2025年第6周安全周报 | 本周安全要闻速览
● 欧盟发布《人工智能法》禁止的人工智能行为指南
欧盟委员会于2月4日正式发布140页的《欧盟委员会关于禁止人工智能系统实践的指南》,对包括被禁止的人工智能类型进行了详细的说明。需要注意的是,该类被禁止开发和投入的人工智能规则已于2025年2月2日起生效。该指南目前仍以草案形式发布,但这是因为正式通过和应用仍有待时日,因为欧盟仍需要用多种官方语言制作译文。欧洲议会和欧盟理事会于 2024 年 6 月 13 日颁布的第 2024/1689 号条例(欧盟)规定了人工智能的统一规则并修订了某些条例("人工智能法"),该条例于 2024 年 8 月 1 日生效。人工智能法开创性地采取了基于风险的方法,将人工智能系统划分为不可接受的风险、高风险、透明度风险、最小至无风险四个不同的风险类别。按照梯度生效程序,自 2025 年 2 月 2 日起,《人工智能法案》的第一批关键条款开始适用,包括有关人工智能素养和禁止的人工智能行为的条款。法案第 5 条列出了构成不可接受风险的被禁止的人工智能行为,包括操纵技术、利用漏洞、社交评分、犯罪风险分析、未经授权的面部识别、情感推断、生物特征分类,以及 "实时 "生物特征识别的某些用途。而法案第 4 条规定了任何提供或操作人工智能系统的人都必须具备人工智能专业知识,要求人工智能系统提供商和部署商确保员工在技术知识和人工智能系统使用环境的基础上得到充分的培训和信息。除通用人工智能模型和处罚条款将于 2025 年 8 月 2 日起执行外,《人工智能法》的其余条款将于 2026 年 8 月 2 日起执行。欧盟委员会的指南不具有强制约束力,欧洲联盟法院("CJEU")可能是对人工智能法案的权威解释机构。
来源:安全内参
● 欧盟发布《AI系统定义指南》:如何辨别真假AI系统
欧盟委员会于2月6日发布了第二个重要指南----《人工智能系统定义指南》。又一个重要的人工智能法案配套指南!通过发布人工智能系统定义指南,旨在协助提供商和其他相关人员确定软件系统是否构成人工智能系统,以促进规则的有效应用。 不是AI系统就不需要遵守欧盟《人工智能法案》。这一次,《人工智能系统定义指南》详细定义了人工智能需要符合的七个要素特征。以下是对指南人工智能定义的七个要素的总结:1. 基础系统 (Underlying System,人工智能系统意味着一个基于机器的系统。2. 自主性 (Autonomy)自主性指的是AI系统被设计为在一定程度上能够独立操作。3. 适应性 (Adaptability),指系统在部署后能够学习并调整自身行为。4. 目标 (Objective),AI系统的设计始终是为了实现某个明确或隐含的目标。5. 推断能力 (Inference Ability),指系统能够从输入中得出特定的输出。6. 输出类型 (Output Types),包括预测、内容、建议和决策。7. 与环境的互动 (Interaction with Environment),AI系统的输出不仅仅是反应性的,而且可以积极影响其所处的环境。除此外,根据欧盟委员会关于人工智能系统定义的指导方针特别说明,以下四类系统不属于人工智能系统:一是改进数学优化的系统,二是基本数据处理系统,(注:比如我们常见的EDI电子商务平台系统),三是基于经典启发式算法的系统,四是简单预测系统,例如用历史平均气温预测明日天气。上述四类系统的共同特征在于其核心功能依赖传统方法、固定规则或简单统计,缺乏自主性、适应性或基于人工智能技术的推理能力,因而未被纳入《人工智能法案》的监管框架。
来源:安全内参
● 英国网络监测中心正式启动:提升网络事件评估与响应能力
英国新成立的网络监测中心(Cyber Monitoring Centre, CMC)于 2025 年2 月6 日正式启动,旨在以更清晰和精确的方式衡量网络事件。CMC 的工作方法将借鉴用于物理事件的测量标准,例如地震的里氏震级和飓风的萨菲尔-辛普森风速等级。该中心由英国保险行业建立,作为一个独立的非营利组织,经过一年的隐秘筹备后,首次公开亮相。CMC的主要目标是监测网络事件,并对其强度和对英国组织的影响进行分类。CMC将免费提供其调查结果,包括事件分类,以帮助企业和个人更好地理解网络事件的影响,减轻其对人们生活的影响,并改善网络韧性和响应计划。CMC 的成立标志着英国在网络安全领域迈出了重要一步,旨在通过系统化的监测和评估,提升对网络事件的理解和应对能力。这一举措不仅有助于提高企业和个人的网络韧性,也为国际网络安全合作提供了新的视角和方法。
来源:infosecurity-magazine
● 五眼联盟发布网络边缘设备安全指南,强调取证可见性
英国、澳大利亚、加拿大、新西兰和美国的“五眼”网络安全机构联合发布指导文件,呼吁网络边缘设备制造商提高取证可视性,以帮助防御者检测攻击并调查违规行为。相关文件包括《网络设备和器具生产商的数字取证和保护监测规范指南》和《边缘设备的安全注意事项(ITSM.80.101)》。边缘设备(如防火墙、路由器、VPN网关、OT系统和IoT设备)因缺乏端点检测和响应(EDR)解决方案、定期固件更新及强身份验证,成为国家支持和经济动机攻击者的主要目标。这些设备通常配置不安全,日志记录有限,使其容易被利用以访问内部网络。CISA指出,外国对手常利用边缘设备漏洞渗透关键基础设施,造成巨大损失。NCSC建议制造商默认启用强大的日志记录和取证功能,以支持网络防御。此外,CISA发布多项“安全设计”警报,要求供应商修复漏洞并停止使用默认密码,以应对日益复杂的网络威胁。
来源: 网空闲话plus
● 加拿大政府推出新的国家网络安全战略
加拿大政府2月6日推出新的国家网络安全战略,为通过国内和国际努力加强当前和未来的网络安全提供指导,旨在确保加拿大的数字化未来。该战略提出,网络安全风险不仅威胁着数字基础设施,还威胁着加拿大民众和企业赖以生存的关键服务;面对仍在不断演变和增长的网络威胁,加拿大必须做好准备、不断适应并采取更多行动,培养和利用自身所有集体能力;确保加拿大网络安全与繁荣依赖于强大的网络安全,网络安全必须成为国家安全、经济安全和公共安全的基本基石;加拿大网络安全方针将以两项总体原则为指导,包括“全社会参与”和“敏捷领导力”;该战略将重点采用上述方针,并在“三大支柱”下取得成果,包括与合作伙伴携手保护加拿大民众和企业免受网络威胁、让加拿大成为全球网络安全行业的领军者、检测并阻止网络威胁行为者。
来源:奇安网情局
● 美国重新推出《网络PIVOTT法案》以解决网络安全劳动力缺口
田纳西州共和党众议员、美国众议院国土安全委员会主席马克·格林再次提出《网络PIVOTT法案》,旨在解决美国面临的网络安全人才短缺问题。该法案首次在第118届国会期间提出,目标是通过建立全额奖学金计划,培养更多熟练的网络安全专业人员。该计划仿照预备役军官训练团(ROTC)模式,为攻读两年制学位的学生(主要在社区学院和技术学校)提供奖学金,以换取其对政府服务的承诺。该计划由网络安全和基础设施安全局(CISA)管理,要求获奖者在完成学业后在各级政府机构任职。法案的推出正值美国约有50万个网络安全职位空缺,数据泄露平均成本高达936万美元,网络攻击威胁日益增加的背景下。法案还为军人提供服役豁免,计划每年培训10000名网络专业人员,并为相关奖学金计划提供额外支持。法案得到了多方支持,被认为对加强美国网络防御能力至关重要。
来源:Industrial Cybe
● 医疗器械网络安全责任与生命周期管理
美国卫生信息安全分析与咨询委员会(Health-ISAC)发布白皮书,强调医疗器械生命周期中的网络安全责任,重点关注恢复能力。白皮书指出,医疗器械生命周期分为开发、支持、有限支持和终止支持四个阶段,制造商(MDM)和医疗机构(HDO)的责任随阶段变化而转移。在开发阶段,MDM需评估威胁、设计安全控制并提交文档以满足监管要求;进入支持阶段后,设备上市并需定期更新和补丁维护安全态势;有限支持阶段,HDO需承担更多监控责任;终止支持阶段,HDO几乎承担全部责任,需评估风险并决定是否继续使用设备。白皮书还提到,MDM和HDO需持续沟通,共享安全文档、软件物料清单(SBOM)等信息,以促进设备安全使用。FDA要求制造商和医疗机构制定监控和响应计划,以应对新出现的威胁和漏洞。明确责任划分和加强协作是确保医疗器械网络安全的关键。
来源:Industrial Cybe
