• 前言

4月，全球網絡安全領域迎來多維度變革。英國發布《網絡安全與韌性法案》，強化關鍵基礎設施保護并首次將數據中心納入監管；美國DARPA啟動“Red-C”項目，以總線級彈性技術應對武器系統威脅，國防部更提出2035年實現武器系統“零信任”的雄心目標。與此同時，量子通信邁入新階段，英國投資5400萬美元建立綜合量子網絡中心，而美國軍方則聚焦人工智能與工業控制系統安全，從AI決策支持到OT攻防演練，多線推進技術防御升級。這些事件不僅凸顯網絡空間博弈的激烈，更揭示了技術、政策與國際協作在應對新型威脅中的重要作用。

01 中國披露美國入侵加密公司竊取數據事件

中國國家計算機網絡應急技術處理協調中心（CNCERT）披露，美國情報機構對中國一家主要商業密碼提供商發動復雜網絡攻擊，呈高級持續性威脅（APT）特征。攻擊者利用公司客戶關系管理（CRM）系統的未公開漏洞建立初始攻擊向量，進而部署專門木馬進行指揮與控制操作。該惡意軟件在技術上與美國情報行動相關工具相似，攻擊方法與之前記錄事件類似，通過后門和遠程訪問木馬建立持續訪問，并利用橫向移動技術擴大在網絡中的存在范圍。攻擊者建立控制權后，利用隱身技術執行數據泄露操作，從CRM系統轉移至產品管理系統，最終到達包含專有加密實現的代碼存儲庫，導致約950MB敏感數據及6.2GB的專有加密研究和開發代碼泄露。

02英國發布《網絡安全與韌性法案》強化關鍵基礎設施保護

英國科學、創新與技術部（DSIT）正式發布《網絡安全與韌性法案》政策聲明，擬對現行網絡安全監管體系進行全面升級。該法案主要包含三大核心改革措施：（1）擴大監管范圍至數據中心等數字服務供應鏈；（2）強化監管機構職權，要求企業強制報告網絡攻擊事件；（3）建立動態調整機制應對AI等新興技術威脅。政策聲明特別指出，當前僅不到10%的基礎服務運營商能有效管理供應鏈風險，而針對國家醫療服務體系（NHS）和國防部的近期攻擊事件凸顯立法緊迫性。法案創新性引入四項補充措施：將數據中心納入關鍵國家基礎設施清單、發布監管機構戰略優先級聲明、授予國務大臣網絡安全緊急處置權，以及建立跨部門協同監管機制。英國國家網絡安全中心（NCSC）同步推出《特權訪問工作站八項原則》，為高風險環境提供操作規范。

03美國DARPA啟動面向單一設備的網絡彈性項目Red-C

美國國防先進研究項目局（DARPA）發布單機網絡彈性項目“在受損期間恢復基于總線的系統”（Red-C）項目的泛機構公告（編號：HR001125S0005）。Red-C項目旨在改造各總線組件的固件，使其成為取證傳感器，以便在網絡攻擊期間監控相鄰的部件，從而檢測和修復系統，并使系統之后能抵御類似攻擊。Red-C項目將專注于“外圍組件的高速互連”（PCIe）總線和“計算高速鏈路”（CXL）總線，并解決以下3項挑戰：（1）實現關鍵部件儀表化，使之能彼此監控，從而提供高分辨率傳感能力；（2）開發分布式算法，使各組件能獨立執行從攻擊檢測到全力恢復等任務；（3）論證在線總線恢復和固件改造方案，以消除現代總線的級聯隱性信任缺陷。

04美國防部提出2035年實現武器系統零信任的目標

美國國防部計劃以2035年為節點，在戰斗機、坦克、艦船等武器系統中全面部署零信任架構。根據2022年《國防授權法》要求，美軍零信任戰略分三階段推進：2027年前完成信息技術（IT）系統、2030年前完成作戰技術（OT）系統、2035年前完成武器系統的部署。隨著關鍵基礎設施遭受攻擊事件增加，零信任辦公室已于2024年11月將工作重點轉向OT系統改造，并將于2025年10月發布實施OT零信任的相關指南。OT系統計劃在2030年前全面實現零信任架構。對于武器系統，相關技術方案仍處于“萌芽階段”。

05英國啟動綜合量子網絡中心

英國啟動由赫瑞瓦特大學牽頭、聯合12所大學、2個國家實驗室和40多個行業合作伙伴共同組建的綜合量子網絡中心（IQN Hub），以加速部署安全且可擴展的量子通信基礎設施。該中心投資超4200萬英鎊（約合5400萬美元），旨在按照英國政府《2035年量子戰略》的規劃，解決與量子網絡相關的技術和工程挑戰。該中心將開發可擴展量子網絡所需的底層技術，包括高性能量子光源、低噪聲探測器和穩固型量子開關等。該中心還將與各國家機構合作，制定新的量子安全通信標準。該中心還將在量子處理器之間建立局部鏈路，擴大基于光纖的量子網絡，以及將量子網絡與衛星通信相集成。為此該中心將開發具有足夠相干時間的量子存儲器，以用作量子鏈路上的中繼器。該中心還將設計能與現有光纖基礎設施相銜接的協議，以確保未來量子硬件的兼容性。

06美國陸軍發布《網絡安全服務供應商協調指南》

美國陸軍首席信息官發布《網絡安全服務供應商協調指南》，該指南旨在為系統所有者（SO）提供戰略指導，并要求在陸軍的統一網絡中使用經授權和認證的網絡安全服務供應商（CSSP）。該指南指出，陸軍網絡司令部（ARCYBER）和陸軍指揮、控制、通信、計算機、網絡、情報、監視和偵察中心（C5ISR）是僅有的兩個獲得認證授權的CSSP，其中ARCYBER負責提供一般性的CSSP服務，C5ISR負責為商業和私有云環境中的系統和網絡提供CSSP服務。此外，該指南還要求SO在機構任務保障支持服務期間記錄CSSP的合規情況，遵守CSSP規定的網絡安全上報要求，并共享系統安全信息。

07美國國防情報局尋求人工智能決策技術

美國國防情報局（DIA）發布招標書（編號：HHM402-23-SC-0002-0001），以向企業界尋求基于人工智能和機器學習的決策支持技術。該招標書主要關注以下三個技術領域：多模型大語言模型（LLM）應用；多源數據檢索和預處理；支持人工智能的文檔生成和評估。該招標書要求投標方必須滿足以下要求：擁有直觀的用戶界面，且能選擇不同的大語言模型；配備用于快速優化的輸出緩存；允許用戶將文檔上傳到臨時內存；具備輸出顯示功能；適用于超過2000個并發用戶的大型分布式用戶群，并具備用戶身份驗證和網絡安全功能；能輕松集成檢索增強生成（RAG）、媒體生成和智能體功能；能夠從不同的來源檢索數據，對檢索到的數據進行預處理，并具備數據存儲管理功能；能將快速收集的大量數據集成到現有和新的工作流程中；必須包含網絡安全功能，并可存儲不同密級的數據；支持細粒度的數據權利管理，能與在不同密級間移動數據的跨域解決方案相集成，并為大語言模型構建矢量數據庫。

08美國IARPA啟動下一代AI網絡安全研究計劃

美國情報高級研究計劃局（IARPA）局長里克·穆勒透露，該機構正將大語言模型（LLM）列為下階段人工智能網絡安全研究的核心方向。穆勒在情報與國家安全聯盟活動中指出，研究重點包括：識別LLM訓練偏差導致的意外后果、防范機密數據泄露風險（即使通過精心設計的提示詞觸發），以及應對模型幻覺問題。當前TrojAI項目（2019年啟動的AI系統防木馬計劃）即將收官，新研究將繼承其跨圖像分類、自然語言處理等領域的多模態安全防護經驗。IARPA曾于2023年9月與美國國家標準與技術研究院（NIST）聯合舉辦AI訓練數據防篡改挑戰賽，持續推動AI安全前沿探索。

09美國NSA發布《國家安全系統智能控制器網絡安全指南》

美國國家安全局（NSA）發布《國家安全系統智能控制器安全指南》技術報告，針對工控系統的OT與IT網絡融合帶來的新型風險提出防護措施。報告指出，智能控制器因普遍缺乏默認安全配置，成為高價值攻擊目標，尤其老舊OT系統風險突出。NSA建議采取三項核心措施：定期測試更新OT固件/軟件（涵蓋主機、嵌入式設備及網絡設備），強制禁用無線接口默認模式，以及參照NIST標準與美國國際標準管理局（ISA）技術要求建立防護體系。該研究同時支持“OT保障合作伙伴計劃”試點項目，相關成果將提交美軍情報支援行動標準委員會，用于工業自動化控制系統未來安全標準更新。此次指南是NSA繼2月發布邊緣設備防護策略后，針對關鍵基礎設施安全的又一舉措。

10美國CISA舉辦針對工業控制系統的網絡攻防演練

美國網絡安全與基礎設施安全局（CISA）在其位于愛達荷州的“控制環境實驗室資源”（CELR）實驗室中，與來自國土安全部科學技術局、愛達荷國家實驗室（INL）、路易斯安那州立大學和關鍵基礎設施運營商的代表，共同舉辦了針對工業控制系統的網絡攻防演練。此次演練為期2天，旨在檢驗和應對針對人機界面（HMI）、監控與數據采集（SCADA）系統以及可編程邏輯控制器（PLC）等工業控制系統的網絡攻擊。此次演練使用了CELR實驗室中的化學處理平臺，參演方需在真實的信息技術（IT）和運營技術（OT）流量環境中，抵御來自紅隊的攻擊。CISA表示，此次演練有助于加強關鍵基礎設施運營方的網絡搜尋能力和網絡事件響應能力。