郝雅楠 /文

政策法规不断出台

拜登政府上台后，美国将网络安全上升为政府的头等大事，着重强化基础设施网络安全、供应链安全。2021 年3 月，美国政府发布《国家安全战略临时指南》，提出将网络安全列为国家安全首位，增强美国在网络空间中的能力、储备和弹性，同时特别强调国家网络人才库多样化的重要性。5 月，拜登签署《关于加强国家网络安全的行政命令》，希望通过保护联邦网络、改善美国政府与私营部门间在网络问题上的信息共享及增强美国对网络安全事件的响应能力。8 月，美国国家网信总监克里斯•英格利斯（Chris Inglis）在“大西洋理事会”（Atlantic Council）会议上指出，白宫正在考虑采纳国会“网信空间战略顾问委员会”（CSC）关于设立“网信统计局”的建议，通过负责收集、分析和传递有关网信安全和网信生态系统的统计数据，为制定政策和计划提供参考信息。

太阳风事件

英国在2021 年连续发布《竞争时代的全球英国：安全、国防、发展与外交政策综合评估》《竞争时代的国防》两份国家安全战略报告，强调加快国家网络部队建设，增强网络攻击能力。为应对网络攻击、网络间谍和网络犯罪对国家、企业和社会构成的持续性重大威胁，德国于2021 年5 月发布《IT安全法》2.0 版本，通过弥补法律漏洞并扩大监管框架，提高德国IT 系统的安全性，加强关键基础设施安全保障。面对日益严峻的网络威胁与数字化挑战，日本内阁网络安全中心（NISC）于2021 年5月发布《下一代网络安全战略纲要》《网络安全研发战略》，进一步推进数字社会建设，构建网络防御体系，以期建立自由公共安全的网络空间。

管理体系不断健全

2021年1月，美国国务院成立网络空间安全和新兴技术局（CSET），推动开展网络空间安全和新兴技术相关工作，并在日益严峻的国家安全问题上与盟友和伙伴国开展合作。4 月，拜登政府提名前美国国家安全局（NSA）克里斯·英格利斯（Chris Inglis）担任首任国家网络总监，负责协调整个联邦政府机构的攻防行动；同月，美国国防部最高信息技术办公室考虑成立综合管理办公室，为国防部的零信任网络制定战略路线图，并在国防部、任务伙伴、国防工业基地和盟友内部分享最佳实践；美国国家反情报与安全中心 (NCSC) 及其政府和行业合作伙伴推出“国家供应链安全完整性之月”活动，呼吁联合政府、行业和学术界等利益相关者规划一系列公开和非公开活动，加强供应链风险管理，提升对抗国外竞争对手及其他潜在风险的能力。9 月，美国众议院能源与商务委员会启动新的立法议案，计划在未来十年为联邦贸易委员会（FTC）提供10 亿美元，用于建立新的数据安全局，负责管理贸易委员会内涉及隐私、数据安全、身份盗用、数据滥用等问题的不公平或欺诈行为及其他相关事项。

英国政府于2021 年2 月宣布成立网络空间安全委员会（UK Cyber Security Council），负责民事网络安全培训和专业标准的管理。意大利议会于2021 年8 月批准了政府建立一个新的网络安全机构，提高国家预防、监测、检测和缓解能力以应对网络安全事件和网络攻击，并为提高信息和通信技术系统的安全性作出贡献。

国防投入不断加大

美国众议院拨款委员会提议为美国网络安全与基础设施安全局（CISA) 2022 财年申请24.2 亿美元的预算，比 CISA 2021 年的预算高出4 亿美元，用于关键基础设施安全、应急通信、风险管理和其他与网络安全相关的问题。美国国防部代理首席信息官约翰·谢尔曼表示，国防部2022 财年为网络安全申请预算56 亿美元，用于确保武器系统和关键基础设施免受网络安全威胁。

西班牙数字化和人工智能国务秘书Carme Artigas 在4 月透露，西班牙政府将在3 年内投资超过4.5 亿欧元。英国国防部(MoD)于8 月宣布完成其首个漏洞赏金计划，与HackerOne 合作，邀请道德黑客参加为期30 天的挑战，以检查和识别其数字资产中需要修复的漏洞。同时，呼吁初创公司设计新一代安全硬件和软件，以帮助军方减少网络攻击面，为一份为期9个月的合同提供高达30 万英镑的资金。

2021 年，以DARPA 为代表的国防科技研发机构持续加大网络空间安全尖端技术投入。3 月，DARPA 授予CACI 国际公司和Perspecta Labs 公司合同，以实现下一代安全军用战术无线电系统。同月，DARPA 推出“自动实现应用的结构化阵列硬件（SAHARA）”项目，以应对阻碍国防系统定制芯片安全开发的挑战。此外，DARPA 还启动了“强化开发工具链防御突发执行引擎”项目，希望为软件开发者提供理解软件突发行为的方法，限制攻击者利用漏洞的能力。

攻防演习不断增多

2021 年，国外除按惯例开展年度大型网络演习外，还开展了多场网络演习。2 月，美国网络安全和基础设施安全局（CISA）和可持续能源公司AVANGRID 进行联合虚拟桌面演习，测试、确定该公司自新冠疫情以来实施的安全程序与其他必要程序，以确保未来的安全运营和业务连续性。4 月，第20 届美国国家安全局网络演习（NCX）大奖赛顺利召开，旨在测试针对网络发展计划的平民实习生、培训网络战士。同月，美国防部宣布在HackerOne 平台上推出“国防工业基地漏洞披露计划(DIB-VDP)”，邀 请HackerOne社区安全人员远程测试，致力于缓解或修复国防工业基地（DIB）、承包商信息系统、网络或应用程序中的漏洞。西班牙数字化和人工智能国务秘书Carme Artigas 透露，西班牙政府宣布为14 岁及以上的西班牙居民开设在线黑客学院，以培训和吸引人才。5 月，美空军与网络安全社区合作，宣布启动第二版黑客事件“太空安全挑战：Hack-A-Sat”。比赛中，安全研究人员将解决应用于太空系统的网络安全挑战。

美国众议院拨款委员会提议增加网络安全预算

2021年2月，欧洲防务局（EDA）组织举行首次网络实战演习，来自17 个欧盟国家和瑞士的共200 多名专业人员通过线上方式远程接入演习平台，希望团结各国军方计算机应急响应小组（MilCERT）力量。4 月，北约举行年度“锁定盾牌”演习，涉及30 个国家、2000 多名网络安全专家和决策者，以检验相关国家保护重要服务和关键基础设施的能力。6 月，来自美国、英国、加拿大的17 个团队约430 名人员参加“网络旗帜21-2”演习，模拟了印太地区常见威胁，同时也纳入了勒索软件等常见场景，通过重新确定网络防御团队的成功要素改进现实世界的网络防御。西班牙政府为网络安全行业投入4.5 亿欧元，开设黑客学院。

技术措施不断落地

架构设计方面，2021 年，美国陆续发布零信任部署文件，加速零信任实施，零信任架构成为美国政府首选的网络安全战略。2 月，美国国家安全局发布《拥抱零信任安全模型》，展示了遵循零信任安全原则，确保关键联邦机构内的关键网络和敏感数据的安全。5 月，美国防信息系统局发布《初始国防部零信任参考架构》，为国防部大规模采用零信任设定了战略目的、原则、标准及其他技术细节。

网络安全态势感知方面，美军正在从技术层面进行体系研发，构建大规模动态网络环境中的实时网络空间战场态势感知系统。4 月，作为美国网络作战关键系统的IKE项目正式移交美国网络司令部。项目利用人工智能和机器学习技术帮助指挥官理解网络战场、支持制定网络战略、建模并评估网络作战毁伤情况。

训练测试方面，美欧等国积极建设网络靶场平台，构建精确复制真实场景的虚拟网络环境，为军方网络作战培训和网络安全测试提供支持。2021 年2 月，卡塔尔计算研究所（QCRI）选定意大利莱昂纳多公司提供网络靶场和培训系统构建，以支持安全运营。4 月，美陆军宣布正在为城市构建一种定制的便携式网络攻击演习平台，以保护电信或供水服务系统等关键基础设施，使其免受网络攻击。

安全防护方面，美澳等国充分借助业界技术和能力，加强网络安全装备研发，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力。2021 年1月，美国防创新单元（DIU）授予CounterCraft 公司交易协议，利用蜜罐进行高级网络防御，帮助红色团队识别黑客。2 月，澳大利亚国家科学机构（CSIRO）、新南威尔士州政府、澳大利亚计算机协会（ACS）等多家机构合作开发了一款隐私保障工具——个人信息因素（PIF），建立起有针对性的高效保护机制。4 月，美网络司令部寻求承包商支持，扩展现有的文件共享安全工具WOLFDOOR 的基础架构，并满足不断增长的任务需求和对数据流请求的增加。承包商将维护、复制和扩展数据共享基础架构，提高系统的安全性，减少网络安全人员在多个地点的冗余，同时为各个站点提供可伸缩性和增强安全性支持。