国内外最新网络安全发展动态
日期:2024-08-04 10:45 | 人气:
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
4、那万提亚造船厂和西班牙电信联合为西班牙海军S-80潜艇研制网络安全系统
2021年12月02日,为“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,落实国家数据安全产业生态建设工作布局,在前期工作基础上,中国信通院拟联合60余家高校、科研院所、企事业单位共同发起“数据安全共同体计划”。
随着数字经济和信息产业蓬勃发展,5G、大数据、人工智能、区块链等技术加快落地应用,新业态新技术在推动经济转型升级的同时,数据泄露、滥用等风险日益凸显。党的十九大报告、“十四五”规划等重要文件提出推动发展数据战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。2021年,《数据安全法》和《个人信息保护法》相继出台,工信部公开征求《工业和信息化领域数据安全管理办法(征求意见稿)》的意见,中央网信办公开征求《数据出境安全评估办法(征求意见稿)》和《网络数据安全管理条例(征求意见稿)》的意见,国家对数据安全的重视程度达到了前所未有的新高度。强化全行业数据安全保障能力,落实数据安全法律法规政策离不开数据安全产业链和生态的有力支撑,在新一轮科技变革和产业变革推动经济发展,我国进入扎实推进共同富裕的关键历史阶段,数据安全生态建设对促进我国数字产业健康有序发展意义重大。
近年来,中国信息通信研究院(以下简称“中国信通院”)在数据安全领域开展了大量工作。发布了《大数据时代数据安全防护通用最佳实践》《大数据安全白皮书》《软件开发包(SDK)安全与合规报告(2020)》等多本具有产业影响力的白皮书和研究报告。深度参与了《信息安全技术 网络数据分类分级要求》《信息安全技术 重要数据识别指南》《信息安全技术 人脸识别数据安全要求》《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术 移动互联网应用程序(APP)软件开发包(SDK)安全要求》等国家标准;牵头制定了《电信网和互联网数据分类分级技术要求与测试方法》《电信网和互联网数据库审计技术要求与测试方法》《电信网和互联网数据脱敏技术要求与测试方法》等通信行业重点标准。成立了大数据应用与安全创新实验室,开展数据安全产品技术能力、联邦学习产品安全和移动应用安全等方面的测评工作,目前共完成了60多家企业100余款产品的测评。
2021年11月26日,为加快推进工业互联网与钢铁行业融合创新应用,促进行业转型升级与高质量发展,工业互联网产业联盟联合中国钢铁工业协会、中国金属学会研究编制了《工业互联网与钢铁行业融合应用参考指南(2021年)》(以下简称《指南》)。《指南》旨在为钢铁行业工业互联网建设过程中的需求场景识别、应用模式打造、关键系统构建和组织实施路径提供参考借鉴,加快工业互联网与钢铁行业融合应用,推动钢铁行业转型升级。
《指南》从钢铁行业的实际应用场景出发,结合企业业务需求,基于工业互联网体系架构,提出了钢铁行业总体实施架构,深入剖析了网络、标识、平台和安全等建设部署路径,总结了钢铁企业应用工业互联网开展数字化转型的实施步骤,并给出了相关应用领域的供应商名录,为钢铁企业开展工业互联网建设提供有益参考。
中国电子信息产业发展研究院院长张立曾在11月30日接受央视财经频道采访时,提到:“(加快工业互联网平台应用普及)重点是将场景数字化作为企业转型由虚向实的切入点,培育并推广一批高质量、低成本、易部署的平台解决方案。”
以下是赛迪院长张立针对工业和信息化部印发的《“十四五”信息化和工业化深度融合发展规划》(以下简称《规划》)进行的深度解读:
两化融合是中国特色新型工业化道路在现阶段的集中体现,是加快工业经济向数字经济转型的必由之路。习指出,要“推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展”。面对新时期技术变革提速、国际分工重塑、中美经贸摩擦加剧等挑战,我们要坚持把推动两化深度融合作为制造强国和网络强国建设的“扣合点”,不断深化新一代信息技术与制造业融合发展,打造基于工业互联网平台的“双创”新生态,加快制造业数字化转型。
当前,全球科技创新进入密集活跃的融合爆发期,新一轮科技革命和产业变革正在重构全球创新版图。新一代信息技术作为本轮科技革命中创新最活跃、交叉最密集、渗透性最强的领域,正在引发系统性、革命性、群体性变革,已成为世界各国抢占未来产业发展主导权的战略焦点。在此过程中,制造业数字化转型为两化深度融合提供海量应用场景,不断加快技术的融合创新、深度应用和迭代优化,全面提升资源配置效率,支撑工业经济向数字经济加速迈进。
工业互联网平台作为连接工业经济全要素、全产业链、全价值链的枢纽,有利于提高工业数据采集广度和精度,实现制造资源的泛在连接、动态供给和高效配置。制造业数字化转型以工业互联网平台为载体,通过对产业链上下游的全要素进行数字化转型和再造,支撑企业开展工业设备上云改造和业务系统云端迁移等业务,以数据流带动技术流、资金流、人才流,深刻重塑工业生产制造和服务体系,驱动制造业数字化、网络化、智能化转型升级。
构建多方协同、互利共赢的产业创新生态是稳增长、促改革、调结构的重要路径,是我国制造业持续健康发展的新动力之源。制造业数字化转型有利于通过市场化手段,充分发挥平台企业、行业企业、信息技术服务商等社会各方的主动性和创造性,打破资源对接传统壁垒,持续激发企业创新活力、发展潜力和转型动力,不断催生新产品、新模式、新业态,促进大中小企业融通发展,加速打造制造业“双创”升级版,为制造业高质量发展提供重要支撑。
网络基础设施持续升级,建成了全球规模最大的信息通信网络。目前我国已累计建成5G基站超115万个,占全球70%以上,为数字化转型提供有力支撑。国家工业互联网大数据中心体系建设有序推进,数据汇聚能力持续增强,数据作为生产新要素、发展新动能的价值成效加速释放。通用芯片、智能传感、工业云操作系统等关键技术攻关持续推进,形成一批以高铁列车控制系统、高档数控系统为代表的关键应用软件与行业解决方案,全国工控安全检查持续开展,融合发展基础设施不断夯实。
深入实施工业互联网创新发展战略,加快建设系统化、多层次的工业互联网平台体系,遴选了15个跨行业、跨领域的工业互联网平台,具有一定行业和区域影响力的工业互联网平台超过100家,连接设备超过7600万台(套)。数字化转型解决方案供给能力持续提升,应用领域覆盖近40个国民经济重点行业,赋能行业提质增效的作用显著增强。山东、广东、长三角、成渝等工业互联网示范区建设深入推进,启动建设了19个工业互联网平台应用创新体验中心,广泛汇聚各类产业创新资源,区域协同发展格局初步呈现。
累计完成12项国家标准立项,7项国家标准发布实施,推动2项国际标准发布,引导全国3.9万余家企业开展贯标,21万余家企业开展自评估自对标,两化深度融合标准大规模应用普及并向国际推广,引发制造业生产方式、企业形态、业务模式和就业方式加速变革。截至目前,我国企业数字化研发设计工具普及率和关键工序数控化率分别为74.7%和54.2%,制造业数字化转型进程持续加速。
重点行业骨干企业“双创”平台普及率超过85%,制造业“双创”平台的服务支撑水平显著提升,成为技术联合攻关和人才培养的高地、资源协同与供需对接的核心载体,涌现出数字化管理、平台化设计、智能化制造、网络化协同、个性化定制、服务化延伸等一批新模式,催生并壮大了零工经济、平台经济、共享经济等新业态,实现了更广范围的资源优化配置、更深程度的生产方式变革和更高水平的价值创造,有效促进产业发展方式变革、产业结构优化和增长动力转换。
以习新时代中国特色社会主义思想为指导,深入贯彻落实党的十九大精神和深化新一代信息技术和制造业融合发展的决策部署,持续做好“信息化和工业化深度融合”这篇大文章。一是健全融合发展政策体系,加速推进“十四五”时期信息化和工业化融合发展规划的宣贯落实。二是加快出台制造业数字化转型政策文件,务实推进工业互联网创新发展,为企业开展数字化转型实践提供指引。三是制定工业互联网平台评估、工业设备上云、工业互联网平台新模式等关键标准,持续强化工业互联网平台标准体系研究。
加快平台体系建设和推广应用,进一步发挥平台的连接枢纽作用,持续挖掘工业数据潜在价值,驱动制造业数字化转型。一是完善“综合型+特色型+专业型”多层次平台体系,引导重点平台开放工业APP和微服务资源池,强化数据互通和价值共享。二是面向原材料、消费品、安全生产等重点行业领域,推广一批“平台+”特色解决方案,不断提升工业互联网平台服务能力。三是推广基于平台的新模式新业态,深挖用户潜在需求,为制造业数字化转型注入新动能。
汇聚创新资源、打造创新载体,加快形成“以建促用、以用促建”的良性循环。一是建设完善新一代信息技术与制造业融合发展等公共服务平台,持续提升行业创新公共服务水平。二是加强工业互联网平台应用体验中心建设运营,加快打造一批行业特色鲜明、品牌影响力强、带动作用显著的工业互联网示范区。三是鼓励大型企业共享开发工具、开发资源,支持海量第三方开发者基于云端进行工业APP开发设计,培育工业互联网平台开源社区,壮大基于工业互联网平台的“双创”生态。
充分认识制造业数字化转型的长期性、系统性属性,汇聚政企产学研各方力量,打造人才链、创新链、产业链和资金链融通发展的良好生态环境。一是深化产融结合,鼓励社会资本参与工业互联网建设,引导和支持地方建设区域工业互联网产业基金,加大对重点工业互联网平台企业支持力度。二是加快新一代信息技术领域“新工科”建设,综合运用培训基地建设、工程实训等多种手段,构建多层次人才培养体系,提高数字化转型人才供给能力。三是持续推进“工业互联网平台赋能深度行”活动,高水平举办工业互联网大赛和有关展会活动,营造产学研用多方联动的良好氛围。
01那万提亚造船厂和西班牙电信联合为西班牙海军S-80潜艇研制网络安全系统
12月1日报道,西班牙国有造船厂那万提亚(Navantia)和西班牙电信公司(Telefónica)已经开始联合为西班牙海军S-80级潜艇研制一套网络安全系统,该系统将在建设完成的最后阶段装入潜艇。这两家公司将合作研究S-80级潜艇和F-110护卫舰的网络防御系统解决方案。那万提亚将为该型号的每艘潜艇提供网络防御柜,并完成系统工程和安全工程的开发,以及潜艇网络防御系统的集成工作。此外,那万提亚还将为网络防御系统的开发和鉴定提供实验室测试环境或LBTS(陆基测试站点)。S-80网络防御系统将为潜艇的主要系统提供防范网络攻击或入侵企图的保护,并将实时监控作战系统、综合平台控制系统和通信系统的运行,在发现任何可能的威胁时发出警报。此外,系统还可以分析构成威胁的事件并确定其起源、威胁的程度和入侵机制,以采取相关的防御行动。
2021年12月2日报道,击落飞机或炸毁目标可能不是在未来战争冲突中获得的最大成功。相反,根据一位空军官员的说法,在对手之间散布混乱信息可能更多地与战场上的胜利联系在一起。
空军电磁频谱优势局(简称A2/6L)局长布里格·塔德·克拉克(Tad Clark)将军在11月30日老乌鸦协会研讨会上的一次演讲中说:“我认为,在我们正在准备的21世纪的战场上,这种怀疑、犹豫和困惑正在为我们赢得胜利。”。。“如果我们让对手停下来片刻,重新评估胜算是否对他们有利,尝试确定他们是否能采取行动,以及当下否是他们采取行动的有利时机,那么我们正在延缓他们的决策矩阵。”
克拉克说,然而,要实现这种混乱,关键取决于电磁频谱的优越性。他补充说,频谱的优越性支撑着军方的每一项核心任务。
非动能能力对于实现对手之间的这种混乱至关重要,甚至可能防止未来发生枪战。
克拉克所在的空军电磁频谱优势局正在帮助空军了解现在可以提供哪些能力以及需要进行哪些投资,这将证明在军队未来面临预算紧缩的情况下非常重要。空军电磁频谱优势局成立于几年前,旨在从总部空军层面统一监督电磁频谱问题。空军参谋长查尔斯·布朗将军此前曾说过,“在某些方面,电子导弹比昂贵的实体导弹便宜得多”,这意味着空军可以在非动能能力方面实现一些实际成本节约。
布朗在今年早些时候的一次会议上还解释说,根据《突破防御》的报道,这种非动能能力可能“占据主导地位”,他补充说,“现在我们在某种程度上陷入了这样的想法:质量必须是物理的。如果我们不必制造出架次来达到同样的效果呢?如果未来的小直径炸弹看起来像1和0呢?”克拉克指出,鉴于资金有限,空军必须确保其资金投资明智。
克拉克说:“这就是我们的董事会正在努力做到的。归根结底,当我们看到我们的空军部在空军和航天部队的能力方面进行投资时,我们将赢得胜利。这些能力使我们能够进一步发展技术,实现我们未来需要的目标。”。为了做到这一点,克拉克说,空军电磁频谱优势局正试图向高级领导人传达当今可能的艺术,并指出目前存在一些强大的能力。一个这样的能力集在于网络空间和电磁频谱之间的融合。
克拉克说:“网络空间和电磁频谱之间的连接组织是惊人的。我们现在可以实现巨大的能力,使我们能够获得所需的最终状态、所需的效果、非动力学效果,而这些都是微不足道的。”。“这是我们一段时间以来一直在努力解决的问题,我们一直在努力让我们的军队围绕着所有适合这一领域的东西。当我们剥开洋葱皮的时候,有很多例子表明,我们可以利用网络空间和电磁频谱来做一些事情,这些事情是可以重复、可持续和负担得起的。”虽然最初是在空军参谋部的A5战略部门内创建的,但董事会现在已转移到A2/6部门,该部门包括网络和电磁频谱运营。
官员们一直指出,他们将能力视为多个平台上的网络系统,需要有正确的概念支持才能真正发挥作用。对于新成立的第350频谱作战联队来说,连接分布在不同平台上的不同能力将是未来的一项关键任务。
成立于6月的联队将启用、装备和优化电磁频谱能力的部署,目的是在非物理领域提供可持续的竞争优势。作为其职责的一部分,其指挥官使用乐高积木作为连接平台和能力的手段,以充分利用库存中的资源。
第350频谱作战联队指挥官威廉·杨上校在同一次会议上说:“我们要去的地方实际上是如何将不同飞机上的乐高积木整合到一个按需的特设杀伤网中。”。杨在一次会议上解释说,一名小组指挥官将一盒乐高积木扔到桌子上,并使用移动应用程序Brickit,它查看桌子上所有不同的乐高积木组合,并提供可能建造的所有不同物品的列表。
杨说:“把自己放在一个对手的位置上,他现在认为自己对美国空军或整个国防部有深刻的洞察力,但现在必须面对这一点。”他指的是一种未来状态,在这种状态下,平台上的功能是乐高积木,可以以多种不同的方式重新组装和配置。“我们传统上是在平台级打包东西。我们在这里讨论的是这种类型的战争是在子系统级打包的能力。”
2021年12月1日报道,网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)局长延·东利任命网络安全记者妮可·佩洛斯和黑客界杰出领袖杰夫·莫斯加入网络安全咨询委员会,该委员会由行业代表主导。
伊斯特利在周三的新闻发布会上说“我们正处于历史的关键时刻,这要求我们重新思考如何确保我们的数字基础设施在面对日益复杂的网络威胁时的安全性和恢复力。这就是为什么我非常高兴我们国家的一些最优秀的网络领域的专家同意加入我们的网络安全咨询委员会,”。“我期待着与这些来自行业、学术界和政府的杰出领导人合作,解决我们这个时代一些最紧迫的问题。”
除了佩洛斯和莫斯之外,该委员会还包括战略与国际研究中心国土安全高级顾问苏珊娜·斯波尔丁(Suzanne Spaulding),她是成为CISA的前董事会主席;德克萨斯州奥斯汀市市长史蒂夫·阿德勒;伊利诺伊州应急管理局局长艾丽西亚·泰特·纳多以及三位学者。其余15名成员来自主要关键基础设施和网络安全公司。
网络安全咨询委员会由2021年《国防授权法》授权,最多可容纳35名成员,还需要来自国防、教育、金融服务、医疗保健、制造业、媒体和娱乐、化工、零售、交通、能源和信息技术以及通信部门的代表。
伊斯特利周三在《财富》杂志主办的一次活动中表示:“我们从州和地方政府中挑选了在网络安全技术、恢复力、风险管理和隐私方面具有丰富经验的人,因为考虑到我们正在努力打造的集体防御体系,这一点很重要。”,“真正帮助我将中钢协转变为一家非常注重合作的机构。”但是委员会的章程允许东利在她认为合适的时候任命其他人,她强调了利用黑客社区的重要性。
伊斯特利说:“我的朋友杰夫·莫斯(Jeff Moss),他从布莱克哈特的DEFCON开始,他将帮助我真正点燃黑客社区、研究人员、学术界的力量,这又是关于重新获得攻击权的问题。我们已经看到太多这些漏洞落入了民族国家世卫组织的手中。”然后用它们来对付我们,因为我们都是全球联网的,现在我们在SolarWinds上看到了这一点,大家都知道,我们必须能够找到这些漏洞,以便我们能够修复漏洞并减轻我们所有基础设施的风险。”
发布消息称,这23名人员将每年至少会面两次,并就如何进一步吸引黑客社区、建设网络员工队伍、降低关键职能的系统性风险、打击错误信息和虚假信息以及实施公私合作提出建议。
2021年11月30日报道,美国国防部近日宣布已完成全球态势评估,将为国防战略提供指导。根据评估结果,印太地区将是美军部署的优先地区,美军应与盟国和合作伙伴开展更多合作,以应对中国挑战,具体举措包括为军事伙伴关系活动寻求更大的区域准入能力,以及加强澳大利亚和太平洋岛屿的基础设施,包括几年内的弹药储存、机场升级、燃料储存和后勤设施;美军将继续在德国驻军,此前拜登总统已推翻上届政府对该国现役部队人数的上限,同时美军还将保留在德国和比利时的七个军事基地;此外,态势评估还包括中东和中南美洲地区的相关计划。在海军水面资产方面,国防部并未提供详细评估信息。目前,美国海军和国防部正在对未来的舰队架构进行单独研究,美国防部成本和项目评估办公室正在评估将于明年初公布的2023财年预算的舰队设计,美海军正在分析应对2024财年预算之后的未来威胁所需的舰队架构。
2021年11月29日报道, 事实上,每年网络攻击的数量不断增加,再加上缺乏适当的指导方针和培训,突出表明迫切需要网络安全意识。与此同时,关于网络安全问题和提高认识的沟通并不是一项简单的工作。欧盟成员国需要采取具体行动实现这一目标,如果将相应的愿景纳入其国家网络安全战略,这一目标就更有可能取得成功。
在这方面,欧洲网络安全局(ENISA)今天组织了第九届国家网络安全战略(NCSS)研讨会,本次研讨会是一项年度活动,专门讨论欧盟成员国为提高网络安全意识而采取的措施和优秀的做法。
“提高认识作为国家网络安全战略的一个关键要素”报告是欧洲网络安全局专家在研讨会期间得出的主要成果。
研讨会期间还宣布了国家能力评估框架(NCAF)工具,并讨论了欧洲信息中心框架的开发。
报告的最终目的是通过分析提高公众网络安全意识的最佳做法,协助欧盟成员国努力进一步建设其网络安全能力。全面介绍和分析了欧盟成员国的国家意识活动和计划。
在此过程中,报告深入探讨了成员国遵循的方法和途径,包括别名间规划、提高认识活动、绩效指标和产生的影响。为此,在2021年5月至7月的报告期内,与相关国家当局进行了20次结构化访谈。通过确定优秀的做法、面临的挑战以及经验教训,报告还就如何提高国家提升认识活动的效力提出了建议。
•通过国家网络安全战略(NCS)建设提高网络安全意识的能力,以帮助利益相关者了解提高网络安全意识的范围和必要性,以及它适用于谁和它的主要目标是什么。
•通过对威胁环境进行分析和报告,定期评估网络安全趋势和挑战。这是提高认识的重要一步,因为更广泛的公众是最终的接受者。
•衡量网络安全行为,通过考虑欧盟公民对网络安全的思考和行为模式,对网络安全进行定量衡量。
•负责设计和实施网络安全意识提高活动以及负责国家网络安全战略的国家当局专家。
欧洲网络安全局参与了一系列行动,以支持欧盟国家当局提高其执行和评估国家网络安全战略的能力。
欧洲网络安全局于2020年12月发布了《国家能力评估框架》(NCAF)报告,该报告向成员国提供了一种评估其网络安全能力的方法,并通过评估其国家网络安全战略(NCS)目标来衡量其在国家一级的成熟度。作为NCAF报告的延续,欧洲网络安全局将在未来几天发布《国家能力评估框架工具》(NCAF工具)。
NCAF工具为成员国提供了必要的手段,以支持评估其网络安全能力,与国家网络安全战略的目标和目的相关。使用欧洲网络安全局的NCAF工具,负责或参与国家网络安全战略(NCS)设计、实施和评估的决策者、专家和政府官员可以通过节省时间和资源来简化和加快这一过程。
通过进行这种评估,会员国可以提高其对网络安全成熟度的认识,确定需要改进的领域,并在国家层面进一步发展网络安全能力。
NCSS研讨会提供了一个很好的机会,也为欧洲信息中心的发展提供了一个概念框架。欧洲信息中心预计将被开发,并作为网络安全信息的一站式服务,公众可直接访问。通过这样一个专门的门户网站,欧洲网络安全局旨在通过向整个欧盟的利益相关者及时和友好地提供相关信息和知识,进一步促进欧洲的网络弹性。
信息中心还可以作为提高认识的工具,支持欧洲公民、企业和公共部门官员宣传和获取有关网络安全的信息。
2021年11月24日报道,国防创新部门(Defense Innovation Unit,DIU)已经发布了新指令,阐明计划如何在其商业原型设计和采购工作中使用五角大楼最近通过的“人工智能使用指南”。
“国防创新部门的“人工智能使用道德”(Responsible AI,RAI)指南为人工智能公司、国防部利益相关者和项目经理提供了一个循序渐进的框架,可以帮助确保人工智能项目符合国防部的AI道德原则和公平性,国防创新部门人工智能和机器学习产品组合技术总监贾里德·邓恩蒙在一份声明中说:“在人工智能系统的开发周期的每一步都考虑了问责制和透明度。”
国防创新部门成立于2015年,其使命是帮助国防部组织运用商业创新技术。因此,国防创新部门自2020年3月以来一直致力于将五角大楼的人工智能道德原则与其正在进行的人工智能工作相结合。在过去15个月的时间里,国防创新部门咨询了行业、政府和学术界的专家,包括卡内基梅隆大学软件工程研究所的研究人员。
由此产生的指导方针将帮助国防创新部门实施国防创新委员会(五角大楼的一个咨询小组)在2020 年推荐的人工智能使用道德五项原则。
• 通过明确最终目标和角色、调整预期以及从一开始就承认风险和权衡来加速计划。
• 增强对人工智能系统的开发、测试和审查的信心,并牢记最高标准的公平性、问责制和透明度。
• 支持改变人工智能技术的评估、选择、原型设计和采用方式,并帮助避免潜在的不良后果。
“用户想知道他们可以信任并验证他们的工具保护美国利益,而不会损害我们的集体价值观,”Quantifind 的联合创始人约翰·斯托克顿说,Quantifind 是提供指南反馈的公司之一。
斯托克顿在一份声明中说:“这些指导方针显示出实际加速技术采用的前景,因为它有助于识别并提前解决潜在的阻碍问题。”。“我们发现,通过加强内部控制并产生透明度和信任模式,也可以与所有公共和私人用户一起利用这些技术,依靠这项努力对我们有好处。”
此举发生之际,立法者正试图就适用于更广泛的私营部门的安全事故报告立法形式达成一致。私营部门控制着全国绝大多数关键基础设施。随着谈判继续进行,以期通过年度国防授权法案,关键定义的细节将成为重中之重。
5月,在殖民地管道遭到勒索软件攻击后,交通安全局(TSA)发布了一项安全指令,要求高风险管道运营商在12小时内向网络安全和基础设施安全局(CISA)报告任何网络安全事件。根据这项安全指令,此类事件应包括“可能影响计算机、信息或通信系统或网络、由计算机或信息系统控制的物理或虚拟基础设施或驻留在系统上的信息的完整性、机密性或可用性”的事件。
工业界回击,共和党议员质疑交通安全局(TSA)是否充分参与了当局对该指令过分的担忧。
负责政策、计划和参与的副助理署长维多利亚·纽豪斯(Victoria Newhouse)周四在众议院交通委员会(House Transportation Committee,HTC)作证时引用了“网络安全事件”的新定义,以说明交通安全局(TSA)愿意与业界接洽。
维多利亚说:“我们采纳了反馈意见,并更新了可报告网络安全事件的定义。”。“所以我们认真对待这一点。”
维多利亚说,交通安全局(TSA)的网络安全工作中正在进行某种行业参与,包括国土安全部周四宣布的针对货运和轨道交通运营商的两项新指令。
与五月管道指令一样,新指令将要求运营商指定网络安全和基础设施安全局(CISA)和交通安全局(TSA)可以24小时联系的网络安全协调员,制定事故响应计划,并进行漏洞评估,从而制定计划来填补发现的任何漏洞。
针对铁路运营商的新指令也同样要求向基础设施安全局(CISA)报告网络安全事件,但缩小了网络安全事件的定义,指出这些事件应包括“作为可能的网络安全事件正在调查中”的事件。
国土安全部高级官员星期四在向记者介绍新指令时说,对网络安全事件的新定义旨在“确保我们捕捉到政府因相关风险而需要意识到的事件,并确保我们了解那些达到该水平的事件,同时确保我们不会要求每一个事件都要确之凿凿。”
5月管道指令与铁路运营商新指令之间的另一个区别是,铁路运营商要求在事发的额外12小时的时间报告其事故。在听证会期间,维多利亚坚持加快管道报告时间的重要性。
“关于管道行业的安全指令,我们要求在12小时内报告事故,”维多利亚说。“这是因为国家管道的危险性,事实上,如果这些管道受到攻击,它们将产生大部分重大影响,因为管道携带着管理这个国家所需的大部分资源。”
管道行业的关键性也促使交通安全局(TSA)在7月份向其运营商发布第二条指令。7月份的指令列出了管道运营商为缓解网络安全风险必须采取的具体行动,包括基本的网络卫生实践,如定期修补软件、实施多因素认证和适当的网络安全措施网络分割。
国土安全部没有回应记者的置评请求,询问铁路运营商是否也会收到一份关于主动网络安全措施的后续指令。
当被问及美国运输安全管理局在周四公布的指令中省略此类措施的做法时,国土安全部高级官员表示,这一过程正在进行中,但铁路行业在熟悉网络安全最佳实践方面还不如管道行业成熟。
一位国土安全部高级官员说:“这些指令中没有修补要求。”。“我想补充的是,与管道行业不同的是,对于铁路表面利益相关者,在很大程度上我们尚未提供符合国家标准与技术研究所的各种最佳实践的指导方针和推荐做法,我们没有针对铁路的具体指导方针。因此,我们在这一点上提出的要求,是非常基本的要求,作为最佳做法和网络卫生的问题,行业无论如何都应该这样做,再次,与这些推荐做法保持一致。我们将继续评估未来、必要和适当的后续步骤。”
国土安全部官员表示,新指令将适用于约80%的货运铁路和90%的客运铁路运营商,并指出,小型实体的豁免是基于相关风险因素,如其收入和运输人数。官员们仍然建议较小的实体遵守这些指令。
此外,TSA还利用其他监管机构更新航空业高风险运营商的安全要求,以匹配铁路和管道运营商的安全要求。国土安全部高级官员表示,有关任命网络安全协调员和报告网络安全事件的要求已经到位,有关脆弱性评估和网络响应计划的要求即将出台。
国土部长亚历杭德罗·马约卡斯在一份新闻稿中说:“这些新的网络安全要求和建议将有助于确保旅行公众的安全,并保护我们的关键基础设施免受不断演变的威胁。”。“国土安全部将继续与各级政府和私营部门的合作伙伴合作,提高我们全国关键基础设施的恢复能力。”
来源:中国信通院网站、中国信通院网站、赛迪网、防务世界网站、美国防务新闻网、美国下一届政府、美国海军研究院网站、欧洲网络信息安全局、美国C4ISR网、美国下一届政府网杏宇平台招商