|
|
|
|
|
欧盟《网络弹性法案》生效
|
|
|
2024年欧洲网络安全演习事后报告发布
|
|
|
ENISA发布《欧盟网络安全状况报告》
|
|
|
NIST发布《信息安全测量指南》
|
|
|
NIST发布《实施零信任架构》实践指南草案
|
|
|
NIST发布两份关于基因组数据网络安全和隐私风险文件
|
|
|
NIST发布了智能逆变器的网络安全相关指南
|
|
|
CISA发布《国家网络事件响应计划》草案
|
深度观察:
美国土安全部发布的《人工智能在关键基础设施中的角色和职责框架》解析
2024年12月17日,美国网络安全与基础设施安全局(CISA)发布了BOD 25-01操作指令《实施云服务安全实践》(Implementing Secure Practices for Cloud Services),旨在保护美联邦信息系统。该指令要求美联邦民用机构实施一系列安全措施和评估工具,确保其云环境符合CISA的安全云业务应用(SCuBA)配置基线要求。
近年来,云服务被广泛采用,然而伴随而来的安全挑战也日益严峻。近期的网络安全事件揭示了错误配置和薄弱安全控制的巨大风险,这些漏洞可能被攻击者利用,导致未经授权的访问、数据泄露或服务中断。
为此,CISA提出了一系列新要求,旨在通过加强云服务实施安全措施,减少联邦政府网络的攻击面,提升其应对威胁的能力。根据指令的要求,联邦民用机构将采用CISA制定的自动化配置评估工具,以评估云环境是否符合所需的安全配置基线,并对偏离基线的情况进行纠正。此外,指令要求将这些评估工具与CISA的持续监控基础设施集成,确保联邦民用机构能够及时发现并修复潜在的安全漏洞。
2024年12月10日,欧盟《网络弹性法案》(Cyber Resilience Act)生效。该法案将为各类数字产品筑牢安全防线,从日常使用的婴儿监视器,到智能手表等可穿戴设备,都将因之更加安全可靠。随着CRA的落地实施,几乎所有与其他设备或网络存在直接、间接连接的产品(民用航空器、机动车辆等个别已有安全法规监管的产品除外)均应遵循严格的安全标准。这些标准对制造商和零售商提出了明确要求,促使他们在产品全生命周期中贯彻网络安全理念。
CRA的核心保障内容包括:
(1)统一市场准入规则:确保任何携带数字组件的产品或软件,在进入欧盟市场时遵循统一的安全规范,消除标准差异带来的安全隐患。
(2)全流程安全管控框架:从产品的规划构思、设计研发,到后期的维护升级,每一个环节都有严格的网络安全要求,贯穿整个价值链,确保每个参与者都履行相应责任。
(3)全生命周期尽责义务:要求相关方对产品的整个生命周期负责,持续关注并保障产品在不同使用阶段的网络安全。
2024年12月10日,欧洲网络与信息安全局(ENISA)针对6月举行的网络欧洲演习发布了评估报告。本次演习汇聚约5000名来自能源、数字基础设施、公共行政等不同部门以及欧盟相关机构的参与者,共发起约28000次模拟攻击。
本次演习旨在评估并确保流程充分性,完善标准化操作程序,搭建稳固的内外部沟通渠道。同时,演习还提升了企业的网络安全意识,突显网络安全预备的重要性。与往年相比,今年评估报告更注重收集参与者的深刻见解,梳理潜在改进方向,融入经验教训与可行建议,全面评估演习有效性,明确未来需强化的方法。超90%的演习参与者表示通过演习,自身应对网络安全事件的能力得到提升,将其视为检验网络安全能力的契机,危机事件报告和处置流程更加顺畅,跨部门业务连续性得以保障。
2024年12月3日,欧盟网络安全局(ENISA)发布了《欧盟网络安全状况报告》(State of Cybersecurity in the EU)。该报告提供了欧盟网络安全成熟度的概述,并评估了欧盟的网络安全能力。
报告指出,尽管欧盟各成员国已经制定了统一的网络安全战略,试图共同应对网络风险,但在关键部门的战略实施方面却存在着明显差异。这种差异使得网络安全的监督和措施执行面临诸多困难,阻碍了网络安全战略的有效落地。同时,欧盟公民的网络安全意识在近年来有所提升。报告基于上述情况,提出了四个优先政策事项建议:
(1)包括加强欧盟机构对网络安全工作的支持,以更好地协调各成员国之间的行动;
(2)修订大规模网络事件应急响应蓝图,提高应对突发网络危机的能力;
(3)积极推动网络安全技能培训,填补当前存在的技能缺口,提升整体网络安全防护水平;
(4)加强供应链安全,防范潜在的网络安全风险从供应链环节渗透。
报告还着重强调,在未来的网络安全工作中,将更加关注人工智能和后量子密码学领域的挑战。随着这两个领域的快速发展,新的网络安全威胁也可能随之而来,欧盟需要提前布局,积极应对这些潜在的风险,以确保其在数字领域的安全和稳定。
2024年12月4日,NIST发布特别出版物SP 800-55《信息安全测量指南》(Measurement Guide for Information Security),旨在为组织提供全面的信息安全测量框架。
NIST SP 800-55第一卷《识别与选择措施》(Identifying and Selecting Measures)为信息安全措施的制定、选择和优先级排序提供了一种灵活的方法。本卷探讨了定量和定性评估,并就数据分析技术以及影响和可能性建模提供了基本指导。
NIST SP 800-55第二卷《制定信息安全度量计划》(Developing an Information Security Measurement Program)提供了一种灵活的方法和工作流程。
两卷内容相辅相成,第一卷提供具体措施方法,第二卷构建管理框架,旨在通过数据驱动决策帮助组织提升信息安全成熟度,并满足合规与风险管理需求。
2024年12月5日,NIST发布特别出版物SP 1800-35《实施零信任架构》(Implementing a Zero Trust Architecture (ZTA))草案并公开征求意见。
随着企业的数据和资源实施本地和多云环境部署,保护数据和资源变得越来越具有挑战性,许多用户需要能够在全球范围内、实时、跨设备进行访问。NIST下属国家网络安全卓越中心(NCCoE)通过与行业参与者合作,展示了19个零信任架构的实施示例,为技术实施者提供了宝贵的资源,提供了可以复制的模型,以帮助组织节省时间和资源。
NIST SP 1800-35对应的两份文件,其一作为入门读物,提供了对项目工作的深入见解,包括项目目标的摘要、参考架构、各类ZTA实施概况;其二提供了关于所利用技术的深入细节、集成和配置,以及用例和场景示例。它还包含了已实施的安全功能及其与NIST网络安全框架1.1和2.0版本、NIST SP 800-53r5以及根据第14028号行政命令“EO-关键软件”中概述的安全措施的映射信息。
