国内外最新网络安全发展动态 | 75期

近日，北京市印发的《2023年市政府工作报告重点任务清单》中提到，着力建设全球数字经济标杆城市，落实北京数字经济促进条例，推动北京数据特区建设，开展数据基础制度先行示范。加快数字经济和实体经济深度融合，推动数字产业化和产业数字化，推动数字经济全产业链发展，创新公共数据授权运营，深化公共数据开发、数据交易流通，提升数据要素治理能力。

3月21日消息，工业和信息化部信息通信管理局发布了关于侵害用户权益行为的APP（SDK）通报，通报指出，近期，我部组织第三方检测机构对群众关注的生活服务、休闲娱乐、实用工具等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行检查。发现55款APP（SDK）存在侵害用户权益行为，现予以通报。上述APP及SDK应按有关规定进行整改，整改落实不到位的，我部将依法依规组织开展相关处置工作。

3月21日消息，根据IDC最新发布的数据，2023年，全球网络安全解决方案和服务支出预计将达到2190亿美元，较2021年增长12.1%，中国网络安全市场增速超过美国，但美国依然是2023年全球最大的网络安全地区市场。IDC预测，到2026年与网络安全相关的硬件、软件和服务市场规模预计将达到近3000亿美元，网络安全市场保持强劲增长的驱动力来自于网络攻击威胁的持续增长、混合办公安全环境以及数据隐私和治理需求。

3月22日消息，工信微报微信公众号报道，我国网络安全产业正回归高速增长区间。近日发布的《中国网络安全产业研究报告》（以下简称《报告》）显示，2021年我国网络安全产业规模约2000亿元，较2020年增长16.6%，预计2022年产业规模近2200亿元，增速约为13.9%。工业和信息化部党组成员、副部长张云明表示，与实现制造强国、网络强国、数字中国建设目标相比，与实现高质量发展要求相比，我国网络安全产业还有较大差距，数据安全产业处于蓄势起跑阶段，加快发展任重而道远。

3月22日消息，经企业申报、地方推荐、专家评审、现场考察和网上公示等环节，工业和信息化部近日公布第二批5G应用安全创新推广中心名单，13省（区、市）的15个主体入选。工业和信息化部将进一步加强推广中心管理，强化推广中心交流机制建设，组织开展5G应用安全供需对接等系列活动，总结宣传典型经验。同时对相关地方主管部门、各推广中心提出了工作要求。

近日，由鹏城实验室牵头制定的全球首个端边云协同技术的国际标准——数字视网膜系统国际标准（以下简称标准）在国际标准化组织电气和电子工程师协会标准学会（IEEE SA）正式发布，标志着我国在该领域的标准工作取得重大突破。据悉，相较现有的其他产业应用标准，该标准具有三大优势：可调节注意力，能够挖掘低密度的数据价值；软件可定义，充分优化了整个传感基础设施的灵活性；隐私保护，有效弥补了现行标准在隐私保护方面的欠缺。

3月20日消息，欧盟委员会资助了QKISS（量子密钥工业系统）项目，旨在2-3年内开发高性能、安全和可认证的欧洲量子密钥分发（QKD）系统。该项目于2023年1月启动，意在实现低成本和高速率的实施，适用于具有极高通信速度的城域用例：数百兆波特（MBd）的调制速率和每秒兆比特（Mbit/s）的安全密钥速率。项目汇集了两个高科技产业集团Exail和Thales，以及来自巴黎萨克雷大学和索邦大学的两个领先学术团队。

3月20日消息，美国国家电信和信息管理局（NTIA）正在征求关于重新利用1，500 MHz频谱以满足公共和私营部门需求的有关意见和建议。根据征求意见，将制定和实施国家频谱战略，该战略旨在为联邦和非联邦用户提供足够的频谱资源，为国家安全、公共安全、下一代通信和科学发现提供新产品和服务。NTIA表示，该战略预计2023年底制定，将有助于确保美国继续保持新兴技术的领先地位。

3月20日消息，欧洲议会批准了一项eIDAS法案，为数字身份创建了一个欧洲大陆范围的框架，欧洲领导人希望该框架将削弱谷歌和苹果等大型科技公司的作用。欧盟委员会预计，到2030年，欧洲人应该能够在线访问所有关键公共服务，一旦服务全面推出，每10个欧洲人中就有8个将使用数字身份访问服务。目前该法案获得了多数票，进入欧盟委员会和欧盟理事会的谈判最后阶段。

3月21日消息，美国拜登总统将访问加拿大并会见加拿大总理贾斯汀特鲁多，这将是扩大两国网络安全合作的重要机会。除了已经开展和确定的工作外，加拿大和美国还采取一些关键步骤来继续塑造和加强他们的网络安全战略合作，主要包括以下几个方面：扩大 北美航空航天司令部NORAD 的使命，航空航天系统为网络攻击者提供了许多潜在的切入点，而且威胁面正在扩大；关键基础设施的联合防御，共同保护关键基础设施免受网络攻击；支持有弹性的软件供应链；网络安全研发合作；与行业的合作伙伴关系，政府与行业之间的合作伙伴关系对于两国安全的成功也至关重要；跨境技术互操作性，必拥有须能够相互依赖无缝且有弹性的通信；物联网和网络安全的融合，对于实现一个有弹性和可持续发展的世界至关重要，同时保护国家安全。

3月21日消息，CISA 要求国会批准 2024 财年的 4.249 亿美元资金，用于开发新的网络分析和数据系统（CADS）。CADS 将促进数据收集和集成，并将作为该机构网络分析师的单一数据存储库。借助 CADS ，CISA 可以快速执行网络威胁分析和缓解措施，以防止恶意网络参与者利用漏洞。除了 CADS 开发之外，CISA 还计划改进爱因斯坦系统，这是国家网络安全保护系统中的一项关键技术。CISA 将用该机构新的保护性 DNS 服务以及其他商业非机密服务取代爱因斯坦系统用于入侵防御的电子邮件过滤工具。与此同时，CISA 将继续使用爱因斯坦系统的入侵检测功能，但它将确定新工具，以更好地应对联邦政府越来越多地使用云技术所带来的网络攻击风险。

3月21日消息，在 2024 年总统大选之前，联邦网络领导层加倍强调需要继续加强地方和国家层面的选举安全，当前，美国面临越来越多外国支持的威胁行为者的持续威胁，这些威胁行为者意图通过网络活动和恶意的外国影响行动将美国选举基础设施和选民作为目标。在未来的选举中，CISA 推荐了基本的网络安全实践，包括使用多因素身份验证、更新软件、提高物理安全和执行事件响应计划以及关于选民安全的公共教育。选举官员应该审查和更新旨在检测、预防、应对威胁和从威胁中恢复的程序，包括内部威胁。确保选民知道通过电子投票可能发生网络攻击的焦点也是 CISA 在选举季节之前的优先事项。美国海岸警卫队的云和数据部门正在建立一个软件开发基础，涉及将系统迁移到云中并改进数据管理，以支持与应用程序开发相关的决策。海岸警卫队将建立其云基础设施，从本地企业转向数据驱动型企业，目标是在未来两年内将选定的本地遗留系统迁移到云中。

3月22日消息，美国总统科学技术顾问委员会（PCAST）近日宣布成立网络物理弹性工作组，以改善关键基础设施的可靠性。该小组将在六个月内向国家标准与技术研究院（NIST）和国防先进研究项目局（DARPA）、国土安全部（DHS）和MITRE公司等机构征询以下建议：遭遇攻击和事件时如何确保弹性和生存能力，如何在系统受损的情况维持运行，如何衡量和评估模块性以及范围限制或故障成本，以及如何通过带外方法和与系统无关的方法来确保在发生数字故障时实现物理控制等。

3月22日消息，美国海军陆战队正在启动一项为期三年的软件工厂试点项目。第一批6名软件专家将于2023年夏部署到位，到第三年底时预计将扩大到54名专家。该软件工厂中的产品组由一名产品经理、一名产品设计师和三到四名软件开发工程师组成，这些产品组将采取业内最佳做法，从而将应用程序开发时间从数年缩短至数月到数周。之后集中化平台组将按可重复的流程将安全协议和合规措施整合到应用程序中，然后将应用程序交付给用户。

3月22日消息，英国皇家海军（RN）1710号海军航空中队（NAS）近日推出名为Motherlode的数据开发应用程序，以支持RN工程师快速处理维护数据。该程序将帮助工程师预测潜在的组件故障，从而最大限度地减轻工程师的负担，并为飞机提供有效和及时的维护，使他们能够在更短的时间内恢复运行。目前RN工程师正在接受培训，以了解如何通过Motherlode优化系统、开展高级分析以及根据特定要求和维护计划使用实时数据处理技术等。

3月22日消息，阿联酋Thuraya公司近日在Satellite 2023展会上推出一种卫星战术无线电扩展器解决方案（T-TAC）。T-TAC是一种可背负、车载、船载或机载的超视距（BLOS）通信系统，其采用了先进的“通用转换器单元”（GCU）和低功耗硬件，适用于移动通信或就地通信。T-TAC将现有的战术VHF/UHF无线电与转换器安全连接起来，而该转换器仅靠单跳便可连接至Thuraya公司的卫星，从而在无需建立地面基础设施的情况下，实现最低延时的可靠BLOS通信。

3月23日消息，国土安全部科技局与韩国科学和信息通信技术部签署了一份合作研究意向联合声明。新备忘录指出，国土安全部和韩国科学部将资助四个关键领域的联合研究：关键基础设施、无人机系统、网络安全以及化学和生物威慑。此前，两国于2019年签署了一项研究协议，作为其中的一部分，双方同意就安全和传染病等公共安全问题进行合作。2021年，拜登总统接待文在寅总统时表示两国政府承诺扩大两国研究生之间的交流计划，以促进科学、技术和信息通信技术领域专业人员的培训和交流。

3月23日消息，美国网络安全和基础设施安全局（CISA）和国家安全局（NSA）联合发布了一份新指南，以帮助系统管理员保护身份和访问管理（IAM） 基础设施。该文件是各机构持久安全框架（ESF）的一部分。它包括应对与身份治理、环境强化、联合身份验证/单点登录、多重身份验证（MFA）以及 IAM 审计和监控相关的IAM威胁的最佳实践建议。在指南中，CISA和NSA提到了近年来的一些攻击，这些攻击利用IAM产品和实施中的漏洞来针对关键基础设施。指南指出，关键基础设施组织负有实施、维护和监控安全IAM解决方案和流程的特殊责任，不仅要保护自己的业务功能和信息，还要保护与他们相关的组织和个人。

3月24日消息，欧盟委员会向QUARTER提供700万欧元，以提高量子密码学技术的成熟度和准备程度，以便在EuroQCI计划中部署量子安全网络。在LuxQuanta的领导下，QUARTER旨在提高量子密钥分发及其相关技术的成熟度，同时定义清晰的工业化路线图，以确保其成功部署。到2027年，EuroQCI计划在整个欧盟部署安全的量子通信基础设施。妥善保护其网络基础设施对于欧洲防止任何类型的恶意攻击和保护其最敏感的数据至关重要。

3月24日消息，爱立信加拿大公司在蒙特利尔建立了一个新的量子研究中心。该中心旨在探索基于量子的算法，以加速电信网络和分布式量子计算的处理。爱立信的研究人员长期以来一直在研究如何将量子技术最好地创新应用到通信网络中。该计划以及与渥太华大学和舍布鲁克大学的合作关系将有助于将量子研究转化为商业创新，从而产生经济效益并支持企业采用加拿大制造的解决方案。