全球视野 | 国际网安快讯（第34期）

第34期

10月22日，由奥本大学麦克拉里网络与关键基础设施研究所和网络空间日光浴室委员会40名成员组成的网络专家工作组发布《确保美国的数字未来：下一届美国政府的两党网络安全路线图》。该报告向下一届美政府提供了8大网络安全目标和39项具体建议，并提出新政府成立后的前100天内应立即采取的五项行动。这些行动包括：一是全面审查联邦网络安全法规，简化合规要求，适应行业特定需求；二是加强网络威慑力，提高对敌对网络攻击的归因和响应能力；三是启动国家网络劳动力发展计划，解决人才短缺问题；四是加强政府与私营部门的合作，提高关键基础设施的网络安全；五是制定国家“经济连续性”计划，确保在重大网络事件中维持基本经济功能。此外，工作组还建议加强国家网络主管办公室与网络安全和基础设施安全局的职能，制定进攻性网络战略，统一各部门的网络安全标准，并为网络外交赋予更多权力。

10月24日，美政府公开发布首份《人工智能国家安全备忘录》，旨在确保美在人工智能的前景和管理人工智能风险方面发挥领军作用，鼓励联邦政府利用人工智能来推进国家安全使命，并寻求塑造围绕人工智能使用的国际规范。备忘录中概述的关键条款包括：进一步授权国家人工智能研究资源（NAIRR）试点项目；指导国际合作；增加与私营部门同行的网络安全信息共享，并正式指定美国家标准与技术研究所（NIST）的人工智能安全研究所作为该行业与政府合作伙伴的主要联络点。除了该备忘录外，美白宫还发布了《国家安全领域推进人工智能治理和风险管理框架》，对此前针对非国家安全任务的指南进行了补充。该框架提供了实施备忘录的进一步细节和指导，包括要求建立风险管理、评估、问责和透明度机制。

10月25日，美网络安全和基础设施安全局（CISA）、联邦调查局（FBI）以及澳大利亚网络安全中心合作，发布针对软件制造商和服务业的《安全软件部署》指南，旨在帮助制造商实施全面的测试和测量组件的安全软件部署过程，以增强产品及其部署环境的安全性和质量。该指南分为规划、开发、内部部署、测试、客户试用和反馈六个关键阶段，每个阶段都提出了具体的安全部署注意事项，以帮助公司构建高效且有弹性的部署手册。该指南还建议制定紧急协议以解决部署后潜在问题，包括事故检测、报告及恢复。

10月22日，美网络安全与基础设施安全局（CISA）宣布了一项极为严苛的数据安全规定，旨在阻止外国敌对势力利用所获得的美政府和公民的敏感数据（包括金融、生物识别、精确地理位置、健康、基因组等数据）来实施网络攻击或及进行监视行动。这项新规主要针对从事受限交易的科技企业，特别是那些处理美政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业，涉及人工智能、云计算、电信和国防在内的多个行业。新规要求企业定期更新与维护资产清单；及时修补并管理漏洞，在14天内修补已知漏洞；动态维护网络拓扑结构；强化身份验证，全面实施多因素认证；加密数据；限制硬件连接等措施。CISA的这一新规标志着美在数据安全领域的重大政策升级，不仅是对美企业内部安全管理的提升，也将对与美有业务关联的全球企业带来深远的影响。

10月15日，新加坡网络安全局（CSA）发布《人工智能系统安全指南》及其配套指南，旨在帮助企业安全地利用人工智能技术。该指南着重指出了供应链攻击等传统网络安全风险和对抗性机器学习等新风险的影响，并为决策者和从业者提供了采用安全控制措施与最佳实践的指导，以确保人工智能系统的安全性。指南强调，保护人工智能系统不仅需要采取传统的网络安全措施，还需要针对人工智能相关的特殊风险采取专门方法，建议人工智能系统管理者采取全生命周期的方法，全面识别和降低安全风险。

10月22日，美网络司令部为应对未来威胁，启动了“网络司令部2.0”计划，旨在通过改进与工业界的合作，建立创新中心、组建人才管理工作组以及采用新的部队生成模式等措施加强战备能力。立法者对该司令部的战备水平和人才短缺问题表示担忧，并推动这一改革进程。审查报告提出了五项核心建议，其中最具约束力的是设立创新中心，这将有助于加强尖端网络技术的应用。此外，新的部队生成模式将使不同军种专注于各自的数字领域特长，例如陆军将专注于云安全，而海军则负责处理射频网络攻击等。改革还提出高级网络培训和优化司令部与私营部门之间的合作关系。

10月22日，英安全事务国务大臣丹·贾维斯（Dan Jarvis）在伦敦的一次会议上表示，政府正在考虑各项措施以加强应对网络威胁。贾维斯强调，网络攻击已经对英国组织造成了重大损害，并影响了相关企业，政府正在审查面临的威胁，并解决包括勒索软件在内的高级网络威胁问题。贾维斯还提到，英情报机构正与国际合作伙伴合作，共同揭露和打击其他国家的恶意网络活动，以及揭露网络侵略行为。

10月22日，美高德纳咨询公司（Gartner）发布了2025年企业机构需要探索的十大战略技术趋势清单，分为三大主题和十项关键技术：人工智能的必要性和风险，涉及代理型人工智能、人工智能治理平台、虚假信息安全；计算的新前沿，涉及后量子密码学、环境隐形智能、节能计算、混合计算；人机协作，涉及空间计算、多功能机器人、神经增强技术。

10月24日，美英澳三边安全伙伴关系（AUKUS）在为期三周的“自主战士演习”（Exercise Autonomous Warrior 2024）海上试验中，完成多个自主和网络化系统的测试。这些测试包括联合操作无人海事系统、共享和处理三国海事数据、提供实时海域感知以支持决策的能力，帮助AUKUS合作伙伴练习部署和维护数千个无人系统。此外，日本作为观察员加入此次海上试验，未来或将加深其参与程度。

10月21日，非营利组织MITRE宣布，美前国家网络主管克里斯·英格利斯（Chris Inglis）加入其董事会。MITRE总裁马克·彼得斯（Mark Peters）表示，英格利斯在网络安全和国家安全方面的丰富经验为MITRE应对新兴威胁带来重要价值。英格利斯曾在政府工作40余年，担任过白宫首任国家网络主管，并在军事和学术界具有显著贡献。MITRE董事会主席罗德尼斯莱特（Rodney Slater）强调，英格利斯将为应对国家安全挑战提供战略视角和领导力。此外，MITRE近期宣布将利用新的计算能力训练人工智能基础模型，以支持政府关键任务，并在网络安全等持续领域展示其创新能力。

10月22日，美国防部与美小企业管理局（SBA）宣布首个小企业关键技术投资（SBICCT）计划获批基金。该计划主要目标是吸引和扩大私人投资进入对经济和国家安全至关重要的技术领域，获得相应许可的基金有资格获得SBA担保贷款，贷款金额最多可达1.75亿美元。截至2024年10月22日，经过SBA调查后，已有4只基金获得了SBA许可，9只基金获得了SBA批准筹集私人资本。美国防部预计首批13家基金将在14类国防技术领域向1700多家小企业投资超40亿美元。

10月21日，美国会议员小组致函总统拜登，呼吁其政府审查海底光缆安全漏洞。由于大部分海底电缆基础设施归私营公司所有，这些设施在战备条件可能无法得到充分保护，因此议员们敦促拜登政府全面评估现有的薄弱环节。他们还强调，超过95%的国际互联网流量，包括数万亿美元的金融交易数据，都是通过海底电缆传输的。

10月24日，美国家科学技术研究院（NIST）表示，从40个数字签名提案中筛选出14个后量子密码学（PQC）签名公开发布，以应对量子计算带来的网络安全威胁。NIST表示，尽管联邦官员不确定量子网络攻击何时开始，但预计可能会在未来十年内开始。美国家网络总监办公室（ONCD）菲尔·斯图帕克（Phil Stupak）表示，除了数字签名和加密算法之外，联邦政府还在鼓励行业将PQC标准应用到产品和服务中。

10月23日，在武装部队通信和电子协会（AFCEA）印太科技网络会议上，美行业专家探讨了如何与美国防部及情报机构合作，利用零信任策略满足美印太司令部及其合作伙伴的信息共享需求。戴尔技术公司首席技术官兼零堡垒项目负责人赫布·凯尔西（Herb Kelsey）表示，人工智能在美国防部的零信任架构中扮演着关键角色，能够加速决策过程，并帮助识别网络威胁的根本原因。目前面临的主要挑战是明确何时需要人工介入及何时让人工智能自主运行。凯尔西还指出，当前的政策和流程制定滞后于技术发展，这阻碍了人工智能在零信任环境中的全面应用。

10月21日，美软件公司Salesforce宣布推出其政府云的新版本——Government Cloud Premium。该产品托管在亚马逊云平台（AWS）的绝密云上，现已面向美国家安全机构和情报组织推出，并获得绝密授权。Salesforce表示，这一云环境采用应用程序编程接口优先架构创建，可以利用其他数据和系统（包括专有人工智能应用程序）来推进任务。新的云产品允许情报界快速构建和配置用户友好的云应用程序，无需代码和低代码，并且可以根据具体操作进行修改。该公司还表示，Government Cloud Premium建立在其零信任模型之上，可帮助机构保护其数据免受威胁。此外，Salesforce还提供其他符合美联邦风险和授权管理计划（FedRAMP）高安全标准云环境由联邦机构使用。

10月21日，美特别检察官办公室（OSC）发布了一项新政策，旨在指导内部人工智能的管理与使用。该政策包括一份人工智能清单和审查流程，以确保新工具的安全采用。特别顾问汉普顿·德林格强调，OSC将确保联邦劳动的公平性、透明度与责任感。政策设立了首席人工智能官职位，监督机构在人工智能领域的实践，并成立工作组以识别和修正非法使用人工智能的行为。为增强公众信任，OSC将保存人工智能清单供机构审查，并推出相关网站提供透明的信息。该政策还承认人工智能将在政府项目中产生影响，帮助提升OSC的能力与效率，确保在影响基本权利与安全时以税收和透明的方式进行。

10月22日，美空军宣布已任命苏珊·达文波特（Susan Davenport）担任其首席数据和人工智能负责人（CDAO）。达文波特负责确保该部门在2025年实现人工智能预备状态，并在2027年确保人工智能具备竞争力，并促进人工智能和相关技术的道德使用。她还将负责开发和实施企业数据管理、分析和数字化转型战略，以改善空军的各项性能。

10月23日，美IBM公司推出Guardium数据安全中心。该平台集成了多个全新IBM安全软件包，整合了人工智能和量子安全技术，旨在保护数据在整个生命周期中的安全，以应对混合云、人工智能和量子计算带来的新兴风险。该平台为客户提供了组织数据资产的通用视图，使安全团队能够整合工作流程，并在单个仪表板中同时处理数据监控和治理、数据检测和响应、数据和人工智能安全态势管理以及密码学和密钥管理。IBM Guardium数据安全中心还包含生成式人工智能功能，可帮助生成风险摘要并提高安全专业人员的工作效率。

10月18日，美Meta公司发布了系列创新的人工智能模型。其中包括名为“Self-Taught Evaluator”（自学评估器）的人工智能模型，可用于检测大语言模型的准确性。该模型完全依靠人工智能自主生成的数据进行训练，彻底摒弃了传统的人工数据输入方式。该模型采用先进的思维链技术，可将复杂问题分解为更小的逻辑步骤，提高解决问题的精确性。此外，Meta还发布了其他多项人工智能工具，包括对公司图像识别模型Segment Anything的更新、一种能够显著加快大语言模型（LLM）响应生成速度的工具，以及一个可用于探索新型无机材料的数据集。

10月25日，美苹果公司宣布将向所有安全和隐私研究人员开放其私有云计算（PCC）资源，以供独立验证其安全性和隐私声明，并宣布一项高达100万美元的赏金计划，鼓励安全研究人员发现其新的私有人工智能云服务中的漏洞。这项赏金计划是人工智能系统安全领域最大的赏金计划之一，旨在发现数据泄露、未经授权的访问等漏洞。苹果公司还发布了关键安全组件的源代码，并提供了一个虚拟研究环境，以便研究人员测试和验证系统的安全性和隐私保护措施。苹果的私有云计算服务将于下周推出，为苹果设备处理密集的人工智能任务，同时维持设备级的安全标准。

《中国信息安全》杂志倾力推荐

“企业成长计划”