国内外最新网络安全发展动态 | 100期 - 新鲜讯息

网络安全形势风云变幻，网络空间形态纷繁复杂。随着全球网络安全产业竞争日趋激烈，产业环境进一步恶化，只有正视危机，把控日盛的网络空间安全局势，我国网络安全产业方能在错综复杂的博弈中占据主动，在危机中育新机，于变局中开新局。

杂志社联合三十所信息中心，实时跟踪全球网络安全最新发展动态，俯瞰领域发展新格局，并以战略统筹和产业集聚视角，前瞻的眼光洞察网络安全产业发展脉络和趋势。

国　内

国家密码管理局发布《商用密码应用安全性评估管理办法》

10月8日消息，根据《中华人民共和国密码法》《商用密码管理条例》等法律法规，国家密码管理局研究制定了《商用密码应用安全性评估管理办法》，旨在规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，自2023年11月1日正式施行。

工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》

10月9日消息，工业和信息化部研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》，评估内容包括重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素开展数据安全风险评估。

《生成式人工智能服务安全基本要求》（征求意见稿）发布

10月11日消息，全国信息安全标准化技术委员会发布《生成式人工智能服务安全基本要求》（征求意见稿）。文件给出了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施、安全评估等。文件适用于面向我国境内公众提供生成式人工智能服务的提供者提高服务安全水平，适用于提供者自行或委托第三方开展安全评估，也可为相关主管部门评判生成式人工智能服务的安全水平提供参考。

两起金融消费者权益保护典型案例涉及个人信息安全

10月12日消息，国家金融监督管理总局联合中国人民银行、中国证监会发布金融消费者权益保护典型案例。此次发布的典型案例共28个，其中2例涉及个人信息安全问题，帮助广大金融消费者了解金融惠民利民政策，提高金融安全意识，依法维护自身权益，切实提升社会公众金融素养，营造和谐健康金融环境。

国家漏洞库CNNVD：关于微软多个安全漏洞的通报

10月12日消息，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞174个，影响到微软产品的其他厂商漏洞21个。包括Microsoft Message Queuing 安全漏洞（CNNVD-202310-723、CVE-2023-35349）、Microsoft Windows IIS 安全漏洞（CNNVD-202310-801、CVE-2023-36434）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

国　外

美太空军授予Xage公司基于零信任的网络保护合同

10月7日消息，美太空军授予Xage安全公司一份价值1700万美元的合同，以期在未来五年内为太空系统司令部网络提供保护。根据合同，Xage公司将提供包括零信任安全模型、身份验证软件的全套网络安全解决方案，旨在保护包括信息网络、卫星地面站、调制解调器在内的太空军资产以及太空系统指挥网络。此外，该解决方案后续可有效应用于基础设施安全防护，以及国家间相关数据情报信息共享。

Adtran和Orange公司成功演示量子密钥分发实验

10月7日消息，Adtran与Orange公司合作开展量子密钥分发（QKD）技术试验，成功使用三个QKD链路和两个可信节点在184公里标准单模光纤上实现400Gbit/s数据流传输。该试验引入了混合密钥交换，将经典的非对称方法与QKD相结合，创建了强大的安全性。同时，该试验在异构端到端基础设施上运行，证明了该技术在广泛商业部署方面的成熟度，标志着在保护现实世界网络免受量子计算机攻击威胁方面迈出了关键一步。

微软报告揭示2023年网络攻击新趋势

10月7日消息，微软公司发布《2023年数字防御报告》，披露了网络攻击的激增，涵盖2022年7月至2023年6月期间民族国家活动、网络犯罪和防御技术的趋势，指出美国、乌克兰和以色列遭受全球最严重的攻击。此外，报告还强调网络攻击集中于勒索软件的破坏或经济利益，但其主要动机转向了窃取信息、秘密监控通信或操纵信息内容。同时，自2022年9月以来人为操作的勒索软件攻击增加了200%，通常开发针对整个组织定制、专属赎金要求的攻击。

Mobilicom 展示无人系统的网络安全解决方案

10月8日消息，网络安全公司 Mobilicom 将在10 月 9 日至 11 日在华盛顿特区举行的美国陆军协会 (AUSA) 2023 年年会和博览会上带来其无人系统和机器人的网络安全解决方案。根据 Mobilicom 的公告，它将展示其经过现场验证的解决方案，包括用于地面、航空电子和海上无人机和机器人平台的军用级网络安全解决方案，这些解决方案旨在在最困难的环境中运行。

美国国家安全局成立人工智能安全中心

10月8日消息，美国国家安全局 (NSA) 推出了人工智能安全中心，这是一个致力于监督美国国家安全系统内人工智能 (AI) 功能的开发和集成的新实体。该中心强调在开发最佳实践、评估方法和风险框架方面的作用，以确保国家安全企业和国防工业基地安全地采用人工智能。人工智能安全中心将整合美国国家安全局各种与人工智能相关的安全活动，并将与美国工业界、国家实验室、学术界、情报界和国防部（DoD）以及选定的外国合作伙伴合作。

欧盟公布敏感技术清单：量子技术等四项最为关键

10月10日消息，欧盟公布了一份敏感技术清单，称这些技术对欧盟极有可能带来与技术安全和技术泄漏相关的最敏感和最直接风险。作为6 月份公布的欧洲经济安全战略的一部分，该清单包含了10种技术，欧盟委员会指出，其中最为关键是量子技术、生物技术、半导体以及人工智能这4种技术。欧盟委员会将在今年年底之前与27个成员国和咨询公司一起对这四种技术进行风险评估，并于明年着手降低相关风险。

CISA协作组织参与开源软件安全

10月11日消息，美国网络安全和基础设施安全局（CISA）发布了关于运营技术和工业控制系统开源软件安全的联合指南，该指南由联合网络防御协作组织（JCDC）与行业和政府合作伙伴合作撰写。该指南确定了开源软件和运营技术及所有软件系统共同面临的安全挑战，建议开源供应商社区广泛参与软件安全性的开发和维护，利用通用漏洞标识和CISA免费服务降低暴露风险。同时，该指南建议成立开源项目办公室，以协调运营并维护各种工具和组件的安全性。

新一轮巴以冲突引爆大规模网络认知战

10月12日消息，随着新一轮巴以冲突的爆发，相关认知战活动急剧增加，仅在社交平台X上就有超过5000万个相关帖子，其中充斥着大量亲以或亲巴的虚假信息。X称将删除与哈马斯有关的新建账户，并通过业内的协调来阻止恐怖主义内容的传播。X还表示正在积极监控反犹账户，并为此处理了数以万计的帖子。此外，欧盟委员Thierry Breton也向X施压，要求该平台删除欧盟数字服务法案（DSA）规定的“非法内容”。

美国陆军测试“星盾”军用卫星通信网络

10月12日消息，近日，美国陆军宣布成功测试SpaceX公司“星链”卫星通信网络的军用版本——“星盾”（StarShield）。“星盾”采用用户友好型设计，功能包括卫星通信、空间态势感知以及定位、导航和授时等，具有高度可靠的加密功能，可按最苛刻的军事或政府要求安全处理数据。陆军将“星盾”视作主通信系统被干扰时的冗余或备份。目前陆军已在本地站完成测试，结果表明所有系统运行良好。本月晚些时候陆军还将在夏威夷联合太平洋多国战备中心进一步测试“星盾”。

美国务院强调向零信任安全架构的细致迁移

10月13日消息，美国务院彻底改革了其网络安全态势，以满足白宫和网络安全和基础设施安全局发布的各种联邦任务和最佳实践，强调向零信任安全架构的细致迁移。美国务院首席信息安全官唐娜·贝内特 (Donna Bennett) 在比灵顿网络安全活动中发表讲话，讨论了她的办公室正在监督的加强该机构数字网络的方法，强调实施强大的零信任网络架构有助于指导该机构的网络战略，并从CISA的关键绩效指标和管理和预算办公室的指导中获取线索。

商务合作 | 开白转载 | 媒体交流 | 理事服务

请联系：15710013727（微信同号）

《信息安全与通信保密》杂志投稿

联系电话：13391516229（微信同号）

邮箱：[email protected]

《通信技术》杂志投稿

联系电话：15198220331（微信同号）

邮箱：[email protected]