全球视野 | 国际网安快讯（第51期）

第51期

2月28日，法国拟通过新法律，要求加密消息应用程序安装后门以便执法部门访问，并限制通过VPN访问互联网资源。该法案已获参议院通过，正在提交国民议会审议。根据法案，加密通信服务需在72小时内提供嫌疑人的解密信息，违者将面临高额罚款。Tuta和VPN信任倡议（VTI）对此强烈反对，认为此举将削弱加密安全性，侵犯用户隐私，并可能被网络犯罪分子利用。此外，法国还考虑要求VPN服务屏蔽盗版网站，VTI批评该条款可能导致过度审查并侵犯用户权利。类似举措在英国和瑞典也有讨论，引发了对加密和隐私保护的广泛争议。

2月25日，美国防部长皮特·赫格塞斯（Pete Hegseth）在一份备忘录草案中提出，五角大楼将采用“软件采购途径”（SWP）作为软件开发的首选方法，旨在通过私营部门的最佳实践加速技术部署。SWP允许在六个月内甚至更短时间内将功能部署到平台，目标是进一步缩短至几小时或几天。备忘录还要求使用商业解决方案招标和其他交易协议（OTA）作为默认采购渠道，以加快与商业科技公司的合作。赫格塞斯强调，国防部需从以硬件为中心的采购模式转向以软件为中心的采购模式。此外，备忘录还要求负责采购和维持的副部长与国防创新部门（DIU）主任在30天内提交实施计划，进一步推动采购改革。此举可能预示着五角大楼将加强与商业科技公司的合作，特别是在软件、自主系统和电子战领域。

2月24日，欧盟委员会公布了一项网络安全蓝图提案，旨在加强对大规模网络事件的响应能力，提升欧盟网络危机协调效率。该蓝图明确了欧盟各相关参与者在网络危机生命周期中的角色定位，并提出了加强民事和军事实体（包括北约）合作的具体措施。蓝图以现有框架为基础，与关键基础设施蓝图和欧盟电力行业网络安全网络守则保持一致，同时推动了安全通信和打击虚假信息的战略部署。蓝图建议成员国和相关实体深化合作，建立自愿合作集群，制定通用网络危机管理分类法，并组织持续的网络演习。此外，为确保危机期间服务的可靠性，成员国需改进域名系统（DNS）解析策略。欧盟还计划与北约建立协调点，以便在网络危机期间交换信息，并通过联合演习测试民事和军事部门的合作能力。

2月22日，多国正通过设立“数据大使馆”来保护其公民的数据安全。这些国家将关键数据托管在其他国家的数据中心，同时保留对数据的法律管辖权。例如，爱沙尼亚和摩纳哥已分别于2017年和2021年与卢森堡签署协议，将数据存储在“不可侵犯”的数据中心。印度也在与新加坡和阿联酋等国谈判，计划在其特别经济区的设施中托管这些国家的数据。数据大使馆的目标是为关键数据提供冗余，从而防止网络攻击或自然灾害导致数据丢失。然而，这种做法也面临诸多挑战，包括高昂的成本、复杂的法律框架以及地缘政治变化带来的风险。专家建议，建立全球数据大使馆网络可能是更有效的解决方案，以应对不断变化的地缘政治和技术环境。此外，数据的安全传输和存储也需要严格的安全控制和加密措施。

2月25日，白宫就拟议的新“人工智能行动计划”公开征求意见。美国家科学基金会网络和信息技术研究与开发（NITRD）国家协调办公室（NCO）代表白宫科技政策办公室（OSTP）公开寻求关于新“人工智能行动计划”应包含的最高优先级政策行动的意见，答复主题包括但不限于：硬件和芯片、数据中心、能源消耗和效率、模型开发、开源开发、应用和使用、AI模型输出的可解释性和保证、网络安全、整个AI系统开发和部署生命周期的数据隐私和安全、风险评估、监管和治理、技术和安全标准、国家安全和国防、研究和开发、教育和劳动力、创新和竞争、知识产权、采购、国际合作和出口管制。据悉，美总统特朗普1月23日发布一项关于人工智能的行政命令，该命令指示制定“人工智能行动计划”，旨在维持和加强美国在全球人工智能领域的主导地位。

2月25日，韩国防部将在韩美“2025自由之盾”联合演习中测试其生成式国防人工智能（GeDAI）处理战场数据的能力，以验证该系统在战时任务的可行性。GeDAI已应用于国防动员、海军陆战队教学和行政支援等10余项场景。演习期间，该技术将用于分析战场情报和优化指挥控制方案。这标志着韩国在“AI科技强军”战略下取得重要进展，其国防革新4.0发展蓝图正稳步推进智能化转型。据悉，本次演习还将收集战场数据，训练GeDAI快速准确进行战场态势感知并做出指挥决策，以提高战时效率。

2月27日，阿联酋国家安全顾问谢赫·塔赫农·本·扎耶德·阿勒纳哈扬（Sheikh Tahnoon bin Zayed Al Nahyan）正在致力于推动阿布扎比成为全球人工智能中心。塔赫农管理着两支总价值约1.4万亿美元的主权财富基金，并计划通过巨额投资推动人工智能发展。其中，MGX基金将获得超过500亿美元的投资，用于支持人工智能和基础设施建设。他控制的Group 42公司也投入了数十亿美元用于相关领域。塔赫农的投资吸引了苹果、微软和贝莱德等全球科技巨头的关注，并且他还与埃隆·马斯克（Elon Musk）和马克·扎克伯格（Mark Elliot Zuckerberg）等科技领袖会面。

2月26日，美国空军部（DAF）推出企业服务台（ESD），这是一种人工智能驱动的企业IT即服务（EITaaS）平台，旨在为美国空军和太空部队提供IT支持。作为虚拟代理，ESD可处理飞行员和保障人员的技术问题，提供即时援助，简化流程，减少停机时间，从而使军事人员能够专注于重要任务。该系统自2018年开始研发，并于2024年扩展应用，截至今年1月，已有82%的部门已使用该系统。DAF计划在2025年底前将ESD推广至所有空天部队基地，以提升整体效率和IT支持的响应速度。

2月25日，英国工党政府推迟了原定于2024年12月发布的人工智能法案草案，预计将在2025年夏季推出。这一决定源于部分议员担心过早的监管可能抑制英国AI的发展，影响与美国的关系，并降低对AI企业的吸引力。尽管如此，英国政府仍承诺推进相关立法，并计划通过公众咨询来完善提案，以确保其在未来快速发展的技术中保持有效。英国目前采取分散式AI治理方式，依赖现有数据、消费者保护和产品安全法规来保护公众利益。

美国防部计划在2025年内统一全军的身份验证和访问工具，以深化零信任架构的部署。目前，美军各军种使用不同的工具访问网络和系统，国防信息系统局（DISA）正推动将这些工具整合为统一的解决方案。DISA网络项目执行官赖恩·赫尔曼（Brian Hermann）表示，统一身份验证和访问管理是零信任战略的关键，预计在本财年结束前完成所有军种的联合身份认证工作。陆军的试点项目将于3月底完成，随后是海军和空军，预计10月前全面完成部署。此外，DISA正使用国家安全局的工具，通过“基于属性的访问控制”精确管理访问权限，确保用户和设备符合安全要求。这一举措将提升国防部的网络安全能力，并为与盟友和伙伴的合作奠定基础。

2月26日，美国土安全部（DHS）科学技术局发布了一份名为《支持关键基础设施的弹性定位、导航和授时最佳实践》的指南，旨在提升关键基础设施的PNT（定位、导航和授时）服务恢复能力。PNT技术在国防、交通、测绘等多个领域至关重要。这份47页的指南涵盖了通信网络、金融系统、应急响应等关键领域，提出了组织政策、技术解决方案和部署建议，强调了全球定位系统和全球导航卫星系统的最佳实践，并提供了固定计时和移动平台的用例。科学技术局代理副部长朱莉·布鲁尔（Julie Brewer）表示，这是促进PNT恢复能力的重要里程碑。DHS致力于帮助组织负责任地部署PNT，管理风险并抵御威胁。此外，交通部也在推进PNT弹性相关工作，并于7月与9家公司签订合同，进行实地测试。

2月27日，亚马逊网络服务（AWS）推出首款量子计算芯片“Ocelot”，该芯片是与加州理工学院合作开发的。此款芯片采用纠错架构，使用超导“猫量子比特”，可减少纠错资源五到十倍，并具有抗噪声和快速纠错能力。AWS的测试显示，其逻辑量子比特能有效保存信息，有望扩展至更强大的计算机。但目前Ocelot仍处实验室阶段，尚需进一步完善。与此同时，微软也推出了利用Majorana粒子的量子芯片。量子计算行业正快速发展，材料科学、光子学和基础设施等是当前研究的关键挑战。

2月28日，美国防部长皮特·赫格塞斯（Pete Hegseth）下令网络司令部（USCYBERCOM）停止所有针对俄罗斯的网络计划，包括攻击性数字行动。该指令已传达至网络司令部司令蒂莫西·霍（Timothy Haugh）以及作战主管瑞安·赫里特奇（Ryan Heritage），要求相关实体暂缓行动，其中可能涉及美国空军第16航空队。目前尚不清楚该指令的持续时间，但网络司令部已着手编制风险评估报告，梳理因指令停止的行动及俄罗斯潜在威胁。此举被外界视为美国在俄乌冲突后努力恢复与俄罗斯关系的表现。

2月24日，澳大利亚政府以担心外国干涉、间谍和破坏为由，禁止政府官员使用俄罗斯卡巴斯基实验室的网络安全软件。根据新指令，政府机构必须在4月前删除所有卡巴斯基产品，且禁止在官方系统和设备上安装其服务。内政部部长斯蒂芬妮·福斯特(Stephanie Foster)表示，卡巴斯基产品对澳大利亚政府、网络和数据构成了“不可接受的安全风险”，并警告其数据收集行为可能受外国政府非法指令的影响。澳大利亚是五眼情报联盟中最新一个限制卡巴斯基软件的国家，此前美国、英国和加拿大已采取类似措施。卡巴斯基对禁令表示失望，称其基于地缘政治而非技术评估，并愿意与澳大利亚政府合作解决问题。

2月25日，据OpenAI网络安全报告显示，朝鲜黑客组织利用ChatGPT开展网络攻击和侦察活动，导致多个相关账户被封禁。这些账户与朝鲜黑客组织VELVET CHOLLIMA和STARDUST CHOLLIMA的策略相似，主要聚焦于加密货币领域，同时利用ChatGPT编写和调试恶意软件、开发网络钓鱼工具、生成混淆代码，并寻找应用程序漏洞。报告还发现，黑客通过ChatGPT完成信息技术专家就业计划中的工作任务，以此隐藏真实身份。此外，报告中提及的恶意二进制文件与macOS攻击相关，该文件已被上传至在线扫描服务，供安全社区参考。

2月27日，IBM与美国际开发署（USAID）签订的9500万美元的网络安全合同被取消。该合同旨在加强欧洲和欧亚盟国的网络安全，包括在阿尔巴尼亚、摩尔多瓦、阿塞拜疆和科索沃等地建立安全运营中心、培训人员及加强基础设施防御。然而，由于特朗普政府下令削减USAID项目，此合同被迫中止。IBM确认合同已终止，但未透露更多细节，其海外人员去留不明。此次削减涉及近5800份多年期合同，总金额达540亿美元，占总体削减的92%。此外，国务院对外援助拨款也被削减近30%，约44亿美元。

2月27日，美国防部（DoD）已正式从概念阶段进入执行阶段，推进其联合全域指挥与控制（CJADC2）系统。CJADC2旨在通过整合陆、海、空、天和网络等作战领域的传感器网络，为指挥官提供信息和决策优势，从而增强联合和联盟作战能力。海军项目执行办公室（PEO）数字与企业服务技术总监贾斯汀·法内利（Justin Fanelli）表示，目前CJADC2已迈出关键一步，未来将更多地采用商业解决方案。然而，项目仍面临诸多挑战，包括处理庞大的技术债务、整合现有系统以及优化数据管理。Fanelli强调，需引入最佳商业解决方案，逐步淘汰遗留系统。此外，国防信息系统局（DISA）技术总监克里斯托弗·雷丁（Christopher Redding）表示，数据管理是CJADC2成功的关键，需确保数据标准化，以便为人工智能和自动化应用提供支持。

《中国信息安全》杂志倾力推荐

“企业成长计划”