2023年第41周安全周报 | 本周安全要闻速

《商用密码应用安全性评估管理办法》已经2023年9月11日国家密码管理局局务会议审议通过，现予公布，自2023年11月1日起施行。《办法》共21条，秉持商用密码应用安全性评估工作系统性原则，将密码保障系统规划方案评估、网络与信息系统运行前评估、网络与信息系统运行后定期评估统一纳入商用密码应用安全性评估工作体系，细化落实了“三同步一评估”要求，体现了商用密码应用安全性评估系统性原则，明确了商用密码应用安全性评估实施依据。

工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委等六部门近日联合印发《算力基础设施高质量发展行动计划》，提出到2025年，计算力方面，算力规模超过300 EFLOPS，智能算力占比达到35%，东西部算力平衡协调发展。运载力方面，国家枢纽节点数据中心集群间基本实现不高于理论时延1.5倍的直连网络传输，重点应用场所光传送网（OTN）覆盖率达到80%，骨干网、城域网全面支持IPv6，SRv6等创新技术使用占比达到40%。存储力方面，存储总量超过1800EB，先进存储容量占比达到30%以上，重点行业核心数据、重要数据灾备覆盖率达到100%。应用赋能方面，打造一批算力新业务、新模式、新业态，工业、金融等领域算力渗透率显著提升，医疗、交通等领域应用实现规模化复制推广，能源、教育等领域应用范围进一步扩大。每个重点领域打造30个以上应用标杆。

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作，工业和信息化部研究起草了《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》。现向社会公开征求意见，截止时间为2023年11月8日。

近日，交通运输部发布《公路工程设施支持自动驾驶技术指南》（JTG/T 2430-2023，简称《指南》）。《指南》立足公路工程设施数字化、智能化发展趋势，从更好地支持车辆在公路上进行自动驾驶的需求出发，提出了公路工程设施支持自动驾驶总体架构和主要技术指标，将于今年12月1日起施行。

全国信息安全标准化技术委员会发布《生成式人工智能服务 安全基本要求》（征求意见稿）。文件给出了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施、安全评估等。文件适用于面向我国境内公众提供生成式人工智能服务的提供者提高服务安全水平，适用于提供者自行或委托第三方开展安全评估，也可为相关主管部门评判生成式人工智能服务的安全水平提供参考。

拜登政府针对各联邦部门拟定了一套全新标准化网络安全采购要求，适用于与非机密联邦信息系统合作的承包商。《联邦公报》10月3日发布的通告称，这项拟议规定将对《联邦采购规则》（FAR）进行修订，为联邦信息系统相关合同设定网络安全最低要求，各机构不得再自行设定要求。通告称，云系统和本地系统的合同要求将有所不同。一旦新要求生效，各机构将需要更新各自合同的网络安全要求。他们需要删除与新版《联邦采购规则》最低要求重复的规定，但可以保留高于最低要求的其他规定。目前，不同联邦机构合同的网络安全要求各异。这带来了多种风险，包括合同之间安全要求不一致、额外成本、限制竞争等。通告指出：“拟议规定提出了一套适用于（联邦信息系统）的最低网络安全要求标准，从而确保这些系统能更好地预防网络威胁。”

英国已与澳大利亚、加拿大、日本和美国结盟，成为名为“全球电信联盟”(GCOT) 的新全球联盟的一部分，以加强电信安全、弹性和创新方面的协调。这些国家将利用该联盟来帮助确保通信网络在面临供应链中断和网络攻击等挑战时能够保持弹性和适应性，从而增强它们在最关键时刻保持联系的能力。GCOT旨在增强通信网络的弹性，并探索研发、信息共享和国际推广方面的合作。英国科学、创新和技术部；澳大利亚基础设施、交通、区域发展、通讯和艺术部；加拿大创新、科学和经济发展部；日本总务省；和美国国家电信和信息管理局(NTIA)已承诺建立GCOT来协调支持这些共同目标的多边举措。GCOT是迄今为止最广泛的国际组织，专注于其联合意向声明中概述的具体优先事项。GCOT合作伙伴希望重点关注的主题包括但不限于电信供应链多元化；6G和未来电信；电信安全和弹性；电信技能；以及协调一致的电信标准制定方法。

西班牙欧洲航空公司的在线支付系统遭受网络攻击后，于10月9日该公司建议其客户取消信用卡。在路透社报道的一份声明中，该航空公司表示：“没有证据表明此次泄露最终被用来实施欺诈。” 没有关于网络攻击的性质或来源的信息。航空公司和相关金融机构正在向受影响的客户发送电子邮件。客户被警告，任何用于在其网站上付款的银行卡都应被取消和更换，“以防止可能的欺诈性使用您的信息”。