全球视野 | 国际网安快讯（第7期）

邮发代号 2-786

征订热线：010-82341063

4月15日，英国家网络安全中心（NCSC）发布网络安全评估框架（CAF）3.2版本。网络安全评估框架（CAF）是一个以目标为导向的评估体系，该框架提供了一种系统、全面的方法，用于评估组织网络安全风险管理的成熟度和网络韧性。在CAF 3.2版本中，NCSC通过分析全球关键基础设施遭受的各种网络攻击，对CAF 3.1版本中的远程访问、特权操作、用户访问级别和多因素认证进行了重大修订。NCSC重点是确保CAF的发展充分反映了网络韧性法规的变化（例如，扩大监管范围以涵盖数字托管服务提供商的提案）。此外，CAF框架中涵盖的“自动化功能”和“自动化决策技术”部分仅覆盖了有限的AI相关网络安全风险，NCSC期望未来的CAF迭代版本能更全面细致地评估AI安全风险。

允许美国政府监视外国人的《外国情报监视法案》（Foreign Intelligence Surveillance Act，FISA）其中的702条款于4月19日到期，但美国参议院及美国总统拜登于4月20日签署了《改革情报和保护美国法案》（Reforming Intelligence and Securing America Act），重新授权702条款的权力，并将其有效期延长至2026年。该法案规定，美国家安全局可未经授权拦截外国目标的数字通信，同时收集美国公民的个人信息。

4月19日，美国防部网络犯罪中心（DC3）宣布与美国防反情报和安全局（DCSA）合作，建立国防工业基地的漏洞披露运营计划（DIB-VDP）。该计划旨在提高国防工业基地（DIB）的漏洞披露能力，帮助DIB加强其网络安全态势，进一步增强DC3和DCSA在漏洞分析、网络安全领域对DIB的支持。该计划将允许白帽黑客发现并分析公司及国防部系统的漏洞，并将从试点和国防部漏洞披露计划中吸取教训，并为军事承包商提供建议。近年来，美国防部重点保护国防工业基础，以防止对手通过网络入侵获取关键系统信息。

4月12日，美50名网络安全专业人士联合签署公开信，题为“潜在的网络安全危机：需要恢复和加强国家漏洞数据库的运营”。该信件被发送给美商务部长吉娜·雷蒙多（Gina Raimondo）和美国会议员。美漏洞管理界警告称，美国家漏洞数据库（NVD）持续存在的问题可能会导致重大的供应链安全危机。因而签署者在公开信中敦促国会调查NVD的潜在问题，帮助国家标准与技术研究院（NIST）恢复漏洞运营，并支持NIST实现NVD项目的现代化。此外，安全研究人员在3月初注意到NVD网站上的漏洞数据更新量大幅下降，许多常见漏洞（CVE）尚未得到充分分析。公开信签署者认为，首要任务是解决当前NVD的积压问题。只有在迅速解决该问题后，NIST和NVD联盟才会重点关注重组NVD计划内的漏洞披露和管理流程。

4月15日，据WIRED消息，美国参议员罗恩·怀登（Ron Wyden）表示，美国政府对微软的依赖构成了对国家安全的严重威胁。他认为，表面上是因为微软的疏忽导致美国政府系统多次被外国黑客实施严重攻击，实际上是美国政府过度依赖微软的产品。微软此前已经历了一系列重大的网络安全失误。有专家表示，由于微软在网络安全领域的主导地位，或将成为最大的单一故障点，这可能也是微软漏洞频发的原因之一。

4月15日，美国网络安全和基础设施安全局（CISA）宣布，该系列的第九次迭代网络风暴IX计划于2024年春季举行。网络风暴IX计划将评估最新的美国家网络安全指南、网络事件期间的信息共享能力和资源需求，并审查国家网络安全政策、指南和原则，从而明确美联邦政府的角色和责任。该计划旨在通过实施政策、流程和程序来识别和响应影响关键基础设施的多部门重大网络事件，从而提升网络安全防护和响应能力。网络风暴IX计划参与者将以工作组的形式开展行动，执行其网络事件响应计划，实现组织和部门的特定目标，并确保在模拟环境中能够共享信息。预计在为期三天的现场行动中将有超过2,000名分布式参与者，涵盖了联邦、州和国际政府以及私营部门的组织。参与组织将直接与CISA合作，了解CISA在网络攻击中的作用和能力。

4月17日，北约将在其军事总部建立北约综合网络中心（NICC），这标志着北约在网络空间行动上的重大理论转变。该中心将采用与英国家网络安全中心类似的运作模式，平民专家将与来自业界、军队和北约政治机构的专家共同合作，各方将打破壁垒，共同应对潜在威胁。此外，该中心将确保欧洲盟军最高指挥官（北约最高级军事官员）能够全天侯了解北约体系内的网络状况，以及其他可能影响欧洲军事行动的网络事件。新网络中心将与北约在华盛顿峰会上采用的一系列独立决策并行运作，赋予北约更大的权力。新网络中心的最终结构尚未确定，北约计划在7月的华盛顿峰会前完成相关规划和设计工作。

4月17日，微软表示，俄罗斯围绕美国大选的虚假信息活动在过去一个半月里有所增加。这些行动“重新聚焦于破坏美国对乌克兰的支持”，旨在煽动美国公民反对北约并煽动国内内讧。微软威胁分析中心（MTAC）表示，针对美国大选虚假信息行动的发布主体，已从俄罗斯情报部门和互联网研究机构转向俄罗斯总统办公室。除了更广泛的虚假信息活动外，俄罗斯组织还采用类似于2016年选举期间的黑客泄密手段。微软表示，包括SEABORGIUM在内的某些组织的“网络活动显著增加”。

4月18日，据Recorded Future News消息，低成本的勒索软件正在暗网论坛上出售以供一次性使用，这使得缺乏经验的自由职业者无需与附属机构进行任何互动即可参与网络犯罪。网络安全公司Sophos情报部门的研究人员发现，在2023年6月至2024年2月期间，四个论坛上共有19种勒索软件可供出售或宣传为正在开发。尽管这些勒索软件不可靠，但它们具有某些优势，如进入门槛低和可追溯性低等。研究人员表示，一次性使用的勒索软件使犯罪分子能够以廉价、便捷且独立的方式参与网络犯罪活动，特别是针对小公司和个人实施勒索。

4月15日，美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、澳大利亚网络安全中心（ACSC）、加拿大网络安全中心（CCCS）、新西兰国家网络安全中心（NZ NCSC）和英国国家网络安全中心（NCSC）共同发布了安全部署人工智能系统的新指南。该指南设定了三个核心目标：增强人工智能系统的机密性和完整性；确保已知的网络安全漏洞得到修复；并实施一系列强大的保护措施来检测和防止恶意活动。指南提出的保护措施包括（但不限于）：开展广泛的软件审查；利用加密协议和数字签名来确认通过系统的每个组件的完整性和来源，并存储所有形式的代码以进一步验证并跟踪任何更改；加强访问模型权重接口的安全性，以增加对手窃取权重的成本；实施严格的访问控制，防止未经授权的访问或篡改人工智能模型；将安全设计原则和零信任框架应用于管理人工智能系统的风险；聘请外部安全专家对准备部署的人工智能系统进行审计和渗透测试。

4月11日，谷歌推出“Patchscopes”框架，该框架旨在通过利用大型语言模型（LLM）解释人工智能语言模型内部学习机制，深入理解人工智能工作原理并对其行为进行控制。随着大型语言模型（LLM）的广泛使用，人工智能模型可能会产生事实性错误，这引发了人们对人工智能透明度和可靠性的担忧。Patchscopes将LLM的内部表示注入框架指定的提示中，并在分析后以自然语言形式生成模型内部的运行过程。Patchscopes框架代表了理解语言模型工作方式的重要进展，这对于提高和加强大语言模型的可靠性和透明度具有重要意义。

据韩联社4月12日消息，韩国和英国将于5月21日至22日在首尔联合举办第二届人工智能安全峰会（AI Safety Summit），旨在继续推进人工智能安全发展的下一步全球计划。此次峰会将以2023年11月人工智能安全峰会的《布莱切利宣言》以及相关协议为基础，讨论人工智能安全问题，解决最先进的人工智能模型的潜在问题。此次峰会还将讨论如何使人工智能技术更具包容性，确保全球能够平等分享人工智能所带来的好处和机会，并进一步推动人工智能创新等问题展开讨论。由全球32位专家组成的团队编写的《国际人工智能安全报告》将在韩国峰会之前发布。

据美国Defensescoop网站4月17日消息，美网络司令部成立了人工智能特别工作组，其重点关注发展并辅助网络战部队的AI作战能力、推动AI运用、应对AI威胁三个问题。该工作组主要基于2023财年国防政策法案，依据美国会批准的人工智能路线图成立。该工作组将利用人工智能识别并解决国防部的网络漏洞，并与合作伙伴协作，重点提升技术能力、解决政策问题以应对网络威胁。此外，网络司令部司令兼美国安局长蒂莫西·霍（Timothy Haugh）表示，希望AI特别工作组协助网络司令部，从AI的投机应用转向系统性利用。

4月18日，美两党参议员提出了《人工智能创新的未来法案》的新立法，旨在通过加强与私营部门合作来巩固美国在新兴技术领域的领导地位。该法案要求向国家标准与技术研究院（NIST）提供更多的联邦支持，用于关键技术领域的标准制定；发起由NIST和能源部国家实验室联合主持的人工智能测试平台竞赛；并要求商务部、国务院和白宫科技政策办公室的领导层组建更多的国际联盟，以就人工智能标准达成共识。该法案还要求政府问责办公室和国家科学基金会参与人工智能科技的发展，以识别联邦政府人工智能应用的障碍，并进一步推动与私营部门的合作。

4月17日，美众议院管理委员会发布人工智能快报，旨在指导美国众议院和其他立法部门实体内人工智能的使用。该快报包括五项人工智能使用准则：一是将人工智能纳入人类监督并辅助决策；二是制定明确和全面的政策；三是执行稳健的测试和评估；四是明确人工智能使用透明度和协议披露；五是促进立法人员的教育和技能提高。其他政府实体也将与该委员会合作开发人工智能实施和治理框架，以规划未来人工智能产品的使用。此外，该报告还详细介绍了委员会即将推出的议程项目及其重点领域，例如探讨联邦采购流程如何帮助促进人工智能的安全使用等。

《中国信息安全》杂志倾力推荐

“企业成长计划”