打開網(wǎng)易新聞 查看精彩圖片

國內(nèi)動(dòng)態(tài)

  1. 中國披露美國入侵加密公司竊取數(shù)據(jù)事件
  2. 網(wǎng)安標(biāo)委就《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求(征求意見稿)》公開征求意見
  3. 全國數(shù)標(biāo)委發(fā)布《可信數(shù)據(jù)空間 技術(shù)架構(gòu)》技術(shù)文件
  4. 國家數(shù)據(jù)局印發(fā)構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用2025年工作要點(diǎn)
  5. 七部門聯(lián)合印發(fā)《終端設(shè)備直連衛(wèi)星服務(wù)管理規(guī)定》

國外動(dòng)態(tài)

  1. 美國國防部長被曝使用不安全網(wǎng)絡(luò)線路
  2. 美國國防部尋求適用于5G/6G的開源軟件平臺(tái)
  3. 美國GSA就云安全機(jī)制改革計(jì)劃FedRAMP 20x征求意見
  4. 美國CISA舉辦針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻防演練
  5. 英國強(qiáng)制推行“安全設(shè)計(jì)”標(biāo)準(zhǔn),全面提升國防系統(tǒng)網(wǎng)絡(luò)安全防護(hù)
  6. NIST擬半年內(nèi)發(fā)布AI網(wǎng)絡(luò)安全框架,應(yīng)對黑客利用AI增強(qiáng)的攻擊
  7. ISC2發(fā)布全球首部衛(wèi)星通信網(wǎng)絡(luò)安全防護(hù)指南
  8. 以色列Cynomi加速AI驅(qū)動(dòng)vCISO平臺(tái)開發(fā)
  9. 美國CSIS發(fā)布《2025太空威脅評(píng)估報(bào)告》
  10. 美國海軍陸戰(zhàn)隊(duì)啟用新網(wǎng)絡(luò)作戰(zhàn)室,強(qiáng)化網(wǎng)絡(luò)防御能力

國內(nèi)動(dòng)態(tài)

1. 中國披露美國入侵加密公司竊取數(shù)據(jù)事件

4月28日消息,中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)披露,美國情報(bào)機(jī)構(gòu)對中國一家主要商業(yè)密碼提供商發(fā)動(dòng)復(fù)雜網(wǎng)絡(luò)攻擊,呈高級(jí)持續(xù)性威脅(APT)特征。攻擊者利用公司客戶關(guān)系管理(CRM)系統(tǒng)的未公開漏洞建立初始攻擊向量,進(jìn)而部署專門木馬進(jìn)行指揮與控制操作。該惡意軟件在技術(shù)上與美國情報(bào)行動(dòng)相關(guān)工具相似,攻擊方法與之前記錄事件類似,通過后門和遠(yuǎn)程訪問木馬建立持續(xù)訪問,并利用橫向移動(dòng)技術(shù)擴(kuò)大在網(wǎng)絡(luò)中的存在范圍。攻擊者建立控制權(quán)后,利用隱身技術(shù)執(zhí)行數(shù)據(jù)泄露操作,從CRM系統(tǒng)轉(zhuǎn)移至產(chǎn)品管理系統(tǒng),最終到達(dá)包含專有加密實(shí)現(xiàn)的代碼存儲(chǔ)庫,導(dǎo)致約950MB敏感數(shù)據(jù)及6.2GB的專有加密研究和開發(fā)代碼泄露。

2. 網(wǎng)安標(biāo)委就《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求(征求意見稿)》公開征求意見

4月28日消息,全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求(征求意見稿)》,面向社會(huì)公開征求意見至5月6日。該文件旨在貫徹落實(shí)《個(gè)人信息保護(hù)法》及《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》,細(xì)化合規(guī)審計(jì)技術(shù)要求,規(guī)范審計(jì)流程。文件明確了專業(yè)機(jī)構(gòu)服務(wù)能力標(biāo)準(zhǔn),涵蓋審計(jì)人員資質(zhì)、管理制度、技術(shù)工具等維度,并提出審計(jì)證據(jù)采集、場景關(guān)聯(lián)分析、知識(shí)庫建設(shè)等核心技術(shù)要求。此舉將推動(dòng)個(gè)人信息保護(hù)合規(guī)審計(jì)工作標(biāo)準(zhǔn)化,助力企業(yè)構(gòu)建合規(guī)體系,提升數(shù)據(jù)安全保障能力,為數(shù)字經(jīng)濟(jì)健康發(fā)展提供支撐。公眾可通過指定渠道反饋意見,共同完善個(gè)人信息保護(hù)審計(jì)框架。

3. 全國數(shù)標(biāo)委發(fā)布《可信數(shù)據(jù)空間 技術(shù)架構(gòu)》技術(shù)文件

4月30日消息,2025年4月30日,全國數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式發(fā)布《可信數(shù)據(jù)空間 技術(shù)架構(gòu)》技術(shù)文件,為數(shù)據(jù)要素流通構(gòu)建標(biāo)準(zhǔn)化技術(shù)底座。該文件響應(yīng)《國家數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)指引》要求,明確可信數(shù)據(jù)空間作為數(shù)據(jù)基礎(chǔ)設(shè)施的核心定位,提出由服務(wù)平臺(tái)與接入連接器組成的雙層架構(gòu),通過區(qū)塊鏈實(shí)現(xiàn)數(shù)字合約管理,依托隱私計(jì)算保障數(shù)據(jù)流通安全,并制定數(shù)據(jù)分類分級(jí)、全流程存證等安全規(guī)范。文件特別強(qiáng)調(diào)跨區(qū)域互聯(lián)機(jī)制,支持企業(yè)集團(tuán)內(nèi)部數(shù)據(jù)共享及行業(yè)級(jí)數(shù)據(jù)空間互聯(lián),旨在破解數(shù)據(jù)供給意愿低、流通機(jī)制不暢等難題。

4. 國家數(shù)據(jù)局印發(fā)構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用2025年工作要點(diǎn)

4月28日消息,為落實(shí)“數(shù)據(jù)二十條”部署,國家數(shù)據(jù)局近日印發(fā)《2025年構(gòu)建數(shù)據(jù)基礎(chǔ)制度工作要點(diǎn)》,圍繞四大核心制度推進(jìn)數(shù)據(jù)要素市場化配置改革。一是加速數(shù)據(jù)產(chǎn)權(quán)制度建設(shè),推動(dòng)公共數(shù)據(jù)、企業(yè)數(shù)據(jù)及個(gè)人數(shù)據(jù)確權(quán)授權(quán),開展數(shù)據(jù)要素綜合試驗(yàn)區(qū)試點(diǎn)并參與國際規(guī)則制定;二是健全數(shù)據(jù)流通交易體系,制定標(biāo)準(zhǔn)合同、促進(jìn)交易機(jī)構(gòu)發(fā)展,鼓勵(lì)多元主體參與數(shù)據(jù)供需;三是完善收益分配機(jī)制,探索數(shù)據(jù)價(jià)值化路徑,強(qiáng)化公共數(shù)據(jù)定價(jià)管理;四是構(gòu)建安全治理框架,落實(shí)數(shù)據(jù)流通安全實(shí)施方案,支持技術(shù)創(chuàng)新與安全服務(wù)市場培育。下一步,國家數(shù)據(jù)局將聯(lián)合多部門破解數(shù)據(jù)“供、流、用、?!彪y題,激活數(shù)據(jù)要素潛能,為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展提供制度保障。

5. 七部門聯(lián)合印發(fā)《終端設(shè)備直連衛(wèi)星服務(wù)管理規(guī)定》

5月1日消息,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委、工業(yè)和信息化部等七部門聯(lián)合發(fā)布《終端設(shè)備直連衛(wèi)星服務(wù)管理規(guī)定》(簡稱《規(guī)定》),自2025年6月1日起施行?!兑?guī)定》明確,境內(nèi)提供或使用直連衛(wèi)星服務(wù),以及生產(chǎn)、銷售相關(guān)設(shè)備的企業(yè)均納入監(jiān)管,要求堅(jiān)持安全與發(fā)展并重、創(chuàng)新與治理結(jié)合原則。技術(shù)層面,支持衛(wèi)星與地面通信融合,鼓勵(lì)探索新業(yè)態(tài),構(gòu)建自主產(chǎn)業(yè)體系;應(yīng)用層面,推動(dòng)服務(wù)覆蓋防災(zāi)減災(zāi)、安全生產(chǎn)、應(yīng)急救援等領(lǐng)域,促進(jìn)數(shù)據(jù)依法開發(fā)與國際合作。此外,《規(guī)定》還強(qiáng)化合規(guī)要求,企業(yè)需取得無線電頻率使用、電信業(yè)務(wù)等許可,確保基礎(chǔ)設(shè)施符合國家標(biāo)準(zhǔn)。同時(shí),設(shè)備須滿足網(wǎng)絡(luò)安全及技術(shù)規(guī)范,建立全生命周期安全監(jiān)測,服務(wù)方需備案并履行數(shù)據(jù)跨境管理責(zé)任。

國外動(dòng)態(tài)

1. 美國國防部長被曝使用不安全網(wǎng)絡(luò)線路

近日,美國媒體稱美國國防部長在其辦公室設(shè)置了一套不安全的網(wǎng)絡(luò)線路系統(tǒng),使他能夠在辦公室通過私人電腦遠(yuǎn)程使用“信號(hào)”(Signal)通信軟件,并查看其私人手機(jī)上的消息?!靶盘?hào)”屬于公開銷售的商用軟件,其并未獲得傳遞敏感或保密國防信息的授權(quán),因此媒體稱國防部長的這一行為違反了國防部的標(biāo)準(zhǔn)安全協(xié)議。知情人士透露稱,國防部長辦公室內(nèi)有三臺(tái)電腦,一臺(tái)私用,一臺(tái)處理保密信息,一臺(tái)處理敏感國防信息,而其中的私人電腦不應(yīng)接觸敏感或保密信息。

2. 美國國防部尋求適用于5G/6G的開源軟件平臺(tái)

近年來,美國國防部正大力投資5G網(wǎng)絡(luò)和未來的6G網(wǎng)絡(luò),以便將此類網(wǎng)絡(luò)的應(yīng)用場景從優(yōu)化補(bǔ)給線擴(kuò)大到控制作戰(zhàn)機(jī)器人等各個(gè)領(lǐng)域。不過美國防部不愿受制于目前占據(jù)市場主導(dǎo)地位的少數(shù)幾家大型科技公司,因此其將很快啟動(dòng)開發(fā)“開放”軟件原型的招標(biāo)工作,以允許更多公司自由訪問國防設(shè)備并在其上部署代碼。為此,美國國防部希望為6G及未來的其它網(wǎng)絡(luò)打造一種開源軟件平臺(tái)“開放集中單元/分布式單元”(OCUDU)。美國國防部將于5月7日就OCUDU舉行線上“行業(yè)日”簡報(bào)會(huì),并隨后發(fā)布正式的原型方案征求書(RPP)。

3. 美國GSA就云安全機(jī)制改革計(jì)劃FedRAMP 20x征求意見

近日,美國總務(wù)管理局(GSA)就其云安全機(jī)制“聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃”(FedRAMP)改革方案“FedRAMP 20x”的以下3項(xiàng)重大變動(dòng)征求意見:一是擬用“重大變更通知標(biāo)準(zhǔn)”替代現(xiàn)有變更請求流程,以允許已獲得相關(guān)授權(quán)的云服務(wù)商無需授權(quán)官的二次許可,便可直接實(shí)施有利于客戶的技術(shù)調(diào)整。二是制定“關(guān)鍵安全指標(biāo)”(KSI),以匯總云原生服務(wù)產(chǎn)品所需的安全功能。基于KSI的授權(quán)包必須采用機(jī)器可讀的形式,有證據(jù)作為支持,并盡可能采用自動(dòng)化的技術(shù)驗(yàn)證手段。在FedRAMP 20x的第一階段試點(diǎn)中,KSI將被用于“FedRAMP低級(jí)”授權(quán)流程,在第二階段試點(diǎn)中,KSI將被用于“FedRAMP中”授權(quán)流程。三是確立“基本評(píng)估范圍”,以便評(píng)估由“提供給各聯(lián)邦機(jī)構(gòu)的云服務(wù)”處理的聯(lián)邦信息的安全性。GSA強(qiáng)調(diào),“提供給各聯(lián)邦機(jī)構(gòu)的云服務(wù)”既包括用于處理聯(lián)邦信息的云服務(wù),也包括可能影響聯(lián)邦信息的機(jī)密性、完整性及可用性的云服務(wù)。GSA稱,成功滿足第一階段要求的合格云服務(wù)產(chǎn)品將獲得為期12個(gè)月的“FedRAMP低級(jí)”授權(quán),并將在第二階段優(yōu)先獲得“FedRAMP中級(jí)”授權(quán)。

4. 美國CISA舉辦針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻防演練

近日,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在其位于愛達(dá)荷州的“控制環(huán)境實(shí)驗(yàn)室資源”(CELR)實(shí)驗(yàn)室中,與來自國土安全部科學(xué)技術(shù)局、愛達(dá)荷國家實(shí)驗(yàn)室(INL)、路易斯安那州立大學(xué)和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商的代表,共同舉辦了針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻防演練。此次演練為期2天,旨在檢驗(yàn)和應(yīng)對針對人機(jī)界面(HMI)、監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)以及可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊。此次演練使用了CELR實(shí)驗(yàn)室中的化學(xué)處理平臺(tái),參演方需在真實(shí)的信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)流量環(huán)境中,抵御來自紅隊(duì)的攻擊。CISA表示,此次演練有助于加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營方的網(wǎng)絡(luò)搜尋能力和網(wǎng)絡(luò)事件響應(yīng)能力。

5. 英國強(qiáng)制推行“安全設(shè)計(jì)”標(biāo)準(zhǔn),全面提升國防系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

近日,英國政府宣布所有部門必須采用“安全設(shè)計(jì)”方法保護(hù)核心數(shù)據(jù)與服務(wù)。國防部率先實(shí)施該標(biāo)準(zhǔn),要求從系統(tǒng)設(shè)計(jì)初期即嵌入安全防護(hù),并貫穿整個(gè)生命周期。新標(biāo)準(zhǔn)針對四大核心問題:提升安全設(shè)計(jì)技能、解決信息不對稱、優(yōu)化采購流程安全評(píng)估及全周期安全維護(hù)。英國政府強(qiáng)調(diào)需建立跨部門協(xié)作機(jī)制,整合國防工業(yè)供應(yīng)鏈安全能力,制定統(tǒng)一的能力標(biāo)準(zhǔn),通過學(xué)位教育及學(xué)徒制培養(yǎng)專業(yè)人才,并協(xié)調(diào)敏感信息共享與知識(shí)產(chǎn)權(quán)保護(hù)的平衡。

6. NIST擬半年內(nèi)發(fā)布AI網(wǎng)絡(luò)安全框架,應(yīng)對黑客利用AI增強(qiáng)的攻擊

近日,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)正基于網(wǎng)絡(luò)安全框架開發(fā)“網(wǎng)絡(luò)AI配置文件”,計(jì)劃未來6個(gè)月內(nèi)發(fā)布草案。該框架旨在幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商應(yīng)對AI驅(qū)動(dòng)的網(wǎng)絡(luò)威脅,如深度偽造、精準(zhǔn)釣魚及自動(dòng)化漏洞挖掘等新型攻擊手法。目前NIST已發(fā)布概念文件并舉辦首次公開研討會(huì),后續(xù)將整合行業(yè)反饋形成公開草案。該框架將從風(fēng)險(xiǎn)分類、防御策略和隱私保護(hù)三方面,建立AI與網(wǎng)絡(luò)安全的交叉管理標(biāo)準(zhǔn),填補(bǔ)當(dāng)前該領(lǐng)域術(shù)語體系缺失的空白。

7. ISC2發(fā)布全球首部衛(wèi)星通信網(wǎng)絡(luò)安全防護(hù)指南

近日,國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC2)聯(lián)合31位領(lǐng)域?qū)<遥ê?9位CISSP)發(fā)布《在日益增長的需求和威脅中保障衛(wèi)星通信安全》指南。指南指出,隨著SpaceX星鏈、亞馬遜柯伊伯計(jì)劃等私營衛(wèi)星網(wǎng)絡(luò)快速擴(kuò)張,傳統(tǒng)限于軍事海事領(lǐng)域的衛(wèi)星通信已進(jìn)入消費(fèi)市場,帶來全新安全挑戰(zhàn)。指南聚焦三大風(fēng)險(xiǎn)領(lǐng)域:集中控制與地緣政治風(fēng)險(xiǎn)、信號(hào)攔截與隱私泄露和供應(yīng)鏈及硬件依賴漏洞,并為中小企業(yè)提供遠(yuǎn)程連接、物聯(lián)網(wǎng)等商用場景的安全實(shí)踐方案。

8. 以色列Cynomi加速AI驅(qū)動(dòng)vCISO平臺(tái)開發(fā)

近日,以色列網(wǎng)絡(luò)安全初創(chuàng)企業(yè)Cynomi宣布完成3700萬美元B輪融資。本輪融資由Insight Partners和Entrée Capital聯(lián)合領(lǐng)投,Canaan等現(xiàn)有投資方跟投。Cynomi成立于2020年,總部位于特拉維夫,專注于為MSP和MSSP提供商開發(fā)基于人工智能的虛擬首席信息安全官(vCISO)平臺(tái)。該平臺(tái)能夠自動(dòng)化執(zhí)行風(fēng)險(xiǎn)評(píng)估、合規(guī)管理等戰(zhàn)略安全職能。公司計(jì)劃將新資金用于平臺(tái)研發(fā)、歐美市場拓展以及向系統(tǒng)集成商等新客戶群體延伸服務(wù)。目前Cynomi已在以色列、英國和美國設(shè)立運(yùn)營中心。此次融資標(biāo)志著市場對AI驅(qū)動(dòng)網(wǎng)絡(luò)安全解決方案的持續(xù)看好,特別是在幫助中小企業(yè)獲取企業(yè)級(jí)安全服務(wù)方面展現(xiàn)出巨大潛力。

9. 美國CSIS發(fā)布《2025太空威脅評(píng)估報(bào)告》

近日,美國戰(zhàn)略與國際問題研究中心(CSIS)發(fā)布《2025年太空威脅評(píng)估報(bào)告》,連續(xù)第八年對全球反太空能力發(fā)展提出警示。報(bào)告指出,盡管過去一年未出現(xiàn)公開的反衛(wèi)星導(dǎo)彈試驗(yàn)或定向能武器使用,但太空威脅的“技術(shù)擴(kuò)散與戰(zhàn)術(shù)演變”正加速,尤其體現(xiàn)在三大領(lǐng)域:一是反太空武器體系化。報(bào)告將威脅武器分為四類:動(dòng)能武器(如共軌反衛(wèi)星武器)、非動(dòng)能武器(如激光眩目器)、電子戰(zhàn)手段(GPS干擾與欺騙)及網(wǎng)絡(luò)攻擊。其中,俄羅斯則被曝測試天基核反衛(wèi)星武器,其核電磁脈沖武器可能對低軌衛(wèi)星構(gòu)成“毀滅性打擊”。二是作戰(zhàn)模式實(shí)戰(zhàn)化。衛(wèi)星機(jī)動(dòng)對抗成為新焦點(diǎn),俄羅斯衛(wèi)星多次逼近歐美軍事衛(wèi)星,中國衛(wèi)星的復(fù)雜變軌能力亦被強(qiáng)調(diào)。同時(shí),GPS干擾技術(shù)已“戰(zhàn)場常態(tài)化”,俄烏沖突中俄軍在波羅的海至黑海區(qū)域廣泛實(shí)施干擾,影響民航與通信。三是商業(yè)航天卷入沖突。報(bào)告稱,SpaceX“星鏈”等商業(yè)星座正成為軍事打擊目標(biāo),其民用屬性與軍事用途的界限模糊化,加劇了太空資產(chǎn)脆弱性。

10. 美國海軍陸戰(zhàn)隊(duì)啟用新網(wǎng)絡(luò)作戰(zhàn)室,強(qiáng)化網(wǎng)絡(luò)防御能力

近日,美國海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)空間作戰(zhàn)小組(MCCYWG)正式啟用新型作戰(zhàn)室,全面升級(jí)其網(wǎng)絡(luò)空間作戰(zhàn)營(MCCOB)與網(wǎng)絡(luò)保護(hù)小組(CPTs)的指揮控制體系。此舉標(biāo)志著美軍在網(wǎng)絡(luò)防御領(lǐng)域向“集中統(tǒng)籌、快速響應(yīng)”模式邁出關(guān)鍵一步。新作戰(zhàn)室通過整合分析資源與通信鏈路,突破了傳統(tǒng)分散作戰(zhàn)的局限:一方面,后方專家可實(shí)時(shí)提供高級(jí)威脅分析,強(qiáng)化對網(wǎng)絡(luò)攻擊的主動(dòng)識(shí)別與處置效率;另一方面,基于國防部DOTMLPF-P框架的模塊化設(shè)計(jì),能精準(zhǔn)定位能力缺口并快速迭代解決方案,同時(shí)通過復(fù)用現(xiàn)有設(shè)備降低成本。其內(nèi)置的作戰(zhàn)網(wǎng)絡(luò)支持跨團(tuán)隊(duì)無縫數(shù)據(jù)共享,顯著縮短了對網(wǎng)絡(luò)事件的協(xié)同反應(yīng)時(shí)間。作為海軍陸戰(zhàn)隊(duì)網(wǎng)絡(luò)空間司令部(MARFORCYBER)與美國網(wǎng)絡(luò)司令部(USCYBERCOM)聯(lián)動(dòng)體系的核心節(jié)點(diǎn),該作戰(zhàn)室不僅承擔(dān)本土關(guān)鍵基礎(chǔ)設(shè)施防護(hù)任務(wù),還可執(zhí)行國家級(jí)攻防行動(dòng),實(shí)現(xiàn)情報(bào)共享與戰(zhàn)術(shù)協(xié)同。