2024年12月27日，美司法部发布了一项最终规则，以执行第14117号行政命令，旨在解决外国对手获取美公民敏感个人数据以及某些美政府相关数据所构成的国家安全威胁。该规则将在发布后90天内生效，而部分合规、报告和审计要求将在发布270天内生效。助理司法部长马修·奥尔森（Matthew Olsen）表示，此规则是阻止敌对国家通过购买或其他商业手段获取美公民敏感个人数据的关键举措。根据这一新规，将明确列出被认为具有潜在风险的国家与个体名单，并针对不同类型的交易设定禁止、限制和豁免条款，并为敏感个人数据设定了批量阈值，包括人类组学数据、生物识别符、精确地理位置数据、个人健康数据、个人财务数据等。此外，规则还规定了获取授权交易的流程、指定相关人员的协议，以及记录保存、报告和其他合规义务。该规则与美促进开放、全球互联、可靠和安全互联网的承诺一致，不要求美公民的数据物理或电子存储本地化，也不禁止美公民与相关国家或人员进行商业交易。司法部还将发布合规、执法指南，并继续与行业和其他利益相关者合作，以确定是否需要发放任何过渡许可证。

2024年12月27日，美国家网络总监办公室发布了《能源现代化网络安全实施计划》（EMCIP），该计划详细阐述了美联邦政府为实现更加安全的能源生态系统所采取的措施。白宫方面表示，EMCIP为美下一代能源生产、输送和分配提供了路线图，需要美政府和私营部门的紧密合作。计划包含32项举措，每项举措都由一个牵头机构管理，并有明确的完成期限。EMCIP旨在实现五项关键能源技术的网络安全韧性，包括将电池储能系统运营商纳入网络演习计划，制定指南提高联网逆变器和电力转换设备的网络安全态势，设计关键管理软件的测试程序，以及增强建筑能源管理系统和保障电动汽车及其充电基础设施的网络安全。该计划将通过12个联邦机构实施，与利益相关者合作并在执行过程中建立新的伙伴关系。

印度政府于2025年1月3日发布了《数字个人数据保护法》的草案规则，并开放公众咨询至2025年2月18日。这些规则旨在为数据受托人（即处理个人数据的实体）提供明确的指导，确保数据收集和使用的透明度。规则要求数据受托人在收集数据时向用户提供明确的通知，说明数据用途并获得用户的知情同意。此外，还引入了“同意管理人”机制，以规范用户的收集过程。数据受托人需在数据泄露后72小时内通知印度数据保护委员会，并采取加密、假名化等技术措施保护数据。对于未成年人数据的处理，规则要求获得父母或法定监护人的可验证同意。跨境数据传输将受到未来政府命令的约束。规则还要求重要数据受托人定期进行数据保护影响评估和审计。

2025年1月2日，美国防部首席数字和人工智能办公室（CDAO）宣布成功完成了一项名为“众包人工智能红队保证计划（CAIRT）”的试点项目，旨在识别使用大型语言模型（LLM）增强军事医疗服务过程中的漏洞。该试点由Humane Intelligence组织通过其众包人工智能红队保证计划实施，吸引了200多名参与者，包括临床提供者和医疗保健分析师。试点项目发现，在使用LLM进行临床记录总结和医疗咨询聊天机器人时存在800多个潜在漏洞和偏见。CDAO表示，这些发现将用于评估未来供应商和工具的性能，并帮助制定国防部负责任地使用生成式人工智能（GenAI）的政策和最佳实践。该试点项目是CDAO加速并扩展人工智能工具在国防部部署的重要一步。

2024年12月30日，美参议员彼得·韦尔奇（Peter Welch）和本·雷·卢汉（Ben Ray Lujan）共同提出了《值得信赖的设计人工智能法案》，旨在为联邦机构开发人工智能系统建立最佳实践指南。根据该参议院法案，美国家标准与技术研究院（NIST）将被要求建立一个框架，用于主动和系统地管理人工智能风险，并创建可信赖性评估标准的定义，以及确定开发人工智能能力过程中必须评估的系统组件。该法案旨在确保美在伦理部署人工智能技术和创建提供用户可信赖人工智能工具的指南方面保持领先地位。该法案一旦通过成为法律，将有助于确保国内的人工智能模型具备可靠性、安全性和可控性。此外，该措施还将减少影响受法律保护阶层的潜在偏见，以及与系统开发相关的风险。此外，该立法还将要求NIST定期向公众提供有关该计划实施情况的最新信息。

2024年12月25日，美OpenAI公司宣布正在研发实体智能机器人，并且重新启动了已解散四年的内部机器人开发团队。目前，OpenAI已经向Figure AI、1X、Physical Intelligence三家实体机器人公司进行了投资，这些公司开发的高级视觉、智能语音以及图形神经网络系统均得到了OpenAI的GPT系列模型的支持。尽管关于OpenAI人形机人的具体计划和时间表尚未公开，但该公司正在探索如何将其在人工智能领域的专业知识转化为具有物理形态的创新产品。这一举措预示着人工智能技术未来发展的新趋势，即更加集成化和多样化的应用。

2025年1月4日，微软宣布将在2025财年投资800亿美元用于建设支持人工智能运算需求的数据中心。微软首席法务官布拉德·史密斯（Brad Smith）表示，美在全球人工智能竞赛中处于领先地位，这得益于私人资本的投入和技术创新。微软已向OpenAI投资超过130亿美元，为其提供云计算基础设施，并将人工智能模型整合到Windows、Teams等核心产品中。在2025财年第一季度，微软在资本支出和租赁资产方面的投资达到200亿美元，其中149亿美元被用于房地产和设备购置。微软首席财务官艾米・胡德（Amy Hood）表示，预计第二季度的资本支出还将继续增加。

2024年12月23日，G7轮值主席国意大利宣布，G7已就先进人工智能系统的报告框架达成协议。该报告框架旨在提高开发先进人工智能系统的组织透明度和问责制，促进风险缓解措施之间的可比性，并有助于确定和分享最佳实践。该报告框架基于《广岛人工智能进程国际行为准则》（Hiroshima AI Process International Code of Conduct）中的11项行动原则，包括一系列结构化问题，以指导组织将其实践与行为准则保持一致。该框架是在G7与经合组织（OECD）的合作下，通过多方参与的方式开发的，并在开放试点阶段采纳了来自私营部门、学术界、民间社会和研究机构的反馈。该框架计划于2025年2月推出交互式在线界面以启动运营。据悉，2024年，意大利作为G7主席国之一的一个关键优先事项是促进《广岛人工智能进程国际行为准则》的广泛采纳。此外，该准则是日本担任G7轮值主席国期间G7“广岛人工智能进程”的成果。

2024年12月30日，美财政部确认其多个工作站遭受网络攻击，攻击源被归咎于高级持续性威胁（APT）攻击行为者。入侵通过第三方软件供应商BeyondTrust实施，该公司提供身份和访问管理服务。攻击者利用盗取的密钥突破云服务的安全防线，并远程访问了财政部多个用户工作站和非保密文件。在接到BeyondTrust警告后，财政部立即采取行动，与网络安全和基础设施安全局、联邦调查局及其他执法部门合作展开调查。目前，BeyondTrust相关服务已经下线，而财政部表示没有证据表明攻击者仍能访问系统。该事件已被归类为“重大事件”，对其影响的具体评估仍在进行中。

2024年12月29日，施耐德电气（Schneider Electric）在拒绝支付价值12.5 万美元的赎金后，其被盗的40GB数据文件于周日在暗网上被Hellcat勒索软件组织曝光。2024年11月初，法国跨国能源管理和自动化制造商Atlassian Jira系统遭到入侵，Hellcat得以窃取该数据库。据悉，该数据库包含超过40万行用户详细信息以及公司项目、问题和插件信息。施耐德电气此前已证实遭受Hellcat的攻击，但尚未对此次数据泄露事件发表评论。2024年2月，该公司有1.5TB的数据因Cactus勒索软件攻击而被泄露，此外，在2023年还遭受了由Clop勒索软件团伙发动的大规模MOVEit攻击。Hellcat此前曾声称对Pinger应用程序、坦桑尼亚商学院和约旦教育部进行了入侵。

2025年1月2日，网络安全监控平台ShadowServer报告数据称，全球超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上，用户数据正面临严重的“嗅探攻击”风险。这些服务器在传输邮件内容和登录凭据时均以明文形式发送，使得黑客可以轻松截获敏感信息。根据ShadowServer的统计数据，我国也有39,000个此类未加密的邮件服务器。ShadowServer已通知相关邮件服务器运营商，提醒他们尽快启用TLS加密或将服务移至VPN后以增强安全性。报告强调，未加密的服务器不仅面临嗅探攻击，还可能成为密码猜测攻击的目标。对于邮件服务器运营商，建议立即启用TLS支持，并评估是否需要将服务移至VPN后。对于普通用户，则建议使用支持TLS加密的邮件客户端，并定期更换密码以降低风险。

2025年1月1日，攻击者通过伪装成Google Chrome网上应用店开发者支持的官方通知，诱骗扩展程序发布者授予OAuth权限，从而绕过多因素身份验证并上传恶意版本，至少35个Google Chrome扩展程序遭到黑客入侵，涉及约260万用户。这些受感染的扩展程序包括流行的VPN工具、AI浏览器集成和生产力插件，恶意代码旨在窃取用户会话令牌、cookie和凭据，特别是针对Facebook广告仪表板等企业账户。加州数据保护公司Cyberhaven确认了此次攻击，指出攻击者利用硬编码的命令与控制（C2）域远程窃取数据。初步调查显示，攻击活动可能始于2024年3月，主要媒介为伪装成Google合规通知的网络钓鱼邮件。安全研究人员建议用户立即卸载或更新受感染扩展程序，重置密码并监控账户异常活动。尽管部分扩展程序已被删除或修复，但用户需保持警惕并定期验证扩展程序的合法性。

2024年12月28日，大众汽车集团旗下软件公司CARIAD不慎公开了约80万辆电动汽车的数据，这些信息与驾驶员姓名相关联，并能揭示精确的车辆位置。由于CARIAD在两个IT应用程序中配置错误，这些数据在亚马逊云存储中数月未受保护，任何人都可以访问。受影响的品牌包括大众、西雅特、奥迪和斯柯达。CARIAD在得知问题后迅速响应，关闭了数据访问权限，并表示没有证据显示信息被第三方滥用。这些数据包括车辆位置、VIN等敏感信息，精度可达10厘米。受影响车辆主要在德国，也有挪威、瑞典、英国等国家的车辆信息。CARIAD强调，收集的数据有助于提供和优化数字功能，并采用强大的数据保护措施。

2024年12月30日，美国防高级研究计划局（DARPA）正考虑启动一个新的量子传感计划，名为“稳健的量子传感器计划（RoQS）”，旨在开发更强大的量子传感器，并将其集成到美军事平台上。五角大楼官员认为，量子传感器在替代定位、导航、计时（PNT）以及情报、监视和侦察（ISR）方面具有巨大潜力。然而，量子传感器在移动平台上的性能会因电磁场、场梯度和系统振动等因素而下降，RoQS计划通过创新的物理方法来克服这些挑战。DARPA希望将RoQS开发的传感器转移到美军事平台上，并与承包商和平台制造商合作，确定量子传感器集成的系统，并在项目结束时与政府平台所有者合作，促进集成和测试。量子技术的应用前景包括计算、加密和通信，而传感被认为是五角大楼短期内最成熟的应用领域，可能提供GPS的替代方案，特别是在未来作战环境中GPS可能被干扰或降级的情况下。

2024年12月24日，美国防部宣布计划在2025年多国海上演习中验证任务伙伴环境架构等项目的安全数据传输架构，支持构建更加安全成熟的“联盟联合全域指挥控制”系统。任务伙伴环境架构旨在通过在网络架构设计中选用零信任、以数据为中心的技术，为合作伙伴和托管用户提供多种安全、协作数据服务，建立安全可靠的全球信息共享能力。此前，美国防部已在2024年开展的“奥林巴斯项目”中，通过印太任务网络和协作伙伴环境等项目，初步验证了零信任和以数据为中心的数据安全共享能力，支撑美国、英国和加拿大等国打造初步的联合指挥控制能力，解决阻碍国际盟友和合作伙伴共享关键作战数据的挑战。

2024年12月26日，美白宫科技政策办公室（OSTP）发表声明，宣布国会已批准额外的30亿美元资金，用于“安全可信通信网络补偿计划”。这笔资金将支持美农村电信运营商移除和替换被视为国家安全风险的通信设备。该计划旨在保护美通信基础设施，确保其不受外国对手的潜在威胁。这笔资金的注入显示了美政府对于加强国家网络安全和保护关键基础设施的承诺，同时也反映了对农村地区通信安全的关注。通过这项投资，美将加强其通信网络的安全性，提升国家的整体网络安全防护能力。

2024年12月27日，美卫生与公众服务部（HHS）发布了《加强受保护电子健康信息（ePHI）网络安全的HIPAA安全规则》拟议规则，旨在更新《健康保险可携性与责任法案》（HIPAA）法案的网络安全要求。新提案包括对数据进行加密，要求医疗机构进行合规性检查，以确保符合网络安全规则。据估算，新规在未来五年内将产生超过2400亿元人民币的网络安全合规支出，其中第一年的实施预计将耗资约90亿美元，随后每年预计耗资60亿美元。拟议规则将进入为期60天的公众意见征询阶段，之后才会做出最终决定。这一规则更新将有助于提升医疗行业的网络安全水平，保护患者的健康信息安全。

2024年12月31日，美空军已将其总部网络空间能力中心（Cyberspace Capabilities Center）重新划归至首席信息官（CIO）办公室，以简化信息技术职能。该中心成立于2019年，总部位于伊利诺伊州的斯科特空军基地，负责提供网络能力。此次变更将使中心成为一个与秘书处对齐的领域运营机构，预计到2025年10月全面投入运营。空军秘书弗兰克·肯德尔（Frank Kendal）表示，这是简化和整合信息技术职能、确保空军和太空军信息技术服务交付统一的重要一步。通过将这些职能与其权威所有者结合和对齐，IT企业将能够在更短、更快的开发周期内产生能力，确保需求迅速得到行动和交付。作为领域运营机构，中心将开发和管理云服务、网络安全、移动性和数据中心等服务，以确保部门间的互操作性和一致性。这一变动符合肯德尔为应对大国竞争而持续优化空军的努力，包括提升网络和IT职能，以及将情报和网络角色在副参谋长级别分离。

2024年12月23日，美陆军情报系统与分析项目负责人克里斯•安德森（Chris Anderson）上校表示，随着下一代指挥与控制系统（NGC2）工作的推进，陆军正逐步将包括电子战规划与管理工具（EWPMT-X）和战术情报瞄准访问节点（TITAN）在内的现有情报软件应用和定制化分析功能进行集成，以进一步提升态势感知能力，并为各类任务指挥应用程序提供更精确的目标数据。同时，旅级战斗队地面层系统-背负式系统和频谱态势感知系统（S2AS）也已纳入下一代指挥与控制系统。这两种电子战系统在帮助美军理解、掌控并主导电磁频谱领域，并通过与下一代指挥与控制系统的集成显著增强指挥官的决策效率。与传统指挥控制系统不同，下一代指挥与控制系统基于全新的数据中心架构，采用云原生设计、可训练特性和开放式架构，不仅支持快速部署与扩展，还能够大幅缩短传感器与射手之间的响应时间，为作战提供更加敏捷高效的支撑。

2025年1月3日，威胁情报平台MISP发布了新的网络安全标准——威胁行为者命名（RFC），旨在解决网络威胁领域信息交换中的关键问题，即黑客群体的统一识别。目前，缺乏统一标准导致同一威胁行为者可能有多个名称，增加了分析复杂性。例如，同一组织可能被称为APT-1和TA-505，而使用“ZooPark”等常见词汇则容易引起混淆。新标准建议在创建新名称前检查现有数据库，避免使用字典词汇、工具名称和技术术语，并采用基于7位ASCII的编码格式。此外，标准提议建立集中式注册表以存储威胁名称，确保其唯一性并跟踪历史记录。该标准还强调在发布新名称前检查机密信息泄露风险。这一举措旨在促进分析师和平台之间的协作，提升对网络威胁的整体理解。

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”