國內動態

工信部加強互聯網數據中心客戶數據安全保護

六部門聯合發布數據流通安全治理方案

存在隱私不合規行為 懂球圈等16款App被通報

信通院發布《高質量大模型基礎設施研究報告（2024年）》

四部門發布《涉及國家安全事項的建設項目許可管理規定》

國外動態

美國政府對人工智能模型和芯片實施出口管制

美國太空軍授出網絡安全項目“數字獵犬”

英國公布新的人工智能機遇行動計劃

美國海岸警衛隊發布法規《海事運輸系統的網絡安全》

美國海軍陸戰隊計劃采用現成生成式AI工具

拜登發布新網絡安全行政命令

北約部署“波羅的海哨兵”系統保護海底基礎設施

美國思科公司推出新的人工智能應用安全解決方案AI Defense

隧道協議缺陷導致數百萬互聯網主機易受攻擊

新興勒索軟件組織FunkSec利用AI技術發動攻擊

國內動態

01工信部加強互聯網數據中心客戶數據安全保護

1月14日消息，近日，工業和信息化部辦公廳發布了關于加強互聯網數據中心（IDC）客戶數據安全保護的通知。通知要求IDC業務經營者根據《數據安全法》等相關法律法規，按照“權責一致、分類施策、技管結合、確保安全”的原則，加強客戶數據安全保障能力建設。通知明確了IDC業務經營者在合同協議中需明確各方數據安全保護責任，建立健全客戶數據安全管理制度，并提供差異化安全保護措施。同時，要求加強客戶數據訪問、操作、銷毀等重點環節的安全策略和流程機制，做好數據隔離等保護措施。

02六部門聯合發布數據流通安全治理方案

1月15日消息，近日，國家發展改革委、國家數據局等六部門聯合印發了《關于完善數據流通安全治理 更好促進數據要素市場化價值化的實施方案》。該方案旨在建立健全數據流通安全治理機制，提升數據安全治理能力，并促進數據要素合規高效流通利用。方案提出，到2027年底，將基本構建起規則明晰、產業繁榮、多方協同的數據流通安全治理體系。為實現這一目標，方案從明晰企業數據流通安全規則、加強公共數據流通安全管理、強化個人數據流通保障等多個方面作出具體部署。

03存在隱私不合規行為 懂球圈等16款App被通報

1月15日消息，近日，國家計算機病毒應急處理中心通報了16款存在隱私不合規行為的移動應用，其中包括《懂球圈》等熱門App。這些App主要涉及隱私政策難以訪問、未聲明運營者基本情況、未逐一列出收集使用個人信息的目的范圍等問題。此外，部分App還存在未向用戶告知個人信息接收方情況、未提供便捷的撤回同意方式等違規行為。國家計算機病毒應急處理中心提醒廣大手機用戶謹慎下載使用以上違規App，并認真閱讀用戶協議和隱私政策，避免個人隱私信息泄露。此次通報旨在加強App隱私保護，保障用戶權益。

04信通院發布《高質量大模型基礎設施研究報告（2024年）》

1月16日消息，近日，中國信息通信研究院發布了《高質量大模型基礎設施研究報告（2024年）》。報告指出，當前大模型基礎設施面臨可用性低、穩定性差等問題，亟需從計算、網絡、存儲、軟件和運維等多層面協同優化。報告還提出了圍繞計算、存儲、網絡、開發工具鏈和運維等維度的評價指標體系，并通過分析Meta、螞蟻集團等企業的典型實踐案例，為行業構建高質量大模型基礎設施提供參考。未來，大模型基礎設施將與大模型一起迭代升級，為智能應用的規模化落地提供有力支撐。

05四部門發布《涉及國家安全事項的建設項目許可管理規定》

1月15日消息，近日，國家安全部、國家發展和改革委員會、自然資源部、住房城鄉建設部聯合發布了《涉及國家安全事項的建設項目許可管理規定》，該規定將于2025年3月1日起正式施行。該規定旨在規范涉及國家安全事項的建設項目許可管理工作，防范和制止間諜行為，維護國家安全。規定明確了涉及國家安全事項的建設項目范圍，包括在重要國家機關、國防軍工單位等周邊安全控制區域內的建設項目。這些項目在新建、改建、擴建時，需取得國家安全機關許可，并接受監督管理。

國外動態

01美國政府對人工智能模型和芯片實施出口管制

近日，美國商務部工業和安全局（BIS）發布了新規，對先進計算芯片和封閉式人工智能模型實施出口管制。根據新規， 受控實體需遵守數據加密、訪問控制和定期審計等特定要求。此外，美國將全球劃分為三個層級，根據層級決定各國獲取人工智能技術的限制程度。同時，新規對英偉達、AMD、微軟、谷歌、亞馬遜等公司提出了更為嚴格的出口限制和安全要求。此舉旨在建立一個值得信賴的人工智能技術生態系統，以保護美國國家安全，并維持其技術領先地位。

02美國太空軍授出網絡安全項目“數字獵犬”

近日，美國太空軍已將價值6.4億美元的“數字獵犬”（Digital Bloodhound）項目合同授予現代技術解決方案公司（MTSI），該項目旨在提升太空地面系統的網絡威脅檢測能力。根據合同條款，MTSI公司將向太空系統司令部（SSC）提供一系列服務，包括綜合項目管理、軟件開發與部署、系統維持保障以及云支持等。這些服務的目的是增強美國太空軍的網絡防御能力，從而有效保護太空軍網絡免受各類未授權的非法入侵、破壞和篡改行為。

03英國公布新的人工智能機遇行動計劃

近日，英國政府公布了“人工智能機遇行動計劃”，旨在通過大規模擴充計算基礎設施，將英國塑造為全球人工智能超級大國。該計劃的具體內容包括：（1）在全國范圍內設立多個人工智能發展區，建設數據中心，并簡化相關審批流程。計劃到2030年采購10萬塊GPU，以期將公共部門的人工智能算力提升20倍。（2）成立人工智能能源委員會，專注于探索利用可再生能源和核能為數據中心提供能源的可能性。（3）建立國家數據圖書館，以促進高校與私營部門之間的合作與交流。（4）與歐盟法案相比，制定更為寬松的人工智能監管框架，給予開發者更大自由度。

04美國海岸警衛隊發布法規《海事運輸系統的網絡安全》

近日，美國海岸警衛隊發布《海事運輸系統的網絡安全》法規，該法規要求各海事組織制定網絡安全計劃及采取其它網絡安全措施。具體而言，各組織的網絡安全計劃必須概述關鍵的設備安全措施，包括制定和更新已批準的硬件和軟件清單，禁用關鍵系統上的默認可執行應用程序，制定聯網資產庫存清單，記錄網絡地圖和網絡配置，以及采取數據安全措施（如保護日志和使用加密來保護敏感數據）。該法規還要求美國船舶、設施和外大陸架設施（通常是石油和勘探鉆井設施）的所有者和運營商，必須將響應程序的概要納入其事件響應計劃，包括明確關鍵的職責、責任和決策者。該法規還要求各組織指定一名網絡安全官員，以負責落實其組織的事件響應計劃及其它網絡安全計劃。

05美國海軍陸戰隊計劃采用現成生成式AI工具

近日，美國海軍陸戰隊計劃將更多生成式AI工具融入部隊，而非投入大量資金開發新工具。海軍信息部的副司令卡特指出，這些生成式AI工具為部隊帶來了獨特的機會，能夠提高作戰速度、增強決策準確性以及提升任務效率。海軍陸戰隊司令史密斯表示，整合新AI能力無需重大組織改組，將使用現有工具，避免研發成本。他強調需有效測試評估算法輸出，確保符合預期。數據隱私和安全是關鍵考慮，史密斯對年輕海軍陸戰隊員接受和應用AI有信心，認為他們熟悉相關技術，只需關注通信鏈路安全。

06拜登發布新網絡安全行政命令

近日，美國總統拜登發布最新網絡安全行政命令，旨在進一步加強美國的網絡安全。該命令在2021年網絡安全行政命令基礎上，聚焦軟件安全、供應鏈安全、開源軟件、聯邦系統安全及云服務等關鍵領域。新命令要求聯邦政府采取更嚴格軟件采購實踐，減少安全漏洞；強調聯邦機構需遵循NIST指南，加強供應鏈風險管理；關注開源軟件安全評估與修補；提升聯邦機構系統安全性，強化CISA威脅搜尋能力；并推動云服務提供商制定安全基線，保護聯邦數據。此外，命令還涉及量子科技，要求CISA發布支持后量子密碼學產品類別列表，各機構盡快實施相關密鑰建立技術。

07北約部署“波羅的海哨兵”系統保護海底基礎設施

近日，北約秘書長馬克·呂特等宣布啟動“波羅的海哨兵”系統，旨在加強波羅的海關鍵海底基礎設施保護。該行動由美國歐洲盟軍最高指揮官指揮，將使用護衛艦、海上巡邏機、海軍無人機等新技術，目標是保護關鍵基礎設施并應對潛在威脅。呂特強調海底電纜對能源供應、互聯網流量及金融交易的重要性。芬蘭武裝部隊曾扣留損壞電纜的油輪并調查。盟國正制定保護諒解備忘錄，尋求法律建議，將通過可靠供應鏈、網絡安全、海底監視及與私營部門合作增強基礎設施彈性，加強執法。

08美國思科公司推出新的人工智能應用安全解決方案AI Defense

近日，美國思科公司推出端到端解決方案AI Defense，以幫助企業確保人工智能應用程序的開發安全和使用安全。AI Defense包含四個主要組件：人工智能訪問、人工智能云可視性、人工智能模型與應用程序驗證，以及人工智能運行保護。該方案專注的領域則是對人工智能應用程序的訪問，以及人工智能應用程序的構建和運行。在后一領域，AI Defense可幫助企業識別受批準的人工智能應用程序，提供自動化測試來驗證人工智能模型的安全性，并通過運行保護功能來抵御提示語注入攻擊、拒絕服務（DoS）攻擊和敏感數據泄露等威脅。AI Defense解決方案預計將于2025年3月推出。

09隧道協議缺陷導致數百萬互聯網主機易受攻擊

近日，新的研究表明，隧道協議漏洞導致互聯網上超400萬套系統（包括虛擬專用網絡（VPN）服務器和家用路由器）容易受到攻擊。隧道協議用于在不同網絡之間傳輸數據，此類協議可讓系統將一個數據包封裝在另一個數據包中，從而允許網絡承載其并不支持的通信流量（如在IPv4網絡上運行IPv6）。此前的研究表明，IPIP/IP6IP6、GRE/GRE6、4in6和6in4等隧道協議更容易被濫用，導致IPv4主機可接受來自任何來源、未經身份驗證的IPIP流量。

10新興勒索軟件組織FunkSec利用AI技術發動攻擊

近日，網絡安全公司Check Point發布報告，揭示了一個名為FunkSec的新興勒索軟件組織。該組織自2024年底首次出現，聲稱在1個月內攻擊了超過80名受害者，成為12月中最活躍的網絡威脅。FunkSec可能由缺乏經驗的黑客組成，這些黑客試圖通過攻擊行為尋求曝光和認可。該組織向受害者索要的贖金金額異常低，有時僅為1萬美元，其受害者主要分布在美國、印度、意大利、巴西、以色列、西班牙和蒙古。FunkSec的最新版本勒索軟件FunkSecV1.5被命名為FunkSecV1.5，據推測，其創建者可能在阿爾及利亞上傳了該軟件。