扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第4期
热点速览
Part.1
政策动态
Part.2
智能快讯
Part.3
关基防护
Part.4
网安预警
Part.5
数据保护
Part.6
智库声音
一、政策动态
01 | 美国防部成立网络政策专门职位
根据“2023财年国防授权法”的指示,美国防部于3月20日设立了网络政策助理国防部长(ASD)和网络政策助理国防部长办公室(OASD)。网络政策助理国防部长是负责全面监督国防部网络作战政策的高级官员,将在负责政策的国防部副部长的授权、指导和控制之下,负责制定、协调、评估和监督国防部网络空间政策和战略的实施;监督国防部的网络空间行动预算;监督与网络空间人才发展、招聘和保留实施相关的计划和活动;监督与私营部门的合作等。此外,ASD还兼任首席网络顾问(PCA),并在该角色中担任国防部长关于军事网络部队和活动的主要顾问。
曾在国防部担任过多种高级职务的阿什利·曼宁(Ashley Manning)将执掌该办公室,直到参议院确认的领导人就位。负责政策的代理国防部副部长萨沙·贝克(Sasha Baker)表示:“通过设立这个办公室,国防部正在按照国会的意图给予网络极大关注。”
02 | 欧盟为大型科技公司制定规则以应对选举干扰
3月26日,欧盟委员会根据《数字服务法案》(DSA),要求Facebook、X、YouTube和抖音等24个在线平台在欧盟选举前加大打击虚假信息的力度。欧盟委员会建议,当用户想要分享包含错误信息的虚假帖子时,公司可以设置弹出式警告等工具,并制定应急程序,以应对欧洲领导人的深度伪造照片在其页面上疯传。平台还必须确保它们的算法能够促进内容的多样化。
03 | 俄罗斯或将允许“白帽黑客”合法寻找漏洞
3月25日,据俄新社报道,俄罗斯国家杜马的国家建设委员会建议议会一读通过一项法案,旨在合法化俄罗斯“白帽黑客”的活动。该法案规定,计算机程序副本或数据库副本的合法拥有者可以通过学习、研究或测试程序的功能,来识别程序漏洞并进行修复。同时,“白帽”黑客有义务在发现漏洞后五个工作日内将所发现的漏洞告知版权所有者。法案还指出,该计划将允许以任何形式进行漏洞分析,而无需获得相关程序的版权所有者(包括基础设施和借用组件的版权所有者)的许可。
04 | 日本与太平洋岛国联合开展首次网络防御演习
3月27日,日本总务省发布消息称,日本与帕劳和瑙鲁等5个太平洋岛国联合开展了首次网络防御演习,以加强该地区的网络安全防御。日本总务省主持了此次活动,参与者包括来自基里巴斯、马绍尔群岛、密克罗尼西亚联邦、瑙鲁和帕劳的政府官员和网络提供商,斐济和汤加作为观察员在场。笹川和平基金会太平洋岛国高级项目官员盐泽英幸(Hideyuki Shiozawa)表示,太平洋岛国易遭受网络攻击,黑客可以通过这些国家攻击日本和台湾地区的政府网络和重要基础设施,因而,为这些国家提供技术培训并提供防病毒软件和其他网络安全工具将减少印太其他地区的安全风险。
二、智能快讯
01 | 白宫命令联邦机构和委员会实施AI保障措施
3月28日,美副总统哈里斯向联邦机构公布了一系列与人工智能使用相关的新命令和要求,旨在“加强人工智能安全和保障,保护美国人的隐私,促进公平和公民权利,维护消费者和工人的利益,促进创新和竞争,提升美国在人工智能领域的领导地位”。具体要求包括:一是到2024年12月1日,联邦机构必须在使用人工智能时实施保障措施;二是各机构必须测试和监控人工智能如何影响公众,并确保监控算法歧视;三是要求联邦机构在人工智能使用方面更加透明的措施,各机构必须公开发布所使用人工智能的年度清单;四是提高联邦工作人员人工智能技能,并计划到2024年夏季,白宫将聘用100名人工智能专业人士;五是联邦机构必须在2024年5月27日指定首席人工智能官,美管理和预算办公室(OMB)自2023年12月以来“定期”召开首席人工智能官委员会,目前只有国防部、退伍军人事务部、住房和城市发展部以及国务院建立了类似机构。这些举措是拜登2023年10月发布人工智能行政令的后续行动。
02 | OMB发布首个政府范围内AI风险缓解规则
3月28日,美管理和预算办公室(OMB)发布了一份备忘录,要求各机构指定首席人工智能官并建立人工智能治理委员会,以协调和管理整个组织内新兴技术的使用。各机构还应在年度报告中添加更多有关其使用的人工智能工具的详细信息,并发布政府拥有的人工智能代码。备忘录称:“各机构必须提高使用人工智能的能力,以造福公众并提高效率,同时认识到人工智能的局限性和风险。”“鼓励各机构优先考虑人工智能的开发和采用,以促进公共利益,以及该技术有助于理解和应对重大社会挑战。”该备忘录要求各机构制定并公开发布战略规划,以实现识别和消除负责任地使用人工智能的障碍和提高全企业人工智能成熟度。美国防部、国务院等机构已成立了人工智能治理委员会,其余24个联邦部门则必须在5月27日之前组建自己的治理机构。备忘录指示各部门应确保其人工智能项目能获得足够的基础设施,“包括专门用于人工智能、培训和干扰的高性能计算基础设施”。同时,该备忘录还呼吁提高美人工智能工具的透明度,要求各机构通过公共库上的开源软件“主动分享其定制开发的代码”。白宫还鼓励各机构确保人工智能开发人员能够访问开源库、软件工具和监控功能,以监督联邦人工智能应用程序。
03 | NIST人工智能安全研究所重点关注AI合成内容和国际合作
3月25日,美国家标准与技术研究院(NIST)下属的美人工智能安全研究所(USAISI)所长伊丽莎白·凯利(Elizabeth Kelly)宣布,该研究院致力于引领国内和国际关于人工智能工具和应用标准化的对话,重点关注监控人工智能综合生成的内容。USAISI是遵循拜登2023年10月发布的《关于安全、可靠和可信人工智能行政命令》而成立,自2024年2月起开始运作。其任务是提供大量用于评估大型语言模型的成果,以及对机器学习和人工智能进行高级研究。凯利详细阐述了指导USAISI工作的三大支柱,一是创建人工智能测试和评估平台;二是识别人工智能模型中的问题并提供解决方案;三是制定人工智能生成内容的指南。USAISI研究的重点包括探索人工智能生成内容的出处和来源、检测内容的真实性,并在管理和预算办公室的支持下为联邦政府中提供策略。此外,凯利还强调,国际合作是USAISI研究的重要目标,该研究所正与其他国家现有及未来的人工智能安全机构合作。合作将采取两种形式,一是确保制定一致且可互操作的指导方针,为私营部门公司提供公平的竞争环境;二是将与国际盟友共同推进对人工智能发展至关重要的科学研究。
04 | 美财政部提出对金融部门应对AI网络安全威胁的建议
3月27日,美财政部发布《关于管理金融服务领域人工智能特定网络安全风险》的报告,警告人工智能给金融部门带来的网络安全风险。该报告是根据关于人工智能开发和使用的第14110号总统行政命令编写的,就如何减轻此类风险向金融机构提出了一系列建议。在报告中,财政部指出了人工智能给金融服务业的安全和韧性带来的重大机遇和挑战。该报告概述了一系列措施来应对与人工智能相关的直接运营风险、网络安全和欺诈挑战,包括:1.解决日益扩大的能力差距;2.缩小欺诈数据鸿沟;3.加强监管协调;4.扩展NIST人工智能风险管理框架;5.数据供应链映射和标准化描述的最佳实践;6.生成式人工智能等黑箱系统的可解释性解决方案;7.弥补人才缺口;8.建立通用人工智能辞典;9.理清数字身份解决方案;10.增进国际协调。
05 | CIA采取“爬行、行走、奔跑”三步走方法推进生成式人工智能赋能情报工作
在3月21日至22日的ServiceNow联邦论坛上,论坛负责人、CIA管理办公室的加里·诺沃特尼(Gary Novotny)表示,“CIA已转向生成式人工智能(GenAI),以让情报分析师的工作变得更轻松”。他声称“这不会让情报官员失业,只会让他们专注于他们需要关注的事情”。几个月前,CIA官员证实该机构正在开发一种类似ChatGPT的人工智能程序,供整个情报界使用,该模型将提供开源信息的摘要,并能与用户聊天。虽然CIA正在迅速推进这项新兴技术,但诺沃特尼向考虑GenAI的组织提供了建议,提倡“爬行、行走、跑步”的方法。诺沃特尼表示,组织还必须注意部署GenAI所需的后端基础设施,并建议组织对指标和性能进行评估。
06 | 微软打造超级计算机为下一代AI提供动力
微软正在计划斥资1000亿美元建造一台名为“星际之门”(Stargate)的超级计算机。该项目旨在为OpenAI的下一代人工智能系统提供动力。Stargate被认为是世界上最大、最先进的数据中心之一,旨在在优于ChatGPT-4的新的、更先进的人工智能模型的训练和操作过程中发挥关键作用。Stargate预计于2028年推出,以帮助微软继续开发领先世界的人工智能模型。Stargate项目旨在创建一台百亿亿次超级计算机,达到这种水平的计算能力将需要数百万个GPU和数百亿美元的投资。据报道,OpenAI未能在2023年发布名为“Arrakis”的新人工智能项目,很大程度上是由于当前超级计算机的限制。
三、关基防护
01 | CISA发布关键基础设施网络攻击通报新规草案
美国网络安全和基础设施安全局(CISA)于3月28日发布了关键基础设施企业如何向政府报告网络攻击的规定草案。新规长达447页,主要基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(CIRCIA)。CIRCIA要求16个关键基础设施部门在72小时内报告网络事件,并在24小时内报告勒索软件付款;涵盖的事件包括“对组织的运作能力或国家安全、公共健康或安全造成重大损害或构成重大威胁”。CISA估计,未来11年执行该规则的成本将达到26亿美元,即每年约 2.3亿美元,其中行业成本为14亿美元,联邦政府成本为12亿美元。该机构估计,将有超过316,000个实体“在未来十年内将总共提交约210,525份CIRCIA报告”。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA表示,这些报告将不受公开披露法的约束,并且保密性得到保证。美国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)表示,网络事件信息将使CISA和其他机构能够更好地应对事件并找出美国关键基础设施中的薄弱环节。
02 | 美加快推进医疗行业网络安全绩效目标
3月25日,美民主党参议员马克·华纳(Mark Warner)提出《2024年医疗保健网络安全改进法案》,建议针对满足最低网络安全标准的医疗提供商,在网络事件后提供预付款和加急付款。该提案是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断,使许多提供商面临财务破产风险。美卫生与公众服务部(HHS)发布2025财年预算提案,要求在2027和2028财年从医疗保险医院保险信托基金中向大约2000家“高需求”医院投资8亿美元,以实施HHS网络安全绩效目标(CPG)。预算提案还包括从2029财年开始,对某些不符合网络安全标准的医院进行经济处罚,减少付款。包括美国心脏协会在内的一些医疗保健行业团体表示,他们普遍支持自愿网络安全绩效目标的概念,以支持医疗保健行业,并提供财政资源来帮助实现这一目标,但他们认为经济处罚的威胁不会产生太大影响。美医院协会(AHA)表示:“对医院施加罚款或削减医疗保险支付将削弱其打击网络犯罪所需的资源,这与预防网络攻击的共同目标相悖”。
03 | 美国防部发布《2024年国防工业基础网络安全战略》
3月28日,美国防部发布《2024年国防工业基础(DIB)网络安全战略》,旨在加强美国防部与DIB合作,进一步协调和统筹资源,以提高美国防供应商和生产商的网络安全。该战略旨在通过涵盖2024财年至2027财年的总体愿景和使命来增强DIB的网络安全和网络弹性,即“安全、有弹性、技术先进的国防工业基础”和“通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和维持”。该战略概述了四项主要目标:一是加强美国防部DIB网络安全治理结构;二是增强DIB的网络安全态势;三是在网络竞争环境中保持关键DIB功能的韧性;四是改善与DIB的网络安全合作。
04 | 美能源部拨款1500万美元建立大学电力网络安全中心
3月28日,美能源部(DOE)宣布拨款1500万美元,建立6个基于大学(康涅狄格大学、爱荷华州立大学、匹兹堡大学、伊利诺伊理工学院、德克萨斯理工大学和佛罗里达国际大学)的电力网络安全中心,这些中心将促进整个能源部门的合作,以解决能源安全研究方面的差距,并提供网络安全教育项目。该机构宣布,选定的项目将满足每个独特地区的能源安全研究和培训需求。由能源部网络安全、能源安全和应急响应办公室(CESER)选择的每所大学将与能源部门所有者和运营商、供应商以及能源部国家实验室合作,开展网络安全研究并开发网络安全培训,以满足能源部门的需求。CESER主任Puesh M.Kumar表示:“对大学网络安全中心的投资将使我们能够同时发展美国网络劳动力,并积累应对我国能源系统不断变化的网络威胁所需的专业知识。”
05 | 英国塞拉菲尔德核电站因网络安全故障被起诉
3月28日,英国核监管办公室(ONR)宣布,将起诉管理塞拉菲尔德核电站的公司,指控其“在2019年至2023年初的四年期间涉嫌信息技术安全犯罪”。目前尚不清楚国有塞拉菲尔德有限公司的高级管理人员是否会面临指控。根据2003年《核工业安全条例》,被定罪的个人可面临最高两年的监禁。英国首席核监察员在2023年年度报告中披露,塞拉菲尔德核电站目前没有达到其所要求的网络安全高标准而成为监管机构加强关注的焦点。与此同时,在英国运营数座核电站的法国电力公司也受到了类似措施。英国《卫报》此前曾报道,早在2015年就首次发现了塞拉菲尔德核电站网络被入侵,当时专家意识到潜伏恶意软件,可潜伏并用于监视或攻击系统的软件已嵌入塞拉菲尔德核电站的计算机网络中,目前尚不清楚该恶意软件是否已被根除。这可能意味着塞拉菲尔德核电站的一些最敏感的活动数据,例如移动放射性废物、监测危险材料泄漏和检查火灾等已经受到损害。
四、网安预警
01 | CISA、FBI发布敦促制造商消除SQL注入漏洞的安全预警
3月25日,美网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布联合预警,敦促技术制造商消除软件中的SQL注入漏洞。联合预警指出:“CISA和FBI敦促技术制造商的高管对其代码进行正式审查,以确定其对SQL漏洞的敏感性,并鼓励所有技术客户询问其供应商是否进行了此类审查。”CISA与FBI呼吁科技企业的高管对其代码进行正式审查,以确定其对SQL的危害风险。同时,两个机构敦促制造商评估联合指南的三项指导原则:对客户安全结果负责;实现“彻底”的透明度和问责制;建立组织结构和领导以实现目标。为避免这种漏洞,开发人员应该在设计和开发软件产品时,在参数化查询中使用准备好的语句,将SQL代码与用户提供的数据隔离开。预警称:“如果发现代码有漏洞,高级管理人员应该确保其组织的软件开发人员立即实施缓解措施,以消除所有当前和未来软件产品中的这类缺陷。”
02 | NSA敦促云服务提供商通过有效的日志记录来强化安全
3月25日,美国家安全局(NSA)发布文件《通过管理云日志有效搜寻网络威胁》,敦促云服务提供商(CSP)优先考虑安全性,以维持稳健的业务模式并保护云基础设施。云日志记录为组织提供了多种优势,例如加强网络威胁搜寻、推进网络安全事件调查等。该文件指出,云安全日志提供了详细的活动记录,有助于及早检测安全威胁。通过监控安全日志,组织可以识别可疑活动,如命令和控制活动、横向移动或MITRE的ATT&CK矩阵中其他技术。报告还详细说明了云安全日志可揭示的潜在安全事件及其根本原因,日志可用于重组事件发生顺序、识别威胁来源并确定暴露程度。此外,云安全日志还涵盖了常规监管和合规性要求,帮助组织遵守各种法规,如《健康保险流通和责任法案》(HIPAA)、《PCI数据安全标准》(PCI-DSS)和欧盟《通用数据安全标准》《通用数据保护条例》(GDPR)。
03 | 英国NCSC预警黑客正转向高风险个人的个人账户
英国家网络安全中心(NCSC)3月26日警告称,面对管理完善的企业网络安全防御,犯罪分子和国家自助的黑客组织已将目光转向个人设备和账户。NCSC在预警中说:“近年来,英国发生了许多针对高风险个人的针对性网络攻击,试图获取他们的账户和设备。”“这导致了敏感信息的盗窃和发布,这也可能导致声誉受损。”NCSC认为,网络安全背景下的高风险个人包括任何在政治领域工作的人,如当选议员、候选人、工作人员、活动家以及学者、律师、记者和人权组织。对此,NCSC提出以下建议:采用双重激活验证;检查社交媒体的使用和设置;更新具有安全警示的应用程序;更换不支持系统更新的设备。
04 | ENISA预警2030年十大网络安全威胁
欧盟网络安全局(ENISA)于3月29日发布“2030年网络安全威胁展望”摘要,评估了之前确定的十大威胁,包括软件依赖性的供应链妥协;技能短缺;网络物理生态系统中的人为错误和被利用的遗留系统;数字监控威权主义的兴起/隐私的丧失;跨境ICT服务提供商成为单点故障;先进的虚假信息/影响力行动(IO)活动;高级混合威胁的兴起以及滥用人工智能。相比于此前版本,两个新出现的网络安全威胁被添加到列表中,包括在不堪重负的跨部门技术生态系统中利用未打补丁和过时的系统;以及自然/环境破坏对关键数字基础设施的物理影响。这些反映了人们对与过时系统相关的漏洞以及环境破坏对数字基础设施的潜在物理影响的更高认识。
05 | CISA和红帽公司联合预警流行Linux工具中嵌入恶意后门代码
3月29日,软件公司红帽和CISA发布联合预警,称流行的Linux工具XZ Utils中被嵌入了恶意代码,该工具可帮助将大文件格式压缩为更小、更易于管理的文件格式,以便通过文件传输进行共享。红帽公司称,该工具几乎存在于每个Linux发行版中。CISA表示,这些代码“可能允许未经授权访问受影响的系统”。CISA建议开发人员和用户将XZ Utils降级到未受影响的版本,例如XZ Utils 5.4.6 Stable,以查找任何恶意活动并向CISA报告。
五、数据保护
01 | 英国隐私监管机构更新指南开展对数据保护的罚款
3月18日,英国数据保护监管机构(ICO)发布了最新的罚款指南。该指南规定了ICO在确定是否对违反英国GDPR和《2018年数据保护法》的行为进行罚款以及如何计算罚款金额方面的最新说明。指南指出,罚款需要基于侵权的严重程度、加重或减轻罚款的因素,以及罚款的有效性与震慑性之上进行考虑。而如果ICO决定罚款,便会按下列方法计算罚款金额:首先,罚款的起点是通过评估侵权的严重程度和承保的营业额来计算的;其次,在考虑变量因素后,ICO会通过个案评估以确定增加或减少罚款;最后,如果ICO认为增加罚款能起到更有效的阻吓作用,便可增加罚款金额。
02 | 欧盟就科技巨头是否遵守《数字市场法案》启动全面调查
CNN3月25日报道,欧盟宣布对苹果、谷歌和Facebook母公司Meta展开全面调查。欧盟委员会表示,他们“怀疑”这三家公司的各种做法未能有效遵守《数字市场法案》。欧盟专员蒂埃里·布雷顿(Thierry Breton)表示,如果调查发现这些公司“没有完全遵守规定”,它们可能面临“巨额罚款”。欧盟委员会计划在未来12个月内完成对谷歌和苹果的偏好设置的行为,以及对Meta的订阅服务进行调查。《数字市场法案》要求主流在线平台为用户提供更多选择,为竞争对手提供更多机会。该法案目前适用于正在接受调查的三家科技巨头,以及亚马逊、微软和字节跳动。而违反新法律可能会受到严厉的处罚,包括最高相当于公司全球收入10%的罚款,再犯最高可达20%的罚款。
六、智库声音
01 | 美智库分析美军网络部队行动存在问题
3月25日,美国家安全智库“保卫民主基金会”(FDD)发布报告分析美军网络部队运行模式的差距和面临的挑战。报告认为,国会当务之急是要设立专门负责网络安全行动的军事部门,使其与空军、海军和其他武装部队并肩作战。报告还呼吁建立网络部队分支,作为国防部的第七个军事分支,并建议为此提供1万名人员和165亿美元的预算。报告指出,当前美军网络部队没有将网络空间安全视为优先事项,导致对网络行动的支持分散、网络人员缺乏连续性、职业道路不明确、经验不足以及非网络专业人员担任领导职位。
02 | 美智库敦促美国和欧盟就网络安全标签进行合作
美信息技术与创新基金会(ITIF)表示,欧盟和美国应使用国际标准在物联网网络安全标签计划之间建立监管和技术互操作性,并避免另一场潜在的监管冲突。ITIF认为,设备上的标签不是一个华而不实的话题,由于缺乏强大的网络安全标准和对物联网设备的支持,许多用户容易受到攻击。美联邦通信委员会(FCC)最近推出了与美国家标准与技术研究所(NIST)共同开发的新网络信任标签计划,以标明更高的标准。ITIF贸易政策副主任奈杰尔·科里(Nigel Cory)认为,现在是美国和欧盟(及其他国家)合作、开发共享标签系统并避免重蹈覆辙的机会。许多用户对其设备的安全性了解不够,也没有简单的方法来找到安全信息。通过共同标准、测试机构和相互认可协议进行的跨大西洋合作将是有价值的,因为它将为物联网网络安全提供共同基准,并允许公司只需测试一次即可在两个市场上销售。Cory表示,拜登政府应指示NIST和FCC计划最终使用国际标准,以确保美国网络信任标记系统与欧盟的计划兼容。
编译:桂畅旎 尚丹琦 曾一涵 郭宏伟
审核:桂畅旎 周萌
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情