2022全球重大网络空间安全事件

2022年,各国积极推进网络安全领域的顶层规划与设计,密集出台安全战略,持续优化体制建设,加强网络安全新技术在军事领域的应用,以更坚实的安全体系迎接全球网络安全新机遇和新挑战。本文为了大家梳理了2022年全球重大网络空间事件。

1. 英国防部发布新版《国防太空战略》

2月,英国国防部发布了新版《国防太空战略》。新战略阐述了英国国防部将如何通过自身的太空能力、相关行动和全球联盟来保卫英国及其盟友的太空资产和服务。该战略直接支持英国政府 2021年9月发布的《国家太空战略》。《国防太空战略》支持2020年英国《综合评估》中设定的四个目标:加强国内外安全防御、建立韧性、通过科技保持战略优势、塑造未来的国际秩序。

2021年7月成立的英国太空司令部将主要负责实施《国防太空战略》,为英国政府及联合指挥官提供支持。太空司令部将利用英国太空产业的活力和适应性,推动前线司令部的太空能力发展,领导整合,提供领先的能力,产生劳动力,并执行日常的太空行动。所有活动都归属于这个单一的、联合指挥部管理。

根据《国防太空战略》要求,未来10年,英国将投资14亿英镑支持英国在太空领域的国家利益,并启动一系列由现有投资资助的项目,包括Prometheus-2火箭发动机和“密涅瓦”(Minerva)项目。新增经费绝大部分将用来建设一个全球低轨星座,名为 Istari(“伊斯塔力”),用于为军事行动提供监视和情报。该计划还将出资发展先进激光通信技术,用于数据天到地高速传送。在“密涅瓦”项目下,英国太空司令部将对能自主采集、处理和分发英国和盟友卫星数据以支持军事行动的一个卫星网络进行实验。“伊斯塔力”和“密涅瓦”将是“未来军事航天架构的构件”。英国军方实验室将开展小卫星实验以验证软件定义卫星等新设计和新理念。

2. 美发布 6G 发展路线图报告

2月,美国标准组织,电信行业解决方案联盟的北美6G联盟正式发布6G发展路线图。来自政府、行业和学术界的八十多个联盟成员单位的600多名专家共同撰写了这份 6G 路线图报告,提出了北美的第一个6G愿景,并描述了政府、行业、学界应采取的主要步骤以确保北美在未来十年及以后所能取得所谓的无限领导地位。该联盟董事总经理 Mike Nawrocki 评价“此路线图为北美更快地迈向6G未来奠定了重要基础”。

在“北美6G愿景方面”,该联盟称其设定了六个目标。包括 :(1)信任、安全及弹性;(2)增强的数字世界体验;(3)具有成本效益的解决方案(涵盖网络架构所有方面:设备、无线接入、回传、整体分布和能源消耗);(4)分布式云和通信(基于虚拟化技术构建);(5)AI 原生网络(以增强无线网和云的鲁棒性、性能和效率);(6)可持续性(能源效率和环境必须处于整个生命周期决策的最前沿。要从根本上改变电力支持下一代通信和计算机网络的方式,同时加强信息技术在保护环境方面发挥的重要作用)。

在整个6G的路线图之中,包括了生命周期路线图、6G时间表和6G技术开发建议,围绕三层式的框架展开描述从上往下分别 :(1)国家要求(包括制造与供应链、保护数据与隐私、增加就业、生活质量、数据公平、可持续性);(2)应用以及市场(包括数字孪生、环境感知智能、以业务为导向的机器人、沉浸式应用、全息业务、数字世界体验);(3)技术发展(包括AI原生、分布式云与计算、“零接触”自动化、“零能耗”设备、通信 -感知与定位一体化、THz/Sub-THz、毫米波增强、频谱共享、先进 MIMO技术、先进双工机制、先进天线封装、波形 / 编码 / 调制 / 多址接入)。

3. 以色列公布武装部队人工智能战略

2月,以色列实施了一项新战略,在其武装部队各部门整合和使用人工智能(AI)。该战略是在特拉维夫大学布拉瓦特尼克跨学科网络研究中心和特拉维夫人工智能和数据科学中心举行的为期三天的2022年人工智能周活动中公布的。

该活动包括关于以色列国防军(IDF)新信息和人工智能战略的会议。以色列国防军正在其所有分支机构和司令部处理人工智能方面的数字化转型。这将是IDF首次使用AI的多分支和多指挥计划。AI在2021年5月以色列与加沙哈马斯的冲突中发挥了关键作用,正越来越多地被纳入以色列国防公司开发的系统中,IDF现在拥有越来越多的使用人工智能的平台。IDF选择发布非机密版本以促进与合作伙伴的互动。该战略将通过一个新的集中式人工智能部门来实施。IDF的目标不仅是拥有一些使用AI的系统,而是将其系统地整合到整个军队中。IDF战略阐述了多种场景,这些场景涉及使用来自各种平台的传感器来收集有关潜在威胁的数据并将该信息发送到可以响应的系统。从空中、地面或海上收集的数据可以汇集在一起并与AI融合,为武装部队创建一个通用的作战图景。

4. 美国众议院通过《关键基础设施网络事件报告》法案

3月,美国众议院通过《关键基础设施网络事件报告》法案,关键基础设施所有者和运营商需要向网络安全和基础设施安全局(CISA)报告网络事件和勒索软件付款。CISA 局长Jen Easterly表示,该立法改变了游戏规则,标志着国家集体向网络安全迈出了关键一步。

该法案要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内向CISA报告。该法案还解决了实现政府网络安全态势现代化的需求,并授权联邦风险和授权管理计划(FedRAMP),以确保联邦机构能够快速安全地采用基于云的技术,以改善政府运营和效率。同时,该法案还将更新现行的联邦政府网络安全法,以改善联邦机构之间的协调,要求政府采取基于风险的网络安全方法,并要求所有民事机构向CISA报告所有网络攻击,并更新机构向国会报告网络事件的门槛。

网络安全公司Rapid7高管表示,网络安全对于确保关键基础设施的安全至关重要,这项法律将使联邦机构更深入地了解攻击趋势,并可能有助于在重大漏洞或攻击蔓延之前提供早期预警。但受限于资源、安全成熟度、风险、执法机构的权利等因素,最终报告的规则可能3-5年才能落实。

5. 澳大利亚制定《国家数据安全行动计划》

4月,澳大利亚内政部发布了一份讨论文件,为制定《国家数据安全行动计划》(以下简称行动计划)提供磋商。事实上,早在2021年5月澳大利亚就宣布制定首个国家数据安全行动计划,形成国家数据安全框架。这一行动计划也是联邦政府更广泛的数字经济战略的重要组成部分。

《澳大利亚数据战略》提出三个主要原则:最大化数据的价值、信任和保护、支持数据使用,行动计划则是有关信任和保护的重要措施。为了实现澳大利亚国家数据战略,行动计划采取分阶段的方法,加强和协调澳大利亚政府、州和地区政府以及更广泛经济的数据安全政策制定。

行动计划将致力于保护公民的数据收集、处理和存储在数字系统和网络上的信息免受侵害,旨在加强澳大利亚政府网络安全的工作,其中包括:

通过启动打击网络犯罪的国家计划来支持各行业在线发展;通过资助由澳大利亚联邦调查局领导的专门的网络犯罪中心,打击网络犯罪分子;确保对国家安全立法进行里程碑式改革,以更好地保护关键基础设施;通过重要立法彻底改变澳大利亚机构调查和起诉网络犯罪的方式,使所有澳大利亚人更安全;确保执法机构拥有打击暗网犯罪的权力;通过勒索软件行动计划打击网络攻击,保护澳大利亚人免受勒索软件的侵害;通过与美国签署云法案协议,促进与美国当局的数字信息交流。

6. 美国国家标准与技术研究院更新网络安全供应链风险指南

5月,美国国家标准与技术研究院(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南。该指南提供了与供应链攻击相关的趋势和最佳做法,以指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。

C-SCRM可识别、评估和减轻信息与通信技术(ICT)产品和服务供应链在分配和互联性方面的风险,为政府机关或组织提供了一套完整的供应链风险管理工具。其覆盖了ICT的整个生命周期,包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全做法。修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为各类受众提供建议,包括网络安全专家,企业风险管理人员,采购人员以及负责信息安全、网络安全、隐私、系统开发、系统工程和系统运行的领导和人员等。

NIST官员表示,一款设备可能是在一个国家/地区设计,然后在全球多个国家/地区制造不同组件,而只要生产这些组件的任意一家公司出现安全事件,就可能对整个供应链的产品和服务产生重大影响,从而大大增加相关的攻击面和受影响范围。

7. 英国第一台量子计算机加入量子军备竞赛

6月,英国政府在具有里程碑意义的时刻购买了第一台量子计算机,这将有助于提高其在网络防御和其他国家安全关键领域的研究能力。据英国广播公司报道,国防部(MoD)将与英国公司Orca Computing合作,探索量子增强国家防御能力的潜力 。

量子的应用几乎是无限的。量子比特可以同时为0和1,因此处理数据和进行计算所需的时间远比传统的超级计算机短。在网络安全界,有警告称,Shor算法可能会在十年内被破解,从而使非对称加密实际上毫无用处。因此,未来系统的设计必须考虑到“量子安全”。英国国防部将希望其最新举措将使其在这场新技术军备竞赛中占据优势。

这一消息是在量子技术高度发展的时候发布的。在四月份,英国电信、东芝和安永宣布启动世界首个量子安全城域网(QSMN)商业试验。该基础设施旨在连接伦敦各地的各种客户,使用量子密钥分发(QKD)通过标准光纤链路在多个物理位置之间保护有价值的数据和信息的传输。

8. 量子密钥分发创新世界纪录

6月,Quantropi,Inc.在加利福尼亚州旧金山举行的RSA大会上展示了其最新的量子安全加密产品 SEQUR ™ SynQK,该产品可生成和数字分发同步的量子密钥,该会议于 2022年6月6日至9日在加利福尼亚州旧金山举行的RSA会议上进行现场发布。SEQUR ™ SynQK 由QiSpace ™提供支持 , 这是唯一完整且可扩展的端到端平台,能够抵御Steal Now Crack Later的直接威胁以及对数字经济的长期量子威胁。Quantropi 的SEQURTM SynQK有效地打破了多项世界纪录,在4000至15000 KM的距离范围内,以每秒130至190兆比特的速度提供至少5个同时的量子密钥流(在这里,五个流中的每一个都相当于 Google.com 每秒使用的流的8-12倍)。

9. 军用无人机的量子安全通信信道得以成功演示

7月,蓝熊系统研究公司与量子加密技术开发商 Arqit 量子公司成功演示了一种用于安全数据传输的量子安全通信信道。该解决方案基于Arqit 的量子云技术,并托管在蓝熊公司的智能连接设备上,这是一个“群间”自治大脑,可以让多个无人系统协作执行多域任务。这是首次使用用于小型无人机、启用旋转对称密钥 C4ISR 量子安全通信的轻量级软件协议。蓝熊公司使用其 ATAK 托管的 Centurion 任务系统对无人机的指挥和控制进行监视,并用了由 Arqit 对称密钥协议平台保护的任务和目标数据的完全对称加密。在任务过程中,利用 Arqit 的量子安全通信隧道对潜在目标的图像数据进行加密和安全中继传输,通过对端点的主动授权和对称密钥的频繁旋转,实现了数据的完全保密。

10. 美国国防支出计划大幅提高白宫 2023 年军事开支

7 月,参议院民主党人士提出了一项 7920 亿美元的国防支出计划,该计划将大幅提高白宫 2023 财年的军事开支计划,但总额仍不足以满足国会共和党人的要求。众议院民主党人支持下一年规模较小的 7610 亿美元国防支出计划一个月后,公布了新的拨款法案,包括为部队加薪 4.6%,14 亿美元用于扩大工业基地能力,22 亿美元用于加快太空军事能力的发展。

参议院的计划还包括拨款 530 亿美元用于解决“采购计划、商品和服务以及更高的赔偿成本”带来的更高通货膨胀。该支出计划比今年的支出水平高出近 9%,比白宫和众议院提议的军事支出高出约 4%。参议院拨款委员会主席帕特里克·莱希(Patrick Leahy,D-Vt.)在一份声明中表示:“该法案使美国武装力量现代化,以应对 21 世纪不断演变的威胁,确保国防部能够与中国和全球其他对手竞争。”“包括增加拨款,以解决通货膨胀,因为通货膨胀已经影响到各级政府的国防和非国防计划,这是一项强有力的国家安全法案。”

11. 美空军发布《首席信息官战略》

《首席信息官战略》于 8 月 26 日发布,旨在完善空军 2028 财年之前的 IT 工作。战略概述了空军未来 6 年(2023 ~ 2028 财年)对数字环境的愿景,包括实施零信任架构,加速云应用,以及利用数据与人工智能 ;制定了 6 条工作路线 :加速云应用、未来网络安全、建立人才管理战略、IT 组合管理、核心 IT 与任务启用工作,以及数据与人工智能。根据该战略,空军未来 5 年内将致力于实现零信任架构,并将于 9 月发布一项新战略以实现这一目标;战略要求为整个空军和太空军体系的“基础风险态势”培训人员队伍;将自动化、分析和人工智能设计到所有系统中,包括增强人工智能 / 机器学习训练数据与算法模型,将建立与空军武器系统和战区作战相结合的“联合数据生态系统”,以确保整个部队的数据可见、可访问和安全 ;空军还希望评估其现有的 IT 政策,以解决管理方面的差距,并确定冗余和低效的 IT 支出 ;开展一些与网络相关的工作,最终目标是使空军和太空军能够依赖设备和数据。

12. 拜登签署行政命令实施《2022 年芯片与科学法》

8 月,该行政命令确定了六大优先事项。(1)确保纳税人的资金得到合理使用,包括对申请的严格审查,以及合规性和问责制要求。(2)满足经济和国家安全需要。解决经济和国家安全风险,通过增强国内能力,减少美国对外国前沿和成熟微电子生产的依赖,提高美国经济生产力和竞争力。(3)确保该行业的长期领导地位。将为半导体研究和创新建立一个动态的合作网络,使美国在未来的产业中长期处于领先地位。(4)加强和扩大区域制造业和创新集群。将促进半导体制造和创新集群的扩展、创建和协调,使更多公司受益。(5)促进私营部门投资。政府将转变财政激励措施,以最大限度地扩大对生产、突破性技术等领域的大规模私人投资。(6)为广泛的利益相关者与社区创造效益。将鼓励与发展不充分地区和人群建立联系,吸引新的参与者加入半导体生态系统。

13.NIST 提出包括生物识别验证标准的数字身份验证

10 月,美国国家标准与技术研究院(NIST)发布五年来首次更新的数字身份指南。根据 NIST 官员在 10 月 27 日该机构信息安全和隐私咨询委员会会议上的陈述,NIST 特别出版物 800-63 更新自 2020 年以来一直在进行中,这些更新对网络安全威胁格局的变化、新技术和对公平性的担忧做出了回应,还结合了在新冠疫情期间转向数字服务的经验教训。

发布的草案将包括生物识别性能要求,旨在确保该技术在不同人群中的有效性不存在重大差异。2019 年 NIST 发表的研究发现,在一对一匹配方面,大多数面部识别软件产品在识别有色人种方面不如白人有效。总的来说,NIST 自上次更新以来吸取的主要经验是身份管理的跨学科性质和影响。NIST 应用网络安全部门的数字身份项目负责人瑞安·加卢佐说,“身份验证不会凭空运行,它应该是一个持续过程的一部分,与产品团队集成,与隐私团队集成,并与响应团队和网络安全团队集成。”

14. 美国国防部发布《2022-2026财年战略管理计划》

10 月,美国国防部根据 2010 年《政府绩效和成果法案现代化法案》的要求,公布了 2022-2026 财年战略管理计划(SMP)。SMP 阐明了国防部长的具有强调以建立持久优势为重点的战略优先事项。该计划确立了问责制,以衡量美国在实现国防战略方面取得的进展。同时也向总统、国会和美国人民展示了国务院对透明度的承诺。SMP 提供了一个管理框架,用于描述一般和长期目标、部门为实现这些目标将采取的行动,以及国防部应对可能阻碍的方式与取得成果的挑战和风险。SMP 还包括详细的绩效目标和措施,并在 2021 财年年度绩效报告中整合国防部的上一年绩效结果。2022-2026 财年 SMP 侧重于四个战略目标:进行正确的技术投资和转变未来力量;加强国防生态系统的弹性和适应性 ;照顾美国人民和培养所需要的劳动力 ;解决机构管理优先事项。

15. 英国推出新型数字战术用户终端

11 月,英国罗克公司(Roke)推出“查理 1 号”(CC1)新型数字平台,它是一个安全、联网、直观的战术用户终端设备,可为车下士兵提供先进的数字化指挥与控制和态势感知,提供关键作战信息,并在团队内外进行显示、汇总和共享加快决策和作战节奏,提供轻量级解决方案,满足士兵佩戴传感器和系统的需求。“查理 1 号”平台基于三星 Galaxy S22 智能手机,由罗克公司和三星合作开发,满足战术环境苛刻要求,具有可扩展性、安全性,并以开放标准和架构为基础,兼容第三方 Android 应用程序和一系列战术配件,能够快速与设备的硬件加密进行交互,在作战情况需要时安全地擦除所有存储的数据。“查理 1 号”平台可通过内置战术无线电驱动器与新的和现有的系统联网,并可通过战术集线器与多个无线电和传感器链接,以提供网络弹性和连接性。用户可通过使用二维码快速轻松地将相同的设置和安全策略应用于网络中的所有战术用户终端设备,并可现场重新配置。

16. 美国国防部发布《国防部零信任战略》

11 月,美国美国国防部发布《国防部零信任战略》(DoD ZTStrategy)。该战略阐述了美国防部对零信任的愿景,并为实现这一目标设定了道路。包括战略假设和原则,这些假设和原则将为采纳零信任战略提供依据和指导。该战略概述的四个战略目标:(1)零信任文化采纳;(2)保护国防部信息系统 ;(3)技术提升 ;(4)零信任授权。该战略还提到了 DoD(国防部)零信任支柱,这是该战略的零信任能力路线图和 DoD 零信任和网络安全参考架构的基础。

供稿:三十所信息中心

来源:网易/机械公民

发布者:付晓敏   点击数:2097   发布时间:2023-02-13 10:11:34   更新时间:2023-02-13 10:11:34