国内外最新网络安全发展动态｜第59期

网络安全形势风云变幻，网络空间形态纷繁复杂。随着全球网络安全产业竞争日趋激烈，产业环境进一步恶化，只有正视危机，把控日盛的网络空间安全局势，我国网络安全产业方能在错综复杂的博弈中占据主动，在危机中育新机，于变局中开新局。

杂志社联合三十所信息中心，实时跟踪全球网络安全最新发展动态，俯瞰领域发展新格局，并以战略统筹和产业集聚视角，前瞻的眼光洞察网络安全产业发展脉络和趋势。

国内

最高法发布《关于规范和加强人工智能司法应用的意见》

2022年12月9日，最高人民法院发布《关于规范和加强人工智能司法应用的意见》（以下简称《意见》）。这是人民法院认真学习贯彻党的二十大精神，深入贯彻习近平法治思想，落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《新一代人工智能发展规划》的具体举措，将进一步推动人工智能同司法工作深度融合，全面深化智慧法院建设，创造更高水平的数字正义，推动智慧法治建设迈向更高层次。

安徽省商用密码行业协会正式成立

为进一步贯彻落实《中华人民共和国密码法》，构建商用密码管理部门和从业单位、应用单位之间的桥梁纽带，助推我省商用密码科研、应用和产业化发展，2022年12月9日，安徽省商用密码行业协会在合肥正式成立。

安徽省商用密码行业协会会长、中国科学技术大学研究员、国盾量子董事长彭承志表示，协会将突出安徽区域特色，打造商用密码“产、学、研、用、测、管”全产业链生态体系，助力我省商用密码行业健康、有序、蓬勃发展，推动国产密码技术创新以及在全社会的广泛应用。

工信部：组织开展工业互联网安全深度行活动典型案例和成效突出地区遴选工作

近日，按照《工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知》（工信厅网安函〔2022〕97号）部署，为切实增强工业互联网企业网络安全防护能力，加快提升地方工业互联网安全保障水平，现组织开展2022年工业互联网安全深度行活动（以下简称深度行活动）典型案例和成效突出地区遴选工作。

9项密码行业新标准发布！2023年6月1日开始实施！

近日，国家密码管理局公告（第44号）现发布GM/T 0117-2022《网络身份服务密码应用技术要求》等9项密码行业标准，自2023年6月1日起实施，具体标准编号及名称如下：

GM/T 0117-2022 网络身份服务密码应用技术要求

GM/T 0118-2022 浏览器数字证书应用接口规范

GM/T 0119-2022 PLC控制系统及PLC控制器密码应用技术规范

GM/T 0120-2022 基于云计算的电子签名服务技术实施指南

GM/T 0121-2022 密码卡检测规范

GM/T 0122-2022 区块链密码检测规范

GM/T 0123-2022 时间戳服务器密码检测规范

GM/T 0124-2022 安全间隔与信息交换产品密码检测规范

GM/T 0125.1-2022 JSON Web 密码应用语法规范第1部分：算法标识

GM/T 0125.2-2022 JSON Web 密码应用语法规范第2部分：数字签名

GM/T 0125.3-2022 JSON Web 密码应用语法规范第3部分：数据加密GM/T 0125.4-2022 JSON Web 密码应用语法规范第4部分：密钥

国外

美国防法案重点关注网络安全

12月8日消息，美国会准备就一项 8580 亿美元的年度国防政策法案进行投票，其中包括大幅增加美国网络司令部的支出以及加强国家网络安全防御等其他行动。按照法案，将向网络司令部拨款 4400 万美元，以加强其所谓的“向前狩猎”任务，这是该司令部“持续交战”战略的一部分。网络司令部报告称，狩猎行动将在至少 35 个国家和 50 多个外国网络中展开，包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。此外，该立法还规定在国防部设立助理部长一职，负责网络政策，并指示国防部部长每年向立法者介绍网络司令部和国家安全局如何合作。

美五角大楼宣布授予 JWCC 云合同

12月8日消息，美五角大楼最近宣布将联合作战云能力（JWCC）授予亚马逊、谷歌、微软和甲骨文等公司。这份合同金额为90 亿美元，旨在为国防部提供包括从战略层面到战术边缘的跨所有域和安全级的企业级云计算能力。JWCC是在联合企业防御基础设施（或 JEDI）合同被临时取消后于 2021 年 7 月公布。亚马逊是唯一一家获得安全认证的商业云提供商，它可以托管国防部最敏感的数据；微软获得了绝密认证；甲骨文和谷歌则都获得了IL5认证，它们能够在其云产品中托管国防部最敏感的非机密数据。

朝鲜黑客利用梨泰院悲剧渗透韩国目标

12月8日消息，谷歌威胁分析小组的研究人员透露，臭名昭著的朝鲜黑客组织APT37利用梨泰院人潮悲剧来引诱韩国目标下载恶意文件，该组织在过去十年中一直以朝鲜叛逃者、决策者、记者和人权活动家以及其他韩国人为目标。黑客设计的恶意文件采用了最近发现的 Internet Explorer 零日漏洞CVE-2022-41128，可以在受害者的设备上安装恶意软件，并远程执行代码。研究人员指出，APT37此前曾使用基于浏览器的漏洞来追踪目标，他们希望通过提高对这类攻击者策略和技术的了解，加强对整个网络生态系统的保护。

美国土安全部将于 2023 年举办身份验证技术挑战赛

12月8日消息，美国国土安全部科学技术局发起了一项远程身份验证技术演示挑战赛，该挑战赛的目标是确保提议的解决方案能够抵御使用身份欺骗的复杂网络攻击，并对相关解决方案的整体性能、风险和公平性的问题进行测试。挑战赛将在 2023 年进行，据悉，美运输安全管理局、国土安全调查法医实验室和国家标准与技术研究所等组织将参加。DHS及其合作伙伴将验证身份文件、评估自拍照片并对智能手机和其他设备所拍摄的图像进行身份验证。

美海军陆战队参加“天波贵族”HF通信演习

12月8日消息，美海军陆战队现役和预备役近期参加了加拿大通信和电子部主办的“天波贵族”HF通信演习，该演习旨在比拼HF无线电技术的有效利用能效。HF通信是美军重要的军事通信能力，也可作为美军卫星通信(SATCOM)超视距传输的唯一且有效的可替代技术，有助于美军与盟国联合军事行动的有效开展。本年度的演习吸引了美国所有军事部门现役和预备役的429个军事单位，以及包括加拿大、秘鲁在内的13个伙伴国。美海军陆战队所负责的任务包括建立广播电台、电台编程、通信监控、天线要素设定、长距离语音通信等，有效完成了从堪萨斯城到秘鲁的通信任务，同时有效建立了与加拿大军队的通信通道。

《2023财年国防授权法案》重点考虑如何治理、组织和部署人工智能能力

12月9日消息，美国会发布《2023财年国防授权法案》（NDAA），包括多项条款，这些条款将塑造五角大楼和其他联邦机构在短期内如何治理，组织和部署人工智能能力。最新NDAA至少有135次明确提及人工智能，旨在迅速采用人工智能技术，以及利用人工智能加强网络防御。该NDAA授权额外5000万美元用于在网络司令部开发人工智能系统，并为DARPA增加7500万美元，以执行国家安全委员会关于人工智能的建议。

灰色网络面临性能监控挑战

12月9日消息，北约正在联盟内建立组织，利用人工智能、太空、量子计算和生物技术等关键领域的军民两用技术进行防御。该联盟推出了两个实体，旨在支持致力于新兴和颠覆性技术的初创公司和学术机构：北大西洋国防创新加速器（DIANA）和北约创新基金（NIF）。两者都预计明年启动，北约已经完成了建立加速器和基金的大部分艰巨工作。

美国太空探索技术公司正式发布“星盾”卫星项目

12月9日消息，美国国防信息系统局正在探索一种灰色网络网关基础设施，允许远程工作人员在战区、移动设备和现场办公室利用加密快速访问机密信息。从架构上讲，灰色网络位于内部和外部 VPN 隧道之间，并在加密的分类数据在不受信任的网络中移动时为其提供额外的安全层。作为国家安全局用于加快使用商业技术和机密商业解决方案计划的一部分，2020 年以来，美国一直在试行灰色网络，但实施起来比较难。

苹果为iCloud备份推出端到端加密

12月9日消息，Apple 推出了适用于 iCloud 的高级数据保护功能，作为一项新功能，使用端到端加密来保护敏感的 iCloud 数据，包括备份、照片、便笺等。高级数据保护是苹果最高级别的云数据安全，让用户可以选择通过端到端加密来保护绝大多数最敏感的iCloud数据，以便只能在他们信任的设备上解密。苹果还推出了两项额外的安全功能：iMessage 联系人密钥验证和Apple ID安全密钥。

谷歌、微软、甲骨文等获90亿美元的JWCC企业合同

12月9日消息，美国防部将其备受期待的联合作战云能力 (JWCC) 企业合同授予谷歌、甲骨文、亚马逊网络服务和微软，合同上限为90亿美元。JWCC旨在取代联合企业防御基础设施（JEDI），并作为国防部的企业云功能，由国防信息系统局管理，这对未来的行动和五角大楼的新作战方式至关重要。

法国新创业公司Siquance瞄准商业量子计算

12月9日消息，作为一家初创公司，Siquance的目标是通过开发与标准硅集成电路相同的技术构建量子计算机，成为量子技术的全球领导者。为了实现这一目的，Siquance认为颠覆性技术解决方案对于改造经典晶体管至关重要，通过组装量子比特，创建一种新型计算器来解决目前超出经典计算机范围的众多问题。在现有半导体技术的基础上设计这种量子计算解决方案，为大规模产业化提供了最快的途径。