1、16/2022.12欧盟委员会发布网络防御政策文件2022 年 11 月 10 日,欧盟委员会联合欧洲防卫局(EDA)等部门发布欧盟网络防御政策文件,旨在提高欧盟网络防御能力,加强军事和民用部门之间的协调与合作。欧盟网络防御政策以四大支柱为基础:一是以共同行动强化网络防御。欧盟将加强国家和多利益攸关方之间的协调机制,增加军事和民用网络安全社区之间的信息交流与合作,进一步支持军事共同安全与国防政策(CSDP)任务和行动;二是保护欧盟国防生态系统,强化网络安全标准化和认证工作;三是加大对网络防御能力的投资,成员国需利用欧盟层面现有的合作平台和供资机制,如永久结构性合作(PESCO)、欧洲防御基金、
2、地平线欧洲和数字欧洲计划,大幅增加对现代军事网络防御能力的投资;四是基于共同挑战建立伙伴关系,在现有安全和防务以及网络对话基础上,欧盟将寻求在网络防御领域打造量身定制的伙伴关系。新政策还将建立网络防御培训计划,特别是以欧盟网络技术学院的形式服务包括国防从业者在内的多个专业群体。美国多部门联合发布 软件供应链安全实践指南2022 年 11 月 17 日,美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)和国家情报总监办公室(ODNI)联合发布 软件供应链安全实践指南,提出了客户在购买、部署和使用软件时应该遵循的实践,并提供了相关攻击场景和缓解措施。在软件采购方面,要求采购方遵守供应链
3、风险管理(SCRM)办法、评估物料管理水平等;在软件部署方面,建议客户在收到产品时进行全面检查、执行功能测试并从安全角度验证产品等。该指南还建议组织机构正确处理已达生命周期的或已被弃用的产品,并确保为新产品执行新的有效培训计划。美国防部发布零信任战略2022 年 11 月 22 日,美国国防部正式公布零信任战略,意图改变国防部之前使用的传统边界防御方法,正式采用“永不信任,始终验证”的零信任思维模式。该战略涵盖差距分析、需求开发、实施和决策制定等内容,并阐述如何通过采购和部署必要的零信任能力和活动,来使国防部网络安全水平得到有价值的改善。战略提出了四大战略目的:1.推行零信任文化;2.保障和保
4、护国防部信息系统;3.技术加速;4.零信任赋能。战略要求国防部所有部门根据各自的体系架构、系统、预算和执行计划,启用遵循零信任理念的功能、技术、解决方案和流程,并将零信任要求纳入其人员配置、培训和专业发展流程之中。2022 年 1 月新设立的“国防部零信任资产组合管理办公室”(ZT PfMO)负责协调整个国防部范围内的零信任执行情况。日本加入北约合作网络防御卓越中心(CCDCOE)2022 年 11 月 4 日,日本国防部宣布正式加入北约合作网络防御卓越中心(CCDCOE)。CCDCOE 作为国际军事组织和网络防御中心,专注于网络安全研究、培训和演习。日本早于 2018 年 1 月已提出加入C
5、CDCOE,并连续参加了该中心 2021 年和 2022 年的活动,包括年度“锁盾”网络演习。CCDCOE主任梅尔 麦格尔(Merle Maigre)表示,日本加入该中心将是“向前迈出的具体一步,表明了志同道合的国家在网络防御合作方面的承诺。”欧 盟日 本美 国urrent Affairs网际时政C2022.12/17国际动态International Affairs拜登将批准扩大国防部开展网络行动的权限CyberScoop2022 年 11 月 17 日拜登目前正在修订国家安全政策备忘录-13(NSPM-13),主要审查国防部是否可保留其发起网络行动的权力。知情人士透露,国防部成功保留了特朗
6、普政府 2018 年授予国防部广泛权力的关键部分,但是要求国防部在开展网络行动之前向白宫汇报计划细节。NSPM-13 于2018 年设立并成为政策,由特朗普时期的国家安全委员会设计,由时任国家安全顾问约翰博尔顿推动,旨在简化网络行动的审批程序,允许“总统向国防部长授权,在网络空间开展网络军事行动”。国务院和其他行政机构长期以来一直对 NSPM-13 授予国防部过大权力不满,认为该政策将军事部门在网络空间的特权凌驾于民事机构之上,没有充分考虑军事网络行动对人权、外交和私营部门基础设施的影响,特别是开展进攻性网络行动通常需要使用外国的私营部门基础设施,而 NSPM-13 在很大程度上规避国务院提前
7、通知相关国家。近几个月来,国务院一直在争取更大的权力,但白宫最终站在国防部一边,没有给国务院一直争取的授权。美国官员表示俄罗斯网络部队在乌克兰的表现“低于预期”The Hill2022 年 11 月 16 日美国国防部负责网络政策的副助理国防部长米克欧阳(Mieke Eoyang)在 出 席 阿 斯彭研究所年度网络峰会时表示,鉴于乌克兰之前遭受网络攻击的历史,俄罗斯可能会对乌克兰发动大规模网络攻击,但俄罗斯网络部队的表现没有达到预期。欧阳补充表示,俄罗斯表现不佳的部分原因可能与其低估了战前准备网络行动和网络攻击所需的时间有关。欧阳指出,俄罗斯的网络活动在入侵的第一周有所增加,在第二周有所减少,
8、但随后几周又有所增加。也有一些专家表示,俄罗斯在网络空间的表现也可能是乌克兰加强网络防御的结果,这让俄罗斯难以进行有效攻击,同时乌克兰还从美国和欧盟获得了大量的网络援助,包括资金和技术援助。报告显示美 K-1 2 教育部门的网络安全能力堪忧Center for Internet Security2022 年 11 月 14 日美国互联网安全中心(Center for Internet Security)在 2021-2 0 2 2学年从 197 个学区收集数据评估美国K-1 2教育部门的网络安全能力,结果显示,通过衡量组织在实施多因素认证(MFA)、员工培训和事件应对计划等基本实践方面,学校在
9、网络成熟度等级中得分 3.55(满分7 分)。报告发现 81%的学校没有完全实施 MFA,29%的学校根本没有使用 MFA;在加密 U盘、维护网络活动日志、创建数据恢复流程以及审查服务提供商的网络安全实践等方面,学校的得分也很低。报告还发现,在近五分之一的学校中,普通学校在网络安全上的花费仅占IT 预算的 8%,网络安全占 IT预算的比例不到 1%。欧盟网络安全机构预测 2 0 3 0年十大网络安全威胁ENISA2022 年 11 月 11 日欧盟网络安全局(ENISA)发布网络安全威胁预测信息图,预测 2030 年可能出现的十大网络安全威胁分别是:软件依赖性导致的供应链攻击、高级虚假信息的宣
10、传活动、数字监控威权主义的兴起及隐私权的丧失、人为错误复合网络物理生态系统中的遗留系统的利用、由智能设备数据增强的针对性攻击、缺乏对天基基础设施和对象的分析和控制、高级混合威胁的兴起、专业技能人员的短缺、因跨境 ICT 服务提供商导致的单点故障、人工智能滥用。该预测基于 ENISA 为期 8个月的前瞻性网络安全演习,并经过 ENISA 前瞻专家组、欧盟网络安全事件响应小组(CSIRT)和欧盟网络安全危机联络组织(CyCLONe)专家的研讨。意大利禁止使用人脸识别智能眼镜Reuters2022 年 11 月 15 日意大利数据保护机构(DPA)宣布,除执法机构可以有限使用人脸识别智能眼镜外,其他应用均为非法。隐私监管机构表示,在具体法律通过或至少在明年年底之前,意大利不会允许使用生物特征数据的面部识别系统。该举措主要是对意大利南部城市莱切开始使用基于面部识别技术的回应。监察机构还称,使用相关设备的市政府将被要求提供所采用系统的描述、目的和法律依据,以及监控设备访问的数据库清单。(桂畅旎编译)(本栏编辑:周 萌)
