2024年第5期《网络安全国际动态》

2024年5月7日，白宫网络总监办公室（ONCD）发布了《2024年国家网络安全态势报告》（2024 Report on the Cybersecurity Posture of the United States）。该报告是美国发布的首份网络安全态势类别的报告，旨在为美国应对网络空间挑战和机遇提供最新信息。

该报告首先分析了2023年美国网络安全政策所处的复杂环境。数字通信、先进计算、量子信息科学等关键技术的进步增加了经济和社会的复杂性，带来了新的网络安全挑战。在此背景下，该报告指出了关键基础设施风险、勒索软件、供应链利用、商业间谍软件和人工智能这五个主要推动网络安全挑战的因素。

此外，该态势报告详细列举了ONCD为强化网络安全所采取的多项行动，包括建立网络安全要求、加强联邦合作、提升事件准备和响应水平、建立联邦网络防御机制、加强网络安全人才培养、推进软件安全、投资新一代弹性技术、管理数据安全和隐私风险等举措。

2024年5月22日，美国国家安全局（NSA）发布了《在应用程序与工作负载中推进零信任成熟度》（Advancing Zero Trust Maturity Throughout the Application and Workload Pillar），旨在帮助组织保护应用程序免受未经授权用户的攻击，确保在任何确定时间点工作负载的持续可见性。

该文件是NSA发布的零信任系列文件之一，进一步讨论如何实现《采用零信任安全模型》（Embracing a Zero Trust Security Model）中的零信任安全框架，以及通过应用程序和工作负载支柱中的应用程序清单、安全软件开发、软件风险管理、资源授权等持续监控和授权这些关键功能。

该文件强调，应用程序和工作负载在零信任架构中相互依赖。通过在现代网络环境中对应用程序和工作负载应用细粒度的访问控制和可见性，帮助组织有效地防范恶意网络活动。

2024年5月16日，美国网络安全与基础设施安全局（CISA）发布了《加密域名系统（DNS）实施指南》（Encrypted Domain Name System(DNS) Implementation Guidance），旨在帮助美国联邦民事机构满足DNS流量加密相关的要求，增强其IT网络的网络安全态势，以符合美国行政管理和预算局（OMB）备忘录M-22-09《推动美国政府走向零信任网络安全原则和国家网络安全战略》（Moving the U.S. Government Toward Zero Trust Cybersecurity Principles and the National Cybersecurity Strategy）。

传统的DNS协议无法确保信息请求或响应的机密性、完整性及真实性。M-22-09特别要求机构在技术可行的情况下加密DNS流量，并规定机构必须使用CISA的保护性DNS功能进行出口DNS解析。《加密域名系统（DNS）实施指南》将帮助机构在其机构网络、DNS基础设施、本地端点、云部署、漫游以及移动端点中实施可行的技术功能。

为了帮助机构人员理解要求并参与转型工作，该指南提供了包括机构所需变更的高级实施清单、确定优先分段实施建议、技术指导和参考等一系列资源。

2024年5月20日，欧盟宣布《欧盟数字身份法规》（European Digital Identity Regulation）正式生效。该法规基于2014年《关于内部市场电子交易的电子标识和可信服务条例》（Regulation on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market，eIDAS法规）的框架建立。

2018年，eIDAS法规强制要求欧盟成员国在实施本国电子身份识别计划后需同步其他成员国。然而，该法规并没有要求成员国制定本国的电子身份识别计划。各成员国之间只能通过连接不同身份识别系统来实现互操作性，这导致了各国之间存在差异，并阻碍了私人数字服务的扩展。

《欧盟数字身份法规》旨在通过提高当前数字身份框架的有效性，并将其优势扩展到私营部门，从而解决eIDAS法规的不足之处。根据新规，成员国将被要求向公民和企业提供数字钱包，这些钱包可以将他们的国家数字身份与驾驶执照、文凭和银行账户等其他个人属性的证明联系起来。这些钱包可以由公共机构或公认的私人实体发行，其目的是让公民在访问在线服务时完全控制自己的数据，消除不必要的数据共享。

2024年5月14日，英国国家网络安全中心（NCSC）发布《组织在勒索软件事件中斟酌付款的指南》（Guidance for Organisations Considering Payment in Ransomware Incidents），旨在使组织和相关的第三方在面对勒索软件时做出明智的决定，降低勒索软件事件的整体影响，并帮助组织减低破坏影响和成本，降低英国国内勒索软件受害者数量，以及缩小受害者选择支付的赎金数额。

该指南强调支付赎金并不能保证事件结束，也不能保证恶意软件从受害者的系统中删除，但支付行为确实为犯罪分子继续并扩大恶意活动提供了动力。此外，NCSC和保险行业机构建议受害组织在向犯罪集团支付赎金之前仔细阅读该指南。

2024年5月14日，英国国家网络安全中心（NCSC）宣布与境内行业伙伴达成合作，以支撑《英国国家网络战略2022-2023年度进展报告》（National Cyber Strategy 2022 Annual Progress Report 2022-2023）中“提升国家关键基础设施的网络弹性”目标的落地，为英国公民建立一个有韧性且繁荣的数字社会。

NCSC合作的行业伙伴包括托管服务提供商、通信服务提供商和互联网服务提供商。合作伙伴将通过识别和阻止恶意网站为NCSC减轻英国公民受到网络安全攻击的影响。NCSC将通过合作伙伴扫描英国IP地址范围内的设备，以帮助其了解现存所有面向互联网的设备携带漏洞的总体情况。合作商还可以使用NCSC保护域名服务（Protective Domain Name Service）和删除服务（Takedown Service）的数据。恶意数据集将通过合作伙伴的域名系统平台进行过滤，防止英国公民和企业访问恶意内容。

这次合作具备以下优势：

（1）通过数据共享，NCSC为网络犯罪和网络欺诈受害者提供额外保护。

（2）采取积极主动的方法与行业合作，打击网络犯罪并确保英国成为最安全的在线生活和工作场所。

（3）数据共享可实现快速保护，其他NCSC主动网络防御服务，例如删除服务，可以更直接的响应威胁。

2024年5月7日，NIST发布内部报告IR 8504《NoSQL 数据库访问控制》（Access Control on NoSQL Databases）草案，面向公众征求意见。

NoSQL，泛指非关系型的数据库，通常在许多方面优于传统的关系型数据库管理系统（RDBMS），例如数据分析效率、系统性能、部署难度、数据管理的灵活性或拓展性，以及用户的可用性。然而，随着越来越多的人将敏感数据存储在NoSQL数据库中，访问控制问题已经成为数据库管理系统的基本要求。

该文件通过说明NoSQL数据库类型及其对访问控制模型的支持，讨论NoSQL数据库系统上的访问控制，并从访问控制角度给出注意事项。

2024年5月14日，NIST发布特别出版物SP 800-171r3《保护非联邦系统和组织中的受控非密信息》（Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations）第3版及其配套文件。

受控非密信息（CUI）的保护对联邦机构至关重要，并可能直接影响联邦政府成功执行其必要任务和职能的能力。该文件为联邦机构处理驻留在非联邦系统和组织中的CUI给出了安全要求。这些要求适用于处理、存储、传输CUI或为此类组件提供保护的非联邦系统的组件。

同时，该文件可与其配套出版物NIST SP 800-171A《受控非密信息的安全要求访问》（Assessing Security Requirements for Controlled Unclassified Information）结合使用。

2024年5月10日，NIST发布内部报告IR 8498《智能逆变器的网络安全：住宅和轻型商业太阳能系统指南》（Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems）草案，并面向公众征求意见。

该指南为家庭和小型企业使用的小型太阳能系统中的智能逆变器提供了网络安全指导。智能逆变器在小规模太阳能系统中具有两个关键功能：一是智能逆变器将太阳能电池板产生的直流电（DC）转换为电网、家庭和企业中使用的交流电（AC），并管理过剩能源流向电网。二是智能逆变器的“智能”功能使其能够帮助当地电力公司解决电网异常问题。

然而，要正确解决这些异常，智能逆变器必须运行支持电网友好配置。如果配置不当，逆变器可能会以不适当的方式加剧异常。如果恶意行为者故意使许多智能逆变器配置错误，电网的稳定性和性能可能会受到严重影响。

2024年5月20日，NIST发布特别出版物SP 800-229《2023财年网络安全和隐私年度报告》（Fiscal Year 2023 Cybersecurity and Privacy Annual Report）。该报告分享了NIST在网络安全和隐私领域的主要成就和关键亮点。

该报告重点介绍了2023财年NIST信息技术实验室（ITL）在网络安全和隐私领域的关键研究活动，包括持续参与和研制国际标准，以及在多个关键优先领域进行研究和实际应用，例如后量子密码标准研制和NIST网络安全框架（CSF）2.0更新，以及一些新的网络安全框架配置文件的创建。

报告还详细描述了在改善软件和供应链网络安全、物联网网络安全、国家网络安全卓越中心（NCCoE）项目方面的成果，介绍了网络钓鱼、身份和访问管理计划的进展，以及自动驾驶汽车的战略和新兴研究计划（SERI）。

2024年5月24日，英国国家网络安全中心（NCSC）发布了《机器学习原则》（Manchine Learning Principles），旨在帮助开发人员、工程师、决策者和风险所有者在机器学习（ML）系统的设计、开发、部署和操作中做出明智决策。

当前的机器学习系统不仅面临传统的网络安全威胁，还会受到新的安全漏洞的影响，因此需要从一开始就注重安全性设计。因此，该文件提出制定一个通用的机器学习系统的生命周期，其重点在于解决机器学习系统的安全漏洞问题。《机器学习原则》覆盖广泛的系统和数据类型，与模型算法或部署环境无关，侧重于确保系统的各个阶段都能获得有效的安全保护。

《安全部署人工智能系统：

部署安全和弹性人工智能系统的

最佳实践》解析

2024年4月15日，美国国家安全局（NSA）发布《安全部署人工智能系统：部署安全和弹性人工智能系统的最佳实践》（Deploying AI Systems Securely：Best Practices for Deploying Secure and Resilient AI Systems）网络安全信息表，该信息表由美国国家安全局人工智能安全中心（AISC）联合美国网络安全与基础设施安全局（CISA）、美国联邦调查局（FBI）以及加拿大网络安全中心（CCCS）、澳大利亚网络安全中心（ACSC）、新西兰国家网络安全中心（NCSC-NZ）和英国国家网络安全中心（NCSC-UK）共同编写，强调了人工智能系统安全的重要性，给出了提高人工智能系统安全性的最佳实践，为组织部署和运行由第三方设计和开发的人工智能系统提供指导。

一、背景介绍

在当今数字化时代，人工智能已成为推动技术创新和经济增长的关键驱动力。人工智能技术的进步不仅在商业领域带来了革命性的变化，也在国家安全和国防领域扮演着越来越重要的角色。然而，人工智能技术的普及也带来了新的安全挑战。恶意行为者可能会寻求利用人工智能系统的潜在弱点，进行数据盗窃、知识产权侵犯，甚至发动更复杂的网络攻击，这些都可能对国家安全构成严重威胁。

随着业内专家和学者们不断发现人工智能技术中潜在的风险，组织需要及时更新其人工智能系统和安全措施，并利用过往人工智能系统中的最佳实践，应对不断变化的威胁。为此NSA于2023年9月成立了人工智能安全中心（AISC），作为网络安全协作中心（CCC）的一部分，确保人工智能系统的安全性和弹性。AISC的成立标志着NSA在人工智能安全领域迈出的重要一步，未来美国将通过跨部门和跨国界的合作，提高人工智能系统的机密性、完整性和可用性。

本次发布的信息表基于英国国家网络安全中心（NCSC）的《安全人工智能系统开发指南》（Guidelines for Secure AI System Development）和澳大利亚网络安全中心（ACSC）的《与人工智能互动》（Engaging with Artificial Intelligence），分别借鉴了其中“安全部署”和“安全运维”以及“缓释注意事项”相关内容。该信息表涵盖了从人工智能系统的安全部署、操作和维护，到应用程序编程接口（API）安全、模型权重保护、用户意识和培训、审计和渗透测试、日志记录和监控、系统更新和补丁、灾难恢复准备等多个方面安全措施。通过这些措施，组织可以提高人工智能系统的安全性，减少潜在风险。

二、主要内容

人工智能具有快速采纳、部署和使用的特点，这使其成为恶意网络行为者的重点目标。针对人工智能系统的恶意攻击，可能会使用人工智能系统特有的攻击载体，也可能会使用传统IT的技术。由于攻击载体种类繁多，防御措施也必须多样化和全面化。恶意行为者通常会结合多种载体来执行更为复杂的操作，这种组合手段能更有效地穿透分层防御。组织可以采用本文件中的最佳实践，以确保系统部署环境的安全，持续保护、运行和维护人工智能系统。

本文件中提及的人工智能系统概念是指基于机器学习（ML）的人工智能系统，涉及到的最佳实践主要是指在本地或私有云环境中部署和运行由外部开发的人工智能系统的组织，尤其是处于高威胁和高价值环境中的组织，而不适用于已授权第三方部署人工智能系统的组织。这些最佳实践也并不适用于所有环境，需根据攻击复杂程度、攻击手段、具体使用案例和威胁概况进行调整。

（一）确保人工智能系统部署环境安全

组织通常在现有的IT基础设施内部署人工智能系统。在部署之前，组织应确保IT环境全面采用安全规范，尤其在治理、架构和安全配置等方面。适用于组织的IT环境的安全最佳实践通常也适用于人工智能系统。组织可参考以下重点的最佳实践，对人工智能系统及其部署的IT环境进行管理。

1. 管理部署环境安全

如果由第三方机构部署或运行人工智能系统，则该机构应与组织的IT部门合作，通过以下三方面确保部署环境符合组织的IT安全规范：

（1）了解组织的风险水平，确保人工智能系统在组织的风险承受范围内，评估并记录威胁、潜在影响和风险接受度；

（2）确定各利益相关方的角色和责任，以及他们如何履行这些职责，当组织将其IT环境与人工智能系统分开管理时，确认这些职责尤其重要；

（3）确定IT环境的安全边界，并测试人工智能系统对该边界的适应性。

组织应要求人工智能系统的主要开发者提供威胁模型，部署团队将威胁模型作为指导，以实施安全最佳实践，评估潜在威胁并规划缓解措施。在制定人工智能系统产品或服务合同时，组织应考虑部署环境的安全要求，促进所有相关方的合作，使其能够及时反映风险和顾虑，以便组织妥善解决这些问题。

2. 确保部署环境结构健全

组织部署人工智能环境结构时应考虑以下两个方面：

（1）安全边界防护：组织需为IT环境和人工智能系统之间的边界建立安全保护，以便识别并解决人工智能系统威胁模型鉴别出的边界安全和其他相关领域的安全盲点。例如，为人工智能模型加权使用访问控制系统，将访问权限限制在具有双人控制（TPC）和双人完整性（TPI）的特权用户组中。

（2）数据源防护：组织应识别并保护所有将用于人工智能模型训练或微调的专有数据源，维护可信和有效的数据源目录将有助于防止潜在的数据中毒或后门攻击。对于第三方获取的数据和训练的模型，应参考合同或服务级别协议（SLA）中的条款，检查该数据源列表。

除此之外，组织还应将安全设计原则和零信任（ZT）框架应用于其环境结构，管理数据进出的风险。

3. 加固部署环境配置

组织应参考以下三份公开报告加固部署环境配置：

（1）组织将现有的安全最佳实践应用于部署环境，包括在加固容器或虚拟机中对运行机器学习模型的环境进行沙盒处理、监控网络、配置带有允许列表的防火墙等，以及其他类似于NSA发布的《十大云安全缓解策略》（Top Ten Cloud Security Mitigation Strategies）中的最佳实践；

（2）组织应审查硬件（如GPU、CPU、内存）供应商，通过《通用安全通告框架》（Common Security Advisory Framework）应用软件补丁和更新，最小化漏洞被利用的风险;

（3）组织应遵循《薄弱安全控制和通用于初始访问的实践》（Weak Security Controls and Practices Routinely Exploited for Initial Access）中的缓解措施，缓解恶意行为者利用薄弱安全控制造成的不利影响。

除此之外，组织还可通过在静态数据上加密，并在硬件安全模块（HSM）中存储加密密钥，从而保护敏感的人工智能信息；组织也可实施强有力的认证机制、访问控制和安全通信协议，例如使用最新版本的传输层安全（TLS）来加密传输中的数据；组织还可在确保访问信息和服务时，使用防网络钓鱼的多因素认证（MFA），同时监控并响应欺诈性认证尝试。

4. 保护部署网络免受威胁

组织的应通过以下三种策略保护部署网络：

（1）采取零信任的理念，假设入侵是不可避免或已经发生，增强实施检测和响应能力，实现快速识别和对数据泄露的控制；

（2）使用经过充分测试且高性能的网络安全方案，来有效识别未经授权的访问尝试，并提高事件评估的速度和准确性；

（3）集成一个事件检测系统以帮助优先处理事件，在重大事件发生时，能够立即拦截恶意用户访问或断开所有人工智能模型和系统的连接。

（二）持续保护人工智能系统

1. 随时验证人工智能系统

组织在部署人工智能系统前，应使用加密方法、数字签名和校验码等方式确认每个人工智能系统的来源和自身完整性（例如，使用加密安全传感器），保护敏感信息在使用过程中免受未经授权的访问。其次，组织还应为每个版本的人工智能模型和系统创建哈希值和加密副本，将哈希值和/或加密密钥存储在安全保险库或硬件安全模块内，以防止在同一位置访问加密密钥、加密数据及模型。此外，组织也应将系统中所有形式的代码（例如，源代码、可执行代码、基础设施即代码）和软件开发中的工件（例如，模型、参数、配置、数据、测试）存储在具有适当访问控制的系统中，确保只使用经过验证的代码，并且对任何更改进行跟踪。

设计人工智能系统过程中，组织需要评估和保护任何外部人工智能模型和数据的供应链，确保它们遵守组织的安全规范和风险管理政策，并优先考虑根据安全设计原则开发模型和数据。若供应链中存在无法遵守安全规范和政策的情况，则应确保这种情况的风险被充分揭示。

人工智能系统设计完成后，不要立即在企业环境中运行，组织应先在安全的开发区域内仔细检查模型，特别是导入的预训练模型。如有已受组织认可的人工智能专用扫描程序，则应在部署模型前检测其是否潜在恶意代码，以确保模型的有效性。

在运行过程中，组织应为自动回滚做好准备，并使用具有人为干预的高级部署作为保护，提高人工智能系统的效率和可靠性，实现持续交付。就人工智能系统而言，回滚功能可确保在新模型或更新后引出问题，或人工智能系统受到损害时，组织能迅速恢复到最后已知的良好状态，从而最大限度地减少影响。此外，组织也需要考虑人工智能系统的自动化检测、分析和响应能力，使IT和安全团队有效洞察，从而快速且有针对性地应对潜在的网络事件。对人工智能模型及其托管的IT环境进行持续扫描，以识别可能存在的篡改行为。

最后，如若组织需要修改人工智能系统，其应在修改后彻底测试人工智能模型的鲁棒性、准确性和潜在漏洞，并进行技术应用（例如，对抗性测试）。

2. 确保应用程序编程接口（API）安全

如果人工智能系统公开了应用程序编程接口（API），则组织应通过对API访问实施验证和授权机制来确保其安全。使用安全协议，如带有加密和验证功能的超文本传输安全协议。不仅如此，组织对所有输入数据应实施验证和清除协议，以减少可疑、不兼容或恶意数据被传输到人工智能系统。

3. 积极监控模型行为

组织应收集涵盖输入、输出、中间状态和错误的日志，并自动发出警报。同时，组织应时刻监控模型的架构和配置设置，以防任何未经授权的更改，或是任何可能危及模型性能或安全性的意外修改。此外，通过监控人工智能模型访问或统计获取数据行为进行推理，也是组织防止人工智能系统受到攻击的方法之一。

4. 保护模型权重

组织应对访问模型权重的接口进行加固，降低外泄权重的可能性。例如，确保API只交换任务所需的最小数据，以抑制模型反演。在可行情况下，组织可对模型权重存储实施硬件保护。例如，禁用不需要的硬件通信功能，防止辐射或侧信道技术。组织也可采用积极隔离存储权重的措施。例如，将模型权重存储在受保护的存储库、单独的专用区域，或使用硬件安全模块（HSM）存储。

（三）确保人工智能的运行和维护

遵循组织批准的IT流程和程序进行人工智能系统部署，确保实施以下控制措施。

1. 实施严格的访问控制

组织应防止未经授权的访问或篡改人工智能模型。组织可应用基于角色的访问控制或基于属性的访问控制，保证只有授权人员才能访问。例如，可要求为管理访问提供多因素认证（MFA）和特权访问工作站以区分用户和管理员。

2. 确保用户意识和培训

组织应对用户、管理员和开发人员进行安全最佳实践培训，如加强密码管理、防范网络钓鱼和安全数据处理。此外，推广安全认知也可将人为错误的风险降至最低。积极使用凭证管理系统以限制、管理和监控凭证的使用，进一步降低风险。

3. 进行审计和渗透测试

组织应聘请外部安全专家对准备部署的人工智能系统进行审计和渗透测试，有助于发现可能被内部检查忽视的漏洞和薄弱环节。

4. 实施健全的日志记录和监控

利用全面监控和日志记录机制，监控系统的行为、输入和输出，检测任何异常行为或潜在安全事件。建立警报系统，及时检测和响应网络事件。

5. 定期更新和补丁

在将模型更新为新版本或不同版本时，组织应在重新部署前进行全面评估，确保其准确性、功能性和安全测试在可接受范围内。

6. 为灾难恢复做好准备

组织应根据系统要求，使用不可变备份存储系统，确保每个对象（尤其是日志数据）都是不可变和无法更改。

7. 安全删除功能

在任何暴露或可访问数据和模型的流程结束时，对组件（如训练和验证模型或加密密钥）进行自主和不可恢复的删除，且不做任何保留或残留。

三、小结

该信息表建议组织在部署人工智能系统时，应当考虑其作为软件系统的特性，将设计并运行测试安全放在首位，既能防止敏感数据被盗，又能减少人工智能系统的滥用，并结合现有最佳实践提出以下8项应重点关注的措施：

（1）对使用特权访问或执行关键服务的所有设备进行持续评估；

（2）加固和更新IT部署环境；

（3）审查人工智能模型和供应链安全的来源；

（4）在部署前验证人工智能系统；

（5）对人工智能系统实施严格的访问控制和API保护，并采用最小特权和深度防御的概念；

（6）使用健全的日志记录、监控以及用户和实体行为来识别内部威胁和其他恶意活动；

（7）限制和保护对模型权重的访问，因为它们是人工智能系统的关键；

保持对新兴技术威胁的认知，尤其是在快速发展的人工智能领域，确保组织的人工智能系统得到加固，避免安全漏洞。（完）

本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司、北京工业大学等单位的大力支持，特此致谢。

全国网络安全标准化技术委员会（TC260）秘书处

联系地址：北京市东城区安定门东大街1号（100007）

电  话：010-64102731