2024年第8期《网络安全国际动态》

2024年8月21日，美国国家安全局（NSA）与澳大利亚网络安全中心（ACSC）联合发布了《事件记录和威胁检测的最佳实践》（Best Practices for Event Logging and Threat Detection）网络安全信息表，旨在为云服务、企业网络、移动设备和运营技术（OT）网络中的事件记录和威胁检测提供综合性最佳实践。
该网络安全信息表提出了组织记录的最佳实践应具备的四个关键因素：

（1）制定企业级的事件记录政策；

（2）集中控制记录访问和数据关联；

（3）确保事件记录的安全存储和记录完整性；

（4）制定有效的威胁检测策略。

NSA与ACSC希望通过这一文件，帮助组织提升其网络安全防御能力，并应对日益严峻的网络威胁。

2024年8月6日，美国网络安全与基础设施安全局（CISA）和美国联邦调查局（FBI）发布了《按需安全指南：软件用户如何推动形成安全的技术生态系统》（Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem），旨在帮助购买软件的组织更好地了解其软件制造商的网络安全方法，并确保安全设计是其核心考虑因素之一。

该指南供任何软件用户在与第三方经销商或服务提供商进行采购时使用，指南中的建议包括获取制造商的软件物料清单（其中列出了第三方软件组件）、确定他们消除其产品中漏洞类别的路线图，以及公开可用的漏洞披露策略。该指南为组织提供了购买软件时要询问的问题清单、将产品安全集成到采购生命周期各个阶段的注意事项，以及根据安全设计原则评估产品安全成熟度的资源。根据威胁态势，该指南提供了分类的行动集，如果用户操作正确，可通过行动集确定软件制造商正在采取行动，减少可利用的缺陷和错误配置，为用户提供更安全的产品。

2024年8月7日，美国联邦通信委员会（FCC）首次提出人工智能（AI）生成的自动来电和文本规则，旨在保护消费者免受滥用AI生成的自动来电骚扰，以及为AI的积极用途（如帮助残障人士使用电话网络）扫清障碍。

该规则定义了AI生成的自动来电，并要求呼叫者向接收方披露其收到的电话和短信是由AI生成，使接到自动来电的消费者能够识别和避免那些包含欺诈和其他诈骗风险的电话或短信。此外，该规则为残障人士提供保护措施，以确保残障人士能够在不受到《电话消费者保护法》（Telephone Consumer Protection Act liability）保护的情况下使用电话网络的AI。

2024年8月1日，欧委会《欧洲人工智能法案》（European Artificial Intelligence Act）生效。该法案旨在促进欧盟开发和部署可信的人工智能，保障公民的基本权益。

该法案根据欧盟的产品安全和基于风险的方法，引入前瞻性的人工智能定义：

最小风险：多数如推荐系统和垃圾邮件过滤器等人工智能系统，对公民权利和安全的风险极小，因此不需要承担该法案的义务；

特定的透明度风险：聊天机器人等人工智能系统，必须明确告知用户，并标注人工智能生成的内容；

高风险：被认定为高风险的人工智能系统包括用于招聘、评估用户是否有权获得贷款或是运行自主机器人等。此类系统须遵守严格的要求，包括风险缓解系统、高质量的数据集、活动日志等；

不可接受的风险：明显威胁公民基本权利的人工智能系统，包括操纵人类行为以规避用户自由意志的系统或应用、使用语音辅助鼓励未成年人危险行为的玩具、允许政府或企业进行“社会评分”的系统等，应被禁止使用。

欧委会正同步制定实施《人工智能法》的指南，同时推动相关标准和实践准则等共同监管工具的制定。

2024年8月9日，欧盟网络安全局（ENISA）发布了一则向成员国提供网络安全服务的招标信息。

2022年，欧委会为ENISA提供1500万欧元，用于支撑建立和实施网络安全的行动，为成员国提供网络安全服务以增强其准备和响应能力。2023年试点项目成功实施后，数字欧洲计划（DEP）直至2026年都将为该行动持续提供资金。此次发布的“支持ENISA为欧盟成员国提供网络安全服务”的招标，旨在支持ENISA实施网络安全支持行动方案和提供相关服务。

ENISA此次招标旨在寻找具有网络安全领域专业知识的经济运营商，预计合同价值总计2830万欧元，且招标对象限于欧盟成员国。

2024年8月2日，英国国家网络安全中心（NCSC）正在评估其现有的主动网络防御（ACD）服务，计划通过新的交付模式和合作伙伴关系推出下一代ACD服务2.0。这些服务自2017年推出以来，旨在通过多种工具和服务减轻网络攻击带来的危害。随着网络威胁的不断演变以及客户需求的变化，NCSC正在重新审视其在网络防御中的独特作用。

ACD服务2.0的核心原则之一，是NCSC在市场无法满足需求时提供解决方案，并将在未来三年内逐步将大部分新服务移交给其他政府部门或私营部门运营。NCSC希望通过与行业和学术界的合作，进一步增强网络韧性。现阶段的重点是攻击面管理套件，包括Web Check、Mail Check和Early Warning等工具。NCSC鼓励行业合作伙伴提出相关产品或想法，通过实验与NCSC共同开发增强外部韧性的解决方案。

2024年8月13日，NIST发布三项后量子密码标准，并获得美国商务部长批准作为联邦信息处理标准（FIPS）。

这三项标准分别是NIST FIPS 203《基于模块格密钥封装机制标准》（Module-Lattice-Based Key Encapsulation Mechanism Standard）、NIST FIPS 204《基于模块格数字签名标准》（Module-Lattice-Based Digitial Signature Standard）和NIST FIPS 205《基于无状态哈希数字签名标准》（Stateless Hash-Based Digital Signature Standard）。这些标准规定了密钥建立和数字签名方案，旨在抵御未来量子计算机的攻击，保障当前标准的安全性。三个算法均来自NIST后量子密码标准化项目的成果。

NIST FIPS 203规定了一种基于模块格密钥封装机制的密钥建立方案，可为在公共通道中通信双方建立共享密钥。目前NIST批准的密钥建立方案在NIST特别出版物NIST SP 800-56A《关于使用离散对数加密技术的成对密钥建立方案的建议》（Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm-Based Cryptography）和NIST SP 800-56B《关于使用整数因数分解加密技术的成对密钥建立方案的建议》（Recommendation for Pair-Wise Key-Establishment Schemes Using Integer Factorization Cryptography）中都有规定。

NIST FIPS 204和NIST FIPS 205规定了数字签名方案，用于检测未经授权的数据修改并验证签名者的身份。目前NIST批准的数字签名方案在NIST FIPS 186-5《数字签名标准》（Digital Signature Standard）和NIST SP 800-208《基于状态散列的签名方案建议》（Recommendation for Stateful Hash-Based Signature Schemes）中有具体规定。

2024年8月14日，NIST发布内部报告NIST IR 8532《增强供应链设备和组件安全性研讨会总结》（Workshop on Enhancing Security of Devices and Components Across the Supply Chain）的初版草案，面向公众征求意见。

NIST IR 8532总结了近期关于半导体安全研讨会的内容。参会者讨论了半导体整个生命周期中现有的和新兴的网络安全威胁及应对技术。研讨会获得了产业界、学术界和政府部门的反馈，为NIST制定网络安全和供应链标准、指南和实践建议提供了参考。讨论重点聚焦于半导体开发，强调利用网络安全测量指标的参考数据集，促进半导体组件的测试、证明、认证、验证和确认。该报告还强调了在整个开发生命周期中，通过使用自动化网络安全工具和技术来确保安全。

2024年8月15日，NIST国家网络安全卓越中心（NCCoE）推出《应用5G网络安全和隐私能力》（Applying 5G Cybersecurity and Privacy Capabilities）白皮书系列，面向公众征求意见。

该系列旨在为商业移动网络运营商、潜在私人5G网络运营商以及组织中5G技术、网络安全和隐私的使用者和管理者提供实践建议。目前已发布该系列的前两篇论文，第一篇《应用5G网络安全和隐私能力：白皮书系列介绍》，描述了该系列的各个部分，以及在5G系统或其支持的基础设施中，特定技术的网络安全或隐私支持能力的信息、指南、实践建议和研究成果。第二篇《使用订阅隐藏标识符（SUCI）保护用户标识符》，介绍了启用SUCI保护的情况，这是5G一项新的可选功能，可为用户提供重要的安全和隐私保护。该篇论文鼓励5G网络运营商在其网络和用户SIM卡上启用SUCI，并将SUCI配置为使用非空加密方案，旨在保护用户隐私。

2024年8月21日，NIST发布特别出版物NIST SP 800 - 63《数字身份指南》（Digital Identity Guidelines）第四卷的第二版修订，面向公众征求意见。

NIST SP 800 - 63旨在满足可靠、公平、安全且保护隐私的数字身份解决方案的需求。该文件进行了重大修订，重点考虑到数字领域发生的变化及网络风险的现实影响，涵盖了满足数字身份管理保障级别的流程和技术要求，包括安全和隐私方面的要求，以及对促进数字身份解决方案和技术的公平性和可用性的考量。

此版本根据初版征集意见进行了改进，支持NIST提供基础风险管理流程和要求，为构建安全、私有、公平和可访问的身份管理系统这一目标提供支撑。SP 800 - 63其他卷也基于此次征集意见进行了更改，包括更新风险管理的文本和背景设置、添加推荐的持续评估指标、扩展欺诈要求和建议、重构身份验证控制、集成可同步的身份验证器、在联合模型中添加用户控制的钱包等。

2024年8月14日，英国国家网络安全中心（NCSC）针对NIST发布的三种后量子密码（PQC）算法标准，更新了其PQC白皮书。

本次更新，NCSC规划了支持全国向PQC迁移的多项措施，旨在在监管支持、中央政府协助以及帮助组织获取良好建议方面发挥重要作用。NCSC将与监管机构、政府部门以及专业公司合作，制定行业指导方针、提供定制咨询服务，并推动广泛的迁移规划。尽管对于复杂的行业来说，PQC迁移需要多年完成，NCSC仍强调了当前规划的重要性，建议大型组织立即着手为未来的迁移需求做准备。

《增强美国在标准制定中参与度及领导力的建议》解析

2024年6月，美国国家安全局（NSA）和美国网络安全与基础设施安全局（CISA）联合发布了《增强美国在标准制定中参与度及领导力的建议》（《Recommendations for Increasing U.S. Participation and Leadership in Standards Development》）。该文件详述了一系列举措，包括将美国打造为标准化会议的首选场所、尽早参与新兴技术标准的制定过程、培养更多精通标准的人才，以及与学术界携手培育未来标准发展领域的专家等。该文件旨在帮助美国在全球标准制定中占据更有利的地位，并为利益相关方实施标准制定策略提供参考和指导。

一、背景介绍

2022年，美国《2022年芯片和科学法案》（The CHIPS and Science ACT of 2022）的通过，明确了NIST召集、领导和协调美国各相关方参与国际标准制定的角色。《美国公共法》117-167，第10254条，也为NIST引领创新和前沿的科学研究，并为能将其转化为国际预研标准绘制了蓝图。

2023年5月，美国政府发布了《美国国家关键和新兴技术标准战略》（United States Government’s National Standards Strategy for Critical and Emerging Technology，USG NSSCET），旨在加强美国在保护消费者方面的能力，提升其在国际标准制定中的领导地位和竞争力。

为支持该战略的有效实施，2023年秋NIST在《美国联邦公报》上发布了信息请求（RFI），面向公众征求意见，以确定如何更好地实施USG NSSCET、加强与相关方的合作、消除参与国际标准制定的阻碍，并强调美国政府对开放、基于共识且由私营部门主导的国际标准体系的支持。在RFI征集期间，NIST组织了一系列关于USG NSSCET的听证会和相关方活动，将收集到的反馈意见作为制定实施路线图的指导依据。

基于反馈，美国政府各部门和NIST协同合作，制定了USG NSSCET实施路线图的草案，旨在加大对CET预标准化开发活动的投入，扩大CET标准的参与度，并培养精通CET标准的专业人才。

目前对USG NSSCET实施路线图草案的意见征集已结束，NIST将根据收集到的公众意见，对USG NSSCET实施路线图进行进一步修订与完善。

二、主要内容

《增强美国在标准制定中参与度及领导力的建议》主要介绍提升美国在标准制定中的参与度及领导力的一系列建议，包含以下四个方面：将美国打造为标准化会议的首选场所、尽早参与新兴技术标准的制定过程、培养更多精通标准的人才，以及与学术界携手培育未来标准发展领域的专家。

（一）将美国打造为标准化会议的首选场所

该文件指出，美国举办标准化会议能为美国标准专家提供拓展人脉和参与重要讨论的机会。面对面交流也使美国专家得以更好地展示自己的成果，进而推动其贡献获得认可。对于期望在国际SDO中担任领导职务的美国专家而言，亲自出席会议尤为重要，因为参会者往往倾向于选择他们所熟悉的候选人。此外，在美国举办标准化会议，还能够降低本国参会者的参会成本，并为他们提供宝贵的标准制定经验，特别是在关键和新兴技术（CET）标准的制定方面。

近年来，在美国举办的标准化会议数量逐渐减少。许多SDO基于成员的建议，倾向于选择避开在美国境内召开会议，原因是会议保障方面的挑战和压力较大。

鉴于标准化会议能够吸引全球范围内的参与者，因此会议地点的选择必须考虑到航班的充足性以及交通的便捷性。美国拥有多个具备国际机场的城市，这些城市能够满足举办大型标准化会议的需求，并且在交通和住宿方面也能提供多样化的选择，以适应不同预算的参会者。此外，国际标准会议的举办场所需要能够容纳众多人员，并支持远程线上参与。因此，必须确保有可靠的互联网接入、充足的电力供应以及为SDO内部工作组提供的分组讨论室。同时，还需考虑提供翻译服务和残疾人便利设施。

为了推动在美国举办更多会议，该文件重点考虑如何激励美国产业界和其他利益相关方提供资金支持，并吸引更多有能力为标准制定作出贡献的专业人士。

具体建议包括：

1. 对政府的建议

政府可将标准制定活动及在美国举办的会议定位为对国家和经济安全至关重要的活动。政府考虑分配获批资源，为在美国境内举办标准化会议提供支撑。此外，政府应构建和维护一个稳定且可预测的监管和政策环境，以欢迎外国参与者参加标准相关的会议。具体而言，政府应对外国参与者可能面临的签证挑战有准确认知并提供解决方案，缓解签证申请积压问题，并协助会议组织者了解签证申请流程，尽可能确保签证申请成功。

2. 对私营部门利益相关方的建议

私营部门的利益相关方为标准化会议尽可能提供支持。通过提供场地设施或其他物质支持，助力在美国举办的标准化会议取得成功。除了实物支持，还可以在标准化会议期间赞助如社交酒会、午餐或晚宴等活动，为产业界、学术界及个人参会者创造有价值的交流机会。此外，也可以通过资金捐赠来支持在美国举办的标准化会议。

（二）尽早参与新兴技术标准的制定过程

该文件指出，美国政府及产业界尽早参与CET标准化进程能为美国争取更多利益。参与标准化工作的初级阶段有助于美国企业在新兴市场中取得竞争优势，并提升美国的国际影响力。同时，参与标准的初期制定过程为监管机构提供了机会，国际和各国监管机构可以据此制定出相应的规则和政策。此外，参与标准的初期制定过程亦有助于降低贸易壁垒，促进新技术的普及。

具体建议包括：

1. 对个人的建议

个人可以参与标准相关的研究与开发活动。通过了解该技术，以及其在更生态系统中的位置，为向实施和标准化过渡做好准备。

参与推动新兴技术发展的开源社区也是一个有效途径。个人还可以加入与其技术相关的研究小组和兴趣社区，特别是那些与SDO相关的小组，了解未来标准需要解决的问题。这些小组有助于形成对技术发展方向和标准化路径的共识，为个人提供在这一领域发挥领导力的宝贵机会。

2. 对私营部门利益相关方的建议

私营部门可以使用超出个人能力的资源，为技术的发展确定方向，推动其成为新的标准。该文件强调，标准化是任何技术生命周期发展的一部分。对标准化的重视有助于确保技术研究在成熟之后顺理成章地转化为标准。

此外，私营部门可以在技术开发的初期就将安全问题纳入考量。随着技术功能的逐步确定，确保其安全往往变得更加复杂。因此，在技术仍有灵活性时将安全作为优先事项，不仅可以让技术的使用更加安全，还能帮助标准制定者做出更明智的选择。

3. 对学术界的建议

学术界可以将USG NSSCET及其他共识文件确定的技术作为研究重点，确保研究工作能够为这些技术的标准化奠定基础。同时，学术界可以扩展与CET相关的课程及项目，以培养未来参与技术标准化的人才。此外，学术界可以与产业界及政府部门合作，争取对研究和协调优先事项的支持。NSA的国家学术卓越中心计划等为网络安全领域的研究和课程提供支持，并使获得认证的学术机构受益，以雇用精通标准的专业人才。将标准知识纳入此类认证体系，是将标准化工作提升为国家优先发展事项的关键步骤。

4. 对政府的建议

政府可以在国家安全的关键领域提出要求，并对相应研究提供资金支持，以便学术界和产业界在规划研究路线时将这些要求纳入考量范围。同时，政府可以评估合作研发协议和研究拨款等协议是否已包含对私营部门开放许可权，或能通过谈判加入相应权利，以促进研究成果向标准的转化。网络与信息技术研发计划等项目也应考虑标准化需求。在宏观层面上，政府可以在项目中采用新兴技术，并尽早确定新兴技术的用例，以推动技术的及时应用。

（三）培养更多精通标准的人才

该文件指出，要保持美国在国际标准中的有力参与，政府和产业界必须培养一支精通标准的人才队伍。所谓精通标准，是指了解如何与SDO合作，将其作为更广泛的行业影响力的一部分。为了增强美国在标准化领域的影响力，多个角色都发挥着不可或缺的作用。首先，需要技术专家来确保标准符合技术要求，并具备安全性和有效性。其次，需要标准流程方面的专家参与SDO活动，以确保标准制定过程符合要求。同时，需要参与团队和赞助商来研究新兴技术、规划标准参与活动，并为参加标准会议提供必要资源。

具体建议包括：

1. 对个人的建议

个人在标准制定中的首要任务是了解相关SDO及其指定领域的标准。这包括熟悉SDO工作程序，如会议频率和特定SDO内的标准制定程序。此外，个人还可以通过持续关注、观察和跟踪正在制定的标准草案，保持对特定标准的了解。尽管可以将重点放在与自己技术领域直接相关的标准上，但掌握标准的整体趋势和与自己工作相关的标准，将对后续推动个人标准在各SDO内的制定大有裨益。

个人在参与过程中需了解相关SDO活动和范围与自身所在组织目标的关系。通常各组织都有明确的产品开发和技术研发目标。作为团队成员，应将这些目标与组织在相关SDO中制定的标准目标以及政策和监管要求相协调。

在深入理解SDO活动和目标后，个人可以通过直接参与SDO活动来进一步提升对标准制定的理解。这可能包括直接参加SDO会议或参与其邮件列表的讨论。技术专家可以通过对草案提出意见直接为标准制定做出贡献。此外，个人还可以寻求外部技术参与的机会，如技术演讲、研究出版物、合作项目或开源开发。最后，个人可以在SDO内部担任领导职务，增加其在标准制定中的影响力。

2. 对私营部门利益相关方的建议

私营部门在标准制定中的有效参与，首先需要获得领导层的承诺和相应的资源支持，包括人员配置和财务预算。此外，需制定并实施支持和鼓励标准制定政策，将标准作为技术开发不可或缺的一部分，明确技术发展的优先主题领域，并与相关SDO紧密合作，积极参与标准制定工作。

同时，私营部门可以鼓励并指导新的SDO参与者，通过引入新鲜血液为未来打造一支精通标准的工作队伍做准备。支持员工在SDO中担任领导职务，以提升其在标准社区和市场中的竞争优势。通过设立经费预算，为参与标准的员工提供必要的资源支持。通过赞助SDO活动，私营部门能够扩大其影响力，并确保标准化工作与内部技术紧密结合。

此外，私营部门应提升在整个组织对标准重要性的认识，确保标准化工作成为全体员工的共同目标。提供内部和外部的教育和培训机会，帮助员工在职业生涯的各个阶段有效参与标准工作。通过导师计划和标准培训，培养一支既精通技术又积极参与标准化工作的团队，推动私营部门在全球市场中保持竞争力和技术领先地位。

3. 对SDO的建议

SDO可以在其举办的会议上，为新成员提供培训或指导。培训可以在展会上进行，也可以一次性提供给开发与SDO相关技术产品的公司。SDO还可以提供技术讲座，介绍特定技术及其标准的背景。如果讲座面向更广泛的受众，可以在SDO会议中以分组会议的形式举行，并向未注册会议但有兴趣的相关人员开放，提升讲座的吸引力。

4. 对政府的建议

政府支持与私营部门利益相关方、产业界及学术界参与标准制定工作。明确提出财政支持的优先事项和目标，通过分配拨款和补助金，以鼓励特定技术领域的研发。

5. 对学术界的建议

USG NSSCET指出，学术界应担负起培养下一代标准化专业性人才的重任，并强调标准和标准化的价值、发展和使用的重要性。学术机构也应投资于对CET技术及其标准化感兴趣的学生和教育工作者。

学术界参与标准制定，可以让学生理解标准在自身学习的相关技术发展中的作用。通过与产业界和政府部门合作的实习或暑期工作计划，学生可直接参与标准的制定工作。此类参与不仅能够加深学生对标准的认识，也能为标准制定者带来新的视角。与研究团体的合作，亦可提高美国在支持新兴技术开发及其标准化方面的竞争力。

学术界应设立学生大使计划，以鼓励和引导新生参与标准社区。在此类计划中，可以赞助一名高年级学生担任特定SDO的“大使”。学生大使向该计划的协调员汇报，也可选择向其所在学术机构的教师汇报。该计划为学生提供会员资格和差旅资金支持，使他们能够参与SDO会议，并亲身参与标准制定过程。SDO的导师将在整个过程中为学生提供指导。计划结束时，学生有机会举办研讨会，分享他们在标准方面的经验和见解。此外，该计划还可以举办年度峰会，让学生们相互认识，并与其他具有标准经验的学生及标准专业人员建立联系。

院校也可以在校园内举办SDO会议。校园通常拥有举办SDO会议所需的空间和设施，交通便利，并具备线上参会的技术条件。学术机构可以与SDO合作，允许学生在学校园举办活动期间免费参加标准化会议。参与这些活动将使学生能够在较低的教育成本下参加标准课程。其他的活动如黑客马拉松也可以在同一地点举行，让学生参与到SDO的技术工作中。

（四）与学术界携手培育未来标准发展领域的专家

美国政府和美国国家标准协会（ANSI）的标准战略都强调了保持参与标准化进程的重要性，并支持培养一支具备高水平教育背景和技术能力的专业人才队伍。为了确保相关专业的学生能够在未来成为标准领域的专家，政府、产业界与学术机构之间建立坚实的合作伙伴关系至关重要。然而部分高校尚未认识到标准制定对于学生发展的益处。缺乏明确的学术支持，学生就不可能参与标准制定。因此，学术界参与标准化活动必须建立在与学生及教育机构之间稳固关系的基础之上。政府、产业界与学术界应共同努力，与专业院校、技术及贸易学校建立联系。

具体建议包括：

1. 对政府的建议

政府应将标准指定为美国国家和经济安全的优先事项。政府可借助与学术机构的联系，鼓励学生参与标准制定过程。联邦实验室和学术机构之间的合作研发协议可用于标准制定活动和研究。NSA的国家学术卓越中心计划指定了在网络防御、研究和运营方面的主要学术机构。获得这些指定的学校有资格竞争国防部的拨款。此类与教育机构的合作关系可被有效利用于标准制定的参与活动。

2. 对私营部门利益相关方的建议

私营部门可以鼓励学术界参与标准制定，使学生认识到标准在自身学习的相关技术发展中的作用。私营部门可以在科学、技术、工程和数学领域的学术会议上发言，从而促进学生与外界的交流与合作。政府和产业界可以与这些私营部门合作，共同拟定谈话要点，以宣传标准工作对学生个人、教师、机构和技术发展的积极影响。

3. 对SDO的建议

SDO可以为学生和就业人员提供教育和培训机会，包括ANSI的标准教育和培训计划。标准专业人员协会提供认证，承认标准领域的专家在标准、共识标准制定和相关SDO管理的不同领域表现出高度的专业能力。SDO可以向学术机构提供海报和手册宣传标准的重要性，以吸引和帮助对技术领域感兴趣的学生，提高其对标准的认识。

学术界参与标准制定程度较低的主要原因在于资金短缺，因此可以考虑利用产业界赠款和现有资金提升学术界的参与度。SDO可以允许学生以较低的费用成为特别会员。

SDO也可在标准论坛上发表学生在学术界的工作成果，以激发学生参与标准工作的热情，进一步促使学术机构认识到合作关系的益处。此外，SDO可以支持学生主导的出版物，如技术杂志，以展示学生的研究和标准参与的情况。

三、小结

NSA和CISA发布的《增强美国在标准制定中参与度及领导力的建议》，提供了一系列加强美国在全球标准制定中的参与度和领导力的建议。该文件强调了标准在技术安全、经济竞争力和国家安全中发挥的重要作用，尤其是在量子计算和人工智能等新兴技术背景下，标准制定变得愈加重要。

为此，该文件提出了几个关键建议，包括将美国打造成标准会议的首选场所、推动私营部门在新兴技术标准中的早期参与，以及培养一支理解并参与标准开发的专业队伍。此外，文件还强调了与学术界合作的重要性，以培养未来的标准专家，从而确保长期的标准制定能力。

文件还讨论了开放、透明、基于规则的标准制定过程的重要性，并强调了标准在支持美国国家安全和经济利益中的战略意义。最后，文件强调标准是一项合作性工作，政府、产业界和标准组织都有必要参与其中。（完）

本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司等单位的大力支持，特此致谢。

全国网络安全标准化技术委员会（TC260）秘书处

联系地址：北京市东城区安定门东大街1号（100007）

电  话：010-64102731