第4期

热点话题一目了然

Part.1 政策动态

1、美国国防部设立网络政策专门职位

2.欧盟为大型科技公司制定应对选举干扰的规则

3、俄罗斯可能允许“白帽黑客”合法发现漏洞

4、日本与太平洋岛国联合举行首次网络防御演习

Part.2 智能新闻

1. 白宫命令联邦机构和委员会实施人工智能保障措施

2. OMB 发布首个政府范围内的人工智能风险缓解规则

3. NIST人工智能安全研究所专注于AI合成内容和国际合作

4、美国财政部提出金融部门应对人工智能网络安全威胁的建议。

5、CIA采取“爬、走、跑”三步走方式推进生成式人工智能赋能情报工作

6. 微软打造超级计算机为下一代人工智能提供动力

第三部分梯形校正保护

1. CISA发布关键基础设施网络攻击通知新规则草案

2、美国加速推进医疗行业网络安全绩效目标

3、美国国防部颁发《2024年国防工业基础网络安全战略》

4、美国能源部拨款1500万美元建立大学电力网络安全中心

5.英国塞拉菲尔德核电站因网络安全故障被起诉

第四部分网络安全警告

1. CISA和FBI发布安全警报敦促制造商消除SQL注入漏洞

2. NSA敦促云服务提供商通过有效日志记录加强安全性

3.英国NCSC警告黑客正在转向高风险个人的个人账户

4. ENISA警告2030年十大网络安全威胁

5. CISA和红帽联合警告流行Linux工具中嵌入的恶意后门代码

第五部分数据保护

1.英国隐私监管机构更新数据保护罚款指南

2、欧盟对科技巨头是否遵守《数字市场法案》展开全面调查

Part.6 智库声音

1、美国智库分析美军网络部队作战存在问题

2、美国智库敦促美国和欧盟就网络安全标签进行合作

1. 政策动态

01 |美国国防部在网络政策方面设立专门职位

根据2023财年国防授权法案的指示，美国国防部设立了负责网络政策的助理国防部长（ASD）和负责网络政策的助理国防部长办公室（ OASD）3月20日。负责网络政策的助理国防部长是全面监督国防部网络作战政策的高级官员，将负责制定、协调、评估和监督国防部网络空间政策和战略的实施；监督国防部的网络空间运营预算；监督与网络空间人才开发、招聘和保留相关的计划和活动的实施；监督与私营部门等的合作。此外，ASD 还担任首席网络顾问(PCA)，并在此角色中担任国防部长关于军事网络力量和活动的主要顾问。

曾在国防部担任过各种高级职务的阿什利·曼宁（Ashley Manning）将负责该办公室，直到参议院确认的领导人就位。负责政策的代理国防部副部长萨沙·贝克(Sasha Baker) 表示：“通过设立这个办公室，国防部将按照国会的预期对网络给予应有的重视。”

02 |欧盟为大型科技公司制定应对选举干扰的规则

03 |俄罗斯可能允许“白帽黑客”合法发现漏洞

3月25日，俄新社报道称，俄罗斯国家杜马国家建设委员会建议议会一读通过一项旨在使俄罗斯“白帽黑客”活动合法化的法案。该法案规定，计算机程序或数据库副本的合法所有者可以通过研究、研究或测试程序的功能来识别程序漏洞并修复它们。同时，“白帽”黑客有义务在发现漏洞后五个工作日内将发现的漏洞通知版权所有者。该法案还指出，该程序将允许以任何形式进行漏洞分析，而无需获得相关程序（包括基础设施和借用组件的版权所有者）的许可。

04 |日本与太平洋岛国联合举行首次网络防御演习

3月27日，日本总务省宣布，日本与帕劳、瑙鲁等五个太平洋岛国联合举行首次网络防御演习，以加强本地区网络安全防御。日本总务省主办了此次活动，出席者包括来自基里巴斯、马绍尔群岛、密克罗尼西亚联邦、瑙鲁和帕劳的政府官员和网络提供商，斐济和汤加作为观察员出席。笹川和平基金会太平洋岛国高级项目官员盐泽英行表示，太平洋岛国容易受到网络攻击，黑客可以通过这些国家攻击日本和台湾的政府网络和重要基础设施，从而为这些国家提供技术。培训和提供防病毒软件及其他网络安全工具将减少印太其他地区的安全风险。

2. 智能新闻

01 |白宫命令联邦机构和委员会实施人工智能保障措施

3月28日，美国副总统哈里斯向联邦机构宣布了一系列与人工智能使用相关的新命令和要求，旨在“加强人工智能的安全保障、保护美国人的隐私、促进公平和公民权利”。权利，“保护消费者和工人的利益，促进创新和竞争，并增强美国在人工智能领域的领导地位。”具体要求包括：第一，到2024 年12 月1 日，联邦机构必须在使用人工智能时实施保障措施；必须测试和监控人工智能如何影响公众，并确保算法歧视受到监控；第三，联邦机构必须采取措施使各机构在人工智能的使用方面更加透明，各机构必须公开发布所使用的人工智能的年度清单；四是提高联邦工作人员的人工智能技能，计划到2024年夏天在白宫聘用100名人工智能专业人员；第五，联邦机构必须在2024年5月27日任命一名首席人工智能官，美国管理和预算办公室（OMB）将于2023年5月27日任命一名首席人工智能官。首席人工智能官委员会“定期召开” ”;目前只有国防部、退伍军人事务部、住房和城市发展部以及国务院设立了类似机构。这些措施是拜登2023 年10 月发布的人工智能行政命令的后续措施。

02 | OMB 发布首个政府范围内的人工智能风险缓解规则

03 | NIST人工智能安全研究所专注于AI合成内容和国际合作

04 |美国财政部就金融部门应对人工智能网络安全威胁提出建议

3月27日，美国财政部发布《关于管理金融服务领域人工智能特定网络安全风险》号报告，警告人工智能给金融领域带来的网络安全风险。该报告根据关于人工智能开发和使用的第14110 号总统行政命令编写，就如何减轻此类风险向金融机构提出了一系列建议。财政部在报告中指出了人工智能给金融服务业的安全和弹性带来的重大机遇和挑战。该报告概述了一系列解决与人工智能相关的直接运营风险、网络安全和欺诈挑战的措施，包括： 1. 解决日益扩大的能力差距； 2. 弥补欺诈数据缺口； 3.加强监管协调； 4. 扩展NIST 人工智能风险管理框架； 5. 数据供应链映射和标准化描述的最佳实践； 6、生成人工智能等黑盒系统的可解释性解决方案； 7、填补人才缺口； 8. 构建通用人工智能词典； 9. 明确数字身份解决方案； 10.加强国际协调。

05 | CIA采取“爬、走、跑”三步走推进生成式人工智能赋能情报工作

在3 月21 日至22 日的ServiceNow 联邦论坛上，中央情报局管理办公室论坛主任加里·诺沃特尼(Gary Novotny) 表示：“中央情报局已转向生成人工智能(GenAI) 来实现情报分析。老师的工作变得更加轻松。”他声称“这不会让情报官员失业，只会让他们专注于他们需要关注的事情。”几个月前，中央情报局官员证实，该机构正在开发一种类似于ChatGPT 的人工智能程序，供整个情报界使用。该模型将提供开源信息的摘要，并能够与用户聊天。在中央情报局正在迅速推进这项新兴技术的同时，诺沃特尼向考虑GenAI 的组织提供了建议，提倡“爬行、行走、奔跑”的方法。 Novotny 表示，组织还必须关注部署GenAI 所需的后端基础设施，并建议组织评估指标和性能。

06 |微软打造超级计算机为下一代人工智能提供动力

微软计划斥资1000亿美元建造一台名为Stargate的超级计算机。该项目旨在为OpenAI 的下一代人工智能系统提供动力。 Stargate 被认为是世界上最大、最先进的数据中心之一，旨在在优于ChatGPT-4 的新的、更先进的人工智能模型的训练和操作中发挥关键作用。 Stargate预计将于2028年推出，帮助微软继续开发世界领先的人工智能模型。星际之门计划旨在创建一台百亿亿次超级计算机。达到这种计算能力水平需要数百万个GPU 和数百亿美元的投资。据报道，OpenAI 未能在2023 年发布名为“Arrakis”的新人工智能项目，很大程度上是由于当前超级计算机的限制。

3、关基保护

01 | CISA 发布通知关键基础设施网络攻击的新规则草案

美国网络安全和基础设施安全局(CISA) 于3 月28 日发布了关于关键基础设施公司如何向政府报告网络攻击的法规草案。新规定长达447页，主要基于拜登于2022年3月15日签署的美国《关键基础设施网络事件报告法案》（CIRCIA）。CIRCIA要求16个关键基础设施部门在72小时内报告网络事件，并在24小时内支付勒索软件费用；所涵盖的事件包括那些“对组织的运营能力造成或构成重大损害或对国家安全、公共健康或安全构成威胁”的事件。CISA 估计，未来11 年执行该规则的成本将达到26 亿美元，或者每年约2.3 亿美元，其中行业成本为14 亿美元，联邦成本为12 亿美元。该机构估计，超过316,000 个实体将“在未来十年内总共提交约210,525 份CIRCIA 报告”。联邦政府提出了一套针对关键基础设施部门的全面网络安全规则，CISA 表示这些报告不受公开披露法的约束，并且美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas) 表示，网络事件信息将允许CISA 和其他机构提供。更好地响应事件并识别美国关键基础设施中的漏洞。

02 |美国加速推进医疗行业网络安全绩效目标

3月25日，美国民主党参议员马克·华纳提出《2024年医疗保健网络安全改进法案》提案，提议为符合最低网络安全标准的医疗服务提供者提供网络事件发生后的预付款和加急付款。该提案是为了应对针对Change Healthcare 的勒索软件攻击。此次攻击扰乱了全国范围内的医疗提供商计费服务，使许多提供商面临财务破产的风险。美国卫生与公众服务部(HHS) 发布了2025 财年预算提案，呼吁Medicare 医院保险信托基金在2027 和2028 财年向约2000 家“高需求”医院投资8 亿美元，以实施HHS网络安全绩效目标(CPG)。该预算提案还包括从2029 财年开始对某些不符合网络安全标准的医院进行经济处罚和减少付款。包括美国心脏协会在内的一些医疗保健行业团体表示，他们普遍支持自愿网络安全绩效目标的概念，以支持医疗保健行业并提供财政资源来帮助实现这些目标，但他们认为仅以经济处罚相威胁是不够的。影响太大了。美国医院协会（AHA）表示：“对医院实施罚款或削减医疗保险付款将减少他们打击网络犯罪所需的资源，与防止网络攻击的共同目标不一致。”

03 |美国国防部发布《2024年国防工业基础网络安全战略》

3月28日，美国国防部发布《2024年国防工业基础（DIB）网络安全战略》，旨在加强美国国防部与DIB的合作，进一步协调和协调资源，以提高美国国防供应商和制造商的网络安全。该战略旨在通过2024 财年至2027 财年的总体愿景和使命，加强DIB 的网络安全和网络弹性，打造“安全、有弹性、技术先进的国防工业基地”和“通过保护敏感信息、能力和产品完整性进行战斗，以确保美国作战能力的生成、可靠性和维持。”该战略概述了四个主要目标：一是加强美国国防部DIB网络安全治理结构；其次，加强DIB 的网络安全态势；第三，在竞争激烈的网络环境中保持关键的DIB 功能的弹性；第四，改善与DIB的关系。网络安全合作。

04 |美国能源部拨款1500万美元建立大学电力网络安全中心

3月28日，美国能源部（DOE）宣布拨款1500万美元建立六所大学（康涅狄格大学、爱荷华州立大学、匹兹堡大学、伊利诺伊理工学院、德克萨斯理工大学和佛罗里达国际大学）大学）。电力网络安全中心将促进整个能源部门的合作，以弥补能源安全研究的差距并提供网络安全教育计划。该机构宣布，选定的项目将满足每个独特地区的能源安全研究和培训需求。美国能源部网络安全、能源安全和应急响应办公室（CESER）选定的每所大学将与能源部门所有者和运营商、供应商以及能源部国家实验室合作进行网络安全研究并开发网络安全培训，以满足能源部门的需求。 CESER 主任Puesh M. Kumar 表示：“对大学网络安全中心的投资将使我们能够同时发展美国网络劳动力，并培养应对我国能源系统不断变化的网络威胁所需的专业知识。”

05 |英国塞拉菲尔德核电站因网络安全故障被起诉

3月28日，英国核监管办公室（ONR）宣布将对管理塞拉菲尔德核电站的公司提起诉讼，指控其“在2019年至2023年初的四年期间涉及信息技术安全犯罪”。目前尚不清楚国有塞拉菲尔德有限公司的高级管理人员是否会面临指控。根据2003 年第《核工业安全条例》 条，被定罪的个人可能面临最高两年的监禁。英国首席核监察员在2023年年度报告中披露，塞拉菲尔德核电站目前未达到其所要求的网络安全高标准，已成为监管机构日益关注的焦点。与此同时，在英国运营数座核电站的法国电力公司也受到了类似措施。 UK 《卫报》 此前报道称，塞拉菲尔德核电站网络的漏洞最早于2015 年被发现，当时专家们意识到塞拉菲尔德核电站中已嵌入了潜在的恶意软件，即可能处于休眠状态并可用于监控或攻击系统的软件。车站的电脑。网络上，尚不清楚该恶意软件是否已被根除。这可能意味着塞拉菲尔德核电站一些最敏感活动的数据，例如移动放射性废物、监测危险材料泄漏和检查火灾，已经受到损害。

4. 网络安全警告

01 | CISA和FBI发布安全警报敦促制造商消除SQL注入漏洞

3月25日，美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布联合警告，敦促技术制造商消除软件中的SQL注入漏洞。联合警报指出：“CISA 和FBI 敦促技术制造商的高管对其代码进行正式审查，以确定其对SQL 漏洞的敏感性，并鼓励所有技术客户询问其供应商是否进行了此类审查。” CISA 和FBI 呼吁科技公司高管对其代码进行正式审查，以确定SQL 受到损害的风险。同时，两个机构敦促制造商评估联合指南的三项指导原则： 让客户对安全结果负责；实现“彻底”的透明度和问责制；并建立组织结构和领导以实现目标。为了避免此漏洞，开发人员在设计和开发软件产品时应在参数化查询中使用准备好的语句，将SQL 代码与用户提供的数据隔离。警报称：“如果发现代码中的漏洞，高级管理人员应确保其组织的软件开发人员立即实施缓解措施，以消除所有当前和未来软件产品中的此类缺陷。”

02 | NSA 敦促云服务提供商通过有效日志记录加强安全性

03 |英国NCSC 警告称，黑客正在转向高风险个人的个人账户

英国国家网络安全中心（NCSC）3月26日警告称，面对管理完善的企业网络安全防御，犯罪分子和自助黑客团体已将注意力转向个人设备和账户。 NCSC 在警报中表示：“近年来，英国发生了多起针对高风险个人的有针对性的网络攻击，试图访问他们的帐户和设备。” “这导致敏感信息被盗和公开，这也可能导致声誉受损。NCSC 认为网络安全背景下的高风险个人包括在政治领域工作的任何人，例如民选议员、候选人、工作人员、活动人士以及学者、律师、记者和人权组织对此提出以下建议：使用双因素激活验证；检查社交媒体的使用和设置；更换设备；不支持系统更新。

04 | ENISA警告2030年十大网络安全威胁

欧盟网络安全局（ENISA）于3月29日发布了《2030年网络安全威胁展望》摘要，评估了此前确定的十大威胁，包括软件依赖性方面的供应链妥协；技能短缺；人为错误和被利用的遗留系统；数字监控威权主义的兴起/隐私的丧失；跨境ICT服务提供商成为单点故障；先进的虚假信息/影响力行动（IO）活动；高级混合威胁的兴起和人工智能的滥用。与之前的版本相比，列表中增加了两种新兴的网络安全威胁，包括在不堪重负的跨部门技术生态系统中利用未打补丁和过时的系统；以及自然/环境损害对关键数字基础设施的物理影响。这些反映了人们对与过时系统相关的漏洞以及环境破坏对数字基础设施的潜在物理影响的更高认识。

05 | CISA 和红帽联合警告流行Linux 工具中嵌入的恶意后门代码

3月29日，软件公司红帽和CISA发出联合警告，称流行的Linux工具XZ Utils中嵌入了恶意代码，该工具可以帮助将大文件格式压缩为更小、更易于管理的文件格式，以便通过文件传输进行共享。 Red Hat 表示该工具几乎存在于每个Linux 发行版中。 CISA 表示，该代码“可能允许未经授权访问受影响的系统”。 CISA 建议开发人员和用户将XZ Utils 降级到不受影响的版本，例如XZ Utils 5.4.6 Stable，以查找任何恶意活动并向CISA 报告。

5. 数据保护

01 |英国隐私监管机构更新数据保护罚款指南

02 |欧盟对科技巨头是否遵守《数字市场法案》展开全面调查

美国有线电视新闻网（CNN）3月25日报道，欧盟宣布对苹果、谷歌和Facebook母公司Meta进行全面调查。欧盟委员会表示，“怀疑”这三家公司的各种做法未能有效遵守《数字市场法案》。欧盟专员蒂埃里·布雷顿表示，如果调查发现这些公司“没有完全遵守规则”，它们可能会面临“巨额罚款”。欧盟委员会计划在未来12 个月内完成对谷歌和苹果偏好行为以及Meta 订阅服务的调查。《数字市场法案》要求主流网络平台为用户提供更多选择，为竞争对手提供更多机会。该法案目前适用于接受调查的三大科技巨头，以及亚马逊、微软和字节跳动。违反新法律可能会导致严厉处罚，包括最高相当于公司全球收入10% 的罚款，以及后续违规行为最高20% 的罚款。

6.智库声音

01 |美智库分析美军网络部队行动问题

3月25日，美国国家安全智库捍卫民主基金会（FDD）发布报告，分析美军网络部队运作模式的差距及其面临的挑战。报告认为，国会的当务之急是建立一个专门负责网络安全行动的军事部门，以便与空军、海军和其他武装部队并肩工作。该报告还呼吁建立网络部队分支，作为国防部的第七个军事分支，并建议为此提供1 万名人员和165 亿美元的预算。报告指出，当前美军网络部队并未将网络空间安全视为优先事项，导致网络作战保障分散、网络人员缺乏连续性、职业道路不明确、经验不足、领导岗位上非网络专业人士等。

02 |美国智库敦促美国和欧盟就网络安全标签进行合作

用户评论

毒舌妖后

这期国际网络安全新闻真是让人大开眼界，看到了那么多安全漏洞和防护措施，感觉网络安全问题越来越复杂了。

    有17位网友表示赞同！

巷口酒肆

每次看到这种新闻都替那些受害者感到心疼，希望网络安全防护技术能更上一层楼。

    有17位网友表示赞同！

开心的笨小孩

第4期网络安全新闻里提到的那些攻击手段太可怕了，还好我们有强大的防护系统。

    有10位网友表示赞同！

呆檬

国际网络安全新闻更新太快了，我得赶紧加强自己的网络安全意识。

    有6位网友表示赞同！

墨染年华

这期网络安全新闻里提到的勒索软件让我想起了最近朋友遇到的麻烦，幸好他们有备份。

    有16位网友表示赞同！

清原

网络安全问题真是无处不在，这期新闻提到了很多新的防护技巧，我得好好研究一下。

    有14位网友表示赞同！

温柔腔

看到国际网络安全新闻，真希望我国能在网络安全领域取得更大的突破。

    有15位网友表示赞同！

初阳

每次看到这种新闻都感觉心惊肉跳，网络安全防护工作任重道远啊。

    有10位网友表示赞同！

可儿

第4期网络安全新闻里的案例让我意识到，个人隐私保护也尤为重要。

    有9位网友表示赞同！

秒淘你心窝

网络安全新闻里提到的安全漏洞，让我们在使用网络时更加谨慎。

    有18位网友表示赞同！

为爱放弃

国际网络安全新闻里提到的数据泄露事件，让我对个人信息的保护更加重视。

    有19位网友表示赞同！

裸睡の鱼

这期网络安全新闻让我看到了我国在网络安全领域的进步，但也意识到还有很多问题需要解决。

    有20位网友表示赞同！

千城暮雪

网络安全问题层出不穷，希望国家能加大力度打击网络犯罪。

    有17位网友表示赞同！

Edinburgh°南空

每次看到网络安全新闻，都感觉自己的安全防护措施需要加强。

    有20位网友表示赞同！

瑾澜

国际网络安全新闻里提到的网络攻击手段，让我对网络安全防护有了更深的认识。

    有12位网友表示赞同！

凉城°

这期网络安全新闻让我意识到，网络安全不仅是技术问题，更是社会问题。

    有13位网友表示赞同！

不忘初心

网络安全新闻里提到的防护措施，让我对如何保护自己的信息安全有了更清晰的方向。

    有14位网友表示赞同！

闲肆

国际网络安全新闻提醒我们，网络安全意识要时刻保持，不能掉以轻心。

    有18位网友表示赞同！

又落空

这期网络安全新闻让我看到了网络安全防护的重要性，也要提醒身边的人注意网络安全。

    有11位网友表示赞同！