扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第22期
热点速览
01
NEWS
政策动态
02
NEWS
网络行动
03
NEWS
智能快讯
04
NEWS
关基防护
一、政策动态
01 | 白宫发布新兴技术标准化路线图
近日,拜登政府发布了一份指导文件,该文件阐述了联邦政府内部新兴技术系统实施方面的路线图,旨在与私营行业合作伙伴同步推进标准开发工作。路线图基于2023年5月发布的《关键和新兴技术国家标准战略》,聚焦四大目标:增加投资、扩大参与、增强劳动力、保持诚信和包容性。短期行动将启动标准化进程,包括识别研究开发机会、跟踪现有补助计划、评估国际协议机制。长期目标则涵盖加强协调联邦内部以及私营部门和外国政府的合作、激励联邦机构参与、提供持续资金、加强学术界合作及教育工作。该路线图特别强调了在人工智能、量子信息科学、数字身份基础设施、半导体和电信等领域的标准化工作,以确保美国在关键新兴技术标准制定中的领导地位。
02 | 《欧盟人工智能法案》正式生效
据TechWeb 8月2日消息,《欧盟人工智能法案》(The EU AI Act)已正式生效。该法案采取了基于风险的评估方法:那些对安全产生负面影响的人工智能系统将被视为高风险系统,公司需要严格遵守法案规定的各项义务,以保护用户的权利。对有违规行为的企业,欧盟最高将对其处以最高达全球年营业额7%的罚款。据悉,《欧盟人工智能法案》相关规则将分阶段实施,部分规则将在法律通过6个月后或12个月后开始生效,而大部分规则将于2026年开始生效。
03 | 四方会谈聚焦网络防御
8月1日,日本、美国、澳大利亚和印度的高级外交官在东京举行四方会谈,讨论加强亚太地区的海上安全和网络安全的问题。本次会议的核心在于制定全面措施以应对地区水域紧张局势和网络威胁。四国重点关注亚太海域日益加剧的不稳定性,反对单方面胁迫改变现状的行为。会谈成果显著,包括建立海事法律对话机制,并强调维护《联合国海洋法公约》的自由开放海洋秩序。四国承诺扩大对东南亚和太平洋岛屿国家的支持,帮助其提高海上和网络能力。此外,在联合声明中,四国概述了具体行动,包括支持帕劳共和国实施安全电信网络,以及加强菲律宾和印度的网络安全基础设施。
04 | 俄通信监管机构扩大网络管理权力
7月30日,俄罗斯国家杜马信息政策委员会通过了一项修正案,该修正案扩大了Roskomnadzor(即俄罗斯联邦通信、信息技术和大众传媒监督局)在通信网络管理方面的权力。根据拟议变更,Roskomnadzor将能够在总检察长或其副手的请求下控制通信网络,以消除违禁内容。目前,该机构仅在紧急情况下或俄罗斯网络运行受到威胁时才有权管理网络。新措施允许总检察长办公室在发现网络上系统或大规模传播非法内容时启动控制请求。Roskomnadzor将有权使用技术手段应对威胁,或向电信运营商发布强制命令,并要求互联网提供商向其传输数据以识别通信设备和用户设备。这些变化可能会显著改变俄罗斯互联网的运作方式。
05 | 美NIST推动关键及新兴技术国家标准制定
7月26日,美国家标准与技术研究院(NIST)参加在白宫举行的峰会,与政府机构、行业和标准制定组织的代表共同讨论美政府关键及新兴技术(CET)国家标准战略(USG NSSCET)。该战略旨在确立强大的技术标准,确保美国产业能在国际舞台上公平竞争,并支持私营部门主导的现行标准倡议。USG NSSCET文件关注通信网络技术、量子信息技术、半导体和微电子、人工智能、生物技术、清洁能源技术等关键及新兴技术。NIST与美国政府各部门合作,制定了实施路线图,并广泛征求私营部门和更广泛利益相关者社区的反馈。路线图建议美国政府采取具体措施,包括增加对CET预标准开发活动的投资,扩大CET标准的参与度,培养精通CET标准的劳动力,并确保CET标准制定过程中的包容性和完整性。
二、网络行动
01 | 法国启动“消毒行动”打击网络间谍活动
在奥运会开幕前夕,法国当局宣布展开一项名为“消毒行动”的大规模行动,该行动以清除国内计算机系统中的恶意软件,特别是PlugX,该软件出于间谍目的,已影响数千名用户。这项行动已进行了一周,预计将持续数月,目前尚未明确是否与奥运会直接相关。据悉,PlugX是一种自2008年以来一直存在的远程访问恶意软件,常被认为与中国政府支持的黑客组织有关。网络安全公司Sekoia发现该恶意软件已蔓延至170多个国家,并开发了一种技术解决方案以远程消毒受感染机器。
02 | 美新举行第二次关键和新兴技术对话
据白宫8月1日消息,美国与新加坡举行了第二次关键和新兴技术对话,讨论内容涉及人工智能、数字经济、生物技术、关键基础设施和技术供应链、国防创新、量子信息科学核技术等六个方面。在人工智能合作方面:双方同意将生成式人工智能纳入治理和风险管控框架内;在人工智能测试和评估方面开展合作,探索红队指南和基准一致性;加强国际标准合作;加强人工智能安全科学研究合作;探索两国科研机构在人工智能领域合作项目;计划面向东南亚第三国开展官员人工智能能力培训。
03 | 美CISA、FBI警告2024年大选可能遭受DDoS攻击
7月31日,美国联邦调查局(FBI)和网络安全与基础设施安全局 (CISA)联合发布公共服务公告。该公告旨在敦促选民做好准备,以防范2024年支持美国大选的基础设施遭受分布式拒绝服务(DDoS)攻击的风险。这些机构表示,针对选举基础设施的DDoS攻击,导致选民查询工具等选举相关网站瘫痪。FBI副助理局长辛西娅·凯泽(Cynthia Kaiser)称,虽然DDoS攻击在网络威胁方面属于“低级”,但预计在即将到来的选举中还会发生更多类似事件。CISA和FBI重申,DDoS攻击不会对网站背后的底层数据和内部系统产造成影响,也不会影响实际投票过程。
三、智能快讯
01 | 巴西政府公布约40亿美元的人工智能投资计划
7月30日,巴西政府公布了一项230亿雷亚尔(约合40.7亿美元)的人工智能投资计划。该计划将覆盖公共卫生、农业、环境、商业和教育等领域。该项投资的资金将于2024年至2028年间拨付,其中140亿雷亚尔(约合24.94亿美元)用于商业创新项目,50亿雷亚尔(约合8.91亿美元)用于人工智能基础设施和相关开发工作,其余资金则将被用于实施培训计划、提供公共服务和加强人工智能监管等辅助举措。巴西作为拉丁美洲最大的经济体,旨在通过这一计划在人工智能领域实现技术自立并提高其国际竞争力,而不是依赖从其他国家进口的人工智能工具。
02 | 欧盟就人工智能实践守则征求意见
欧盟委员会启动了一项针对通用人工智能(GPAI)模型提供商的人工智能的多利益相关方咨询,旨在促进欧盟内负责任的人工智能开发和部署。该项咨询将持续至9月10日,预计2025年4月完成守则的最终草案。欧盟委员会邀请在欧盟运营的GPAI提供商、企业、民间团体代表、权利持有人和学者提交其观点和研究结果,以协助制定即将发布的GPAI模型实践守则。该实践守则将包括透明度、版权规则、风险识别与评估、风险缓解和内部风险管理等关键领域。人工智能办公室将监督《人工智能法案》的实施,并为GPAI模型的培训数据制定模板和指南。鼓励所有利益相关方,包括学术界、独立专家和行业代表等,积极参与咨询,共同为发展可靠的通用人工智能模型提供意见。
03 | 美商务部发布人工智能安全研究所计划
7月26日,美商务部发布一系列人工智能安全研究所计划,该计划旨在提高人工智能安全性与可信度。该计划具体包括:一是防止双重用途基础模型的误用风险指南,提供了七种降低模型被滥用风险的关键方法,涉及实施方式与提高透明度建议;二是测试人工智能模型如何响应攻击平台,帮助测试人员与开发人员确定人工智能软件能抵御对抗性攻击;三是发布《管理生成人工智能的风险》,详细列出了12种风险以及开发人员可以采取的200多项管理措施;四是发布《生成人工智能和双重用途基础模型的安全软件开发实践》(NIST特别出版物(SP)00-218A);五是公布人工智能标准全球参与计划(NIST AI 100-5)。
04 | 思科报告称人工智能与网络安全成工业组织投资重点
思科发布的首份《工业网络状况报告》显示,网络安全和人工智能是工业组织的主要投资领域。该报告基于对17个国家1,000名公司员工的调查,覆盖了包括制造业、能源、公用事业和交通运输在内的20个行业。报告指出,有89%的受访者认为网络安全合规非常重要,同时将网络安全风险视为企业增长的主要内部和外部障碍之一。在过去一年中,超过60%的受访者增加了对运营技术(OT)的投入,其中特别关注人工智能设备(31%)和网络安全解决方案(30%)。在网络安全方面,39%的受访者表示,主要挑战包括遗留系统中的漏洞、针对工业控制系统(ICS)及其他OT系统的恶意软件攻击以及内部威胁。尽管许多组织认识到IT与OT团队在网络安全方面合作的重要性,但41%的受访者承认目前这两个团队在网络安全方面仍然各自为政。报告还提到,46%的受访者认为人工智能的部署将有助于促进IT与OT之间的协作,并提高网络管理的效率。思科强调,为保持竞争优势,工业组织需要利用人工智能来提高效率、利用数据、支持员工并抵御网络攻击。
05 | 美网络安全和基础设施安全局任命首位首席人工智能官
8月1日,美网络安全和基础设施安全局(CISA)宣布丽莎·爱因斯坦(Lisa Einstein)将担任该机构首位首席人工智能官。这一新职位是CISA在内外整合负责任的人工智能解决方案更大战略的一部分,旨在推动机构内部使用人工智能和机器学习,并向外宣传技术所需的安全预防措施。爱因斯坦曾在CISA担任高级人工智能顾问和网络安全咨询委员会的执行董事。CISA局长詹·伊斯特利(Jen Easterly)表示,过去两年中,CISA团队在理解和应对人工智能的快速发展方面所做作的工作,对网络防御和关键基础设施安全的核心任务具有重大意义。CISA专注于在人工智能开发和部署中提高安全意识,并在2023年底发布了《人工智能路线图》,该文件概述了人工智能技术的指导方案。
06 | 美在国际空间站部署生成式人工智能模型
8月1日,博思艾伦汉密尔顿公司(Booz Allen Hamilton)宣布其大型语言模型(LLM)技术已成功部署到国际空间站国家实验室,这标志着生成式人工智能工具首次在太空中成功应用。该模型作为“前瞻性有效载荷实验”的一部分,将传输到惠普企业“星载计算机-2”,以探索商用计算机系统如何通过边缘计算和人工智能技术在太空中加速数据处理。Booz Allen表示,该模型在八周内开发完成,它能够在边缘部署环境中为操作人员提供远程数据摄取和检索增强功能,从而高效检索相关信息,准确解释并解决复杂问题。Booz Allen副总裁兼公司太空业务负责人克里斯·博格丹(Chris Bogdan)指出,太空中的生成式人工智能代表一个全新领域,这一能力将有助于在轨生成式人工智能开发关键任务解决方案,并使宇航员在太空中不依赖地球的互联网连接。
07 | 美OpenAI公司承诺向政府提供下一代模型早期访问权限
据TechWeb 8月2日消息,美国OpenAI公司承诺将向美国政府部门提供下一代模型的早期访问权限。OpenAI首席执行官山姆·奥特曼(Sam Altman)表示,OpenAI正在与美国人工智能安全研究所合作,该机构是一个致力于评估和解决人工智能平台风险的美国联邦政府机构,双方正在协商一项协议,以提供下一个主要生成式人工智能模型的早期访问权限,以进行安全测试。
四、关基防护
01 | 美成立关键基础设施技术研究所
8月1日,美成立关键基础设施技术研究所(ICIT),并启动名为“联邦平民行政部门韧性中心”的多年度计划。该计划旨在改进联邦政府机构的网络防御标准和程序,特别关注成为网络犯罪分子和国家黑客目标的联邦机构数据。前情报总监办公室反间谍官员保拉·道尔(Paula Ann Doyle)指出,联邦工作人员即使离开政府,也仍然可能成为外国对手关注的目标。新成立的ICIT中心将致力于向领导者普及技术解决方案、为立法者制定政策建议,并加强联邦机构的数字屏蔽。鉴于9月30日采用零信任架构的最后期限即将到来,该中心将优先识别联邦机构面临的最紧迫的网络问题,并在此基础上推动加强美国的网络防御工作。
02 | 美NIST漏洞数据库积压问题或至2025年解决
美国家标准与技术研究院(NIST)管理的国家漏洞数据库(NVD)正面临大量待分析的网络安全漏洞积压问题。根据一项新分析预计,按照目前处理速度,NVD可能要到2025年初才能清理完积压的漏洞。自2月以来,NVD一直未能及时分析新增的漏洞,并且对此缺乏明确的解释。丰泽信息安全(Fortress Information Security)发布的新仪表板显示,尽管NIST已授予提供网络情报解决方案的Analygence公司协助解决这一拥堵问题,但要实现在本财年结束前解决积压的目标,预计每天需评估约217个漏洞。数据还表明,尽管Analygence介入后分析过程有所改善,但评估率是否提升仍不明确。安全研究人员通常依赖NVD的严重性评分来衡量网络攻击的潜在影响,并用其训练机器学习模型以预测软件漏洞。
03 | 美军网络司令部人工智能任务部队由试点转向实战
7月30日,美网络司令部司令兼国家安全局局长蒂莫西·霍赫将军(Timothy D. Haugh)出席情报和国家安全联盟举办的晚宴活动发表演讲。在演讲中,他宣布美网络司令部已经创建了一个人工智能任务部队,并决定将其纳入最大的作战组织中。该任务部队是网络司令部与国家安全局之间更大统一战略的一部分,旨在测试他们的人工智能实施策略,旨在更好地为国防部的人工智能能力提供信息。人工智能任务部队的创建是依据2023财年国防政策法案的国会指示,该法案要求网络司令部与国防部首席信息官、首席数字与人工智能官、国防高级研究计划局局长、国家安全局局长以及国防部研究和工程副部长共同开发一个五年计划和实施方案。该计划旨在快速采用和获取人工智能系统、应用程序、支持数据和数据管理流程,服务于网络作战部队。霍赫表示,他们已经向国会简报了该计划的路线图,并描述了任务部队将专注的三个目标:一是为网络任务部队提供人工智能能力,各服务部队向网络司令部提供用于执行网络作战的攻防团队,并将任务部队与作战活动更紧密地整合;二是为指挥部制定政策和标准,推动人工智能的应用,确保责任、伦理、可靠和安全的人工智能应用;三是应对人工智能威胁。
04 | 印度强化网络安全措施以应对数字威胁
7月25日,印度政府发布官方新闻通讯指出,政府通过多层次的方法,包括宣传活动和强有力的数据保护法,来提高网络安全意识和保护公民,加强网络安全措施,以应对日益严重的网络犯罪和保护其庞大的互联网用户群。印度计算机应急响应小组(CERT-In)在打击网络犯罪方面发挥关键作用,提供24×7的事件响应服务,并与多个机构合作追踪和禁用网络钓鱼网站。政府还成立了网络犯罪协调中心和公民金融网络欺诈报告和管理系统,以方便公民举报网络犯罪。
编译:尚丹琦
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情