信息网）

美国国防部2017财年继续强化对人工智能相关领域投入力度

发布时间：2017年12月04日

根据公共领域合同分析企业Govini公司最近的一份研究报告，美国国防部2017财年对于云计算、大数据和人工智能技术方面的投入高达74亿美元。

这意味着相关技术领域的投入自2012年以来增长了32%，其中量子计算、虚拟现实和机器学习等方面的投入增长更为显著。尽管云、人工智能和大数据在过去5年里都出现了大幅增长，但人工智能占支出增长的主要部分，并被认为是美国国防部实现军事优势和威慑能力长期战略的“技术基础”之一。

在先进计算能力方面的投入增长了86%，2017财年总投入接近4.25亿美元。超过三分之一的投入由国防先期研究计划局牵头。2017年早些时候，DARPA授出三项总额达3亿美元的合同，采用多种新方式延续电脑时代的微处理器革命。由于先进的计算技术可以用来增强人工智能，比如深度学习和自主车辆与系统，该报告的作者表示他们希望美国国防部的支出在未来继续上升。

大数据工具，特别是数据处理和数据防护，也被视为有助于净化和验证信息的关键组件。报告的作者指出:“在缺少被适当标准化、规范化、去重复、被验证和凝练化数据的情况下，人工智能是无法实现的，在使数据有用的最关键步骤中，需要有对数据的验证和凝练。”

云计算被认为是美国国防部为其人工智能系统所提供大量数据的存储中心。在向云端迁移的过程中，尽管海军等个别军种的开拓性受到赞扬，但美国国防部整体表现非常之慢。

2017年9月，美国国防部副部长杰克·沙纳汉敦促国防部有关机构更积极地采用云技术，这在很大程度上是为了更加依赖人工智能的战略奠定基础。2017年5月，国防部宣布创建“专家”（Maven)项目，用于加速整合大数据与机器学习。

（来源：国防科技信息网）

美国陆军希望为网络部队挖掘平民天才

发布时间：2017年12月05日

陆军有一个可能的解决方案，以解决其需要更多的网络部队——培训私营部门技术人才担任网络作战的中尉。

美国陆军网络司令部启动了一个试点计划，招募具有学术和应用技术经验的技术工人进入其网络直接调试计划。

该计划于11月27日正式获得批准，将对选定的申请人进行为期16周的培训，然后分配到目前网络部队缺乏的14个不同技能领域的技术角色，例如开发和软件运营、安全工程师、软件设计人员和工程师以及产品经理。

该计划是一个快速跟踪的过程，拓宽了陆军的某些要求，消除了准入障碍。例如，申请人必须在41岁以下，可以跳过传统的基本和实战训练要求，但必须能够通过体能测试，并符合基本健身标准。

这是陆军军官候选人学校的一种加速形式，需要九周的基本训练，12周的战术和作战训练，但不保证候选人进入网络行动。

相反，申请人被送到西尔要塞进行为期4周的直接委托军官训练，以及12周浓缩的网络基本军官领袖课程，传统上是37周。一旦成功面试后被选中进行培训，申请人成为陆军后备队的第一中尉，并在完成为期四周的直接调试课程后被授予现役少尉。