重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。

事件概览:

1、多部网络安全法规正式生效

2、工信安全中心发布《我国数据开放共享报告2021》

3、工信部网络安全威胁和漏洞信息共享平台正式上线运行

4、美国陆军发布2021版《网络空间行动与电磁战》条令

5、美陆军发布网络现代化相关IT设备建议征询书

6、美众议院军事委员会扩充网络、IT和频谱计划

7、美众议院批准104亿美元的国防部网络安全预算

8、DARPA“自适应跨域杀伤网”软件研发进入第二阶段

9、美军联合业界成立“数字中频互操作”联盟

10、美网络司令部警告针对Confluence的黑客攻击

11、CISA发布“不良安全习惯”目录

12、CISA发布Kubernetes强化测试工具

13、美国Verizon公司在英国建设5G网

国内

01

多部网络安全法规正式生效

9月1日起,我国多部网络安全相关法规文件纷纷生效实施,包括:

《中华人民共和国数据安全法》已由全国人大常委会于2021年6月10日通过,自2021年9月1日起施行。

《关键信息基础设施安全保护条例》已经2021年4月27日国务院常务会议通过,自2021年9月1日起施行。

工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,自2021年9月1日起施行。

加上今年11月1日起施行的《个人信息保护法》,我国网络安全顶层设计基本建成。

从今天开始,我国网络安全行业将迈入新时代,网络安全不再是可有可无的附庸,而是组织经营需要坚守的底线。特别是重要行业、重点资产、关键弱点,需要着重监管,增强保护。

在构建好顶层制度后,国内组织将进入比拼安全建设的新阶段,满足的监管单位的合规要求只是最基本的要求,重能力、重效果方能取得更好的成绩。

02

工信安全中心发布《我国数据开放共享报告2021》

9月5日,2021中国国际数字经济博览会期间,工业和信息化部部属高校成果发布暨对接活动在河北省石家庄(正定)举办。国家工业信息安全发展研究中心信息政策所副所长高晓雨在会上发布《我国数据开放共享报告2021》,从对数据开放共享的基本认识、国外数据开放共享的典型政策、我国数据开放共享的基本情况、数据开放共享面临的问题挑战、加快数据开放共享的对策建议五个方面做了详细解读。

数字经济时代,数据既是新动力,也是新生产要素。习近平总书记就实施国家大数据战略进行第二次集体学习时强调,“推进数据资源整合和开放共享”。数据开放共享也是加快培育数据要素市场的一项重要任务,报告对数据开放共享进行研究和总结,梳理了美国《联邦数据战略与2020年行动计划》、欧盟《欧洲数据战略》、英国《国家数据战略》等国外数据开放共享典型政策。报告指出,当前,我国数据开放共享的政策措施和管理机制日益完善、政务数据共享步伐不断加快、公共数据有序开放、政企数据共享探索推进、企业数据共享基本处于黑箱状态、企业数据开放以市场化行为为主。同时,也面临数据产权界定难度较大、数据价值难以有效衡量、体制机制仍待进一步完善、数据安全风险日益突出四大问题挑战。针对这些问题,报告建议要进一步健全数据产权制度体系、建立数据价值评估体系、完善制度机制、加强数据安全防护。

03

工信部网络安全威胁和漏洞信息共享平台正式上线运行

9月1日,为落实《网络产品安全漏洞管理规定》有关要求,工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称“平台”)(https://www.nvdb.org.cn)正式上线运行。

根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)、工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)、移动互联网APP产品安全漏洞专业库(https://cappvd. cstc.org.cn)、车联网产品安全漏洞专业库(https://cavd.org.cn)等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。

平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。

国外

01

美国陆军发布2021版《网络空间行动与电磁战》条令

美国陆军于9月1日对外发布新版FM 3-12《网络空间行动与电磁战》条令,以取代2017年版的旧版FM 3-12条令。

新版FM 3-12为协调、整合和同步美国陆军网络空间行动与电磁战提供战术与流程,对统一的地面作战和联合作战提供支持。新版FM3-12包含4章和7段附录,第一章概述了作战环境以及如何通过网络与电磁战支持陆军部队,第二章介绍了网络与电磁战的类型、任务、效能以及与其它作战之间的关系,第三章介绍了涉及网络与电磁战的陆军指挥体系,第四章介绍了网络与电磁战的整合与协调,7段附录则分别介绍了网络与电磁战的规划流程、交战准则、联合部队下的网络与电磁战统筹、涉及网络与电磁战的预备役及其它支持性组织、网络与电磁战的支援请求、电磁战重编程以及网络与电磁战的训练。

新版FM 3-12诠释了美国网络空间行动与电磁战的基本原理、术语和定义,描述了指挥官和参谋人员应如何将网络空间行动与电磁战集成到统一的地面作战中,为美国陆军从事网络空间与电磁战的各级指挥员和参谋人员提供顶层指导。

02

美陆军发布网络现代化相关IT设备建议征询书

据Breaking Defense网站2021年8月30日报道,美陆军正在推进其网络现代化工作,旨在帮助美陆军获取决策优势,并使美陆军网络作为国防部联合合域指挥控制(JADC2)概念的一部分实现与其它军种网络的互操作。作为网络现代化项目的工作的一部分,美陆军于2021年8月27日发布名为“信息技术企业解决方案-4硬件”(ITES-4H)的建议书征询(RFP),涉及支持美陆军“网络作战-网络中心”能力的多种IT系统和服务。

这份RFP寻求“广泛的IP设备”,用以支持美陆军“企业基础设施和信息基础设施目标”。征询成果将产生多个固定价格、不确定交付/不确定数量合同,初始期限为5年,另包括5年的可选扩展期限。在ITES-3项下,美陆军已授出超过5万份订单,而ITES-4H合同项下将授出订单的数量还不确定。

ITES-4H征询书涉及七大类:1.服务器;2.工作站、瘦客户端、桌面电脑、笔记本电脑;3.存储系统;4.组网设备;5.成像设备;6.电缆、连接器和附件;7.视频设备产品。

该RFP还包括一些新技术的采购,包括但不仅限于嵌入式加密、穿戴式计算机和显示设备、无线产品、以及移动个人数据终端等。

此RFP强调,所有新采购系统和服务必须具有可集成性和互操作性。美陆军将首选符合标准化质量管理程序的厂商。

03

美众议院军事委员会扩充网络、IT和频谱计划

据BreakingDefense网站9月2日报道,美众议院军事委员会在9月1日的听证会上审议了780项修正案,这些修正案将被纳入《2022财年国防授权法案》,包括将预算最高限额提高239亿美元,重点关注技术和创新,旨在支持国防部应对未来十年的国家安全挑战。

主要要求包括:参联会向参众两院报告“联合全域指挥控制”技术的商业解决方案和互操作性;国防部确定执行《2020年电磁频谱优势战略实施计划》所需的资源;定期更新国防部在开发、采用、部署5G和开放式无线接入网络方面的进展;国防部在2025年之前制定主要武器系统的“机动自主能力”战略,重点探索自主使能软件的应用;建立国家微电子研发网络;整个国防部采用保护性域名系统;国防部更新人工智能应用,为决策者提供快速搜索和决策能力;对信息作战进行战略和态势评估,特别是“影响、破坏对手信息流和决策的能力,以及自我保护和保障的能力”;制定一项在全球信息环境中竞争的计划等。

04

美众议院批准104亿美元的国防部网络安全预算

据FCW网站9月3日报道,美国众议院支持拜登总统提出2022财年国防部网络安全预算,并在2022财年国防授权法案中增加了额外预算。

据众议院民主党多数派的一名助手说,众议院版本的年度国防政策法案支持拜登政府提出的2022财年国防部104亿美元的网络安全预算,还为保护五角大楼的信息系统提供了额外的投资,该法案的摘要显示为此类工作增加了5000万美元。这份被称为“主席标志”的文件,是委员会计划在周三对7160亿美元的整体支出蓝图进行马拉松式审议的基础。五角大楼要求为2022财年提供总额506亿美元的信息技术和网络空间活动资金。其中,104亿美元的网络安全预算要求包括:55亿美元的网络安全、43亿美元的网络空间行动和5.109亿美元的研究和开发资金。网络安全的相关数字还包括6.05亿美元的美国网络司令部的一般预算。

众议院法案还为网络司令部的网络任务部队开了绿灯,这支由大约6200名来自各军种的人员组成的队伍被分成133个小组,未来一年将增加四个单位,这是自2012年确定其架构以来的首次扩张。据称拟议立法中“最有影响的”条款之一是将在联合部队总部国防信息网络部内设立一个新的项目办公室,以集中管理网络威胁信息产品。

05

DARPA“自适应跨域杀伤网”软件研发进入第二阶段

据Seeking Alpha网站2021年8月31日报道,BAE系统公司从美国国防高级研究计划局(DARPA)获得了半自主任务规划软件第二阶段合同。该合同是“自适应跨域杀伤网”(ACK)项目的一部分。在此之前,BAE已成功完成了该项目第一阶段的软件演示。

在第一阶段,BAE与卡内基梅隆大学及Uncharted软件公司合作创建了“多域自适应请求服务”软件,并在实战演习中展示了该软件支持实时任务更新以及生成选项来调整计划以适应新任务的能力。ACK项目旨在为任务指挥官开发一种决策辅助工具,帮助他们在机构范围内以及跨机构快速识别和选择分配任务和重新分配任务的各种选项。具体来说,ACK可帮助用户跨域、跨军种选择传感器、执行器和支持要素,对目标实现期望的效果。不同于以往受限、单体、预定义的杀伤链,这些更加分散的力量可以基于所有可用选项形成自适应“杀伤网”。

在第二阶段,BAE将继续进行软件开发和能力扩展,通过自动识别跨域可用资产,然后在调整任务时快速评估使用这些资产的成本和收益,来提高帮助操作员做出明智决策的能力。项目最终目标是在一个全尺寸、真实的作战环境中演示该技术。BAE相关负责人称,“自主性是多域任务规划的一个关键使能要素。第二阶段合同的重点是提高为军方设计的软件能力,实现对多域战场空间资源的利用,提高任务效能和效率。”

06

美军联合业界成立“数字中频互操作”联盟

据BreakingDefense网站7月21日报道,三名美国参议员于当日提出了一项法案草案,要求联邦机构、政府承包商以及关键基础设施的所有者和运营商在发现任何“威胁国家安全”的网络事件后的24小时内进行上报。

该法案名为《2021年网络事件通报法》(Cyber Incident Notification Act of 2021),其要求联邦机构以及关键基础设施的所有者和运营商(包括政府承包商和分包商,但不包括提供内务服务、托管服务或所供非IT产品或服务低于小额采购门槛的个人或机构)在发现网络事件后的24小时内,向隶属于国土安全部的网络安全与基础设施安全局(CISA)上报事件。同时CISA则需“建立网络入侵报告能力,以便及时、安全且可靠地提交网络安全事件报告”。为消除上报方的担忧,该法案将为上报方提供“有限豁免”,并要求CISA采取数据安全措施来保护个人信息(PII)和隐私,且除联邦政府或国会出于监管目的发出的传票外,该方案将禁止任何民事或刑事案件中将上报信息作为对上报方不利的证据。这是美国首次在联邦层面上强制要求上报网络事件。

近期的“太阳风”(SolarWinds)软件供应链攻击事件、科洛尼尔(Colonial)管道运营商遭勒索软件攻击事件和微软Exchange网络间谍事件等重大网络安全事件接连爆发,这使美国认识到其网络安全事件通报机制有所不足,最终推出了这项获得美国两党广泛支持的法案。

07

美网络司令部警告针对Confluence的黑客攻击

据PCmag网站9月6日报道,美国网络司令部(Cyber Command)警告美国各机构,黑客正在利用一个广受欢迎的项目管理工具的软件缺陷,这表明黑客可能正在为一场令整个私营部门头疼的更大规模攻击做准备。

美国国防部网络司令部当地时间星期五在一条推特上说,对这一问题的“大规模利用”正在进行,预计还会加速。这个问题存在于Confluence中,这是一种企业应用程序,作为在企业环境中实现远程工作的手段。开发商Atlassian公司在8月25日警告客户将他们的系统升级到最新版本的Confluence,而网络司令部呼吁用户立即将Confluence升级到最新版。

Confluence软件缺陷的具体细节不明,Atlassian公司仅表示,该问题被归类为CVE-2021-26084,是一个“注入漏洞”,允许经过身份验证的用户(在某些情况下是未经身份验证的用户)在Confluence服务器或数据中心实例上执行任意代码。在通用漏洞评分系统(Common Vulnerability Scoring System)上,该漏洞评分为9.8分(满分10分)。8月25日,Atlassian公司发布补丁以解决这个关键代码执行漏洞,发布补丁后不久,黑客就开始利用该漏洞。

然而,安全行业资深人士Dave Aitel认为现在打补丁可能还不够。“老实说,我认为这是个糟糕的建议。人们应该让这些系统完全离线并从头开始重建它们,”艾特尔在一条推文中说。

08

CISA发布“不良安全习惯”目录

据CISO MAG网站9月2日报道,隶属于美国国土安全部的CISA正在编撰不良安全习惯目录,列出可能增加企业风险的不良安全习惯,尤其是那些支持指定关键基础设施或所谓国家关键职能(NCF)的企业。

CISA创建了一份不良安全习惯清单,这张清单上的第一条不良安全习惯,就是在关键基础设施和国家关键职能服务中使用不受支持的软件或者过时软件,这种做法既危险,又大幅提升了对国家安全、国家经济安全和国家公共卫生安全的风险。第二条是在关键基础设施和国家关键职能服务中使用已知的、固定的和默认的口令及凭证,这种做法同样危险,也大幅增加了对国家安全、国家经济安全和国家公共卫生安全的风险。在接入互联网的情况下,这两条习惯的害处甚大。

CISA指出,尽管这些实践是对关键基础设施和国家关键职能而言充满风险,但仍建议所有企业和机构采取必要的步骤和对话来解决和消除不良习惯。该机构也承认自己的清单比较集中,但尽管清单并没有包括所有可能的不良习惯,未含有特定习惯并不意味着CISA认可此习惯或认为其风险等级可以接受。

最近几个月,CISA采取了一系列措施为防御者提供信息和工具,不良安全习惯清单就是其中最新的举措。今年早些时候,该机构拓展了其开源库中的开源安全工具和管理脚本产品组合。本月,CISA共享了针对关键基础设施的勒索软件威胁情报,以及可增加运营技术资产及控制系统威胁的情报。CISA还持续警示安全从业人员实时发生的威胁,并发布漏洞咨询。

09

CISA发布Kubernetes强化测试工具

本月初,美国国家安全局(NSA)和美国网络安全与基础设施安全局 (CISA)发布了《Kubernetes强化指南》。该指南详细介绍了加强Kubernetes系统的建议,并提供了配置指南以最大限度地降低风险。主要操作包括扫描容器和Pod是否存在漏洞或错误配置,以尽可能低的权限运行容器和 Pod,以及如何使用网络分离、防火墙、强身份验证和日志审计。

为了保障指南的有效落地,CISA日前发布了与指南配套的测试工具——Kubescape,该工具基于OPA引擎和ARMO的姿态控制,可用于测试Kubernetes是否遵循NSA和CISA强化指南中定义的安全部署。用户可使用Kubescape测试集群或扫描单个YAML文件并将其集成到流程中。

据了解,Kubernetes是一个应用较广泛的开源系统,可自动部署、扩展和管理在容器中运行的应用程序,通常托管在云环境中,并提供比传统软件平台更高的灵活性。

针对Kubernetes的攻击通常为数据窃取、计算力窃取或拒绝服务。一般来说,数据盗窃是主要动机。然而,攻击者也可能会尝试使用Kubernetes来利用网络的底层基础设施来窃取计算力,以实现加密货币挖矿等目的。

10

美国Verizon公司在英国建设5G网

据LightReading网站9月3日报道,美国Verizon与诺基亚合作为英国南安普敦部署了专有5G网络,南安普敦是21个联合英国港口(ABP)中最大的一个。ABP的港口年度总处理能力为8500万吨货物,帮助产生了英国10% 的电力,并每年为英国经济贡献75亿英镑产值。

ABP就升级其Wi-Fi网络与Verizon接洽,该网络仅具有间歇性覆盖,无法在整个港口提供连接。Verizon Business负责战略规划的高级副总裁Jennifer Artley介绍,Verizon给出的解决方案是部署一个新的5G专用网络,因为5G连接比广泛的光纤建设更具成本效益。南安普敦港口使用的是3.7GHz频段,与美国的中频C波段类似,共部署了7个5G基站,而此前的Wi-Fi网络使用了多达200个接入点。

 “借助专有5G网络,ABP实现了对整个系统的实时分析、工作流管理、关键资产跟踪和更高的效率。”Jennifer Artley说。仅南安普敦就有45000名员工,运输约100万辆汽车和近200万乘客通过港口。该港口每年为英国经济贡献约20亿美元。