扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第19期
热点速览
01
NEWS
政策动态
02
NEWS
网络行动
03
NEWS
智能快讯
04
NEWS
关基防护
2. 美共和党政纲将关键基础设施保护列为国家优先事项
一、政策动态
01 | 白宫公布2026财年预算网络优先事项
7月10日,美管理和预算办公室(OMB)与国家网络总监办公室(ONCD)共同签署了一份备忘录,列出2026财年“跨机构网络安全投资优先事项”。该备忘录为各联邦机构提供了关于拜登政府《国家网络安全战略》(NCS)五大支柱中应优先考虑的事项指导:一是指导OMB和ONCD分配资源以保护关键基础设施。白宫呼吁各机构在其2026财年网络安全预算中优先考虑IT系统的现代化,继续向完全成熟的零信任架构过渡,并在120天内提交更新的零信任实施计划,具体列出计划实现的目标成熟度水平。二是呼吁各机构优先考虑打击网络犯罪和击败对手,优先考虑分配合理资源调查网络犯罪,瓦解威胁行为者,拆除勒索软件基础设施,并打击滥用虚拟货币。三是呼吁各机构通过塑造市场力量以推动网络安全性和韧性。
02 | 澳大利亚发起联邦网络安全倡议
7月9日,澳大利亚内政部长斯蒂芬妮·福斯特(Stephanie Foster)发起一项跨联邦机构的网络安全倡议,旨在加强联邦网络安全。该倡议要求近200个政府实体及其相关公司进行全面的技术审计,以识别潜在的安全漏洞并实施风险缓解策略,并与澳大利亚信号局共享网络威胁情报。这些要求已被纳入保护服务政策框架(PSPF),该框架重点关注外国所有权、控制权或影响力可能带来的潜在风险。
03 | 美CISA推进开源软件安全加强联合防御与评估框架
7月9日,美网络安全和基础设施安全局(CISA)公布了新一阶段的工作重点,将通过战略举措和社区协作来推进开源软件的安全工作。CISA的开源软件安全路线图目标之一是提高开源软件风险的可见性,以帮助联邦机构和关键基础设施实体更有效地管理网络安全风险。CISA正在建立一个综合框架来评估开源软件的安全可信度,包括项目、产品、保护活动和政策四个关键维度。CISA强调网络安全社区和开源软件贡献者之间的合作至关重要,以完善现有框架、开发工具和大规模增强开源软件安全的最佳实践。
04 | 美发布机构研究安全计划指导方针
7月9日,美白宫科技政策办公室(OSTP)发布《研究安全计划指导方针》,旨在为大学和研究机构执行研究安全计划提供细化标准。根据指导方针,研究机构必须向联邦资助机构证明他们已建立并正在运营符合《国家安全总统备忘录(NSPM-33)实施指南》和《芯片和科学法案》要求的研究安全计划。该指导方针具体内容涉及定义受监管机构、网络安全、外国旅行安全、研究安全培训、出口管制。
05 | 美最高法院裁决动摇网络安全监管框架
据Security Week7月8日消息,美最高法院近期推翻了1984年确立的“雪佛龙主义”(Chevron),这一裁决对网络安全监管产生了深远的影响。雪佛龙原则允许联邦机构利用其专业技能解释法律条文中的模糊之处,是联邦监管体系的基础。然而,最高法院的最新裁决要求法院自行判断机构是否在其法定权限范围内行事,不再自动遵从机构对法律的解释。这一变化可能导致企业对监管机构的决定提出更多上诉,增加法律不确定性,并可能减缓对网络安全威胁的响应速度。专家认为,这一裁决可能使法院获得更大的权力来解释可能含糊或不明确的联邦法律,如网络安全、隐私和数据泄露披露等。这可能导致监管机构的规则和法规被法院宣布无效,增加了监管行动受到挑战和推翻的风险。
二、网络行动
01 | 北约宣布建立首个综合网络防御中心
7月10日,北约正式宣布成立新的综合网络防御中心(NICC),计划于2028年之前全面投入运营。新网络防御中心致力于实现三个战略愿景:信息共享、能力发展和网络攻击防御。该中心将网络空间作为作战领域,加强对北约及其盟国网络的保护。它将负责向北约军事指挥官通报网络空间中可能存在的威胁,范围涵盖支持军事活动所必需的私营民用关键基础设施。该中心将汇集来自北约组织、盟国的民事和军事人员以及业界专家,利用先进技术提高北约在网络空间的态势感知能力,并增强集体的应变能力和防御能力。该中心将遵循北约盟国的共同价值观和国际义务,推行基于规范、可预测和安全的网络空间方法。
02 | 美国会拟立法整治网络安全“九龙治水”监管乱象
7月11日,美两党参议员提出《联邦网络安全法规简化法案》,要求白宫国家网络总监成立跨机构委员会,负责简化美网络安全法规体系。该委员会成员将包括美国家网络总监、管理与预算办公室下设的信息与监管事务办公室负责人、各联邦监管机构负责人以及由委员会主席确定的其他政府领导人。该法案还要求跨机构委员会在咨询各种部门风险管理机构后对新框架进行试点,并向参议院国土安全委员会和众议院监督与问责委员会等相关管辖机构提交年度工作报告。
03 | 新英政府网络安全关注反欺诈战略
7月6日,英新任首相基尔·斯塔默(Keir Starmer)领导的工党在英大选中取得胜利。在工党宣言中,特别提到了应对包括网络威胁在内的欺诈问题,并承诺与科技公司合作,防止其平台被用于欺诈活动。此外,工党计划实施新的反欺诈战略,并提前实施《网络安全法》的部分条款以应对网络犯罪。尽管英国家网络部队和国家犯罪局已经展示了其在打击网络犯罪方面的能力,但这些机构仍需要更多的支持和人员配备。同时,英议会情报与安全委员会(ISC)的潜在改革可能为提高网络安全提供新的机会。工党赞同通过市场激励推动开发更安全的技术,这与美政府的立场一致。
04 | 俄推进自主可控IT解决方案
7月8日,俄总理米哈伊尔·米舒斯京(Mikhail Mishustin)宣布新措施,旨在加速向本土软件过渡,以加强国家的技术独立性,并计划于2030年之前使80%的企业采用俄的IT解决方案。政府计划通过多项支持措施实现此目标,包括引入联邦投资税减免、启动国产软件项目的试点资助、提供优惠贷款以及建立行业测试平台。此外,政府将禁止国有企业开发已有国产替代品的基础软件,并对本土软件的价格进行监控和调控。政府还将加强IT人才培养,并与领先的IT公司合作,创建统一的数字教育平台。
三、智能快讯
01 | 北约发布修订后的人工智能战略
7月10日,北约发布修订后的人工智能战略,旨在以安全和负责任的方式加速在北约内部使用人工智能技术。该战略以2021年发布的报告为基础,进一步考虑了人工智能技术的最新进展,如生成式人工智能、人工智能支持的信息工具等。该战略重点包括:一是推进北约以负责任的方式开发和使用人工智能;二是提高盟国内人工智能互操作性;三是结合人工智能与其他新兴技术;四是加强创新合作,扩大北约人工智能生态系统。
02 | 美国防部举办“第二届年度人工智能国防技术评估”大会
7月8日,美国防部举办“第二届年度人工智能国防技术评估”大会。本届会议主题为“人工智能的可扩展性和联合”,旨在审查并制定与多国互联的智能决策和战略协调路线。会议包括关于战术边缘的分布式指挥和控制(C2)、运营规模的人工智能编排、对联邦人工智能的信任以及联邦人工智能在国防领域的未来等互动分组会议。美国防部负责研究与工程的副部长办公室(OUSD R&E)的可信人工智能和自主性首席总监金伯利·萨布隆(Kim Sablon)表示,美国防部成功发布了“AI Passport概念”,作为新的生成式人工智能联合框架,用于支持多方软件共同开发。美国防部还推出基于多智能体的“C2按需框架”,支持C2 AI功能,并强调对人工智能模型持续循环监控的必要性。
03 | 美参议院推动军事网络和人工智能计划
7月8日,美参议院军事委员会正式提出《2025财年国防授权法案》(NDAA)。该法案将授权近1万亿美元用于军事和其他国防优先事项,包括网络安全举措和涉及新兴技术的项目。法案要求建立试点计划,以优化用于国防部设施的人工智能软件,并要求采取各种行动来改善军事供应链安全。此外,法案还要求在美国防部内强化专属网络情报能力,以支持对网络威胁行为者的行动进行调查,并要求国防部制定网络安全战略,以管理联合作战云能力和其他多云环境。法案指示国防部发布指南,将运营技术纳入信息保障漏洞管理计划,旨在加强关键基础设施部门的网络安全态势,并确保关键任务系统的网络威胁韧性。此外,该法案还将资助“网络安全大学联盟”,并建立“人工智能人为因素整合”计划,旨在确定在作战和非作战环境中使用人工智能系统的研究差距。
04 | 美海军陆战队发布新人工智能战略推动数字化现代化
7月11日,美海军陆战队发布新的人工智能战略,旨在推动在全军范围内人工智能新兴技术的整合。新战略为现代人工智能能力的发展创造了条件,特别是在支持俄乌冲突中的远征先进基地行动和沿海行动中实现决策优势。新战略提出五大目标:一是全面理解任务问题;二是建立人工智能使用案例库;三是实现人工智能在企业到战术边缘的大规模部署;四是建立有效的人工智能治理;五是建立合作伙伴关系。新战略强调“负责任的人工智能”治理框架,确保人工智能能力的安全性、可靠性和有效性。新的人工智能任务小组将执行详细的实施计划,支持各级指挥官识别人工智能使用案例,并强化总部海军陆战队、舰队海军陆战队和支援机构之间的联系。
05 | 美国家安全智库建议下届政府建立人工智能研发监管框架
7月9日,美国家安全智库MITRE向美下一届政府发布《通过人工智能监管确保人工智能安全》(Assuring AI Security and Safety through AI Regulation)。该报告提出一系列关于人工智能治理的建议,旨在加强美在人工智能技术领域的领导地位和治理水平。报告建议美政府创建国家人工智能卓越中心(NAICE),以引领人工智能领域的尖端应用和开发,以及在未来四年乃至更长时间内建立全面有效的人工智能安全框架。此外,该报告为新一届美政府提供了九项建议,以通过人工智能监管确保人工智能的安全。MITRE指出,虽然当前的政策和立法活动已经开始重视人工智能监管的必要性,但仍需要取得更多进展来确保这项技术的正确应用和使用,平衡安全性、道德考虑和公众信任。
四、关基防护
01 | 美国家安全局发布指南强化零信任框架的自动化与编排
7月11日,美国家安全局(NSA)发布关于国防部零信任框架的最终指南,旨在通过实施动态信任策略来保护数据和服务,特别强调了自动化和编排是实现快速、大规模安全响应的关键。NSA网络安全主管戴夫·卢伯(Dave Luber)强调,零信任框架提供了最佳的数据泄露防御能力,并致力于将其扩展至所有类型的组织。指南提出,组织应采用自动化和编排方法处理关键功能和访问控制的重复性任务,利用人工智能和机器学习增强关键功能,并借助这些技术及其他自动化措施来提高检测、响应和缓解威胁的能力。指南还提出了一系列建议,包括策略编排、关键流程自动化、AI/ML集成、安全编排自动化和响应、数据交换标准化、安全运营协调以及事件响应等,旨在通过自动化安全措施提供主动的命令和控制,使组织在面对复杂网络威胁时更具韧性。
02 | 美共和党政纲将关键基础设施保护列为国家优先事项
7月8日,美共和党全国委员会发布了2024年政策路线图,承诺将利用国家力量保护美关键基础设施和国家工业基础免受恶意网络攻击,并强调保护关键系统和网络安全是国家的优先事项。新党纲《2024年共和党纲领:让美国再次伟大》承诺废除拜登的人工智能行政命令,称其阻碍了人工智能创新,并将激进左翼思想强加于该技术的发展。
审核:桂畅旎 周萌
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情