全球视野 | 国际网安快讯（第15期）

6月11日，美众议院情报委员会通过《2025财年情报授权法案》（IAA），批准了数十亿美元的情报相关预算，同时为情报机构提供政策指导。该法案未涉及《外国情报监视法》（FISA）第702条的修改内容，这导致了参议院与众议院之间的分歧。参议院版本的法案旨在修改FISA第702条，拓宽“电子通信服务提供商”的定义，允许美国安局（NSA）获取更多海外目标的电子通信信息和部分美国人的数据。隐私保护权倡导者对此表示担忧，认为这将赋予情报机构更多监视权力。拜登政府承诺将在FISA法庭诉讼中使用新标准，并支持将这一承诺纳入法律条文。由于众议院法案中未包含必要的修正内容，立法者需在会议上协商解决这一问题。

6月13日，美国与乌克兰签署安全协议，旨在增强提升乌克兰针对抗俄罗斯的网络防御能力。泽连斯基称该协议为该国迄今为止最强有力的协议。美国承诺将在未来十年内为乌克兰提供人道主义、军事和网络援助。该协议标注着乌克兰向北约迈出了重要一步，其内容包括美协助乌克兰加强关键基础设施的网络安全防护，保护其免遭俄罗斯及其他潜在敌对行为者的攻击，抵御虚假信息与宣传的影响。该协议强调了双边合作的重要性，确保乌克兰在冲突结束后能够继续获得美长期支持。

6月5日，由MITRE、云安全联盟（CSA）、先进技术学术研究中心（ATARC）和IT收购咨询委员会（IT-AAC）组成的云安全工作组，发布了《国家云网络信息流计划》报告。报告指出，随着美国数据和系统持续向商业云环境迁移，政府的监控能力和应对国家网络威胁的能力受到了削弱。建议推进美国网络司令部、网络安全和基础设施安全局、国家情报总监办公室等政府机构与谷歌、亚马逊网络服务和微软等主要云服务提供商之间的信息共享。该计划的主要目标包括建立针对云安全威胁、事件和最佳实践的定期利益相关者对话；构建内容安全策略（CSP）的实时视图；建立一个管理合作责任和权限的框架。

6月11日，白宫下令开始评估国家安全在量子计算方面的准备情况。量子计算的处理能力显著超越传统计算机，可能在未来几年内对现有的加密系统构成威胁。MITRE的咨询文件强调，下一届政府需优先考虑量子计算的进步、关键基础设施保护、网络领导角色明确化以及零信任框架的实施。美国家标准与技术研究院（NIST）正在开发工具，以帮助机构迁移到后量子加密（PQC）标准。白宫及其情报合作伙伴正在加强网络防御，以应对由量子计算机带来的挑战。美国家安全局（NSA）已设定2035年为集成电路（IC）系统遵守PQC标准的最后期限，以防止量子网络事件，如“先记录，后解密”攻击等。

6月12日，根据《国防授权法案》（NDAA）第1531节规定，美国防部首席信息官办公室成立“网络学术参与办公室”（CAEO）。这一办公室将作为国防部与学术界利益相关者开展网络相关活动的统一协调中心。目前担任资源与分析首席主管的马克·戈拉克（Mark Gorak）将兼任CAEO主任一职，其主要职责包括：协调和资助国防部的学术参与项目；对网络相关教育工作的效能进行持续分析；建立需求、政策和程序以收集数据；评估所涵盖学术参与项目的绩效。

6月12日，美国和波兰签署协议，旨在加强双方打击外国信息操纵和虚假信息方面的合作。美国务院全球参与中心（GEC）强调，该协议承诺共同维护全球信息环境，防止其受到威胁。作为该协议的一部分，两国在华沙建立了“乌克兰通信集团”（UCG）组织，以支持乌克兰抵御所谓俄罗斯在信息领域的干扰。UCG由12个国家组成，包括加拿大、法国、德国、芬兰、意大利和乌克兰等。波兰媒体指出，该组织将致力于向全球南方国家传播有关俄罗斯的信息。

6月14日，美众议院和参议院通过了年度国防政策法案，旨在推动建立美国网络部队。众议院通过了一项总额为8950亿美元的年度国防政策法案，其中包含一项条款，授权国防部委托进行一项外部研究，以评估创建单独的制式数字服务的可行性。同时，参议院军事务委员会在其2025财年国防授权法案中加入了类似的网络部队研究条款。一直以来，美国防部（DoD）反对建立独立的网络部队，认为现有的美国网络司令部已经足够。退役的网络司令部和国家安全局前负责人保罗·中曾根（Paul Nakasone）表示，当前应专注于设计和部署最有能力的网络部队，而不是创建新的军事部门。

近日，美国发起一轮新的针对俄罗斯的制裁，特别聚焦于金融、科技产业及第三方国家的卖家。其目的是削弱俄罗斯军工综合体的能力，并阻止其从美国及他国和地区获取关键的软件、信息技术服务以及半导体等技术，从而限制俄罗斯在乌克兰冲突中的军事装备开发能力。美国财政部指出，制裁针对的是那些向俄罗斯出售半导体技术的公司和协助采购微电子产品的个人。此外，美国还扩大了使用美国技术的制裁范围，禁止提供多种云服务，包括IT咨询、设计服务、技术支持等。

6月13日，美网络安全和基础设施安全局（CISA）与联邦调查局（FBI)）、国家安全局（NSA）、国防部（DoD）、国家情报总监办公室(ODNI)和网络国家任务部队（CNMF）联合开展了联邦政府首次桌面演习。参与演习的科技公司包括Microsoft、OpenAI、IBM、Cisco等。CISA联合网络防御合作组织（JCDC）牵头此次演习，其关注重点为人工智能安全事件，旨在推进信息共享、公私合作以及人工智能安全事件的应急响应。CISA将把从此次演习中得到的经验教训纳入人工智能安全事件协作手册，以便为政府、行业和国际合作伙伴之间的行动协作提供指导。

6月11日，美众议院提出一项新法案，该法案旨在指导国务院支持和鼓励美国与外国城市建立人工智能研究伙伴关系，以推动人工智能能力的开发。该合作聚焦于“经济合作和劳动力发展”，将通过公私合作伙伴关系来实现，包括非营利组织和学术机构。但这种合作必须遵守出口管制，且限于人工智能的“非国家安全领域”。美国家科学基金会（NSF）将协助指导，并利用其人工智能资源研究所的资源，每年将拨款2000万美元用于支持伙伴关系的建立和实施。值得注意的是，合作城市需符合美国的外交和国家安全利益，排除“受关注的外国国家”或从事不利于美国国家安全行为的城市。

6月10日，美空军首席信息官与空军研究实验室合作，共同启动“NIPRGPT”项目。NIPRGPT是基于生成式人工智能的聊天机器人，它允许用户在对话中完成各种任务，包括执行通信和其他任务，以满足安全操作环境的需求。NIPRGPT是空军研究实验室信息局建造的Dark Saber软件平台的一部分。美空军首席信息官威尼斯·古德温（Venice Goodwine）表示，NIPRGPT是一个实验性的桥梁，允许在非机密互联网协议路由器网络上使用GenAI，同时继续探索成熟的行业解决方案。

6月13日，以色列网络情报公司NSO集团的联合创始人兼前首席执行官沙莱夫·胡利奥（Shalev Hulio）将在以色列大学内盖夫本·古里安大学创办一个新的人工智能研究所。该研究所旨在提升以色列在网络、医疗、金融和教育领域的人工智能应用能力。微软和英伟达的负责人也将参与支持这一项目。以色列总统艾萨克·赫尔佐格（Isaac Herzog）出席了启动仪式，并强调了未来这一计划对以色列技术的重要性。该研究所计划在未来几个月内建立先进的人工智能研究实验室，包括超级计算基础设施。此外，该研究所将致力于培训顶尖公司的首席执行官，使他们能够更好地理解和利用人工智能技术。

6月13日，白宫召集了来自各机构、工业界和学术界的代表，讨论联邦政府在人工智能实际应用研究方面的工作。白宫科技政策办公室（OSTP）主任阿拉蒂·普拉巴卡尔（Arati Prabhakar）表示，会议的重点在于介绍拜登政府利用人工智能和机器学习系统来满足公共服务需求的计划，以及人工智能在七个不同领域的应用研究和开发工作，包括药物发现、个性化教育、气象预报、电网安全、半导体材料开发、交通基础设施项目、以及改善政府服务。

6月13日，美网络安全和基础设施安全局（CISA）发布了题为“空间系统安全和韧性格局：太空环境中的零信任”报告。该报告强调，卫星、航天器及其地面基础设施正在迅速融入日常生活并为医疗保健、电信、互联网基础设施、交通、能源和金融系统等多个关键领域提供基本服务。报告旨在分析和定义在空间基础设施中应用零信任的机遇，它依赖于框架组件，并试图分析空间基础设施中的应用位置和方式。

6月12日，美国家标准与技术研究院（NIST）发布了一项参考指南草案，旨在保护供水和污水处理设施免受网络威胁。该参考指南为一系列水系统、废水系统、以及基于云的远程访问水系统提供了解决方案，如多重身份验证和消除默认账户和密码，以确保在所有设备上配置安全保护措施。参考指南还要求，整合供应商提供的产品，包括涉及改善资产管理，增强数据完整性和扩展网络分段功能的产品。目前该指南正在征求公众对第一阶段的反馈，反馈期将持续到7月15日。

6月10日，美国政府宣布了加强网络安全措施的举措，旨在加强保护美国公民的医疗保健基础设施。拜登政府的这一举是基于从2022年到 2023 年，美国医疗保健系统的网络攻击增加了128%的事实。作为提高美国农村医院系统安全性和韧性举措的一部分，私营部门合作伙伴已承诺建立重症医院和农村急救医院。微软正在扩大其非营利计划，为小型组织提供优化的安全产品，包括赠款和高达75%的折扣。此外，政府表示，谷歌将免费向农村医院和非营利组织提供端点安全建议，并提供资金支持软件迁移。谷歌还承诺与农村医院一起启动一项试点计划，以开发满足这些医院独特需求的安全功能包。

6月13日，美国政府问责署（GAO）发布了一份超过80页的报告，该报告提醒白宫在2024年大选前解决网络安全法规积压的问题。自2010年以来，GAO已经提出了1610项与网络安全相关的建议，但其中567项尚未被白宫采纳。这些建议包括建立有效的监督机制以加强网络安全战略、保护联邦系统和信息、保护关键基础设施以及保护隐私和敏感数据的安全等。GAO在报告中特别强调，国家网络安全战略缺乏绩效衡量和成本估算，这一缺失限制了对战略有效性的评估能力。此外，报告还指出保护关键基础设施仍然是一项重大挑战，与该主题相关的126项建议中有一半以上仍未得到妥善。GAO呼吁联邦机构采取更积极的措施，以确保关键基础设施部门遵循防范勒索软件的最佳实践。

《中国信息安全》杂志倾力推荐

“企业成长计划”