国内动态

信安标委就《网络安全标准实践指南——大型互联网平台网络安全评估指南（征求意见稿）》公开征求意见

12月25日消息，为帮助大型互联网平台在网络安全合规基础上，进一步评估发现和防范可能影响社会稳定、公共利益的网络安全风险，指导大型互联网平台评估发现和防范可能影响社会稳定、公共利益的网络安全风险，近日，全国信息安全标准化技术委员会秘书处根据组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南（征求意见稿）》，现面向社会公开征求意见。

中国信通院发布《人工智能伦理治理研究报告（2023年）》

12月26日消息，近日，中国信通院发布《人工智能伦理治理研究报告（2023年）》。报告在总结人工智能伦理治理有关概念和特点的基础上，对人工智能生成内容、自动驾驶、智慧医疗三个典型应用场景的伦理风险进行分析，并结合国内外人工智能伦理治理实践，提出人工智能伦理治理的四点展望，以期为更加广泛深入的讨论提供参考。

五部门联合印发《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》

12月27日消息，近日，国家发展改革委、国家数据局、中央网信办、工业和信息化部、国家能源局联合印发《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》（以下简称《实施意见》）。《实施意见》提出到2025年底，综合算力基础设施体系初步成型。国家枢纽节点地区各类新增算力占全国新增算力的60%以上，国家枢纽节点算力资源使用率显著超过全国平均水平；1ms时延城市算力网、5ms时延区域算力网、20ms时延跨国家枢纽节点算力网在示范区域内初步实现；算力电力双向协同机制初步形成，国家枢纽节点新建数据中心绿电占比超过80%；用户使用各类算力的易用性明显提高、成本明显降低，国家枢纽节点间网络传输费用大幅降低；算力网关键核心技术基本实现安全可靠，以网络化、普惠化、绿色化为特征的算力网高质量发展格局逐步形成。

工信部印发《促进数字技术适老化高质量发展工作方案》

12月28日消息， 工业和信息化部近日印发《促进数字技术适老化高质量发展工作方案》，提出到2025年底，数字技术适老化标准规范体系更加健全，数字技术适老化改造规模有效扩大、层级不断深入，数字产品服务供给质量与用户体验显著提升，跨行业深度融合的产业生态更加成熟，多方协同、供需均衡、保障到位、服务可及的数字技术适老化高质量发展格局基本形成，老年人在信息化发展中的获得感、幸福感和安全感稳步提升。

《工业领域数据安全标准体系建设指南（2023版）》发布

12月29日消息，近日，工业和信息化部、国家标准化管理委员会组织编制了《工业领域数据安全标准体系建设指南（2023版）》。《指南》指出，到 2024 年，初步建立工业领域数据安全标准体系，有效落实数据安全管理要求，基本满足工业领域数据安全需要，推进标准在重点行业、重点企业中的应用，研制数据安 全国家、行业或团体标准 30 项以上。到 2026 年，形成较为完备的工业领域数据安全标准体系，全面落实数据安全相关法律法规和政策制度要求，标准 的技术水平、应用效果和国际化程度显著提高，基础性、规范性、引领性作用凸显，有力支撑工业领域数据安全重点工 作，研制数据安全国家、行业或团体标准 100 项以上。

国外动态

五角大楼发布关于承包商网络安全标准的拟议规则

12月25日消息，五角大楼近日发布了关于承包商网络安全标准的拟议规则，推出了网络安全成熟度模型认证 2.0，其中包括对特朗普政府期间首次开发的初始计划的增强。CMMC计划基于分层网络安全框架，根据承包商所承包的工作性质和安全级别，将网络安全标准分为 1 到 5 级。CMMC 2.0 力求通过三个关键功能来简化事情：第一个是分层模型，要求承包商根据信息的敏感性大规模实施网络安全标准。第二个是评估要求，允许国防部验证标准的实施情况。三是通过合同来执行。一旦 CMMC 合同全面实施，处理敏感信息的国防部承包商必须达到特定的 CMMC 级别才能赢得潜在合同。

NIST 发布有关后量子密码迁移标准的初步草案

12月25日消息，近日，NIST 国家网络安全卓越中心 (NCCoE) 发布了两份涵盖迁移挑战和测试标准的初步实践指南草案。该机构已征求公共和私营部门利益相关者的意见，以提高人们对从当前的公钥加密算法迁移到抗量子算法的后量子加密（PQC）所涉及的挑战的认识。征求意见期即日起至 2024 年 2 月 20 日。

NSA发布2023年网络安全年度回顾

12月26日消息，美国国家安全局（NSA）近日发布了《2023年网络安全年度回顾》，分享了其近期在网络安全方面取得的成功，以及它如何与合作伙伴合作，实现网络安全进步，从而增强国家安全。今年的报告重点介绍了国家安全局与美国政府合作伙伴、外国合作伙伴和国防工业基地的合作。

2023年5大国防部技术总结

12月26日消息， 近日，国防部（DoD）总结了在 2023 年的最重大的技术和网络安全政策举措，这些举措为五角大楼在 2024 年的 IT 优先事项奠定了基础。它们分别是CJADC2 进展、海军网络战略、五角大楼复制器计划、OCONUS云和国防部劳动力实施计划。

美国宇航局发布首份太空网络安全最佳实践指南

12月27日消息，美国宇航局（NASA）发布第一份太空通信安全最佳实践指南。该指南详细介绍了近年来组织在应对太空中新出现的网络安全威胁时面临的各种挑战，建议建立中介访问机制，以帮助防止未经授权访问空间段中的关键子系统，阻止意外流量并更好地维护安全日志。敦促开展空间活动的公共和私营部门组织建立持续的飞行任务安全风险分析和风险应对进程，以便定期查明和处理与具体业务有关的安全风险。

日本大阪大学推出第三台超导量子计算机

12月27日消息，由大阪大学量子信息与量子生物学中心领导的一项开创性合作成功推出日本第三台超导量子计算机。这一量子飞跃使研究团队能够探索量子算法，增强软件操作，并远程深入研究机器学习等，标志着量子计算可访问性迈出了一大步。这一发展得到了日本文部科学省的Quantum Leap旗舰计划、日本科学技术振兴机构ERATO的“中村宏观量子机器项目”和科学技术与创新委员会跨部委战略创新促进计划的资助。

新的 CMMC 规则为承包商提供分级安全级别

12月28日消息，美国国防部发布了期待已久的网络安全成熟度模型认证计划拟议规则草案，旨在简化合规性、加强公私协调并更好地保护敏感信息免受网络威胁。新的 CMMC 规则旨在为国防工业基地建立安全框架，为管理敏感非机密信息的承包商和分包商引入了分层安全模型。这些层分为三个级别。1 级代表最基本的安全措施，3 级代表最先进的安全措施。CMMC 2 级和 3 级承包商需要进行第三方合规评估。根据草案，承包商还需要达到一定的 CMMC 水平才能竞争某些合同。

乌克兰黑客对俄罗斯最大企业管理系统网络攻击

12月28日消息，据乌克兰数字化转型部在 Telegram 上报道，来自乌克兰 IT 军队的黑客已经使俄罗斯自动化企业管理系统 1C-Rarus 的运行瘫痪。据数字化转型部称，目前该服务的用户无法使用该服务。1C-Rarus拥有15万用户，其中包括“Tatneft”和VTB等科技巨头和战争赞助商。商店和加油站的顾客因收银机无法运行而无法付款，给俄罗斯经济造成重大损失。此外，根据乌克兰情报机构的一份声明，乌克兰主要情报局据称攻击了俄罗斯的税务系统，摧毁了整个数据库及其备份副本。V

研究发现iPhone硬件功能被用于网络间谍活动

12月29日消息，近日，俄罗斯网络安全公司卡巴斯基发现一项此前未知的iPhone硬件功能，该功能自2019年以来就一直被黑客用于开展名为“三角测量行动”的网络间谍活动。黑客利用四个零日漏洞和恶意iMessage附件来攻击iPhone，从而绕过了iPhone的硬件安全机制。卡巴斯基公司认为所述的硬件功能很可能原本仅供苹果工程师或工厂调试或测试之用，结果被错误地配置到市售的iPhone中。尽管苹果公司已于2023年7月份修复了该间谍活动使用的主要漏洞CVE-2023-38606，但卡巴斯基公司仍认为这是其发现过的最复杂的漏洞。

研究人员总结2023年重大网络攻击和数据泄露事件

12月29日消息，近日，Govinfosecurity网站总结了2023年的主要网络攻击事件，包括勒索软件团伙Clop利用文件传输软件MOVEit漏洞发动的大范围勒索软件攻击，SXiArgs勒索软件对VMware主机的攻击，黑客组织利用Microsoft 365漏洞对美国政府实施网络间谍活动，俄罗斯黑客组织在俄乌冲突的活跃表现，朝鲜黑客组织的加密货币窃取行动，英国警方的数据泄露，执法部门对勒索软件团伙Hive和BlackCat的重创，针对Barracuda和Citrix公司网关设备的网络攻击，以及Okta和Capita等公司的数据泄露等。