全球網絡安全產業發展分析

郝雅楠 /文

政策法規不斷出臺

拜登政府上臺后，美國將網絡安全上升為政府的頭等大事，著重強化基礎設施網絡安全、供應鏈安全。2021 年3 月，美國政府發布《國家安全戰略臨時指南》，提出將網絡安全列為國家安全首位，增強美國在網絡空間中的能力、儲備和彈性，同時特別強調國家網絡人才庫多樣化的重要性。5 月，拜登簽署《關于加強國家網絡安全的行政命令》，希望通過保護聯邦網絡、改善美國政府與私營部門間在網絡問題上的信息共享及增強美國對網絡安全事件的響應能力。8 月，美國國家網信總監克里斯?英格利斯（Chris Inglis）在“大西洋理事會”（Atlantic Council）會議上指出，白宮正在考慮采納國會“網信空間戰略顧問委員會”（CSC）關于設立“網信統計局”的建議，通過負責收集、分析和傳遞有關網信安全和網信生態系統的統計數據，為制定政策和計劃提供參考信息。

太陽風事件

英國在2021 年連續發布《競爭時代的全球英國：安全、國防、發展與外交政策綜合評估》《競爭時代的國防》兩份國家安全戰略報告，強調加快國家網絡部隊建設，增強網絡攻擊能力。為應對網絡攻擊、網絡間諜和網絡犯罪對國家、企業和社會構成的持續性重大威脅，德國于2021 年5 月發布《IT安全法》2.0 版本，通過彌補法律漏洞并擴大監管框架，提高德國IT 系統的安全性，加強關鍵基礎設施安全保障。面對日益嚴峻的網絡威脅與數字化挑戰，日本內閣網絡安全中心（NISC）于2021 年5月發布《下一代網絡安全戰略綱要》《網絡安全研發戰略》，進一步推進數字社會建設，構建網絡防御體系，以期建立自由公共安全的網絡空間。

管理體系不斷健全

2021年1月，美國國務院成立網絡空間安全和新興技術局（CSET），推動開展網絡空間安全和新興技術相關工作，并在日益嚴峻的國家安全問題上與盟友和伙伴國開展合作。4 月，拜登政府提名前美國國家安全局（NSA）克里斯·英格利斯（Chris Inglis）擔任首任國家網絡總監，負責協調整個聯邦政府機構的攻防行動；同月，美國國防部最高信息技術辦公室考慮成立綜合管理辦公室，為國防部的零信任網絡制定戰略路線圖，并在國防部、任務伙伴、國防工業基地和盟友內部分享最佳實踐；美國國家反情報與安全中心 (NCSC) 及其政府和行業合作伙伴推出“國家供應鏈安全完整性之月”活動，呼吁聯合政府、行業和學術界等利益相關者規劃一系列公開和非公開活動，加強供應鏈風險管理，提升對抗國外競爭對手及其他潛在風險的能力。9 月，美國眾議院能源與商務委員會啟動新的立法議案，計劃在未來十年為聯邦貿易委員會（FTC）提供10 億美元，用于建立新的數據安全局，負責管理貿易委員會內涉及隱私、數據安全、身份盜用、數據濫用等問題的不公平或欺詐行為及其他相關事項。

英國政府于2021 年2 月宣布成立網絡空間安全委員會（UK Cyber Security Council），負責民事網絡安全培訓和專業標準的管理。意大利議會于2021 年8 月批準了政府建立一個新的網絡安全機構，提高國家預防、監測、檢測和緩解能力以應對網絡安全事件和網絡攻擊，并為提高信息和通信技術系統的安全性作出貢獻。

國防投入不斷加大

美國眾議院撥款委員會提議為美國網絡安全與基礎設施安全局（CISA) 2022 財年申請24.2 億美元的預算，比 CISA 2021 年的預算高出4 億美元，用于關鍵基礎設施安全、應急通信、風險管理和其他與網絡安全相關的問題。美國國防部代理首席信息官約翰·謝爾曼表示，國防部2022 財年為網絡安全申請預算56 億美元，用于確保武器系統和關鍵基礎設施免受網絡安全威脅。

西班牙數字化和人工智能國務秘書Carme Artigas 在4 月透露，西班牙政府將在3 年內投資超過4.5 億歐元。英國國防部(MoD)于8 月宣布完成其首個漏洞賞金計劃，與HackerOne 合作，邀請道德黑客參加為期30 天的挑戰，以檢查和識別其數字資產中需要修復的漏洞。同時，呼吁初創公司設計新一代安全硬件和軟件，以幫助軍方減少網絡攻擊面，為一份為期9個月的合同提供高達30 萬英鎊的資金。

2021 年，以DARPA 為代表的國防科技研發機構持續加大網絡空間安全尖端技術投入。3 月，DARPA 授予CACI 國際公司和Perspecta Labs 公司合同，以實現下一代安全軍用戰術無線電系統。同月，DARPA 推出“自動實現應用的結構化陣列硬件（SAHARA）”項目，以應對阻礙國防系統定制芯片安全開發的挑戰。此外，DARPA 還啟動了“強化開發工具鏈防御突發執行引擎”項目，希望為軟件開發者提供理解軟件突發行為的方法，限制攻擊者利用漏洞的能力。

攻防演習不斷增多

2021 年，國外除按慣例開展年度大型網絡演習外，還開展了多場網絡演習。2 月，美國網絡安全和基礎設施安全局（CISA）和可持續能源公司AVANGRID 進行聯合虛擬桌面演習，測試、確定該公司自新冠疫情以來實施的安全程序與其他必要程序，以確保未來的安全運營和業務連續性。4 月，第20 屆美國國家安全局網絡演習（NCX）大獎賽順利召開，旨在測試針對網絡發展計劃的平民實習生、培訓網絡戰士。同月，美國防部宣布在HackerOne 平臺上推出“國防工業基地漏洞披露計劃(DIB-VDP)”，邀 請HackerOne社區安全人員遠程測試，致力于緩解或修復國防工業基地（DIB）、承包商信息系統、網絡或應用程序中的漏洞。西班牙數字化和人工智能國務秘書Carme Artigas 透露，西班牙政府宣布為14 歲及以上的西班牙居民開設在線黑客學院，以培訓和吸引人才。5 月，美空軍與網絡安全社區合作，宣布啟動第二版黑客事件“太空安全挑戰：Hack-A-Sat”。比賽中，安全研究人員將解決應用于太空系統的網絡安全挑戰。

美國眾議院撥款委員會提議增加網絡安全預算

2021年2月，歐洲防務局（EDA）組織舉行首次網絡實戰演習，來自17 個歐盟國家和瑞士的共200 多名專業人員通過線上方式遠程接入演習平臺，希望團結各國軍方計算機應急響應小組（MilCERT）力量。4 月，北約舉行年度“鎖定盾牌”演習，涉及30 個國家、2000 多名網絡安全專家和決策者，以檢驗相關國家保護重要服務和關鍵基礎設施的能力。6 月，來自美國、英國、加拿大的17 個團隊約430 名人員參加“網絡旗幟21-2”演習，模擬了印太地區常見威脅，同時也納入了勒索軟件等常見場景，通過重新確定網絡防御團隊的成功要素改進現實世界的網絡防御。西班牙政府為網絡安全行業投入4.5 億歐元，開設黑客學院。

技術措施不斷落地

架構設計方面，2021 年，美國陸續發布零信任部署文件，加速零信任實施，零信任架構成為美國政府首選的網絡安全戰略。2 月，美國國家安全局發布《擁抱零信任安全模型》，展示了遵循零信任安全原則，確保關鍵聯邦機構內的關鍵網絡和敏感數據的安全。5 月，美國防信息系統局發布《初始國防部零信任參考架構》，為國防部大規模采用零信任設定了戰略目的、原則、標準及其他技術細節。

網絡安全態勢感知方面，美軍正在從技術層面進行體系研發，構建大規模動態網絡環境中的實時網絡空間戰場態勢感知系統。4 月，作為美國網絡作戰關鍵系統的IKE項目正式移交美國網絡司令部。項目利用人工智能和機器學習技術幫助指揮官理解網絡戰場、支持制定網絡戰略、建模并評估網絡作戰毀傷情況。

訓練測試方面，美歐等國積極建設網絡靶場平臺，構建精確復制真實場景的虛擬網絡環境，為軍方網絡作戰培訓和網絡安全測試提供支持。2021 年2 月，卡塔爾計算研究所（QCRI）選定意大利萊昂納多公司提供網絡靶場和培訓系統構建，以支持安全運營。4 月，美陸軍宣布正在為城市構建一種定制的便攜式網絡攻擊演習平臺，以保護電信或供水服務系統等關鍵基礎設施，使其免受網絡攻擊。

安全防護方面，美澳等國充分借助業界技術和能力，加強網絡安全裝備研發，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力。2021 年1月，美國防創新單元（DIU）授予CounterCraft 公司交易協議，利用蜜罐進行高級網絡防御，幫助紅色團隊識別黑客。2 月，澳大利亞國家科學機構（CSIRO）、新南威爾士州政府、澳大利亞計算機協會（ACS）等多家機構合作開發了一款隱私保障工具——個人信息因素（PIF），建立起有針對性的高效保護機制。4 月，美網絡司令部尋求承包商支持，擴展現有的文件共享安全工具WOLFDOOR 的基礎架構，并滿足不斷增長的任務需求和對數據流請求的增加。承包商將維護、復制和擴展數據共享基礎架構，提高系統的安全性，減少網絡安全人員在多個地點的冗余，同時為各個站點提供可伸縮性和增強安全性支持。