扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第17期
热点速览
01
NEWS
政策动态
1. 美国防部公布“支点”IT发展战略
2. 美国防信息系统局批准《云计算安全要求指南》
3. 美网络总监办公室报告《网络劳动力和教育战略》实施进展
4. 加州隐私监管机构与法国签署数据隐私保护合作协议
5. 美军启动商业航天合作计划强化太空网络安全
6. 网络安全专家卡罗尔·豪斯重返白宫
02
NEWS
网络行动
1. 美网络司令部人工智能工作组将专注于网络行动
2. 美国务院推出新人工智能资源中心
3. 美国土安全部为其人工智能团队招募专家
4. 美陆军计划建立人工智能行业合作伙伴关系
5. 美国防部设定75%以上管理类能力实现完全自动化
6. 美能源部发布更新的GenAI参考指南
7. 美国土安全部发布报告警惕人工智能生化威胁
8. 美国数据隐私法案因删除AI偏见保护引争议
9. 美中央情报局利用人工智能进行开源情报收集
03
NEWS
关基防护
1. 美众议院新立法评估关键基础设施运营商的网络韧性
2. 美国防部持续评估已部署的零信任解决方案
3. 俄制定关键设施网络和IT基础设施统一标准
一、政策动态
01 | 美国防部公布“支点”IT发展战略
6月25日,美国防部(DoD)发布《支点:国防部信息技术进步战略》。该战略旨在实现IT系统的集成和互操作性,使IT网络和计算基础设施现代化,并为全球作战人员提供以用户为中心的IT能力。美国防部副首席信息官莱斯利·A·比弗斯(Leslie A.Beavers)指出,这一战略为运营提供切实可行的操作步骤,并将指导国防部构建“可互操作的、集成的数字平台”。战略将遵循四条主要路线:一是提供联合作战信息技术能力,以扩大美军与任务伙伴的战略优势;二是实现信息网络现代化;三是集中优化IT治理,提高服务交付效率并节约成本;四是培养优秀数字劳动力,扩大国防部网络劳动力框架(DCWF)。
02 | 美国防信息系统局批准《云计算安全要求指南》
6月21日,美国国防信息系统局(DISA)批准并发布《云计算安全要求指南》(SRG)。该指南列出了云计算政策所需的安全控制和要求,适用于希望向国防部任务所有者提供服务的云服务提供商。该指南是基于美国家标准与技术研究院(NIST)发布的风险管理框架“800-53Rev5”和国家安全系统委员会(CNSS)云安全架构“CNSSP-32”。该指南还附有一份国防部任务所有者文件和一份云计算政策文件,前者强调了其责任,后者重点关注云服务提供商的要求。国防部的云计算政策和SRG遵循敏捷开发战略,因此指南会根据对云服务产品授权的了解不断发展。
03 | 美网络总监办公室报告《网络劳动力和教育战略》实施进展
6月25日,美网络总监办公室(ONCD)发布报告,概述了《网络劳动力和教育战略》实施初始阶段的进展以及下一步行动步骤。重要进展包括:一是实现了“前所未有的跨部门协调”,共有35个联邦部门和机构参与;二是通过采用完全基于技能的招聘方式,“消除网络招聘的非必要障碍”;三是“确定联邦投资计划”,美政府已为13000名美国人安排了网络学徒培训,同时,美国家安全局(NSA)还在四个州开设了“网络诊所”并为200多名学生提供了实践机会。下一步,联邦机构将与学术界合作,扩大网络奖学金项目,进一步将网络技术融入各学科。
04 | 加州隐私监管机构与法国签署数据隐私保护合作协议
6月25日,加州隐私保护局(CPPA)与法国国家信息与自由委员会(CNIL)签署了一项合作协议,旨在加强数据隐私保护方面的国际合作。根据协议,双方将共同开展与新技术和数据保护相关的研究,分享最佳实践,并定期举行会议。CPPA强调,隐私权是全球经济的商业现实,通过国际合作可以推进执法工作的重点。此外,CPPA还与亚太隐私机构(APPA)、全球隐私大会和全球隐私执法网络(GPEN)等国际组织合作。CNIL主席玛丽-劳尔·丹尼斯(Marie-Laure Denis)表示,她期待在共同研究项目上展开合作,交流良好做法或分享经验,以应对全球数据流通面临的挑战。
05 | 美军启动商业航天合作计划强化太空网络安全
据Wired 6月29日消息,美国军方最近推出了商业增强太空储备(CASR)计划。该计划旨在加强与商业航天业的合作,将商业设备整合到军事太空任务中,以提升军用卫星的网络安全。CASR计划将超越传统政府与私人承包商的合作模式,避免对单一商业实体过度依赖,从而降低潜在风险。美国防部(DoD)认为,通过这一战略转变,可以增强美国的国家安全和太空领域的竞争优势,同时促进全球公司参与其中,推动航天工业的网络安全发展。
06 | 网络安全专家卡罗尔·豪斯重返白宫
6月24日,网络安全专家卡罗尔·豪斯(Carole House)在离开白宫两年后,返回美国家安全委员会(NSC)担任网络安全和关键基础设施政策特别顾问。此前,卡罗尔·豪斯在财政部和美国管理预算办公室(OMB)担任高级网络和新兴技术政策官员近三年,并于2021年至 2022年期间担任NSC的网络安全和安全数字创新总监。
二、网络行动
01 | 美网络司令部人工智能工作组将专注于网络行动
6月25日,美网络司令部(USCYBERCOM)宣布成立新的人工智能任务组,专注于为网络任务部队的行动提供人工智能技术支持。新成立的人工智能任务组涉及三个主要重点领域:一是为网络作战提供人工智能技术支持;二是实现人工智能采用;三是应对人工智能威胁。新任务组的目标是将“机会主义的人工智能应用”转变为“由战略和战术目标驱动的系统”。
02 | 美国务院推出新人工智能资源中心
6月28日,美国务卿安东尼·布林肯(Antony Blinken)和国务院首席数据和人工智能官(CDAO)马修·格拉维斯(Matthew Graviss)宣布将创立新的人工智能资源中心,并鼓励全球雇员尝试人工智能技术以简化外交工作。布林肯表示,该中心将成为“国务院所有人工智能事务”的中心枢纽,成为“美国国务院所有内部人工智能工具、提示库和用例的源”。
03 | 美国土安全部为其人工智能团队招募专家
6月25日,美国土安全部(DHS)宣布已为其新成立的人工智能部队招募了首批10名专家,旨在加强其运营中对新兴技术的应用。这些专家来自谷歌、国防部(DoD)、美国海军天文台(USNO)、麦肯锡、普华永道等公共和私营部门组织。该部队计划今年共招募50名专家,以白宫的美国数字服务为模式运作,将专家派往各联邦机构协助技术项目实施。新招募的人工智能专家将在加强关键基础设施和提升网络安全等战略任务中发挥关键作用。
04 | 美陆军计划建立人工智能行业合作伙伴关系
据Nextgov 6月26日消息,美陆军正在将第三方生成的算法纳入其运营中,并寻求行业参与者的帮助。美国陆军首席副助理部长Young Bang 表示,陆军急于与工业界建立伙伴关系,并采用更新的专有技术。未来几个月,陆军将向工业界提出信息请求,重点是人工智能能力、安全和测试。Young表示,陆军将要求工业界帮助衡量其软件的风险水平,并与承包商合作,加强控制和其他监督协议,以支持安全的人工智能部署。
05 | 美国防部设定75%以上管理类能力实现完全自动化
6月25日,美国防信息系统局(DISA)的网络安全与分析主管莱恩·赫尔曼(Brian Hermann)表示,DISA计划通过人工智能技术将其75%的管理类网络安全能力完全自动化。该计划的具体措施包括优化数据存储,打造“数据湖”架构,将数据简化到一个集体空间中。赫尔曼还表示,DISA计划在中央架构添加一项功能,使用户可以登录到以数据为中心的环境。
06 | 美能源部发布更新的GenAI参考指南
6月27日,美国能源部首席信息官办公室发布了第二版《能源部生成式人工智能参考指南》。该指南概述了“负责任”地开发、使用和实施生成人工智能工具的好处、风险、最佳实践和注意事项。指南旨在为能源部的其他部门提供参与、生成式人工智能(GenAI)领域的高效指导。指南列举了应用涉及的领域,包括文本、语音、代码、图像和视频,并介绍了GenAI在能源部中的潜在用例,如总结合同、根据文本描述创建图像、转录会议纪要、为培训材料或演示文稿创建视频,以及为候选人起草面试问题等。
07 | 美国土安全部发布报告警惕人工智能生化威胁
6月26日,美国土安全部(DHS)发布《降低人工智能与化学、生物、放射性和核威胁交叉风险》报告。该报告呼吁国会、联邦机构和私营部门在人工智能技术治理中加强技术的适应性和迭代性,以应对技术的迅速发展。报告指出,生物技术、生物制造和人工智能领域的革命性变革加剧了对现有人工智能监管的挑战,建议将人工智能纳入化学、生物、放射性和核(化生放核)的预防、检测、响应和缓解工作。报告建议鼓励人工智能开发人员发布用于生物或化学研究模型的源代码和人工智能模型权重。报告还称,需要与政府、全球组织和私人实体等国际利益攸关方合作,制定管理人工智能风险的方法、原则和框架,释放人工智能潜力,并根据全球人工智能技术的发展和传播,促进应对挑战的共同方法。
08 | 美国数据隐私法案因删除AI偏见保护引争议
6月25日,最新发布的《美国隐私权法案》(APRA)草案因删除了针对人工智能偏见的保护措施而受到批评。这些措施原本旨在防止数据驱动的歧视,保护个人隐私。新草案的发布引发了民权和隐私权倡导者的争议,他们认为没有这些保护措施,法案将无法有效解决数据实践中的歧视问题。此外,新草案还减少了对在个人设备上收集数据的隐私保护。55个组织联合发声,要求恢复这些保护措施,否则将反对立法。法律专家表示,删除这些条款可能是政治妥协的结果,但随着对人工智能法律和政策的深入讨论,相关内容可能会在未来立法中再次出现。
09 | 美中央情报局利用人工智能进行开源情报收集
6月26日,美中央情报局(CIA)在华盛顿举行的AWS峰会上表示,CIA正在广泛使用人工智能技术来执行数据和信息分类,并履行其为联邦情报界各机构处理的开源信息收集职责。中央情报局人工智能创新主任拉克希米·拉曼(Lakshmi Raman)表示,CIA将人工智能技术用于其开源收集任务,该任务涉及系统地收集、处理和传播公开可用的数据以满足情报要求,使用人工智能技术来帮助翻译、转录,以及帮助分析师过滤数据所需的所有类型的处理。
三、关基防护
01 | 美众议院新立法评估关键基础设施运营商的网络韧性
6月20日,两党众议院提出《关键基础设施应急计划法案》新立法,将评估关键基础设施部门在网络攻击时切换至手动操作的能力。该法案要求网络安全和基础设施安全局(CISA)局长、联邦紧急事务管理局(FEMA)局长和其他部门风险管理机构向国会提交报告,详细说明各部门在无法快速转向手动操作模式时面临的风险。此外,法案要求对CISA的能力和义务进行评估,包括该机构如何应对网络事件并支持关键基础设施运营商的基本系统。该案还要求FEMA更新其网络事件规划注意事项,其中包括人员的最佳实践、所有者和运营商应对系统退化的步骤、对受网络事件影响的工业控制设备的响应和补救指南,以及确定在此类情况下可以提供帮助的州、地方和联邦资源。
02 | 美国防部持续评估已部署的零信任解决方案
据Defensescoop 6月25日消息,美国防部(DOD)正在寻求开发并实施新流程,以便在零信任解决方案投入使用后对其进行持续评估和验证。DOD正在迅速评估和验证行业供应商创建的零信任解决方案,以在 2027财年结束前达到其认为的零信任“目标水平”。美国防部零信任组织管理办公室目前正在制定一个可学习、可重复的五步流程,该流程涵盖了开发、测试、操作授权(ATO)和操作的全过程。DOD计划利用该流程在国防部各部门采购零信任解决方案前对其进行评估和验证,然后使用该评估独立、持续地测试基础设施,以确保其能够持续妥善保护网络。
03 | 俄制定关键设施网络和IT基础设施统一标准
据Securitylab 6月27日消息,俄罗斯数字发展部正在制定针对具有社会重要意义的设施(SSO)的网络和IT基础设施的统一标准,旨在规范教育机构、急救站、政府机构等关键场所的电信系统建设。6月18日,俄数字发展部成立工作组,包括电信运营商在内,负责为新建、改建和维修的电信系统设计提出建议。
编译:尚丹琦
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情