国内网络安全政策动态
▶︎ 1.三项智能网联汽车强制性国家标准正式发布
9月4日,工业和信息化部组织制定的GB 44495---2024《汽车整车信息安全技术要求》、GB 44496---2024《汽车软件升级通用技术要求》和GB 44497---2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,将于2026年1月1日起开始实施。
▶︎ 2.北京市通信管理局关于开展2024年电信和互联网行业网络与数据安全检查的通知
9月4日,北京市通信管理局印发《关于开展2024年电信和互联网行业网络与数据安全检查的通知》。
此次检查对象为北京市基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。重点检查相关企业建设运营的网络、系统、平台、应用、业务,特别是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统。
检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护及安全隐患工作情况、工业互联网企业网络安全防护情况,以及车联网网络安全防护定级备案管理情况。
▶︎ 3.《人工智能安全治理框架》1.0版发布
9月9日,全国网络安全标准化技术委员会制定了《人工智能安全治理框架》1.0版,在2024年国家网络安全宣传周主论坛上对外公开发布。
人工智能安全治理原则:
秉持共同、综合、合作、可持续的安全观,坚持发展和安全并重,以促进人工智能创新发展为第一要务,以有效防范化解人工智能安全风险为出发点和落脚点,构建各方共同参与、技管结合、分工协作的治理机制,压实相关主体安全责任,打造全过程全要素治理链条,培育安全、可靠、公平、透明的人工智能技术研发和应用生态,推动人工智能健康发展和规范应用,切实维护国家主权、安全和发展利益,保障公民、法人和其他组织的合法权益,确保人工智能技术造福于人类。
▶︎ 4.国家密码管理局发布《电子政务电子认证服务管理办法》
9月10日,《电子政务电子认证服务管理办法》(以下简称《办法》)已经2024年8月26日国家密码管理局局务会议审议通过,现予公布,自2024年11月1日起施行。
《办法》共6章42条,包括总则、资质认定、行为规范监督管理、法律责任和附则。《办法》对电子政务电子认证服务的业务规则、服务内容、证书内容、证书申请、使用密码安全与互信互认、保密义务、信息保存、合规性评估、投诉处理、岗位培训以及业务终止与承接等提出了一系列规范要求。
同时,为保护政务活动敏感信息和数据安全,《办法》明要求外商投资电子政务电子认证服务应当依法进行外商投资安全审查。
▶︎ 5.广州市发布《网络数据安全管理规范》地方标准
9月10日,广州在2024年国家网络安全宣传周期间发布《网络数据安全管理规范》(DB4401/T 276---2024)地方标准。该标准将于9月28日开始实施,为规范数据处理者的数据处理活动、保障网络数据安全、促进数据安全流通,助力数据经济发展提供参考依据和重要支撑。
▶︎ 6.工信部印发《关于推进移动物联网"万物智联"发展的通知》
9月11日,工业和信息化部印发《关于推进移动物联网"万物智联"发展的通知》(以下简称《通知》),旨在提升移动物联网行业供给水平、创新赋能能力和产业整体价值,加快推动移动物联网从"万物互联"向"万物智联"发展。
《通知》明确提出要完善安全保护机制:基础电信企业要强化移动物联网安全防护能力建设,不断深化移动物联网安全风险评估;加强物联网卡安全管理,严格落实物联网卡安全管控措施,提升物联网模组、终端等设备安全性;加强数据分类分级保护,引导数据处理者加强数据安全防护和风险监测预警能力建设,定期开展数据安全风险评估,不断提升数据安全保护水平;立足国家安全,科学规划物联网网络建设和业务发展,规范落实"三同步"要求。
▶︎ 7.国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
9月12日,为加强银行业保险业信息科技监管,指导银行业金融机构、保险业金融机构和金融控股公司(以下统称金融机构)有序规范建设移动互联网应用程序(以下简称移动应用),提升金融服务水平,金融监管总局近日印发了《关于加强银行业保险业移动互联网应用程序管理的通知》。
《通知》从四方面提出18条工作要求。一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作。
▶︎ 8.《网络安全技术 网络身份认证公共服务应用接入规范》等4项国家标准公开征求意见
9月12日,全国网络安全标准化技术委员会秘书处发布关于征求《网络安全技术 网络身份认证公共服务应用接入规范》(征求意见稿)等4项国家标准意见的通知。
根据通知,全国网络安全标准化技术委员会归口的《网络安全技术 网络身份认证公共服务应用接入规范》《网络安全技术 公钥基础设施 时间戳规范》《网络安全技术 公钥基础设施 PKI组件最小互操作规范》《网络安全技术 公钥基础设施证书管理协议》等4项国家标准现已形成标准征求意见稿,现面向社会公开征求意见。
▶︎ 9.《网络安全技术 人工智能生成合成内容标识方法》(征求意见稿)发布
9月14日,根据国家标准化管理委员会标准制修订计划,中央网络安全和信息化委员会办公室已组织完成了《网络安全技术 人工智能生成合成内容标识方法》国家标准的征求意见稿,现公开征求意见。请于2024年11月13日前将意见反馈给组织起草部门。
▶︎ 10.全国网安标委发布《网络安全标准实践指南------敏感个人信息识别指南》
9月14日,为指导各相关组织开展敏感个人信息识别等工作,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南------敏感个人信息识别指南》(以下简称《实践指南》)。
《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
▶︎ 11.国家网信办就《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见
9月14日,国家互联网信息办公室就《人工智能生成合成内容标识办法(征求意见稿)》向社会公开征求意见。《办法》将人工智能生成内容标识分为显式标识和隐式标识两类,并要求服务商提供人工智能生成合成内容时应确保文件中含有满足要求的显式标识。
《办法》对网络信息内容传播平台的服务提供者纳入为核验与标识的义务主体,规定平台服务提供者应对人工智能生成内容尽到核验、标识、元数据完善、功能提供与用户教育等义务,从多个维度提高了平台服务提供者的审核责任。
▶︎ 12.国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
9月14日,国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》,要求金融机构加强统筹,开展移动应用全生命周期管理,结合金融机构移动应用存在的问题提出针对性管理要求,有效规范金融机构移动应用的建设管理工作,提升金融机构移动应用安全保障水平和金融服务水平。
▶︎ 13.自然资源部科技发展司关于《智能网联汽车时空数据传感系统安全基本要求》(征求意见稿)等2项强制性国家标准公开征求意见情况的公告
9月20日,自然资源部公布《智能网联汽车时空数据传感系统安全基本要求》(征求意见稿)和《智能网联汽车时空数据安全处理基本要求》(征求意见稿)在2024年6月30日至8月31日期间公开征求意见的情况。
工业和信息化部、公安部、交通运输部等相关部门,有关科研院所及专家学者、有关企业等93家单位和个人通过回函或电子邮件等方式,提出意见和建议共484条。
▶︎ 14.关于征求《网络安全技术 抗拒绝服务攻击产品技术规范》等15项国家标准(征求意见稿)意见的通知
9月30日,全国网络安全标准化技术委员会归口的《网络安全技术 抗拒绝服务攻击产品技术规范》等15项国家标准现已形成标准征求意见稿。
根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该15项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2024年11月29日24:00前反馈秘书处。
▶︎ 15.《网络数据安全管理条例》发布
9月30日,国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容。
一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。
国外网络安全政策动态
▶︎ 1.韩国政府发布新版国家网络安全战略的实施计划
9月1日,韩国国家安保室发布了由韩国国家情报院、外交部、国防部、科学技术信息通信部、大检察厅和警察厅等14个政府部门和机构联合制定的《韩国国家网络安全基本计划》。该计划是韩国政府2024年2月1日公布的《韩国国家网络安全战略》的后续措施,包括落实该战略五大战略任务的具体实施措施。
▶︎ 2.CISA推出零信任指南以保护互联社区
9月3日,美国网络安全和基础设施安全局(CISA)发布《互联社区指南:零信任保护互联系统》,旨在帮助社区理解互联系统的风险,并有效地减轻这些风险。
该指南详细阐述了零信任作为一种有效的方法来保护互联关键基础设施系统,并为社区提供了一个基本活动框架,以提高网络活动的可见性,并通过分析识别趋势、自动化和编排解决问题以提高网络安全治理。该文件强调,随着社区互联性的增加,基于边界的安全措施已经不足以保护网络免受入侵和保护关键基础设施数据。实施零信任原则对于保护智能城市免受服务中断、重大财务损失、公民私人数据泄露、公民对智能系统信任下降以及可能对人身造成伤害或生命的损失至关重要。
▶︎ 3.美国白宫发布《加强互联网路由安全的路线图》
9月4日,美国白宫国家网络总监办公室(ONCD)于近日宣布,正式发布了《加强互联网路由安全路线图》,旨在通过推广资源公钥基础设施(RPKI)的应用,以应对边界网关协议(BGP)中存在的核心安全漏洞,进而提升全球互联网路由系统的安全性。
此路线图详细规划了18项关键行动举措,包括要求所有网络运营商更新其风险管理策略、实施路由来源授权公告等措施;敦促网络服务提供商部署路由来源验证机制、公开其路由安全实践等;同时,倡导联邦政府与通信技术部门携手合作,共同制定风险标准与优先级框架等。
▶︎ 4.美国密歇根州EGLE发布水处理设施网络安全强化计划
9月4日,美国密歇根州EGLE发布了一项新网络安全战略,旨在加强饮用水和废水处理厂的网络安全。该战略与美国环境保护署(EPA)合作,提供资源和培训,要求运营商制定应急计划,使用复杂密码,实施多因素认证,更新安全补丁,监控网络,并教育员工防范网络攻击。这一举措是在EPA发现多数饮用水系统未遵守《安全饮用水法案》后推出的,目的是提升水务设施的网络安全。
▶︎ 5.全球57国联合签署首个人工智能国际公约
9月5日,美、英等多国在立陶宛正式签署了首个具有法律约束力的人工智能国际公约,即《人工智能框架公约》。该公约由欧洲委员会牵头推进制定,57个国家共同协商通过,其中包括加拿大、以色列、日本和澳大利亚等国。公约内容涵盖了人工智能系统的整个生命周期,特别关注人工智能在公共和私营部门使用中可能带来的风险。它要求签署国对人工智能系统造成的有害和歧视性后果负责,并保障受害者的法律追索权。该公约有助于平衡技术创新与风险管理,为全球在人工智能领域的合作奠定了法律基础。
▶︎ 6.澳大利亚提议新规加强人工智能监督与透明度
9月5日,澳大利亚宣布计划制定新的人工智能监管规则,重点关注人类监督和透明度,以回应公众对人工智能潜在风险的担忧。澳大利亚工业和科学部长埃德·胡西克(Ed Husic)强调,澳大利亚公民期待对人工智能采取更强有力的监管措施,以避免自我监管的局限性。
拟议的规则旨在确保人类在关键决策中保持控制,防止由人工智能偏见引发的不公平结果,并要求企业公开人工智能在内容生成中的作用。目前,这些规定是自愿性的,但未来可能在高风险环境中强制执行。澳大利亚政府正在收集公众意见,以完善最终的政策框架。
▶︎ 7.印尼计划组建网络防御军
9月5日,印度尼西亚政府计划建立专门负责网络防御的第四军种,以补充当前"高度依赖人力资源"的网络部门。新网络安全机构的框架将涉及整合来自每个军种的中心以及所有主要武装部队总部的资源。该机构的主要招募对象来自高中毕业生和大学毕业生。
这一举措将使印尼能够有效地利用国防资源,以适应不断演变的"网络战争"需求,并进一步保护国家经济。此前,印尼与美国防部签署了双边国防协议,该协议允许进行与网络空间相关的持续能力提升项目,以提高该国在网络领域的竞争力。
▶︎ 8.新加坡提出立法禁止选举中使用深度学习技术
9月9日,新加坡数字发展和信息部(MDDI)提出新立法,旨在遏制选举期间使用深度伪造和其他数字操纵内容,防止错误信息影响选民的决定。
新立法将特别针对可能影响选举结果的逼真仿冒音频、自动电话、伪造图像视频和人工智能生成的竞选材料,旨在平衡言论自由与保障选举内容准确性。该项立法将在下一次议会提交审议,并补充现有的《防止在线虚假和操纵法》(POFMA),以加强选举期间的在线内容监管。
▶︎ 9.英国国家犯罪局签署信息共享协议
9月10日,英国国家犯罪局(NCA)和信息委员会办公室(ICO)签署协议,以共享网络威胁信息并提高网络事件报告,加强网络防御。
根据协议,NCA和ICO将通过电子邮件和每月定期会议来共享网络威胁评估和事件信息,从而确保两个机构的工作不重复。ICO要求企业和其他组织在 72 小时内报告网络事件。协议还强调了向当局披露网络事件的重要性,指出隐瞒攻击只会让犯罪分子受益。此外,该协议还旨在加强针对关键基础设施的破坏性网络攻击的响应能力。
▶︎ 10.美国网络司令部公布网络作战人工智能路线图
9月10日,美国网络司令部计划与政策副主管迈克尔·克拉克(Michael A. Clark)公布了将人工智能融入军事网络行动的五年路线图。该人工智能路线图旨在提高分析能力、扩大行动规模并增强对抗对手的能力,使美国网络司令部处于技术创新和网络防御的前沿。
该路线图目标是发现和应对威胁,推动和深化与政府、产业和学术界的合作,并开发、评估和推广最佳实践。该路线图概述了安全、对抗性后勤和国防等任务领域的100多项活动,提出要加强与业界的合作、开发可持续技术以及设计一支满足未来需求的部队。侧重于与美国国家安全局合作,从而提高计算和人工智能能力。
该路线图将采用分阶段的方式,首先推出60多个试点项目和26项整合人工智能的新举措。美国网络司令部在所属网络国家任务部队(CNMF)内设立的人工智能特别工作组将领导该路线图的实施工作。美国国网络司令部计划利用其军种和行业合作伙伴关系来扩展人工智能能力并保持作战相关性。克拉克表示,路线图将把人工智能融入网络司令部行动的各个方面,目的是更好地应对网络威胁。
▶︎ 11.美、英、澳签署供应链韧性合作协议
9月11日,美、英、澳三国联合签署供应链韧性合作谅解备忘录,建立了新的三边合作关系。该协议的内容包括:建立澳大利亚---英国---美国供应链复原力合作小组,共享数据,加强联合行动;加强关键供应链合作;提高识别和应对供应链威胁的能力;将开发一个专注于电信供应链的预警试点项目,用于识别和监控全球电信供应链中断的风险点。
▶︎ 12.俄罗斯企业和FSTEC合作制定匿名数据保护标准
9月12日,据媒体报道,俄罗斯大数据协会(BDA)与俄罗斯联邦安全技术监管局(FSTEC)正在讨论制定新的国家标准,目的是保护匿名数据并减少去匿名化风险。
BDA成员包括Sberbank、Yandex、VK等公司,他们已向FSTEC提交了提高数据保密性的提案。提案内容包括记录数据处理和交换技术,以及描述风险评估方法。这些措施旨在提高数据安全性,帮助政府机构做出更有效的决策。
▶︎ 13.美国国防部正在筹建全球信息优势实验(GIDE 12)
9月12日,美国国防部(DoD)表示,准备启动其全球信息优势实验(GIDE 12),重点是国防部的联合全域指挥与控制网络(CJADC2)。
GIDE 12共有三个主要任务:一是全球一体化,提高联合参谋部、战斗指挥部和国际盟友协作评估和应对全球事件的能力;二是实现联合杀伤链,简化跨军种开展综合军事行动的协调流程;三是实现盟友与合作伙伴之间的数据共享。GIDE 12将特别关注指挥、控制、通信、计算机、作战系统和联盟协作规划能力,显著扩展其能力并在强大的作战环境中进行测试。
▶︎ 14.美国CISA公布协调联邦运营网络安全计划
9月16日,美国网络安全和基础设施安全局(CISA)发布了"联邦文职行政部门运营网络安全对齐(FOCAL)计划",旨在整合联邦政府的集体防御能力,以降低超过100个联邦文职行政部门机构的网络安全风险。
FOCAL计划围绕五个优先领域构建,包括资产管理、漏洞管理、防御性架构、网络供应链风险管理和事件检测与响应。这些领域共同构成了企业运营网络安全的标准和基本组成部分,并在联邦机构间实现集体防御能力的对齐。通过集中资源,FOCAL计划致力于推进运营网络安全的改善和对齐目标,为各机构提供了一个协调支持和服务的框架,从而最终减少风险。CISA强调,联邦政府的数据和系统是敌对势力的目标,需要统一应对威胁并主动降低风险。
▶︎ 15.美国众议院宣布人工智能政策以建立护栏和审批流程
9月19日,美国众议院管理委员会和首席行政官办公室宣布实施一项新的众议院人工智能政策,旨在规范人工智能技术在众议院的应用,重点关注数据隐私保护和风险控制。
为了实现这一目标,该政策引入了针对众议院内人工智能使用的特定防护措施,并要求首席行政官审查具体用例的人工智能工具,最终由众议院管理委员会进行审批。该政策为未来人工智能和机器学习能力的发展奠定了基础,并具备灵活性,以适应技术的快速变化。
▶︎ 16.四个欧盟国家签署美国主导的反间谍软件协议
9月22日,奥地利、爱沙尼亚、立陶宛和荷兰签署由美国领导的反间谍软件协议,从而使签署国增至21个。该协议旨在鼓励签署国采取多项措施来遏制间谍软件滥用,包括重申其对商业间谍软件信息共享计划的承诺,并禁止出口可能用于恶意网络活动的软件和技术。
▶︎ 17.美国将禁止中、俄罗斯零部件用于联网车辆
9月23日,美国商务部工业与安全局(BIS)发布拟议规则,禁止进口或销售装有与中国或俄罗斯有关联的VCS硬件或软件的联网汽车。
美国白宫国家安全顾问杰克·沙利文(Jake Sullivan)表示,美国已经与来自印度太平洋地区、欧洲和北美的十几个国家多次讨论了国家安全风险问题。其他欧盟及印太盟友出于国家安全考虑,也将采取类似措施,以提升汽车供应链的安全性。
▶︎ 18.美国众议院通过《未来网络法案》成立6G特别工作组
9月25日,美众议院通过《未来网络法案》。该法案要求联邦通信委员会(FCC)召集行业领袖、公共利益团体和政府专家成立6G特别工作组。该工作组将围绕以下方面发布报告:标准制定机构在6G发展中的作用、6G技术的用途、6G供应链或网络安全等潜在威胁、跨部门协调和推动部署的建议。
▶︎ 19.美国众议院通过《人工智能事件报告和安全增强法案》
9月26日,美国众议院科学、空间与技术委员会批准《人工智能事件报告和安全增强法案》,要求美国家标准与技术研究院(NIST)将人工智能系统纳入国家漏洞数据库。
该两党法案要求NIST更新国家漏洞数据库,以反映人工智能系统的漏洞,并研究自愿报告人工智能安全和安保事件的必要性。该法案还要求NIST与美国网络安全与基础设施安全局(CISA)等利益相关者合作,为人工智能安全事件建立通用定义、术语和标准化报告规则。
▶︎ 20.五眼联盟发布《检测活动目录泄露》指南
9月27日,五眼联盟国家的网络安全机构发布《检测和缓解活动目录(Active Directory)泄露》联合指南。该指南旨在帮助识别和缓解微软Active Directory泄露的威胁。
指南指出,Active Directory易受到攻击,原因包括默认设置宽松、权限关系复杂、支持旧协议以及缺乏诊断安全问题的工具。攻击者可以利用这些弱点控制企业网络,可能导致大规模且昂贵的恢复和补救工作。为了降低入侵风险,组织应确保特权访问,并采用分层模型,如微软的企业访问模型。
参考来源:网信中国、信息安全国家工程研究中心、中国信息安全、国家网信办、公安部、市场监管总局、全国网安标委、关键基础设施安全应急响应中心、中国政府网等