国内外网络安全十大焦点事件｜10月精选

我国量子计算机成功破解RSA加密算法

10月，上海大学王潮研究团队宣布成功破获目前最泛用的RSA和AES加密算法。研究通过两种模式研究加密法破解路径：第一种是单纯使用D-Wave公司开发的量子处理器，使用量子退火算法攻击全球目前使用最广泛的代换──置换网络（SPN）架构，成功破解了SPN中常用的RSA加密算法和高级加密标准（AES）；另一种途径则是结合数种现有计算机算法，包括Schnorr signature algorithm、平面算法及量子退火，产生出比起单一加密方式更高的计算能力，从而成功突破。

中国网安协会建议对英特尔公司进行

网络安全审查

10月，中国网络空间安全协会发布建议称，应系统性排查美国英特尔公司产品的网络安全风险。该建议指出，近年来英特尔公司的中央处理器（CPU）产品频繁爆出Downfall、Reptar、GhostRace、NativeBHI和Indirector等高危漏洞，其产品质量和安全管理存在重大缺陷；假借远程管理之名，通过基板管理控制器（BMC）等模块监控用户；其管理引擎（ME）暗藏后门，可在用户不知情的情况下绕过防火墙发送和接收数据，甚至存在疑似由美国国家安全局安插的隐藏开关。

欧盟通过《网络弹性法案》以加强联网设备网络安全‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

10月，欧盟理事会正式通过了名为《网络弹性法案》（CRA）的法规。该法案规定，所有含有数字元素的产品，无论是直接还是间接连接到其他设备或网络，都必须遵守欧盟的网络安全要求。此新法案的主要目的是填补现有网络安全立法框架中的空白，使其更加连贯，并确保在整个供应链和生命周期中，含有数字组件的产品（例如物联网（IoT）产品）始终保持安全状态。此外，软件和硬件产品需附带CE标志，以此证明它们符合该法案的各项要求。

澳大利亚出台首部独立网络安全法

10月，澳大利亚政府已向议会提交了首部独立的网络安全法，旨在加强公民与组织在不断恶化的地缘政治及网络威胁环境下的安全防护。此网络安全法案涉及多个方面，其中包括：强制性规定物联网设备需达到最低网络安全标准；要求关键基础设施部门在遭遇如勒索软件攻击等事件时必须上报等。此外，法案提议成立一个网络事件审查委员会，负责对重要网络安全事件进行后续评估。同时，法案设定了“有限使用”原则，明确了向国家网络安全协调员通报的信息使用界限，以及与其他政府部门分享信息的具体规则。

日本关键网站遭受大规模DDoS攻击

10月，日本遭受了一系列大规模分布式拒绝服务（DDoS）攻击，导致包括多数党、主要制造商、商业团体和地方政府在内的十几个网站瘫痪。此次攻击发生在俄罗斯抗议日本与美国联合举行的“利剑25”军事演习后不久，演习定于10月23日至11月1日进行。据报道，山梨县政府网站因来自69个国家的620万次访问而瘫痪近五小时，自民党网站也瘫痪约六小时，其他受影响组织包括日本律师协会联合会、日本工商会等。

美国国家安全局等警告伊朗黑客

对关键基础设施的威胁

10月，美国国家安全局（NSA）与加拿大通信安全局（CSE）、澳大利亚网络安全中心（ACSC）等合作伙伴共同发布了名为《伊朗网络攻击者的暴力破解和凭证访问活动危及关键基础设施组织》的报告，旨在警告关键基础设施的所有者警惕来自伊朗黑客组织的持续恶意攻击行为。报告中提到，自2023年10月以来，伊朗黑客采用“暴力破解”手段侵入用户账户，获取访问权限后，他们会更改多重认证（MFA）的注册信息以维持长期访问。此外，报告强调，伊朗黑客的主要攻击目标集中在医疗保健、政府、信息技术、工程和能源等关键基础设施领域。

美国国防部公布国防承包商最终CMMC规则

10月，美国国防部正式确定了备受瞩目的网络安全成熟度模型认证计划（CMMC）的新规，推出了一种分级的安全体系，旨在简化处理敏感但非机密信息的承包商的合规流程，同时增强对网络威胁的防御能力。根据最新公布的最终规则，评估等级由原先的五个缩减至三个，这将有助于简化中小型企业获得认证的过程。根据近日发布的声明，新规依据承包商所处理信息的敏感程度对其进行分级，每个级别都对应着更加严格的安全要求。此外，新规特别要求达到CMMC二级和三级标准的国防工业承包商必须接受第三方的合规性评估，这一变化标志着从现行的自我评估制度向更高透明度和安全标准的重要过渡。

美陆军网络司令部成立战区信息优势分队

10月，美国陆军网络司令部组建了一个由65人组成的新单位——战区信息优势分队，该分队将致力于应对跨区域威胁，重点关注美军在全球信息空间面临的挑战，并通过权力协调与跨机构合作为作战指挥官提供支援。具体而言，这个团队将从跨区域视角分析美国国防战略中指明的主要对手威胁；参与与对手的日常对抗，为指挥官创造信息效应的机会，同时阻止对手实施信息战；协助指挥官识别针对美国陆军的恶意影响威胁，并可能采取进攻性行动以削弱此类威胁等。

美国国土安全部启动网络安全研发项目CAPC

10月，美国国土安全部（DHS）发起了一个名为“网络分析与平台能力”（CAPC）的研究项目，该项目重点关注四大领域：网络风险评估、恶意软件及软件漏洞的自动化分析、研发差距评估以及云计算遥测分析。CAPC项目汇集了多方面的力量，包括政府机构、学术界和私营部门的合作，参与方有网络安全与基础设施安全局（CISA）、国家核安全局（NNSA）和国家安全局（NSA）。目前，该项目已经启动了两个具体的计划：一个是“车队车辆网络安全研究”，旨在发现车队中的网络安全漏洞；另一个是“执法网络安全培训”，目标是识别并应对急救人员面临的网络威胁。

拜登政府宣布向对手国家

传输敏感数据的新规

10月，拜登政府公布了一项新的拟议规则，旨在管理向伊朗、俄罗斯等对手国家转移敏感数据的行为，并明确敏感个人资料和联邦信息的共享准则。这项规则源自2024年2月发布的一项行政命令，其主要目标在于防止美国的关键数据被外国对手利用来进行网络攻击或监控美国公民。根据新规则，禁止向俄罗斯、伊朗、朝鲜、委内瑞拉和古巴等国传输超出特定门槛的数据量，包括但不限于：一年内超过100名美国公民的基因信息、超过1,000名美国人的位置和生物特征数据、超过10,000名美国公民的健康和财务记录，以及超过100,000名美国公民的个人身份信息。同时，规则还禁止传输现役军事人员或联邦雇员的个人数据。