扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第18期
热点速览
01
NEWS
政策动态
02
NEWS
关基防护
03
NEWS
智能快讯
一、政策动态
01 | 美发布新指南应对美国大选网络威胁
7月3日,美联邦调查局(FBI)和网络安全和基础设施安全局(CISA)联合发布新的指导方针,旨在应对选举基础设施可能遭遇的内部威胁。新指南详细阐述了内部威胁的风险、潜在的情景以及减轻这些威胁的步骤。它强调了标准操作程序、物理与数字访问控制、持续监控以及网络安全最佳实践的重要性。新指南涉及的人员包括现任或前任雇员、临时工、志愿者、承包商等有权访问选举系统的个人。指南指出,为有效防范这些风险,选举官员应制定内部威胁缓解计划,包括严格的操作流程、访问控制、保管链程序、零信任安全、持续监控、例行审计和落实网络安全措施。
02 | 美国土安全部推出1800万美元部落网络安全补助计划
7月4日,美国土安全部(DHS)宣布拨款1800万美元用于实施新的部落网络安全补助计划。该计划由联邦紧急事务管理局(FEMA)和网络安全和基础设施安全局(CISA)共同管理,旨在增强部落州的网络安全能力,提高其抵御网络威胁的韧性,并加强社区安全。该计划将资助超过30个部落州建立治理框架、识别关键漏洞、评估必要能力、实施缓解措施,并培养本地的网络专业人才,以应对网络风险和威胁。所有受助者都将接受CISA提供的免费服务,包括网络健康检查、漏洞扫描和全国网络安全审查等。
03 | CISA揭露大型科技公司安全问题
7月1日,美网络安全和基础设施安全局(CISA)局长珍伊斯特利(Jen Easterly)表示,在与微软合作后,网络安全安全审查委员会(CSRB)发布了一份长达34页的报告。报告揭示了微软安全文化的不足和延迟公开核心问题的事实。伊斯特利称,微软是关键基础设施中最重要的公司之一,只有要求供应商提高安全标准,才能有效预防网络攻击。为此,CISA推出了“安全设计”承诺以减少产品漏洞。目前,已有超过150家组织签署该承诺。
04 | ITI呼吁CISA改进CIRCIA网络事件报告规则
7月3日,全球技术贸易协会(ITI)呼吁美国网络安全和基础设施安全局(CISA)缩小其《关键基础设施网络事件报告法》(CIRCIA)下的网络事件报告规则范围。ITI建议CISA在补充报告中考虑与共享和存储报告相关的安全影响,并调整初始报告中要求的信息。同时,美国天然气协会(AGA)与其他能源贸易协会也呼吁该机构关注对运营构成真正威胁的事件,明确定义重大网络事件内容,并完善在事件发生前后72小时内所需报告的信息。
二、关基防护
01 | CISA更新“安全明日系列工具包”强化关键基础设施
7月2日,美国网络安全和基础设施安全局(CISA)发布了“安全明日系列工具包”的更新版,旨在帮助关键基础设施的所有者和运营商应对日益增长和演变的风险。该工具包通过组织讨论,针对未来潜在的风险,提供了战略预见活动的工具和材料。2024年的更新版引入了三个新主题:信息和通信技术供应链弹性、先进制造业以及水资源可用性。2024年的三个新主题与现有的脑机接口、合成生物学等主题共同构成了工具库的核心内容。CISA利用该工具库构建了一套战略预见活动工具包,目的是让关键基础设施合作伙伴能够汇集具有特定领域、地区和行业专业知识的人员,共同制定相关且可操作的风险缓解策略。
02 | CISA报告发现关键开源内存安全风险
6月27日,美网络安全和基础设施安全局(CISA)发布了《探索关键开源项目中的内存安全性》报告。报告指出,大多数关键开源项目都在使用内存不安全的语言编码,这引发了人们对各个部门使用的重要系统容易受到安全漏洞攻击的担忧。报告指出,美国网络防御机构对开源安全基金会保护关键项目工作组清单中的172个项目进行了评估,发现至少有52%的评估关键开源项目包含不安全语言编写的代码,许多开发人员忽视安全编码实践,未能实施足够的安全测试。为此,CISA敦促制造商实施安全编码实践,并采用定期的安全测试措施,以减少内存安全漏洞。
三、智能快讯
01 | 美参议院新法案呼吁第三方人工智能审计
7月1日,美科罗拉多州民主党参议员约翰·希肯卢珀(John Hickenlooper)宣布引入《可信赖验证和评估(VET)人工智能法案》新立法。该法案指示美国家标准与技术研究院(NIST)为第三方评估机构制定详细的指导方针,以便与人工智能公司合作,并为其系统提供独立的外部验证。新法案要求,独立评估人员作为中立的第三方与公司合作,验证其开发,测试和使用人工智能是否符合规定的限制条件。法案要求NIST开展研究,检查人工智能保障生态系统的各个方面,包括当前使用的能力和方法、所需的设施或资源,以及内部和外部人工智能保障的整体市场需求。
02 | 美立法者提出标准化人工智能系统测试法案
7月1日,科罗拉多州民主党参议员约翰·希肯卢珀(John Hickenlooper)呼吁由美国家标准与技术研究院(NIST)主导的联邦机构起草新的人工智能评估指南,以确保自动化系统得到准确测试并安全部署。《人工智能验证与评估法案》旨在帮助确保人工智能系统的有效性和可信度得到验证。法案要求NIST为开发和部署人工智能的专业人员制定综合方法,以监控风险水平,并在整个生命周期内对特定系统进行评估。此外,法案还要求商务部成立“人工智能保证资格咨询委员会”,以协助实施该指南。
03 | 日本防卫省发布《人工智能利用推进基本方针》
7月2日,日本防卫省发布《人工智能利用推进基本方针》。该方针是日本防卫省关于人工智能技术应用的首份基本政策文件。它提出了将重点推进人工智能技术在七大领域的灵活应用,以降低自卫队人力成本。这七大领域包括:目标探测与识别、海量信息收集和分析、辅助指挥决策、提升后勤支援效率、无人机指挥控制、提升网络安全能力以及提升事务性工作效率。此外,该方针明确表示,日本将不开展无需人为干预、完全自主的致命性自主武器系统研发活动。
04 | 加州拟推AI监管新法引发科技巨头反对
7月5日,加州提出法案,旨在规范人工智能开发和使用的立法提案,该提案受到了科技巨头们的强烈反对。提案要求人工智能公司对大型系统进行安全测试,并实施措施防止其被恶意使用。支持者认为该法案必要,以防范人工智能被用于破坏性目的,例如攻击国家电网或制造化学武器。Meta和谷歌等科技公司则表示,该法案过于严苛,可能会阻碍人工智能技术的发展。他们认为,监管应该针对那些利用人工智能进行伤害的人,而不是开发者本身,过度监管可能会阻碍创新。
05 | 美“新兴技术优先级框架”重点关注人工智能
6月28日,美国联邦风险和授权管理计划(FedRAMP)发布“新兴技术优先级框架”。该框架提供了FedRAMP授权过程中优先使用的新兴技术管理程序。FedRAMP将优先考虑生成式人工智能,特别是聊天、调试工具、基于JavaScript的图像生成等领域。该项目预计将优先考虑使用该框架的12种基于人工智能的云服务。FedRAMP成立于2011年,旨在为政府采购云服务提供风险管理方法,确保联邦政府云技术推广与使用安全。
编译:尚丹琦
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情