1.美国国防部发布《2023-2027年网络人才战略实施计划》,落实网络安全人才战略
【内容概述】2023年8月3日,美国国防部发布《2023-2027年网络人才战略实施计划》(DoD Cyber Workforce Strategy Implementation Plan 2023-2027)(以下简称《实施计划》),旨在协助美国国防部推进网络人才管理举措,培养更加多元化的网络人才。《实施计划》明确了实现美国国防部网络人才战略的四个总体目标、22个细分目标和38项具体举措,并给出了执行实施计划的活动时间表、角色和职责、关键绩效指标等。
其中,四个总体目标分别如下。一是执行统一的能力评估与分析流程,以确保实现领军队需求。二是建立一个全部门范围的人才管理计划,使军队能力可以更好的适应当下及未来的需求。三是促进文化转变,以优化国防部范围内的人事管理活动。四是促进协同与合作关系,以提升能力发展、运营效率和职业拓展经验。
【导读分析】拜登政府自上任以来高度重视网络人才培养,先后出台了一系列相关政策法规,如《2021年联邦网络人才轮岗计划法案》(Federal Rotational Cyber Workforce Program Act of 2021)、《2023-2027国防部网络人才战略》(2023-2027 DoD Cyber Workforce Strategy)、《国家网络人才和教育战略》(National Cyber Workforce and Education Strategy)等等。本次发布的《2023-2027年网络人才战略实施计划》旨在落实《2023-2027国防部网络人才战略》提出的目标,帮助美国国防部推动实施网络人才相关管理举措,为美国培养一支高素质高水平网络部队奠定基础。
《实施计划》或产生以下两方面启示。一方面,美国国防部以顶层战略的方式推进网络人才队伍建设,充分表明网络安全人才建设在全球网络空间博弈中的重要性与紧迫性。我国在网络人才培养方面也出台过相关政策文件,但多是将人才作为综合政策中的一项举措,而未出台网络安全人才的专项顶层战略。另一方面,美国政府关于网络人才的培养体系对我们也有一定借鉴作用。《实施计划》提出的网络人才全生命周期管理、与私营企业开展人才联合培养试点计划,以及利用国际合作伙伴关系加强网络部队能力拓展等方面的具体举措,都有可资借鉴的价值。
2.美国网络安全和基础设施安全局发布《2024-2026财年网络安全战略规划》,落实顶层规划要求
【内容概述】2023年8月4日,美国网络安全和基础设施安全局(CISA)发布《2024-2026财年网络安全战略规划》(CISA Cybersecurity Strategic Plan FY 2024-2026)(以下简称《战略规划》)。《战略规划》旨在落实2023年《国家网络安全战略》及《2023-2025财年CISA战略规划》提出的有关要求,为CISA履行网络安全保护责任及提升网络安全能力提供指导。
《战略规划》提出三项总体战略目标。第一,应对当前威胁,包括加强网络安全威胁应对、协调关键漏洞披露和增强重大网络安全事件应对等。第二,加强网络防御,包括了解攻击原理并制定应对措施、推动有效网络安全投资并扩大网络安全服务等。第三,大规模驱动安全,包括推动可信技术产品研发、了解并降低新兴技术带来的网络安全风险以及建设国家网络人才队伍等。
【导读分析】近年来,美国政府高度重视网络安全顶层设计,加紧制定一系列网络安全相关战略,如《国家网络安全战略》(美国白宫)、《国家网络安全战略实施计划》(美国白宫)、《2023年国防部网络战略》(美国国防部)等。
本次发布的《2024-2026财年网络安全战略规划》,不仅是落实联邦政府相关网络安全顶层设计的部门举措,也是明确网络安全工作方向的重要载体,具有对内和对外两方面作用。对CISA内部来说,该规划将作为实施、投资和运营计划的蓝本,并将通过年度工作计划进一步分解执行;对外部组织来说,该计划将帮助利益相关方了解并参与CISA长期网络安全规划和优先事项。
总体来看,《战略规划》明确了CISA未来3年网络安全工作的重心,可成为外部评估美国网络安全战略动向的一个重要参考。同时,其提出的强化协同和生态发展的思路和举措,对于完善我国网络安全保障体系也具有一定的参考意义。
3.美国国家标准和技术委员会发布《网络安全框架2.0》草案,加强网络安全风险管理
【内容概述】2023年8月8日,美国国家标准和技术委员会(NIST)发布《网络安全框架2.0》(Cybersecurity Framework 2.0)草案(以下简称《框架2.0》)。《框架2.0》旨在帮助行业、政府机构和其他组织更好地理解、评估和部署其网络安全工作。
《框架2.0》提出了网络安全框架的六大核心功能。一是“治理”(Govern),具体职能包括引导对组织环境的理解、制定网络安全战略和网络安全供应链风险管理、网络安全战略的监督。二是“识别”(Identify),具体职能包括了解组织当前的网络安全风险并确定策略优先级,给出组织支持网络安全风险管理的政策、流程、程序和实践所需的改进。三是“保护”(Protect),具体职能包括使用数据安全、平台安全等保障措施来预防或降低网络安全风险。四是“检测”(Detect),具体职能包括查找并分析异常情况、妥协指标、其他网络安全攻击和危害。五是“响应”(Respond),具体职能包括针对检测到的网络安全事件采取事件管理、分析、缓解、报告和沟通等行动。六是“恢复”(Recover),具体职能包括恢复受网络安全影响的资产和运营事件、减少影响网络安全事件并在恢复工作期间实现适当的沟通。
【导读分析】伴随新形势下网络安全风险的变化,NIST《网络安全框架》也随之进行动态更新。2014年2月,NIST发布《改进关键基础设施网络安全框架》(《框架1.0》);2018年4月,NIST发布《框架1.1》版本;2023年4月,NIST发布《框架2.0》核心讨论草案。
本次发布的《框架2.0》主要对《框架1.0》进行了如下三方面的更新。第一,扩大了覆盖范围。《框架2.0》直接更名为“网络安全框架”,此前两个版本的官方名字都是以关键基础设施为对象,体现该框架进一步扩大了适用范围。第二,强化网络安全治理。在《框架2.0》中,“治理”调整到与其他的5个核心功能平级,反映了美国政府对于网络安全治理的重要性认知。第三,强调供应链风险管理。《框架2.0》提供了更多关于如何评估和管理供应链中的安全风险的内容,反映了美国政府日益加强对供应链安全的重视程度,并致力于从供应商和合作伙伴处获取的产品和服务的安全性。
4.美国众议院提出《2023年减少联邦网络安全漏洞法案》,加强国防部供应商漏洞披露管理
【内容概述】2023年8月22日,美国众议院提出《2023年减少联邦网络安全漏洞法案》(Federal Cybersecurity Vulnerability Reduction Act of 2023)(以下简称《法案》),旨在强化美国公共和私营部门的安全,要求美国联邦供应商实施符合NIST相关指南要求的漏洞披露政策,以识别软件漏洞,并建立标准化的漏洞披露政策。
《法案》主要内容包括以下三方面。一是要求美国管理和预算办公室与CISA等政府机构在本法案颁布后的180天内,审查联邦采购监管合同要求及供应商漏洞披露计划的内容,并向联邦采购监管委员会提出更新建议。二是要求联邦采购监管委员会在收到上述建议后的60天内,审查建议的合同内容,并在必要时更新联邦采购监管合同以纳入对相关供应商的要求。三是要求美国国防部对《联邦采购条例》进行更新补充,包括更新联邦采购条例合同要和供应商漏洞披露计划内容等。此外,《法案》还提出首席信息官出于国家安全或研究目的的采购进行豁免,增强可操性。
【导读分析】近年来,以“Log4j2事件”为代表的网络安全产品漏洞事件频发,且其波及范围和危害程度日益提高,各国纷纷出台政策标准加强对网络与信息系统的漏洞管理。美国联邦政府此前发布了多项漏洞管理政策和规范,如《对联邦漏洞披露指南的建议》(NIST)、《漏洞披露政策平台2022年度报告》(CISA)和《联邦政府网络安全事件和漏洞响应行动手册》(CISA)等。
本《法案》旨在进一步完善美国政府漏洞管理政策法规体系,并立足从供应链角度健全漏洞监管机制,对于强化美国联邦机构供应链安全具有重要意义。
我国目前已发布了一些针对网络产品安全漏洞管理的政策文件和标准规范。在政策法规方面主要包括:工信部等三部门2021年7月发布的《网络产品安全漏洞管理规定》、工信部2022年10月发布的《网络产品安全漏洞收集平台备案管理办法》等。在标准规范方面主要涵盖漏洞管理规范、标识与描述规范、分级分类指南等。美国此次《法案》及其强化漏洞监管的一系列法规政策,除了将漏洞纳入供应链安全管理的做法之外,在漏洞监管体系框架等方面,对于我国健全自身的漏洞管理政策法规体系都具有一定参考价值。
5.美国NIST发布三份后量子密码标准草案,推动后量子密码技术发展
【内容概述】2023年8月24日,美国国家标准与技术研究院(NIST)发布了三份后量子密码标准草案,并在全球范围内公开征求意见。新标准的发布旨在让美国可以抵御量子计算机带来的潜在攻击,与此同时,还将为全球提供保护敏感信息免受量子计算攻击的新工具。
本次发布的三份标准草案包括:CRYSTALS-Kyber算法对应的FIPS 203标准、CRYSTALS-Dilithium算法对应的FIPS 204标准以及SPHINCS+算法对应的FIPS 205标准。NIST表示,此次公布的三种新算法标准预计将在2024年投入使用,当后量子加密标准的制定工作全部正式完成后,新的标准将取代当前三个易受到量子计算攻击的加密标准和指南,分别是:FIPS 186-5、NIST SP 800-56A和NIST SP 800-56-B。除此之外,NIST还确定了第二组算法,目的就是增强和补充第一组算法,而第二组算法标准的草案也将于2024年公布。
【内容概述】量子计算是当前国际科技竞争的一个前沿领域,大国纷纷在国家战略层面布局量子科技的发展。各国关注的重点内容,多聚焦于量子计算、量子加密、后量子密码等。NIST早在2017年就启动了后量子密码学算法标准化研究,本次公布的标准草案是2022年7月份选定的四种后量子密码算法中的三种算法标准,第四种算法的标准草案也将于一年之后发布。
我国也高度重视量子科技领域的研究与应用。在标准层面,我国目前已颁布两项国家标准:《量子计算 术语和定义》(GB/T 42565-2023)、《量子保密通信应用基本要求》(GB/T 42829-2023),将分别于2023年12月和2024年3月起实施。
后量子密码研究中有关网络安全方面的问题,值得网络安全企业重点关注。例如:加强对量子攻击技术的跟踪观测,提升监测预警能力并制定应急响应方案;对处于两种密码体系更替阶段的重要系统构建全方位防护体系,为客户增强系统网络安全韧性等。