声明:如认为本文存在侵犯相关知识产权的内容,请联系我们。深圳数智引领科技有限公司提供可信、专业的数智前沿资讯,服务覆盖全平台亿万从业者。欢迎投稿。
2025年5月22日,美国国家安全局(NSA)人工智能安全中心(AISC)联合美国网络安全和基础设施安全局(CISA)、澳大利亚信号局网络安全中心(ASD’s ACSC)、新西兰国家网络安全中心(NCSC-NZ)及英国国家网络安全中心(NCSC-UK)发布联合指南《AI数据安全:保障用于训练和运行AI系统的数据的最佳实践》(Al Data Security: Best Practices for Securing Data Used to Train & Operate Al Systems),旨在为AI系统的数据安全提供最佳实践和建议。
该指南强调了在整个AI系统生命周期中制定数据保护策略的必要性,并提供了一系列通用最佳实践,组织可据此实施策略,以保护基于AI系统中所使用的数据安全。该指南还指出了AI数据安全的潜在风险,并为数据供应链、恶意篡改的数据、数据漂移提供了详细的风险信息及缓解措施。
该指南对已在日常运营中使用AI系统或正在寻求将AI整合入其基础设施的组织机构具有重要指导意义,尤其是国防部、国家安全系统,以及国防工业基地内的系统所有者和管理员。该指南旨在鼓励此类组织机构在其任务环境中采纳这些最佳实践和策略,以加固其AI系统,保护敏感和关键数据。
2025年5月13日,欧盟网络安全局(ENISA)正式上线欧洲漏洞数据库(EUVD),这是欧盟首个官方集中式漏洞信息平台,旨在提升欧盟数字安全防护能力并减少对非欧盟数据库的依赖。该数据库整合可信来源的漏洞数据,涵盖漏洞利用状态、缓解措施及修复建议,为成员国政府、企业及研究人员提供可操作的情报,以优化网络安全风险管理和响应效率。
EUVD的推出是落实《NIS2指令》供应链和漏洞管理要求的关键举措,同时支持《网络弹性法案》的实施,确保软件、智能设备等数字产品的安全性。该平台将重点提升能源、交通、医疗等关键领域的网络安全水平,助力公共和私营部门更高效、自主地保护数字空间。EUVD是欧盟实现数字主权、构建可信网络安全生态的重要里程碑,标志着欧盟在增强技术自主权和全球网络安全影响力方面迈出关键一步。
2025年5月15日,欧洲网络安全局(ENISA)发布《网络压力测试手册》(Handbook for Cyber Stress Tests),旨在为各成员国的国家主管部门提供一个评估关键行业网络安全和抵御能力的框架。该手册为监管机构提供了一种轻量级且目标明确的新工具,用以评估关键基础设施运营商在重大网络安全事件中的应对和恢复能力。
该手册将网络压力测试定义为一项针对性的评估,旨在考察单个实体在不同风险情景下抵御重大网络安全事件并从中恢复,以确保关键服务连续性的能力。同时ENISA在手册中提出了一个简明的五步法指南,涵盖了从界定范围与目标到设计、执行、差距分析及总结建议的完整流程。这种方法不仅评估预防措施,也同样关注响应和恢复能力,并使用“恢复时间”等韧性指标进行客观衡量。
该战略由欧盟委员会与外交事务副主席共同制定。该文件将阐述欧盟强化全球数字角色、推动技术领域战略利益、支持伙伴国家数字化转型的战略框架,具体包括增强技术主权、维护民主及强化安全防护的行动。该战略将基于近期在建立全球数字伙伴关系网络、推进数字外交方面的成果,通过征集科技企业、行业协会、欧盟及第三国政府机构、公民社会组织、学术界与公众等各方意见,深入分析核心挑战与解决方案,评估拟议行动的预期影响力。
2025年5月7日,英国国家网络安全中心(NCSC)发布了《软件安全行为准则》(Software Security Code of Practice)实施指南,旨在为软件供应商及其客户提供支持,以有效降低软件供应链攻击的风险和影响,并解决因软件开发与维护实践中的常见薄弱环节以及沟通不畅所导致的软件韧性问题。
该指南围绕四个主题构建:安全的软件设计与开发,强调遵循既定的安全开发框架,并贯彻“安全始于设计”和“默认为安全”的理念;构建环境的安全性,确保开发基础设施免遭未授权访问;安全的部署与维护,涵盖软件的安全分发、主动的漏洞管理以及提供及时的安全更新和补丁;与客户的清晰沟通,确保用户充分了解软件的支持级别、生命周期结束策略及发生重大安全事件时的应对措施。另外该指南倡导在软件的整个生命周期中融入安全考量,有效保护用户数据,以避免后期重新设计带来的高昂价格。
根据美国小型企业管理局(SBA)倡导办公室的数据,美国有3480万家小型企业,占美国所有企业的99%。其中,81.7%是无雇员企业,即除了企业主本人外没有带薪员工。这些企业虽然规模小,但存在于各行各业,对国家的创新和产业竞争力做出了重大贡献。NIST IR 7621r2旨在为这些无雇员企业提供网络安全基础知识,帮助它们利用NIST网络安全框架2.0管理其网络安全风险。
NIST IR 7621r2之前的版本讨论的是更广泛的信息安全主题,为了简化和聚焦内容,本次修订进一步缩小了范围,主要聚焦于网络安全,受众范围也相应缩小。同时,本次修订进一步面向无雇员企业这个更具体的群体。
该草案聚焦支撑AI、大数据等关键任务的HPC系统安全,基于中等安全基线项安全控制,涵盖访问管理、日志记录、身份认证等14类内容,并按访问、管理、计算、数据存储四大功能区域细化。文件强调实用性与性能平衡,助力构建可扩展、安全的HPC架构。
该文件提出了一种建议的安全指标,用于确定某个漏洞已被观测到遭到利用的可能性。每年公布的数万个软硬件漏洞中,只有一小部分会被实际利用。预测哪些漏洞会被利用,对于企业漏洞修复工作的效率和成本效益至关重要。目前,此类修复工作依赖于漏洞利用预测评分系统(EPSS)以及已知被利用漏洞(KEV)清单。EPSS系统存在已知的数值不准确问题,而KEV清单可能不够全面。NIST CSWP 41提出的可能性评估指标,有助于提升EPSS的修复指导作用(纠正其部分不准确性)和KEV清单的价值(使其全面性可被衡量)。然而,NIST CSWP 41的建议能够实施,还需要与行业协作,以提供必要的性能测试数据。
这两份文件为AI供应链中的利益相关方(包括开发者、供应商、集成商和运营商)提供了一套贯穿AI全生命周期的基线安全要求,有助于保护AI系统免受不断演变的网络威胁。它将使AI系统的开发者能够向潜在客户和合作伙伴证明,他们遵循了一个通过跨学科合作创建的框架,其要求既具有全球适用性,又具有实际可操作性。这些利益相关方可能涵盖广泛的实体,包括大型企业和政府部门、独立开发者、中小型企业、慈善机构、地方政府及其他非营利组织。
该技术规范定义了13项核心安全原则,并将其归入AI系统开发生命周期的安全设计、安全开发、安全部署、安全维护和安全终止这5个关键阶段。在开发生命周期的所有阶段都考虑安全要求,可以避免日后代价高昂的重新设计,并在短期内保护客户及其数据。
2025年5月20日,英国国家网络安全中心(NCSC)发布《安全退役数字资产指南》(Guidelines for the Secure Decommissioning of Digital Assets)。该指南指出,退役不当可能导致数据泄露、服务中断等严重后果,因此需要从资产采购阶段就开始规划退役方案。
在实施过程中,首先要全面识别所有资产,评估退役可能产生的连带影响,并制定包含配置数据和网络拓扑等关键信息的备份方案。根据存储介质的不同用途,需按照《存储介质安全清理指南》选择适当的数据清除方式,同时确保替代系统就位、敏感资产安全存放,并对第三方服务商进行合规审查。退役完成后,必须通过外部审计和内部记录验证处理效果,及时更新资产清单,并持续监测潜在风险。指南特别说明硬件退役需参考《过时产品及网络设备处置指南》,个人设备处理则另有专门规范。整个退役过程需要严格记录,确保形成完整的操作证据链。
