2025年第39周安全周报 | 本周安全要闻速览
● 《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》发布
日前,全国网络安全标准化技术委员会秘书处发布通知(网安秘字〔2025〕125号),正式发布《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》。本《实践指南》描述了生成式人工智能服务安全事件的分类、分级方法和生成式人工智能服务安全应急响应过程的管理措施和技术方法,适用于生成式人工智能服务提供者以及相关部门开展安全应急响应活动。
来源:全国网络安全标准化技术委员会
● 生成式人工智能安全测评基准数据集1.0发布
随着技术的快速深入和应用的广泛落地,生成式人工智能应用新型风险不断涌现,传统的测试集暴露出覆盖场景单一、有效知识点不足、测试方式多样性欠缺等短板,难以有效适应模型应用形式变化、全面客观评估安全风险。面向生成式人工智能应用场景多元化、风险演变复杂化等发展态势,国家互联网应急中心日前依据《生成式人工智能服务管理暂行办法》、《生成式人工智能服务安全基本要求》等,构建并发布了安全测评基准数据集1.0。共包含3000个测试题,具有风险知识精细化、应用场景多元化、测试方法丰富三方面特点。1、测评内容方面,覆盖《生成式人工智能服务安全基本要求》中的5大类31小类风险,并结合工作实践细化成三级200余个子类,保障安全测评有效覆盖主要风险点;2、测试场景方面,覆盖聊天问答、写作创作、总结摘要、校对改写、智能回复等10个主流云端和移动端应用场景,多方位评估安全风险;3、测试方法方面,模拟10种潜在的恶用滥用方式,多手段挖掘隐蔽安全风险。本数据集的发布有助于为生成式人工智能安全测评提供基准和指引,促进多领域可信应用。
来源:国家互联网应急中心CNCERT
● 7项网络安全国家标准公开征集参编单位
日前,全国网络安全标准化技术委员会在网站发布公告,为了切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的实用性和质量,即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集《网络安全技术 网络安全漏洞分类分级指南》等7项网络安全国家标准参编单位,具体标准名称如下:
1、《网络安全技术 消费类智能联网设备安全要求》标准
2、《网络安全技术 网络安全漏洞分类分级指南》标准
3、《网络安全技术 集成电路芯片通用安全规范》标准
4、《网络安全技术 信息安全治理》标准
5、《数据安全技术 个人信息安全规范》标准
6、《数据安全技术 数据安全从业人员能力建设指南》标准
7、《网络安全技术 人工智能安全能力成熟度评估方法》标准
来源:全国网络安全标准化技术委员会
● 《人工智能服务未成年人伦理规范共识》正式发布
为进一步加强未成年人网络保护工作,推动人工智能技术健康有序发展,《人工智能服务未成年人伦理规范共识》于9月23日在北京文化论坛重要成果专场正式发布。在中央网信办网络管理技术局等部门指导下,中国网络空间安全协会于今年6月发布的《向未成年人提供生成式人工智能服务安全指引》引发广泛共识。此次协会协同各行业领域单位发布的《共识》,聚焦人工智能服务未成年人面临的现实挑战,从健康优先、内容保障、隐私守护、规则清晰、透明可信、协同共治、伦理先行等七个方面提出行业规范,倡导人工智能服务提供者在产品设计、内容管理、隐私保护、心理健康引导等方面切实履行社会责任,共同营造安全、健康、可信的数字环境。本次《共识》发布得到了科研机构、互联网企业、法律服务机构等多方积极响应。参与各方表示,《共识》的发布是行业自律与责任共担的重要举措,将有助于凝聚产业合力,推动人工智能在创新与安全中实现良性互动,为未成年人的健康成长提供更加坚实的保障。
来源:中国网络空间安全协会
● 欧盟首个国家层面的AI法案!意大利正式通过人工智能法
意大利9月17日正式批准《意大利人工智能法》,成为欧盟成员国中第一个拥有与《欧盟人工智能法案》完全对齐的国家级法律框架的国家。该法确立了以人为本、透明安全的核心原则,重点关注创新、网络安全、可访问性和隐私保护,要求人工智能决策可追溯并有人类监督,其适用范围涵盖医疗、就业、司法、教育及公共管理等多个关键领域。1、指定主管机构:指定国家网络安全局(ACN)和意大利数字化局(AgID)为主管国家机构。ACN通过检查权监督系统的适用性与安全性,AgID则负责在稳定的跨部门协调框架下为公民和企业推广安全的应用场景。2、建立战略规划机制:由数字化转型部(Dipartimento per la trasformazione digitale)统筹,ACN 和 AgID 参与,融合各领域专业监管机构,制定《国家人工智能战略》,每两年更新一次,每年向议会提交战略实施情况监测报告。3、启动投资计划:为加速提升竞争力和技术应用普及,启动一项总额10亿欧元的投资计划,重点扶持人工智能、网络安全及新兴技术领域的初创企业和中小企业,旨在促进技术转让与战略产业链发展。意大利率先在欧盟内部完成《人工智能法》的本土化立法,既体现了对欧盟统一监管框架的积极响应,也凸显了其在人工智能治理上的前瞻姿态。该法一方面通过明确主管机构与战略更新机制来强化风险防控,另一方面通过设立10亿欧元投资计划推动创新生态,兼顾“管制”与“赋能”。此举可能加速欧盟人工智能统一市场的规则标准化,未来,法案成效关键在于跨部门协调机制的执行力,以及监管与产业发展之间能否实现真正的动态平衡。
来源:意大利数字化转型部官网
● 美国加州议会通过《人工智能安全披露法案》
加州议会通过SB-53《人工智能安全披露法案》。该法案聚焦前沿AI模型,为大型或前沿人工智能系统的开发者设定了新的透明度要求,并包含了安全测试条款,针对年营收超5亿美元的AI公司强制要求发布安全框架,并在15天内报告重大事件,同时保护举报人权益。该法案旨在防范潜在安全风险,标志着美国人工智能监管进入新阶段。该法案现已提交州长纽森决定签署或否决。
来源:加州会议官网
● 英国将实施强制数字身份识别计划,或沦为“检查点之国”
据外媒报道,英国工党领袖基尔·斯塔默预计于下周工党会议上宣布实施强制数字身份识别计划,旨在打击非法移民。然而,该计划存在诸多风险,可能带来严重负面影响。该计划拟通过集中化数据库存储公民生物识别信息、银行记录等敏感数据,要求民众在公共服务、金融交易等场景使用数字ID验证身份,理论上可提升身份核验准确性,但存在数据泄露与滥用的潜在风险。反对者指出,大规模数据集中管理可能将英国变为“Checkpoint Britain”,即日常活动需频繁身份验证的社会,类似边境检查站的常态化监控。数据显示,已有超60%英国民众对数字ID的安全性与隐私保护能力表示质疑,呼吁政府在推进技术应用的同时,需建立严格的数据访问控制机制与透明化监管框架,平衡安全需求与公民权利。
来源:安全牛
● OTCC提出网络安全成熟度标准化框架,提升关键基础设施弹性
运营技术网络安全联盟(OTCC)针对近期关键基础设施网络攻击暴露的国家安全缺口,提出行业风险管理机构(SRMA)网络安全成熟度评估框架,核心解决联邦政府各 SRMA 网络安全成熟度不一致问题,尤其聚焦 OT 环境。框架由 ONCD 联合 CISA 实施,以 1-5 分制从 “领域专业知识、政策、风险评估、事件响应、跨行业协调” 五维度年度评估 SRMA:2-3 级需满足 70% 指标,4-5 级需全满足,1-2 级 SRMA 需提交年度改进计划。框架旨在对齐现有标准,指导联邦预算分配,推动公私协作,增强基础设施韧性,且强调结果导向而非合规形式主义,提及 2027 年时间紧迫性需加快行动。框架还明确各成熟度级别特征,建议优化现有协调机制(避免重复)、将 SBOM 纳入行业安全框架、建立可信供应商 registry;同时,SRMA 需制定统一绩效指标,助力各级政策制定者与行业制定协同改进计划,最终提升 OT 安全与国家关键基础设施整体韧性。
来源:Industrial Cyber
● 美国参议员提出两党法案,打击针对美国农业部门的外国网络攻击
美国内华达州民主党参议员马斯托与北卡罗来纳州共和党参议员巴德,联合提出两党合作的《农业网络安全法案》,核心为应对农业领域网络攻击激增问题(如霍尼韦尔 6 月报告所示),强化农业基础设施网络安全能力。法案计划修订旧法,要求农业部长联合国土安全部等,通过竞争性拨款或合作协议建立 5 个 “区域农业网络安全中心”,构建全国性网络(指定实体协调),覆盖种子、园艺、畜牧及供应链,开展技术研发(如态势感知系统、入侵防御工具)、攻防演练、人员培训,重点防范中、朝、俄、伊等国威胁;定义 “赠地院校” 为合格实体,授权 2026-2030 财年每年 2500 万美元拨款,旨在维护国家粮食安全与农业领域国家安全,获政界及学界支持。
来源:Industrial Cyber
● 联合国安理会首议AI安全治理问题
联合国安理会9月25日首次在会议中正式讨论了人工智能(AI)治理的重要性,强调全球合作以应对AI带来的伦理和安全挑战。会议认为,AI技术的迅猛发展可能导致严重的社会和经济影响,尤其是在军事和监控领域,应尽快建立一个安全、负责任的全球性AI应用生态系统。会议上,多个国家代表提出了建立国际标准和监管框架的必要性,以确保AI技术的安全使用。专家们强调,透明度和问责制是治理AI的关键要素,建议各国在技术开发和应用中遵循伦理原则。会议还讨论了AI在气候变化、公共卫生等领域的潜在应用,这些技术可以为全球问题提供创新解决方案,但缺乏有效的监管也可能导致技术滥用,进而加剧不平等和社会动荡。
来源:安全牛
