扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第9期
热点速览
Part.1
政策动态
Part.2
网络行动
Part.3
关基防护
Part.4
智能快讯
4. 微软禁止美警察使用人工智能进行面部识别
一、政策动态
01 | 英新智能设备安全法生效
自4月29日起,英物联网(IoT)制造商、零售商和进口商将受到《产品安全和电信基础设施(PSTI)法案》的约束。该法案的主要目的是确保设备制造商在发布产品时,避免使用容易被猜到的默认密码,并提供一个联系点以便报告可能被恶意行为者利用的安全漏洞,同时明确设备接收重要安全更新的最短时间。该法案同样适用于所有向英国消费者进口和销售这些产品的企业。任何违反规定的企业都将面临最高1000万英镑(约1250万美元)或全球年收入4%的罚款。该法案涵盖的产品范围广泛,包括智能扬声器、电视、婴儿监视器、安全摄像头和家用电器,以及健身追踪器、平板电脑、智能手机和游戏机。此外,英国家网络安全中心(NCSC)还发布了一份销售点(POS)传单,解释了新法案的内容以及消费者购买后需要采取哪些措施来提高安全性。NCSC敦促消费者检查新智能设备的默认设置,将密码更新为强大的凭据,并开启多重身份验证(MFA)。
02 | 美国防部发布《DevSecOps持续授权实施指南》
4月11日,美国防部首席信息官发布《DevSecOps持续授权实施指南》,该指南重点关注对DevSecOps平台的应用程序软件进行评估和持续授权(cATO),确定cATO的实践指导,并提供评估组织进入持续授权的方法。cATO是指运营系统组织已证明其维持网络安全态势的能力足够成熟,因此无需进行传统的风险评估和授权的状态。该指南指出,美国防部必须使其软件开发和交付方法现代化,以应对不断变化的威胁,从而能够及时提供具有网络韧性的软件功能。cATO实施和评估的关键实践涉及三个方面:DevSecOps平台、cATO流程和DevSecOps团队。其中,DevSecOps平台实践包括:制定并执行持续监控策略;使用已确定的网络安全服务提供机构(CSSP)来监控系统单一授权边界是否存在恶意威胁操作;识别独特的应用程序事件,实施安全信息和事件管理监控分析并提供给CSSP。该指南指出,cATO指标可深入了解持续授权流程在维护应用程序的安全性、质量和完整性方面的有效性。此外,该指南还提供了实现cATO的组织和软件工厂的实用建议,包括构建DevSecOps平台;在商业云上运行DevSecOps平台;创建安全敏捷流程以支持价值的持续交付等。
03 | 美国防信息系统局公布未来五年战略计划
5月1日,负责运营和维护美国防部网络的国防信息系统局(DISA)公布了其最新五年战略计划。该计划的主要目标是确保作战支援机构与2022年国防战略和五年预算流程保持一致,以帮助部门领导者和行业合作伙伴做出更明智的决策,从而使整个国防部能够更加集中地开展工作。DISA新战略的首要任务是通过大规模调整IT环境来简化全球网络,将作战指挥部和国防机构以及野战活动整合到这种环境中,作为国防部范围作战信息系统的关键第一步。该战略计划旨在避免不必要的任务重复,试验新兴技术,并在联合部队和联军作战的环境中测试其解决方案。此外,该计划还旨在开发功能齐全的企业云环境,并将身份、凭证和访问管理(ICAM)以及零信任功能与此通用IT和云环境集成。该战略文件列出了四项重要职能的战略要求,并概述了未来五年将重点关注的八个转型领域目标。DISA寻求与行业和学术界合作,共同塑造IT创新,以应对信息系统所面临的挑战。
二、网络行动
01 | 美网络司令部向网络防御部队提供“联合网络狩猎套件”
4月29日,美国防部通过国防创新机构(DIU)发布了关于“联合网络狩猎套件”(JCHK)的招标书。该招标旨在为美军防御性网络部队提供执行任务所需的单一标准化防御性网络狩猎设备。该装备具有“便捷易部署、适应能力强、功能专且精、安全可控制、动态常更新”的特点,未来有可能在美网络部队中大规模部署和运用。JCHK将把美军网络保护团队(CPT)所用设备与网络国家任务部队(CNMF)的“前出狩猎”行动套件相结合,成为网络保护团队任务单位使用的独立功能。它将在蓝色、灰色和红色网络空间中执行狩猎、清除、启用强化和评估任务,以保护军事网络和数据中心。美网络司令部和DIU将依靠其他交易机构授予原型协议,以支持JCHK原型的快速开发。目标是在2026财年初使网络保护团队过渡到新系统。根据DIU发布的招标书,JCHK可供美国防部在国防部和国际或国内合作伙伴网络上开展狩猎行动,以发现高级持续性威胁(APT),并分析其策略、技术和程序(TTP)等。
02 | 美推出新的国际网络框架
据Nextgov报道,美国务院于5月6日公布一项新的国际网络空间战略。该战略概述了美在全球互联网生态系统中与其他国家的关系定位。这一战略将在旧金山举行的RSA会议上公布,届时美国务卿安东尼·布林肯(Antony J.Blinken)将发表讲话。预计该框架将涉及新出现的网络安全领域,例如5G网络或供应链安全,以及全球网络伙伴关系。目前,美国务院暂未透露新战略的具体内容。
三、关基防护
01 | 美发布新安全指南以减轻关键基础设施的人工智能风险
4月29日,美国土安全部(DHS)与网络安全和基础设施安全局(CISA)联合发布了《降低人工智能风险:关键基础设施所有者和运营商的安全和安保指南》。这份新的安全指南旨在应对美关键基础设施系统在人工智能领域的跨部门风险。该指南将人工智能风险分为三个主要类型,并提出了由四个部分组成的缓解策略。这些策略的目标是加强关键基础设施的安全性和保障,并创建一个以安全优先为核心的业务指令结构,以抵御人工智能威胁。这三种风险包括:利用人工智能对基础设施进行攻击;针对支持关键基础设施的人工智能系统进行有目的的攻击;以及在人工智能系统的规划和实施过程中出现的缺陷或不足,可能导致关键基础设施运营故障或其他意外后果。该指南的四部分缓解策略基于美国家标准与技术研究院(NIST)的人工智能风险管理框架(RMF),主要包括:建立人工智能风险管理组织;了解并评估人工智能风险的基本背景;确定用于衡量和监控人工智能风险的方法和指标;以及优先考虑人工智能安全风险并采取行动。该指南呼吁深入了解每个实体使用人工智能的环境和风险状况,以便有效地进行风险评估和缓解工作。同时,该指南要求管理层对已识别的人工智能风险采取果断行动,以增强安全性,确保实施和维护风险管理控制,优化人工智能系统,同时最大限度地减少不利影响。
02 | 美发布关键基础设施安全及网络韧性的国家安全备忘录
4月30日,美总统拜登签署了一份国家安全备忘录(NSM),旨在确保和加强国家关键基础设施部门的网络韧性。这一行动取代了奥巴马十年前关于关键基础设施保护的总统政策文件,并启动了一项更加全面的政策支持,以保护美基础设施免受当前和未来的网络威胁。《国家安全备忘录22》(NSM-22)的目标是细化并明确联邦政府在关键基础设施安全、网络韧性和风险管理方面的角色和责任。它根据网络风险确定其优先级,并协调一致的方案来评估和管理特定部门和跨部门的风险。此外,NSM为关键基础设施安全和网络韧性建立了最低要求和问责机制,主要包括设立有效的监管框架;利用联邦政府协议要求所有者和运营商满足最低安全和韧性要求;提高情报收集和分析的质量。NSM指出,将通过与国际合作伙伴和盟友合作来增强关键基础设施的安全性和韧性,以建立态势感知能力,促进运营合作以及全球有效的基础设施风险管理,并制定和推广国际安全。NSM授权国土安全部领导政府的工作,确保美关键基础设施的安全,并由网络安全和基础设施安全局(CISA)担任国家安全和韧性协调员。同时,NSM还要求国土安全部为关键基础设施制定每两年一次的国家风险管理计划。
四、智能快讯
01 | NIST推出一个新平台来评估生成式人工智能
4月29日,美国家标准与技术研究院(NIST)宣布启动NIST GenAI计划,并发布了四份关于使用该技术的文件草案,旨在开发能够区分人类创建和人工智能生成内容的系统。这些系统将评估和衡量生成式人工智能技术的能力和局限性,包括文本和图像生成人工智能,以帮助提高人工智能系统的安全性和可信度。该计划是基于拜登的人工智能行政命令,通过提供测试和评估平台来支持世界各地研究界开发的生成式人工智能研究的各种评估,并为NIST的美人工智能安全研究所提供信息。NIST GenAI评估的目标主要包括:创建和发展基准数据集;研发不同模态(文本、音频、图像、视频、代码)的内容真实性检测;使用相关指标比较分析生成式人工智能技术;以及促进识别虚假或误导性信息来源的技术开发。在NIST发布的四份文件中,前两份是指导文件,旨在帮助管理生成式人工智能的风险,并作为NIST的人工智能风险管理框架(AI RMF)和安全软件开发框架(SSDF)的配套资源;第三份文件提供了促进数字内容透明度的方法,而第四份文件提出了制定全球人工智能标准的计划。
02 | 欧洲数字权利中心称OpenAI提供虚假个人信息
4月29日,总部位于奥地利的欧洲数字权利中心(Noyb)已向其数据保护机构(DSB)提交了针对OpenAI的投诉。根据发布的声明称,该非营利组织指责这家人工智能公司未能确保其ChatGPT服务提供的个人数据的准确性。Noyb声称,尽管OpenAI已经意识到ChatGPT几个月来一直向用户提供虚假个人信息,但该公司未能解决该问题。Noyb进一步表示,这种行为意味着OpenAI违反了欧盟的《通用数据保护条例》(GDPR)。该非营利组织要求DSB采取以下行动:调查OpenAI的数据处理措施;要求人工智能公司遵守投诉人的访问请求并使其遵守GDPR;进行罚款以确保未来的合规性。
03 | 日本公布生成式人工智能全球监管框架
5月2日,日本首相岸田文雄宣布建立监管和利用生成式人工智能技术的国际框架。该框架旨在为人工智能的全球治理制定共同的规则和指南。约有49个国家和地区已签署名为“广岛AI Process Friends Group”的自愿框架。岸田表示,生成式人工智能有潜力成为进一步丰富世界的重要工具,但同时也必须面对人工智能带来的各种风险。他们将致力于实施原则和行为准则,以应对生成式人工智能的风险,并促进国际合作,确保世界各地的人们都能从安全、可靠和值得信赖的人工智能的使用中受益。
04 | 微软禁止美警察使用人工智能进行面部识别
5月1日,微软加强了Azure OpenAI服务的使用限制。更新后的服务条款明确禁止美警察使用Azure OpenAI服务进行面部识别,包括当前及未来与OpenAI类似的图像分析模型集成。此举也进一步限制了全球范围内使用移动摄像头进行实时面部识别的行为。此前,OpenAI已通过其API限制了其面部识别模型的使用,这给微软留下了一些操作空间。然而,全面禁止使用Azure OpenAI服务的规定仅适用于美警察,而不是完全禁止所有警察部门使用该服务。值得注意的一点是,OpenAI正在与美国防部合作开展多个项目。同时,微软已提议将其DALL-E图像生成工具用于军事用途。这些情况凸显了大型科技公司在人工智能伦理和部署方面所面临挑战以及所做出的变化。
编译:尚丹琦
审核:桂畅旎 周萌
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情