美国总统乔·拜登的新网络安全计划将打击"不安全"软件

美国总统乔·拜登的新网络安全计划将打击"不安全"软件乔-拜登总统的计划概述了目标，而不是立即实施的规则。但如果通过成为法律和法规，它将扩大对运行白宫认为关键的数字基础设施的公司的网络安全要求。这可能包括为网络基础设施的很大一部分提供动力的云计算服务--它们必须满足最低安全标准，否则将面临法律责任。该战略要求政府机构通过税收减免或其他激励措施鼓励合规。除此之外，政府表示，它将与国会合作，阻止软件公司在没有采取合理的安全预防措施的情况下运送产品而逃避责任。战略文件说："制造软件的公司必须有创新的自由，但当他们未能履行他们对消费者、企业或关键基础设施供应商的责任时，他们也必须承担责任。"根据拜登政府的说法，其目标是支撑起一个数字生态系统，该系统让许多人只能使用自己的设备（通常是不安全的）。文件说："一个人一时的判断失误，使用一个过时的密码，或错误地点击一个可疑的链接，不应该有国家安全的后果。保护数据和确保关键系统的可靠性必须是持有我们的数据并使我们的社会运作的系统的所有者和经营者的责任，也是建造和服务这些系统的技术供应商的责任。"该文件指出，日益增长的勒索软件计划的威胁是一个特别关注的领域。除了关闭运行勒索软件的行动者的活动外，它还呼吁各机构对帮助勒索软件盈利的"非法加密货币交易所"采取行动，这是2022年旨在监管数字资产的命令。拜登的战略取代了前总统唐纳德-特朗普时期制定的一份2018年文件。...PC版：https://www.cnbeta.com.tw/articles/soft/1347431.htm手机版：https://m.cnbeta.com.tw/view/1347431.htm

美国政府推动对云计算服务商的监管

美国政府推动对云计算服务商的监管美国政府正在着手实施全国首个全面计划，以规范亚马逊、微软、谷歌和甲骨文等云提供商的安全实践，这些云提供商的服务器为从夫妻企业到五角大楼和中央情报局的客户提供数据存储和计算能力。云计算巨头提供了集中的目标，黑客可以利用这些目标来同时破坏或禁用范围广泛的受害者。拜登政府最近表示将要求云提供商验证其用户的身份，以防止外国黑客租用美国云服务器上的空间（实施特朗普政府行政命令中首次提出的想法）。上周，美国政府在其国家网络安全战略中警告说，更多的云法规即将出台——并表示计划确定并弥合该行业的监管漏洞。官员们辩称，到目前为止，云提供商在阻止犯罪分子和民族国家黑客滥用其服务在美国境内发起攻击方面做得还不够...美国官员对云提供商经常向客户收取额外费用以增加安全保护表示极大的失望——既利用了对此类措施的需求，又在公司决定不额外支付费用时留下安全漏洞。因此，白宫正计划动用它可以动用的一切权力来实现这一目标——尽管它们是有限的。“在美国，我们没有针对云的国家监管机构。我们没有通讯部。我们没有人会站出来说，‘监管云提供商是我们的工作，’”战略和预算办公室的克纳克说。他说，云“需要围绕它建立监管结构。”政府官员表示，他们看到有迹象表明云提供商的态度正在发生变化，尤其是考虑到这些公司越来越多地将公共部门视为新收入的来源。“十年前，他们会说，‘不可能’，”克纳克说。但主要的云提供商“现在已经意识到，如果他们想要实现他们想要的增长，如果他们想要进入关键领域，他们实际上不仅需要不挡路，而且需要提供工具和机制使证明合规性变得容易，”他说。——(Politico)节选

美国政府将要求制定网络安全法，对关键基础设施实施监管

美国政府将要求制定网络安全法，对关键基础设施实施监管据政府高级官员称，拜登政府将公布一项国家战略，首次呼吁对国家关键基础设施进行全面的网络安全监管，明确承认多年的自愿做法未能确保国家免受网络攻击。该战略建立在美国政府去年实施的有史以来第一个石油和天然气管道法规的基础上，此前该国最大的管道之一遭到黑客攻击导致临时关闭，导致加油站排长队和对燃料短缺的担忧。讲俄语的犯罪分子对ColonialPipeline的攻击将勒索软件升级为国家安全问题。该战略由白宫国家网络主管办公室(ONCD)制定，目前正处于机构间批准的最后阶段——涉及20多个部门和机构——预计将在未来几周内由拜登总统签署，据不愿透露姓名的官员称，因为该文件尚未公开。战略与国际研究中心智囊团的网络安全专家詹姆斯刘易斯说：“这与以前的战略有所不同，以前的战略侧重于信息共享和公私合作伙伴关系作为解决方案。”“这远远超出了这个范围，它说的是其他人一直不敢说的话”。——

中国计划加大对网络安全法的处罚力度

中国计划加大对网络安全法的处罚力度北京，9月14日（路透社）——中国互联网监管机构周三提议对该国的网络安全法进行一系列修订，包括提高对一些违法行为的罚款数额，并表示它希望这样做以改善与其他新法律的协调。例如，中国网信办（CAC）表示，它希望引入一项惩罚措施，即对使用未经安全审查的产品或服务的关键信息基础设施运营商处以相当于其前一年收入5%的罚款，或其为该产品支付的金额的10倍。它还说，它希望提高对一些违法行为的罚款，从以前的最高10万元（14371美元）提高到100万元。它补充说，拟议的修正案将在9月29日之前。——

中国计划建设更多数据中心和高速网络为人工智能和计算服务

中国计划建设更多数据中心和高速网络为人工智能和计算服务中国的目标是在不到三年的时间内将国家的算力提高三分之一以上，此举将使当地供应商受益，并在美国制裁给国内工业带来压力的情况下促进技术自力更生。根据工业和信息化部等多个机构的，全球第二大经济体的目标是到2025年，其科技行业的计算能力从今年的220EFLOPS提升到300EFLOPS以上。这一目标标志着北京为刺激低迷经济而建设数字基础设施的最新尝试。中国还计划在两年内再建设20个智能计算中心。监管机构表示，到2025年，将安装更大的光网络和更先进的数据存储。他们补充说，额外的计算能力将支持制造、教育、金融、交通、医疗保健和能源。声明中写道：“中国计划通过开发可控解决方案并鼓励使用国产可靠软件来加强行业协同并保护供应链。”这些机构强调，供应链安全是基础设施建设的一个关键方面。——

天极智库美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》

美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》近日，美国国家安全局（NSA），NSA、网络安全和基础设施安全局（CISA）和国家情报总监办公室（ODNI）了《供应商软件供应链指南》，以解决国家关键基础设施面临的威胁。NSA认为网络攻击的目标是企业利用网络空间来侵入、禁用、或恶意控制计算环境或基础设施，破坏数据的完整性或窃取受控信息。NSA在通告中指出：软件供应链周期容易受到攻击，并面临潜在损害的风险。软件供应商可以在本次指南中获得指导，通过软件安全检查、保护软件、生产安全良好的软件等措施保护组织免遭损失。NSA在通告中指出，该指南是对SolarWinds攻击事件调查结果的反馈。据悉，NSA、CISA、ODNI联合组建的持久安全框架工作组（ESF）对该事件的调查结果表明，需要创建一套行业和政府评估的方法，重点关注软件供应商的需求。软件供应链中未得到缓解的漏洞给企业带来了巨大的风险。本系列文章对软件供应链的开发、生产和分销以及管理流程提出了可操作的建议，以提高这些流程的抗风险能力。所有组织都有责任建立软件供应链安全实践，以降低风险，但组织在软件供应链生命周期中的角色决定了这种责任的形式和范围。