扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
国际网安快讯
第24期
热点速览
01
NEWS
政策动态
02
NEWS
网络行动
03
NEWS
智能快讯
04
NEWS
关基防护
一、政策动态
01 | 美国防部公布网络安全成熟度模型认证
8月15日,美国防部(DOD)在《联邦公报》上发布了一项拟议规则,计划于2025年初开始逐步实施网络安全成熟度模型认证(CMMC)要求。这一举措是五角大楼推进其网络安全认证计划的一部分。根据该拟议规则,CMMC要求将被纳入国防部的招标和合同中,要求组织在授予合同时提交自我评估或认证。此外,规则提出了一个为期三年的“分阶段推出”计划,以减少对工业基地,特别是小型实体的财务影响,并减少对现有国防部供应链的干扰。CMMC自2020年开始进行,目的是确保国防承包商遵守网络安全标准,保护敏感但未分类的信息。目前,这一规则的最终版本正在由信息和监管事务办公室审查。
02 | 美制定应对灾难性事件的网络安全保险政策
8月10日,美正在制定应对灾难性网络事件的网络保险新政策。该政策旨在通过稳定保险市场和增强国家网络安全的韧性来管理风险。它将填补保险市场在应对灾难性网络事件方面的不足,并与行业利益相关者合作,确保政策满足多方需求。美国家网络安全局(NSA)局长哈里·科克(Harry Coker Jr.)表示,该机构正与财政部和网络安全与基础设施安全局(CISA)合作,预计将在年底前发布该政策。
03 | 美要求推进量子信息科学与技术国际合作
8月15日,美国政府发布关于推进量子信息科学与技术(QIST)国际合作的报告。该报告提出了多项政策建议,并呼吁美国通过国际合作维持在QIST领域的领导地位,推动全球QIST生态系统的科学驱动和安全发展,以及加强国际合作。报告建议美国政府应建立长期机制资助国际QIST合作,增强跨机构协调,并设立全球竞争力指标。此外,报告还强调,国际合作应以科学探究、共享价值观和经济利益为基础,并通过科学研讨会和专家交流等方式推动合作。
04 | 日本发布首项人工智能防御政策
近期,日本发布了首项国防人工智能政策,这标志着其军事能力的重大提升。这一决策的背景全球在于日益关注人工智能在军事上的应用,尤其是在以色列-哈马斯以及乌克兰-俄罗斯的冲突中人工智能的使用,以及美国和中国在该领域的进展。日本通过成立采购、技术和后勤局(ATLA)来推动自卫队采用人工智能,同时预算翻倍并重视人员培训。同时,日本注重负责任地使用人工智能,计划立法并确保安全标准,避免开发完全自主的武器系统,并强调人类在决策中的中心地位。这一政策转变体现了日本在维护国家安全的同时,也在适应现代战争需求,推动技术创新和国际合作。
05 | 美网络总监推动全国网络安全人才培养
8月12日,美国家网络主任哈里·科克尔(Harry Coker)访问了南内华达学院(CSN),旨在推动美国网络安全人才的培养,并推广一种新型教育模式。科克尔参观了该校的安全运营中心(SOC),该中心为学生提供实际操作机会,例如使用Kali Purple等网络安全工具,以及处理恶意软件样本。这种教育模式能够让学生在现实环境中积累网络安全经验,响应拜登政府希望通过技能为基础的教育来填补全国约50万个网络安全职位空缺的战略目标。科克尔表示,未来需要在全国范围内扩展这种教育模式,以确保美国能够有效应对未来的网络安全挑战。
二、网络行动
01 | 美国防部将开展跨国联合全域指挥与控制概念测试
美国防部(DOD)计划于2025年底开展全球信息优势实验(GIDE),进行联合全域指挥与控制(JADC2)概念测试,以验证与盟国快速共享敏感信息的能力。该测试将由英国领导的航母打击群在三个美国战区和四个国际伙伴港口间进行,旨在检验新的通信策略和信息共享程序。此测试对加强跨国联合作战能力、加快操作流程具有重要意义。
02 | 美政府承诺1100万美元推进开源安全计划
8月16日,美国白宫与国土安全部(DHS)联合宣布了一项1100万美元的开源软件安全计划——“开源软件普及倡议”(OSSPI)。该计划旨在评估开源软件在关键基础设施中的使用情况,控制开源软件组件的分布,特别是在医疗保健、交通和能源生产等领域,以提高国家网络安全。此外,美国家网络总监办公室(ONCD)还发布一份总结报告,涉及联邦政府在开源安全方面应优先考虑和关注的领域,包括:确保软件包存储库安全、加强政府与开源社区的联系、推进软件物料清单的使用、改善软件供应链安全等。国家网络总监哈里·科克尔(Harry Coker)强调了政府回馈开源社区的重要性,并计划成立一个公共和私营部门组成的工作组,提出保护开源软件的建议。
03 | 英国家网络安全中心将建立全国网络欺骗证据库
8月12日,英国家网络安全中心(NCSC)举办会议,汇集了国际政府合作伙伴、英国政府官员和行业领袖,讨论如何利用网络欺骗技术来加强网络防御。此次会议旨在建立全国范围的网络欺骗证据库,以支持其主动网络防御2.0战略。NCSC计划部署5000个低交互和高交互网络欺骗解决方案实例,在内部网络中部署20000个实例,在云环境中部署20万个资产,以及200万个令牌。NCSC鼓励公共和私营部门组织分享其网络欺骗部署和成果,以共同建立一个全面的证据基础,并计划总结和发布这些研究成果。
三、智能快讯
01 | 美DARPA积极使用人工智能来发现网络漏洞
8月11日,美国防高级研究计划局(DARPA)在DEFCON 32大会上宣布,向七个团队各授予200万美元,以表彰他们在AI网络挑战赛(AIxCC)半决赛中的表现。AIxCC旨在寻找能够自动发现并修复开源软件中漏洞的网络推理系统。DARPA信息创新办公室主任凯瑟琳·费舍尔(Kathleen Fisher)表示,该竞赛不仅展示了网络攻击对城市关键基础设施的影响,还证明了人工智能系统在识别和修补漏洞方面的能力。在半决赛中,近40个网络推理系统接受了测试,它们基于真实世界的开源项目(如Jenkins、Linux内核等),包含合成漏洞供参赛系统识别和尝试修补。最终比赛将于2025年8月举行,届时将进一步测试技术的成熟度,并探讨如何将这些技术商业化、开源化,以应用于关键基础设施领域。
02 | 美国务院计划五年内配备52名首席数据官
自2022年9月美国务院启动局长数据官(BCDO)计划以来,已取得显著成效,并计划在未来五年内将该计划规模扩大至52人,覆盖所有主要办公室。目前,已有14名BCDO就职,占其部门的25%。BCDO计划旨在提升数据使用、治理和管理能力,促进知识共享、协作,并推动人工智能的发展。BCDO官员负责各自部门的数据和人工智能计划,对支持国际事务工作至关重要。国务院过去几年积极采用人工智能,发布了人工智能战略,旨在提供安全的人工智能访问并利用人工智能推进外交工作。
03 | 美科技巨头将推出生成式人工智能网络安全助手
8月12日,美国IBM公司将在其托管威胁检测和响应服务中引入生成式人工智能功能,供IBM咨询的分析人员使用,从而协作客户推进和简化安全运营。全新的IBM咨询网络安全助手基于IBM的数据和AI平台watsonx构建,旨在加快和改进对关键安全威胁的识别、调查和响应,减少安全分析师的操作任务,帮助客户改善整体安全态势。IBM的全球安全分析师可以借助这些新功能加快对警报的调查和采取行动,从而将警报调查时间缩短了48%。
04 | 美数字军团招募大规模人工智能人才
8月13日,美国总务管理局(GSA)招募了70名新研究员加入美国数字军团(USDC)。这些研究员是USDC的第三批学员,他们将专注于人工智能及其相关项目,并有机会在19个与新合作伙伴关系建立的联邦机构中开展项目,包括联邦紧急事务管理局(FEMA)、美国国税局和美国地质调查局(USGS)。这一举措旨在响应拜登政府迅速招募人工智能人才的目标,以推动政府中人工智能的使用、构建人工智能法规和政策,以及发展和投资联邦研发。GSA管理员罗宾·卡纳汉(Robin Carnahan)表示,发展美国数字军团对于推动整个联邦政府的创新至关重要,特别是随着人工智能等新兴技术的发展。
05 | 美联邦航空局发布人工智能路线图
8月14日,美联邦航空管理局(FAA)发布了初步人工智能安全保证路线图,旨在为航空领域人工智能技术的安全使用制定指导原则和优先计划。该路线图强调了在实验性飞机和无人机操作中使用人工智能以获取早期经验的重要性,并区分了静态人工智能和动态人工智能的安全保证方法。FAA计划在2024年底前发布一项政策声明,该声明将指导使用AI系统的申请人提前与FAA讨论认证路径。
06 | 美国会议员敦促否决加州人工智能法案
8月16日,美国会议员南希-佩洛西(Nancy Pelosi)发表声明,表示反对加州旨在监管人工智能的SB 1047法案,即《前沿人工智能模型的安全可靠创新法案》。该法案要求训练成本超1亿美元的人工智能模型实施安全监管,并向国家机构报告安全工作,否则担刑责。同时,该法案还将成立新机构协助执行并制定新安全标准。该法案遭到了Meta和谷歌等大型科技公司以及代表硅谷的民主党国会议员反对。议员称担心法案损害个人企业家和小企业发展,阻碍创新。人工智能初创公司人员也表示,该法案可能影响初创企业生态系统、小企业和普通人。在反对声中,修订后的法案不再要求提交安全测试结果的证明,只需提交公开声明概述安全实践,目前正提交加州众议院批准。
四、关基防护
01 | 美参议院法案推动漏洞强制披露
8月12日,美参议院推出了两党支持的《2024年联邦承包商网络安全漏洞减少法案》,该法案旨在通过确保联邦承包商遵守国家标准与技术研究院(NIST)的准则来加强联邦网络安全。法案要求联邦承包商实施漏洞披露政策,并采取正式行动接受、评估和管理漏洞披露报告,以帮助减少这些承包商中已知的安全漏洞。该法案进一步填补了联邦承包商网络安全保护中的关键空白,将推动联邦承包商与联邦机构遵循相同的国家准则,从而更好地保护关键基础设施和敏感数据免受潜在攻击。
02 | 全球网络安全联盟发布白皮书深入分析零信任策略
8月14日,国际自动化学会全球网络安全联盟(ISAGCA)发布白皮书《使用ISA/IEC 62443标准的零信任成果》,该报告探讨零信任模型在操作技术(OT)和工业控制系统(ICS)中的应用。报告强调零信任策略与ISA/IEC 62443标准的结合,以提升网络安全,同时避免干扰关键安全功能。报告建议在无法完全实现零信任原则的OT网络中采用混合方法,以增强检测和响应能力。
03 | DEF CON组织呼吁网络安全志愿者加强关键基础设施防护
8月15日,全球知名黑客会议(DEF CON)组织呼吁网络安全志愿者加入“富兰克林”计划(Franklin),旨在保护缺乏专业防护能力的关键基础设施和学校系统。该计划由芝加哥大学哈里斯网络政策倡议领导,汇总了DEF CON活动中的前沿研究和漏洞发现,计划编制《2024黑客年鉴》。Franklin计划主席杰克·布朗(Jake Braun)表示,初步工作将集中在美国约50,000个水务设施上,之后计划扩展到其他领域。面对勒索软件和民族国家网络威胁,网络犯罪分子特别擅长针对许多公用事业依赖的工业控制系统(ICS)发起攻击。由于许多设施由小城市运营,缺乏足够的网络安全预算,迫切需要网络安全专家的志愿支持。
审核:桂畅旎 母颖
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情