​2023国内外网络安全领域十大进展 | 八月

量子保密通信领域三项行业标准正式实施

工业和信息化部发布的三项量子保密通信相关的行业标准正式落地实施。三项标准分别是：《量子保密通信网络架构》（YD/T 4301-2023）《量子密钥分发（QKD）网络 网络管理技术要求 第1部分：网络管理系统（NMS）功能》（YD/T 4302.1-2023）《基于IPSec协议的量子保密通信应用设备技术规范》（YD/T 4303-2023）。据了解，这三项标准由中国信息通信研究院、国科量子通信网络有限公司、国盾量子等共同参与制定，从设计、部署、管理等方面进一步规范了量子保密通信网络的建设，并对量子保密通信产品设计和安全测评提供权威指导，推动有关设备产品的安全应用。

我国牵头提出的两项网络安全国际标准正式发布

由我国牵头提出的两项网络安全国际标准ISO/IEC 27071:2023《网络安全 设备与服务建立可信连接的安全建议》和ISO/IEC 24392：2023《网络安全 工业互联网平台安全参考模型》已正式发布。ISO/IEC 27071给出了设备和服务建立可信连接的框架和安全建议，包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该国际标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景，例如移动支付、车联网、工业物联网等，有助于提升数据从设备中采集到服务的全过程的安全性。

半导体量子芯片电路载板研制成功

我国科研团队成功研制出第一代商业级半导体量子芯片电路载板，该载板最大可支持6比特半导体量子芯片的封装和测试需求，使得半导体量子芯片可更高效地与其他量子计算机关键核心部件交互联通，将充分发挥半导体量子芯片的强大性能。

工信部：将推动出台《关于促进网络安全保险规范健康发展的意见》

工信部在答复人大代表关于支持福建探索发展数据安全保险的建议时表示，下一步，工信部将会同金融监管总局等部门，持续推动网络和数据安全保险发展，推动出台《关于促进网络安全保险规范健康发展的意见》，鼓励地方提供保险购置减税、保险购买补贴等政策，支持中小企业购买网络安全，构建网络安全风险管理体系，营造网络安全保险健康发展的政策环境。

国家认监委：修订网络关键设备和网络安全专用产品安全认证实施规则

国家认监委修订完善了《网络关键设备和网络安全专用产品安全认证实施规则》。公告如下：一、新版规则自发布之日起实施。《关于发布网络关键设备和网络安全专用产品安全认证实施规则的公告》（国家认监委2018年第28号公告）同时废止。二、此前已经颁发的有效安全认证证书可继续使用，证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。

国家标准《信息安全技术 数据安全风险评估方法》公开征求意见

信安标委发布国家标准《信息安全技术 数据安全风险评估方法》征求意见稿。标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法，适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

《可信数据流通平台评估要求》等3项可信数据服务行业标准发布

中华人民共和国工业和信息化部公告（2023年第17号）批准一批行业标准，其中包含中国信通院牵头编制的3项可信数据服务行业标准。《可信数据服务 金融机构外部可信数据源评估要求》标准主要介绍了金融机构引入外部数据时对于数据提供方企业和所引入数据进行可信评估的评估内容和评估方法。《可信数据服务 可信数据供方评估要求》标准主要介绍了数据供方提供可信数据服务时在产品管理、产品供应管理等方面需满足和体现的服务能力与服务质量的要求。《可信数据服务 可信数据流通平台评估要求》标准主要介绍了数据流通平台提供可信数据服务时在平台管理、流通参与主体管理、流通品管理、流通过程管理等方面需满足和体现的服务能力与服务质量的要求。

《信息安全技术 重要数据处理安全要求》等4项网络安全推荐性国家标准计划下达

国家标准化管理委员会下达的推荐性国家标准计划中，包括4项由全国信息安全标准化技术委员会归口的标准项目。全国信安标委表示，项目所属工作组制定项目推进计划，并督促项目牵头承担单位按计划抓紧落实，在计划执行中要加强协调，广泛征求意见，确保标准质量和水平，按要求完成国家标准制修订任务。

自然资源部：推动测绘地理信息数据安全有序开放

在自然资源部召开8月份例行新闻发布会上，自然资源部国土测绘司司长张继贤答记者问表示，自然资源部立足自身职责，聚焦制度政策供给，围绕“促进”“推动”，主要是在强化政策支撑、优化产业生态上下功夫，助力地理信息产业发展。主要有4个方面的举措：一是开放基础数据资源；二是积极探索制度创新；三是着力优化产业生态；四是充分发挥测绘地理信息行业协会作用。

CNNIC首项路由安全国际标准在IETF正式发布

由中国互联网络信息中心（CNNIC）延志伟研究员主导的国际标准“Avoiding Route Origin Authorizations (ROAs) Containing Multiple IP Prefixes”（编号RFC9455/BCP 238）在互联网工程任务组（IETF）正式发布。该标准作为RPKI（互联网码号资源公钥基础设施）协议系列标准的重要组成部分，对RPKI路由源授权（ROA）中包含多IP前缀的相关风险进行了阐述，并明确建议在ROA签发过程中采用单IP前缀策略。

国外

新法案将要求所有联邦承包商制定漏洞披露政策

新法案《联邦网络安全漏洞减少法案》，旨在为所有联邦承包商建立标准化的漏洞披露政策。该法案还特别呼吁国防部为所有承包商制定新的要求，以便在六个月内实施标准化的漏洞披露政策，并要求国防部长修改当前的采购法规，以包括对面临潜在安全漏洞的承包商的新信息共享要求。政府创新监督小组委员会主席表示：通过强制联邦承包商的漏洞披露政策，可以确保采取积极主动的网络安全方法，使承包商能够领先于恶意行为者，防止潜在的漏洞利用并保护敏感信息。

纽约推出首个全州网络安全战略

美国纽约发布《纽约州网络安全战略》，战略提出全国领先的愿景蓝图，通过建立五个战略支柱（安全弹性运营网络、与主要利益相关者协作、监管关键行业、传达网络安全建议和指导、发展网络安全劳动力和经济）实现保护关键基础设施、数据网络和技术系统免受恶意攻击，以确保纽约州在面对网络威胁时做好准备并具有弹性。此外，纽约州政府还签署加强技术人才库的立法，并承诺投入6亿美元予以实现该战略。

白宫加强开源软件安全性

国家网络总监办公室（ONCD）公开征求对开源软件安全和内存安全编程语言的意见，旨在进一步推进开源软件倡议（OS3I）工作，确定最适合政府优先考虑的重点领域，并解决以下关键问题：如何降低开源软件中最重要的系统性风险、如何帮助促进开源软件社区的长期可持续性、如何从技术和资源角度实施开源软件安全解决方案。该征求意见为实现《国家网络安全战略》《国家网络安全战略实施计划》等关于“促进开源软件安全和内存安全编程语言的采用”“投资于安全软件的开发，包括内存安全语言和软件开发技术、框架和测试工具”的倡议。

白宫发起AI网络挑战赛以识别和修复开源软件漏洞

白宫周三宣布了一项针对网络安全研究人员的竞赛，旨在刺激使用人工智能（AI）来识别和修复软件漏洞。参加由国防高级研究计划局领导的“人工智能网络挑战赛”的团队可以赢得价值高达18万美元的奖金。该机构还为参与的小企业额外分配了5万美元的奖金。作为竞赛的一部分，研究人员将使用人工智能技术来修复软件漏洞，特别关注开源软件。领先的人工智能公司Anthropic、谷歌、Microsoft和OpenAI将使其技术应对挑战。

DISA接管 SharkSeer 网络工具的控制权

国家安全局（NSA）将开发的SharkSeer项目移交给国防信息系统局（DISA），负责管理、运营网络防御工具。SharkSeer项目是一个政府、商业、开源系统组成的工具，用于边界网络防御，旨在通过使用自动和阻止机制检测和阻止恶意网络流量，以帮助确保国防部信息网络安全，并生成独特的威胁数据内容，使其他防御平台能够减轻威胁。未来，DISA将通过零信任架构、多因素身份验证及基于云的安全工具进一步开发该系统。

美陆军计划为Tactical Edge提供进攻性网络工具

美陆军正在进行一项研究计划，旨在为战术边缘（Tactical Edge）提供战略级进攻性网络能力。该计划研究内容包括可根据任务定制进攻性网络工具等。据悉，该项研究工作目前已开展了2个月时间，重点关注对手的C4I系统、武器系统和关键支持基础设施，进攻性工具将能够针对特定的威胁环境进行远程定制，未来还将寻求获取战术指挥官的反馈并收集更多数据，从而加快处理数据速度，提高在竞争性网络环境中发现对手的能力。

美推出联合网络行动中心系统

在美、澳、日等多国举行的“护身符军刀（Talisman Saber）”演习期间，美国首次透露了联合网络行动中心（CJ-NOSC），可提供一个系统帮助美军和盟友共享通信、目标及其他数据，包括聊天、语音和视频等数据。CJ-NOSC充分利用了数字孪生战场技术，围绕任务构建透明的信息和数据呈现，在保证分级保密水平的前提下可以有效发布各种信息。

DISA推出新型OCONUS云功能

国防信息系统局（DISA）将私有云产品“层云（Stratus）”扩展至美国本土以外（OCONUS）地区，部署于夏威夷珍珠港-希卡姆联合基地，标志着该机构迈向建立全球云基础设施、数据同步互连工作的重要一步。此外，DISA正在与国防部首席信息官、特种作战司令部合作，推出联合作战边缘（JOE）计划，并于夏威夷进行试点。JOE是一个由大型边缘计算系统组成的互连网络，旨在提供平台即服务、基础设施即服务以及整个国防部的其他企业服务产品。

CISA举行为期三天的演习以确保选举安全

美国网络安全和基础设施安全局（CISA）举办了为期三天的名为“桌面投票”的选举安全演习，为2023年和2024年选举期间潜在的网络和物理事件做准备。该演习使与会者能够分享规划、准备、识别、应对和恢复做法，以确保选举安全。

CISA表示，包括国土安全部情报和分析办公室、司法部、联邦调查局和国家安全局在内的参与者分享了有助于确保选举安全的规划、准备、识别、响应和恢复实践。

NIST更新网络安全框架2.0

美国国家标准与技术研究院（NIST）发布了网络安全框架2.0初稿，范围、指南发生重大变化，更加强调灵活实施的建议。基于已有的“恢复、识别、响应、检测、保护”五大支柱，新框架加入第六个支柱“治理”，旨在促进新的框架集成方法，并将流程重新集中在组织网络安全风险管理态势中的个人角色和责任。此外，新框架还促进了将其他指导文件整合到实体的网络安全态势中，例如人工智能风险管理框架和安全软件开发框架。为了促进采用，NIST扩展了有关实现更多定制框架配置文件的指南，通过将组织的个人业务需求和资源与 NIST 的网络安全成果相结合，帮助组织建立更多自定义路线图。