2024年第29周安全周报 | 本周安全要闻速览

日前，全国网络安全标准化技术委员会归口的国家标准《数据安全技术 个人信息保护合规审计要求》现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，全国网络安全标准化技术委员会秘书处现已将该项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站，截止时间于2024年9月11日24:00前。

随着人工智能产业的高速发展，如何利用大模型技术来有效提升网络安全保障水平已成为网络安全领域的热点研究方向。针对当前网络安全行业存在的安全能力不足、运营效率低下、产品协同困难、安全专家缺乏等诸多问题，国内众多网络安全从业组织正积极探索大语言模型等人工智能技术在安全领域的应用，并相继推出各具特色的安全大模型相关产品，以提升整体网络安全保障能力。为进一步规范安全大模型的设计、开发与应用，中国信息通信研究院依托人工智能产业联盟（AIIA）安全治理委员会，联合多方研制了《安全大模型能力要求及评估方法》系列规范，共包含5部分。其中，《安全大模型能力要求与评估防范 第1部分：总体框架》和《安全大模型能力要求与评估防范 第2部分：基础网络安全》已于近日正式发布。

澳大利亚政府在2023-2024财年结束之际，由网络和基础设施安全中心（CISC）宣布关键基础设施风险管理计划（CIRMP）年度报告将开放，要求责任实体在规定时间内使用风险管理计划年度报告表完成报告，并在2024年8月17日前开发、实施、管理和维护网络安全框架。此举体现了澳大利亚政府确保数字产品和服务安全、可靠、适用性强的承诺。面对快速增长的网络威胁，澳大利亚强调了在运营技术（OT）和工业控制系统（ICS）网络安全方面开展国际合作的重要性，以应对不断演变的威胁。澳大利亚拥有包括《保护性安全政策框架》（PSPF）和《2018年关键基础设施安全法》在内的多种机制，以确保数字产品在设计和默认情况下都是安全的。此外，澳大利亚政府将继续考虑采取有针对性的行动来确保OT和ICS环境中使用的设备网络安全，并与国际伙伴合作共享方法和经验教训，以应对无国界的网络攻击，加强事件响应和有效恢复。

鉴于近期破坏性网络攻击频发，三名美国参议员提出《医疗网络安全法案》，旨在加强医疗保健和公共卫生部门的网络安全。该法案指示网络安全和基础设施安全局（CISA）与卫生与公众服务部（HHS）合作，提供网络威胁指标和防御措施资源，并设立专门的HHS联络处，以协调网络安全事件。参议员们强调，网络攻击对医疗系统构成严重威胁，影响患者数据安全和医院运营，导致医疗费用上涨。法案旨在通过联邦合作和资源支持，保护患者数据和医疗服务提供者，提升网络安全基础设施和响应能力。

英国新政府宣布计划推出《网络安全与弹性法案》，更新国家网络安全法规。新法案将包括勒索软件攻击的强制报告要求，但适用范围限于“受监管实体”，而非整个私营部门。尽管如此，受监管实体的范围可能会扩大，包括托管服务提供商（MSPs）。该法案旨在通过增加事件报告，为政府提供更好的网络攻击数据，包括公司被勒索的情况，从而提高对威胁的理解和预警潜在攻击的能力。法案还将授权关键基础设施公司的行业特定监管机构确保“基本的网络安全措施”得到实施，并赋予这些监管机构“潜在的成本回收机制”和“主动调查潜在漏洞的权力”。尽管勒索软件事件在英国持续创下新高，但现行法律对报告门槛设定较高，导致报告数量较低。新法案的出台可能会降低这些门槛，提高网络安全的整体标准。

拜登政府在保护美国关键基础设施免受网络攻击的计划上遭遇重大挫折。美国最高法院在Loper Bright Enterprises诉雷蒙多案中废除了雪佛龙原则，削弱了政府依靠现有法律来加强网络安全的策略。法院现在需要自行解释法律，而不是依赖各机构的意见。这一变化直接影响了医院、供水系统、发电厂等关键基础设施的网络安全计划。拜登政府的一项关键法规要求关键基础设施组织在遭遇网络攻击后72小时内报告，并在24小时内报告支付赎金的情况。然而，这些规定被企业界批评为过于严格，特别是在涵盖实体、涵盖事件和可报告信息列表的定义上，认为这些定义超出了法律预期。法院废除雪佛龙原则后，这些规则可能面临更多法律挑战。最高法院的决定可能导致各联邦机构重新考虑其网络安全策略。

俄罗斯杜马信息政策委员会主席18日宣布，正在准备修正《通信法》和《个人身份识别和认证法》。新法案旨在加强对通信用户身份识别的控制，解决“灰色”SIM卡泛滥问题，以遏制电话诈骗、恐怖主义和极端主义等网络犯罪。法案要求电信运营商将用户信息上传至国家服务门户网站，并追究不法运营商的责任。此外，法案还提议将即时通讯工具等同于电信运营商，施加相同的监管要求。根据新规，现金充值和购买SIM卡需出示护照，且需在内政部数据库中验证护照数据。政府预计在春季会议结束前通过此举，每张违规SIM卡将面临最高1万卢布的罚款。