全球视野 | 国际网安快讯（第14期）

6月5日，美国家网络总监办公室（ONCD）发布《2023年网络安全监管协调草案》。该草案是针对2023年8月征求私营部门关于网络安全监管状况的回应，收到了来自16个关键基础设施部门中的11个部门的答复，涉及15,000多家企业、州和其他组织。草案的主要目的：一是加强所有部门的网络安全准备和复原力；二是简化网络监管机构的监督职责，专注于特定行业的专业知识领域；三是降低受监管实体的行政负担和成本。行业参与者指出，不一致和重复的网络安全要求导致企业将资源从保护措施转移到合规成本，从而削弱了私营部门特别是关键基础设施所有者和运营商的网络安全能力。ONCD总监哈里·科克尔（Harry Coker）呼吁对现有法规进行改革，建议国会与拜登政府合作，以创建更一致的政策标准。此外，美国参议院国土安全和政府事务委员会主席加里·彼得斯（Gary Peters）计划提出一项立法，拟在白宫成立网络安全监管协调委员会，由ONCD领导。

6月5日，美国家科学基金会（NSF）发布“使用保障措施和透明度的可信研究”（TRUST）框架，进一步加强研究安全。该框架主要基于2022年《CHIPS与科学法案》，旨在评估个人研究提案对国家安全的潜在风险。TRUST框架包含三个评估分支：评估现役人员的任命和职位；识别不遵守披露和其他要求的情况；考虑国家安全潜在问题。自2025财年开始，TRUST框架流程将分三个阶段推出：关注量子信息科学相关的研究提案；收集该试点数据后，计划利用指标和经验教训实施进一步监督；扩大NSF对所有技术及其相关研究风险的审查过程。

6月4日，美国防部发布《零信任覆盖》指南，旨在作为“零信任”战略的路线图和实施指南，协助国防部实现拜登总统签署的2021年行政命令设定目标。美国防部网络安全首席信息安全官大卫·麦克欧恩（Dave McKeown）表示，零信任覆盖通过提供明确指导，说明促进特定零信任活动的控制措施，从而支持各部门执行。目前，美国防部整个部门尚未实施零信任，预计2027财年将达到“目标层级”的实施阶段，对美国防部在整个部门中实施零信任的方式进行标准化，规定实施零信任控制的分阶段方法，并为系统架构师和授权官员开发零信任差距分析。

6月3日，美国家安全局（NSA）发布《在可视和分析支柱中提升零信任成熟度》指南。该指南强调了持续改进周期的重要性，确保所有基础设施免受非法入侵。该指南建议组织利用人工智能（AI）和机器学习（ML）技术进行更深入的日志分析和威胁识别，通过集中的安全信息和事件管理（SIEM）系统来整合和分析数据，从而提高对可疑或恶意活动的检测能力。此外，指南还强调了威胁情报的重要性，建议组织集成威胁指标、策略、技术和程序（TTP）等信息，以提高AI/ML模型的准确性并为安全分析师提供决策支持。该文件基于美国防部的ZT成熟度等级，提供了从准备阶段到高级阶段的详细指导，并补充了ZT投资组合管理办公室（Pf MO）的“目标”和“高级”级别。

6月3日，北约网络和混合政策部门负责人克里斯蒂安-马克·（Christian-Marc Lifländer）在国际网络冲突会议警告称，北约应允许其军队在网络空间中采取主动措施，以避免潜在冲突中可能扰乱部队部署的网络攻击。美国防分析研究所研究员迈克尔·菲舍克勒（Michael Fischerkeller）也支持建立主动的网络部队，并警告北约盟友可能面临俄罗斯的持续性网络入侵，建议北约采取政策，优化成员国的网络能力，以预测和限制俄罗斯的网络行动。北约正在考虑在比利时建立新的网络中心，预计将在即将到来的华盛顿峰会上宣布。

6月6日，美网络安全和基础设施安全局（CISA）召开了2024年第二季度网络安全咨询委员会（CSAC）会议。本次会议审查了有关优化CISA 网络运营协作平台的建议，旨在支持CISA联合网络防御合作组织（JCDC）持续发展并资助网络安全运营，重点是加强网络防御行动协作。CSAC报告还提出建立网络复原力和减少关键基础设施的系统性风险，加强国家风险管理，为可扩展的分析模型建立标准，以指导风险优先次序。CSAC报告还提到了国家网络安全警报系统，重点是了解网络风险警报系统的可行性。

5月31日，乌克兰国防部宣布，由12个欧洲国家组成的“IT联盟”已筹集总计5800万欧元（6290万美元），用于协助乌克兰发展信息和通信技术，提升其信息技术和网络安全防御能力，赋予乌克兰在战场上的技术优势。“IT联盟”由爱沙尼亚和卢森堡于2023年9月牵头成立，现有的其他成员国包括比利时、意大利、日本、荷兰、英国和乌克兰等，盟国承诺在未来6年内支持乌克兰国防部和武装部队的信息技术基础设施。该联盟于5月底在塔林举行了会议，卢森堡、冰岛、爱沙尼亚和比利时在会上宣布将额外提供2200万欧元（2380万美元）资金，西班牙宣布有意向于近期加入。

5月23日，肯尼亚总统威廉·鲁托（William S.Ruto）访问美国，并承诺遵守《网络空间负责任国家行为框架》。该框架是美国主导号称以国际法为基础，坚持自愿和非约束性原则，并严惩所谓不负责任的国家行为。美国和肯尼亚同意在东非地区的合作伙伴之间共享威胁信息，并强调私营行业之间的合作，包括肯尼亚政府和谷歌共同努力建立网络运营平台及电子政务试点项目，谷歌将为肯尼亚提供事件响应解决方案，并提高基础设施的弹性。美国还承诺提供政策和监管咨询服务。

6月3日，波兰数字部长克日什托夫·加夫科夫斯基（Krzysztof Gawkowski）宣布，波兰将投入近7.6亿美元加强网络防御，对抗俄罗斯的持续网络攻击，新的网络盾牌计划将花费30亿兹罗提（约7.3亿美元），旨在提高该国关键基础设施和政府服务的网络韧性。6月初，黑客发布波兰国家通讯社PAP的虚假军事动员文章，政府随后宣布加强防御措施。波兰将此事归咎于俄罗斯支持的黑客，并强调虚假信息已成为制造紧张局势的关键因素。俄罗斯驻华沙大使馆否认参与攻击。当前，波兰正值欧洲议会选举前夕，网络攻击频发，当地高度警惕俄罗斯的干预行为。

6月5日，美网络司令部利用国会和国防部授予的新权限，加速实施“联合网络作战架构”（JCWA）以及JCWA各系统间集成和互操作。美国加快将陆军和空军的部分软件整合到联合网络作战架构（JCWA）中，并于2027年设立跨军种项目执行监督办公室。JCWA目前设有六个项目办公室，包括陆军“持续网络训练环境”（PCTE）；陆军“联合通用访问计划” （JCAP）；空军“统一平台”（UP）；空军“联合网络指挥控制”（JCC2）；网络司令部的传感器以及由陆军和网络司令部联合运营的“联合开发环境”（JDE）。美网络司令部希望继续扩大权限，尝试获得对隶属于美陆军和空军的4个JCWA分项目管理办公室的更多采购权。美国防部负责采购与维持的副部长办公室2023年赋予美国网络司令部JCWA系统工程和集成权限，从而使该司令部有权定义各军种间互操作性标准，以更好地推动不同系统间更好的集成和互操作性。

6月7日，同时担任美战略与国际研究中心（CSIS）及战略与预算评估中心（CSBA）两大智库客座研究员的金伯利·莱恩（Kimberly Lehn）刊文，围绕在印太地区构建有效的信息共享网络提出对策建议，一是制定各国参与零信任信息共享网络所需的基线安全标准和协议；二是确保拥有自己的安全基础设施和共同的运作模式，以便实现本国的跨部门共享信息；三是美国防部必须拥有充足的资金以支持“印太司令部任务网络”（IMN）的开发和实施并开展协调。印太地区对于维护稳定和守护战略联盟伙伴关系的共同利益至关重要。2024年底，美国和菲律宾有望最终签订《一般军事信息安全协议》，该协议将确保两国进行跨领域的实时信息和技术共享。

6月3日，欧洲数据保护监督机构（EDPS）发布《生成式人工智能与EUDPR》指南（注：EUDPR指的是《欧盟2018/1725号条例》），这是首份适用于欧盟机构的人工智能与数据安全指南。指南涵盖尽可能多的情境和应用，不规定具体技术措施，强调应遵守数据保护一般原则（GDPR）。该指南旨在为欧盟机构、部门、办公室和机构在使用生成式人工智能系统处理个人数据时提供实际操作建议和指示，以帮助其遵守《欧盟2018/1725号条例》中的数据保护义务。指南重点在于数据最小化、数据准确性和数据安全，强调了透明问责制在人工智能全生命周期内保护个人权利的重要性。

5月30日，新加坡政府发布了《生成式人工智能治理模型框架》。该框架以《关于生成式人工智能的讨论文件》的政策理念为基础，借鉴了主要司法管辖区、国际组织、研究界和人工智能相关组织的见解和讨论，提出了数据源选择、透明度、保护机制和质量评估等措施。该框架旨在权衡用户权益与人工智能创新，建立全球合作的安全研发网络，鼓励人工智能的民主化使用，提高公共部门的采用率，提升工人技能，以实现人工智能的公共利益目标。该框架概述了九个维度，全面审视生成式人工智能的开发，主要内容包括：问责制、数据质量、可信开发、事件报告、测试保证、安全性、内容来源、安全研发和公众利益。

6月5日，美联邦监管机构达成一项协议，允许对微软、OpenAI和英伟达就其人工智能行业的主导地位展开反垄断调查。协议要求司法部牵头调查英伟达的行为是否违反反垄断法，联邦贸易委员会则将重点审查生成式人工智能OpenAI和与其深度合作的科技巨头微软（微软已向 OpenAI投资130亿美元）。英伟达、微软和OpenAI已受到了拜登政府监管的重点关注。目前，人工智能行业越来越依赖英伟达提供高性能半导体来为人工智能产品提供动力，美国司法部将单独监督对英伟达的调查。

6月5日，美国商务部长雷蒙多和新加坡通讯及信息部长Josephine Teo在新加坡共同召开人工智能圆桌会议。会上双方发布了人工智能领域共同原则与合作领域，具体包括：加强风险管理领域信息交流与合作，如生成AI框架，并探索在测试、指南和基准方面的合作；两国人工智能安全研究机构加强合作，推进人工智能安全科学合作，成为全球人工智能安全机构网络枢纽；支持负责任的人工智能技术设计、开发、部署和评估，鼓励开展商业化、制定国际标准等；将研究启动人工智能人才桥计划。

6月10日，开源倡议（OSI）组织致力于制定“开源人工智能”的统一定义。这一任务得到了Alfred P.Sloan基金会、亚马逊、思科和Google Open Source的支持。OSI执行董事斯特凡诺·马富利（Stefano Mafulli）表示，定义草案已制定两年，目前正处于验证阶段。定义草案的关键问题包括数据认证和定义，以及如何审查和认证开源人工智能系统。OSI定义草案强调了对训练系统数据的详细程度，以及使用合成数据的可能性。OSI的工作下一阶段将在欧盟开展，这将对开源人工智能技术的未来和整个开源生态系统产生深远影响。

6月4日，OpenAI的前任和现任员工发表公开信，批评人工智能行业在缺乏国家和社会监管的情况下快速发展。他们指出，OpenAI、谷歌、微软和Meta等科技巨头在生成式AI领域展开军备竞赛，预计该市场未来十年内将产生超一万亿美元年收入。信中强调，这些公司持有大量机密信息，却无法律要求共享，且举报人缺乏保护。公开信呼吁取消保密协议、创建匿名渠道，并保持公开批评的文化。签署信件的包括OpenAI 的四名现任和七名前员工，以及著名科学家Geoffrey Hinton等。OpenAI回应称将继续与各方接触，并设有匿名热线和安全委员会。

6月6日，Google应用商店强化了具有生成式人工智能功能应用的审核与政策。过去一年中，Google扩展了审核功能，利用大型语言模型（LLM）等新技术快速分析应用提交内容，识别潜在的不当内容，并由专业人员进行审查。同时，Google应用商店更新了相关政策，要求所有生成式人工智能应用必须让用户能在应用内举报不良内容，确保应用的安全性和可靠性。Google强调，开发者在构建具有生成式人工智能功能的应用时，必须遵守其政策，包括禁止生成受限内容、提供用户反馈机制、负责任地推广应用、严格测试AI工具和模型以确保输出内容的合规性。Google承诺持续更新其政策和开发者工具，以适应人工智能技术的发展，未来将推出新功能简化应用提交过程，并分享最佳实践资源，如《人员+AI指南》，支持开发者负责任地创新，丰富全球用户体验。

Govinfosecurity网站6月3日称，美国立法者对国防部计划进一步投资微软产品发出警告。两党参议员在写给国防部首席信息官约翰·谢尔曼（John Sherman）的信中表示，华盛顿需重新评估美国防部对该公司365种基于云的产品的依赖，并要求提供美国防部计划信息，以确保鼓励创新和竞争的多供应商方法。长期以来，专家们一直呼吁联邦政府和国防部摆脱对单一软件提供商的过度依赖。

6月6日，美网络安全和基础设施安全局（CISA）发布了四项针对工业控制系统（ICS）的网络安全公告，涉及艾默生、三菱电机和江森自控等公司的ICS设备中的硬件漏洞。CISA及时提供了这些设备当前的安全问题、漏洞和漏洞利用的信息，并鼓励用户和管理员查看最新的ICS公告，了解技术细节和缓解措施。

6月4日，美国联邦通信委员会（FCC）通过了提升边界网关协议（BGP）安全性的提案。该提案要求宽带互联网提供商制定并维护安全的路由计划，其中九大提供商需定期向FCC报告安全措施的执行情况。FCC主席杰西卡·罗森沃塞尔（Jessica Rosenworcel）表示，边界网关协议（BGP）的不安全性已被滥用，导致网络数据被劫持。全球网络联盟（GCA）对于该提案表示赞同，认为提案支持了行业的发展方向，而互联网社会（ISOC）则认为提案过于倾向于监管，可能破坏现有的全球治理机制。美国家有线与电信协会（NCTA）呼吁FCC在提供商达到安全部署标准后取消季度报告要求，以减轻合规负担并鼓励进一步提高安全性。

6月4日，美网络空间日光浴委员会发布报告，呼吁政府、国会和医疗行业加强合作，提升网络安全。报告建议包括：政府更新策略，支持关键服务的安全，解决农村地区的网络安全人才短缺；国会提供资金支持；行业增加网络安全投入，培训员工和制定应急计划。报告指出，医疗机构财务状况不佳，过时系统易受攻击，过度连接的设备增加了风险。为应对挑战，提出了包括发展农村医院网络安全工作力和建立应急计划在内的多项措施，并强调需要以提高系统安全性和运营韧性为中心的方法，特别是关注直接与患者相关的系统，并支持资源不足的行业参与者。

6月6日，美联邦通信委员会（FCC）启动为期三年的试点项目，旨在研究使用机构资金支持学校及图书馆的网络安全服务和设备。该项目将从通用服务基金中拨出2亿美元，帮助申请更好设备和服务的学校和图书馆，以抵御网络攻击。试点项目的资金独立于现有的E-Rate计划，确保不影响E-Rate计划的成功和数字公平性。

《中国信息安全》杂志倾力推荐

“企业成长计划”