12月18日，美国会批准2025财年国防授权法案，其中列出了一系列网络安全措施，重点是对美盟友的技术援助和国内网络防御能力的强化。法案强调了对先进技术和研发的投资，包括量子信息、人工智能和网络空间安全，以应对新兴威胁并推动技术创新。按照法案文本，2025年度国防授权总预算为8950亿美元，较2024年增加90亿美元，增幅约为1.01%。据初步统计，授权法案中网络安全的预算约为14.4亿美元，与2024年的14.5亿美元相比略减0.1亿美元，降幅为0.69%。从网络安全预算的细分领域来看，2025年美网络安全国防预算支出主要集中在以下几个领域：能源网络安全和技术、军队作战和预备役网络安全、网络弹性和网络安全政策支持、网络安全教育等。

12月19日，美政府问责局（GAO）报告指出，国土安全部（DHS）需要更新其对保护关键基础设施机构的人工智能风险评估指南和模板。根据拜登2023年10月发布的人工智能行政命令，保护关键基础设施的联邦机构（SRMAs）被要求在90天内为每个关键基础设施部门制定并提交初始风险评估报告。GAO分析了九个SRMAs提交的17份人工智能风险评估报告，发现DHS发布的指南文件未能充分指导联邦机构评估人工智能攻击发生的可能性和造成的危害程度，多数联邦机构未能将风险缓解策略与识别的潜在风险相对应，甚至有10个机构未采取任何相关的风险缓解措施。报告敦促国土安全部立即采取行动，更新人工智能风险评估的指导意见。

12月18日，在美国家网络总监办公室（ONCD）即将成立一周年之际，由谷歌公司、红帽公司等主要行业参与者组成的网络安全联盟向即将上台的特朗普政府提出了五项关键政策建议，以明确ONCD的使命。这些建议包括：更新并明确ONCD的任务；明确美国家网络总监（NCD）作为政府主要对外网络官员的角色；加强ONCD与美国家安全委员会（NSC）之间的合作；为ONCD配备更多来自美政府内部的机构分遣队成员和专题专家；在美白宫管理和预算办公室（OMB）内加强并整合美联邦首席信息安全官（CISO）的职位，使其具有双重身份，直接向美国家网络事务协调员报告。

12月16日，英正式实施了《在线安全法》，针对Meta旗下的Facebook和字节跳动的TikTok等社交媒体巨头提出了更高要求，即打击平台上的犯罪行为。根据英通信管理局的规定，这些社交媒体公司需要在2025年3月16日前评估非法内容对儿童和成年人造成的风险，并采取措施进行缓解。措施包括改进内容审核、简化举报机制以及引入内置的安全检查功能，高风险平台必须采用自动化工具（如哈希匹配和URL检测）来有效识别和处理儿童性虐等内容。对于未能遵守规定的公司，英通信管理局将处以最高1800万英镑或公司全球年收入10%的罚款，并可向法院申请命令，禁止不合规的平台在英运营。

12月16日，美网络安全和基础设施安全局（CISA）发布了《国家网络事件响应计划》（NCIRP）的更新草案。该计划于2016年首次发布，本次更新包括非联邦团体应对毁灭性网络攻击的参与途径。为应对外国对手可能对银行、铁路、电网和水处理厂等关键基础设施发动的不太可能但具有潜在破坏性的网络攻击，该草案将事件响应类型分为资产响应、威胁响应、情报支持和受影响实体响应四类，各种协调机构或相关团体被分配到每个层级。例如，国家情报总监办公室和联邦调查局等团体被归类为情报支持机构，而CISA和国防部等团体被归类为资产响应机构。

12月17日，美两党人工智能工作组发布了《引领人工智能进步：政策洞察与美在人工智能采用、负责任创新及治理方面的愿景》。该报告分为15章，提出了66项关键发现和89项建议，旨在为美国会未来应对人工智能技术进步的行动提供蓝图。报告认为，当前基于行业的人工智能监管框架比创建新的人工智能监管机构更为恰当，并呼吁对人工智能政策采取渐进的方法，这与欧盟通过的立法形成鲜明对比。该工作组提出四项建议：国会的监管应聚焦于美国家安全领域的人工智能发展应用活动；支持美国防部扩大人工智能技能培训覆盖范围；继续监管自主性武器系统的研发；支持人工智能军事应用方面的国际合作。

12月16日，OpenaAI联合创始人伊尔亚·苏茨克维（Ilya Sutskever）在2024年神经信息处理系统大会（NeurIPS）上的演讲揭示了一个即将到来人工智能新时代-超级智能时代即将来临，预训练模式或将终结。苏茨克维认为，人工智能的发展已经到达了一个临界点，其中计算能力的提升速度超过了可用于人工智能模型训练的数据总量。随着互联网数据的增长趋于稳定，未来不会再有更多的数据可供挖掘。苏茨克维预测，智能体、合成数据和推理时间计算将成为人工智能发展的新方向。这些技术将减少人工智能对海量数据的依赖，转而提升其推理和决策能力，最终促成超级智能的诞生。超级智能体作为一种全新的智能形态，将能够独立行动和推理，颠覆现有的人工智能模式。超级智能体的能力远超当前的聊天机器人模型，能够在没有人为干预的情况下做出决策。目前，人工智能智能体已成为加密货币等领域的热门话题。

12月16日，特朗普与软银集团首席执行官孙正义在海湖庄园共同宣布，软银集团预计在未来四年内向美项目投资1000亿美元，目标是创造10万个新就业岗位，投资领域将专注于人工智能和相关基础设施。特朗普表示，这是一项历史性的投资，将有助于确保美在人工智能、新兴技术和其他未来行业的创新发展。

12月18日，美白宫管理和预算办公室（OMB）在GitHub上发布了2024年联邦人工智能用例综合清单。清单显示，37个联邦机构报告了1757个公开的人工智能使用案例，而去年仅有710个使用案例。根据首席信息官委员会的帖子，使用案例最多的前三个类别是“任务支持（内部机构支持）、健康和医疗以及政府服务（包括福利和服务提供）”。其中卫生与公共服务部（HHS）的使用案例最多，其次是退伍军人事务部（VA）和国土安全部（DHS）。综合清单还报告了227个对权利和安全有影响的使用案例，其中145个在退伍军人事务部。国土安全部报告的使用案例也比去年的清单增加了136%，并披露了其新的内部机构聊天机器人DHSChat。清单仅反映了可以公开披露的使用案例，涉密、敏感以及国防部内部的使用案例未列入公开清单。

12月19日，美、英人工智能安全研究所（US AISI和UK AISI）联合对OpenaAI的最新模型o1进行了部署前评估。测试内容覆盖该模型的网络能力、生物能力以及软件和人工智能开发三个方面，并将该模型的性能与OpenaAI的o1-preview、OpenaAI的GPT-4o以及Anthropic的Claude 3.5 Sonnet的升级版和早期版本等参考模型进行了比较。US AISI评估认为，该模型能够解决45%的任务，而性能最佳的参考模型的求解率为35%。o1模型能够解决任何其他参考模型解决的所有挑战，并解决了其他模型无法完成的密码学相关的挑战；UK AISI评估认为，该模型能够解决36%的“网络安全入门级”任务，而最佳参考模型在同一级别的任务中的这一比例为46%。

12月19日，欧洲数据保护委员会（EDPB）发布新意见，明确在人工智能工具输出不泄露个人信息的前提下，使用个人数据训练人工智能模型不一定会违反欧盟《通用数据保护条例》（GDPR）。EDPB认为，若能证明人工智能模型运行不涉及处理个人数据，则GDPR不适用。EDPB强调，需对人工智能模型进行逐案分析，以评估个人身份信息（PII）的识别风险，并考虑数据的公开性、数据主体与控制者关系、服务性质、数据收集背景、数据来源及隐私设置等因素。若人工智能模型使用非法处理的个人数据创建，其他控制者需评估模型是否合法开发。

12月19日，美网安公司Bitsight发现了一个由超过19万台Android设备组成的BadBox僵尸网络，受影响设备主要是Yandex智能电视和海信智能手机，主要分布于位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。专家报告说，全球至少有7.4万部基于Android的手机、平板电脑和联网电视盒预装了该恶意软件。预装在安卓设备上的BadBox恶意软件会创建电子邮件和消息账户来传播虚假信息，通过在后台访问网站来进行广告欺诈，共享用户的互联网连接以进行犯罪活动，还可以下载额外的有效负载从而放大用户的风险。

12月20日，根据Chainalysis的数据，2024年加密货币被盗金额达到22亿美元，与2023年相比增长了21.07%。攻击事件数量也从2023年的282起增加到2024年的303起。1月至7月，被盗金额为15.8亿美元，比2023年同期增长84.4%。在下半年，攻击的速度明显放缓，专家将此归因于可能的地缘政治变化。2024年，很大一部分攻击针对DMM Bitcoin（3.05亿美元）和WazirX（2.349亿美元）等中心化服务，而前几年的重点是去中心化的DeFi平台。2024年，43.8%的资金被盗是由于用户私钥泄露导致。一旦遭到入侵，攻击者就会通过去中心化交易所、混合器和桥梁使用洗钱技术，使其难以追踪。

12月18日，荷兰数据保护局（DPA）因网飞公司（Netflix）未能充分告知消费者其数据使用方式，对其处以500万美元罚款。DPA指出，Netflix在2018至2020年间未向客户提供足够信息说明如何处理个人数据，且信息不明确，违反了《通用数据保护条例》。据悉，Netflix收集包括电话号码、电子邮件地址、支付数据及观看内容等个人数据，但在隐私政策中未能提供足够清晰的信息，也未能向消费者充分说明收集数据的详细信息。

12月16日，黑客IntelBroker在Breach Forums上泄露了2.9GB的思科数据。泄露的数据是4.5TB数据集的一部分，黑客声称这些数据是思科在没有任何密码保护或安全认证的情况下暴露的，这使得他们能够在2024年10月下载整个数据集。据报道，泄漏的2.9GB文件包含以下内容：身份服务引擎（Cisco ISE）、安全访问服务边缘（Cisco SASE）、Cisco Webex、Cisco Umbrella、Cisco IOS XE和XR、Cisco C9800-SW-iosxe-wlc.16.11.01。

12月17日，美网络安全和基础设施安全局（CISA）发布了今年第一部具有约束力的操作指令（BOD 25-01），要求联邦民事机构必须实施云环境安全配置基线（SCB），部署CISA开发的自动化配置评估工具，并与在线监控平台集成，修正与安全配置基线的偏差，以减少联邦机构网络系统的攻击暴露面。联邦机构必须在规定时间内确定云租户、部署评估工具、实施强制性SCB政策，并持续监控新的云租户。

12月18日，美网络安全和基础设施安全局（CISA）发布了《移动通信网络安全最佳实践》，旨在保护政府高官或具有高级政治地位、且可能拥有威胁行为者感兴趣信息的“高度针对性”个人，降低其移动设备与互联网服务之间的所有通信被拦截或操纵的风险。指南提出了通用防护建议，例如仅使用端到端加密通信、启用抗钓鱼身份认证（FIDO）、放弃基于短信服务（SMS）的多因素认证、使用密码管理器存储所有密码、设置电信个人识别码（PIN）、定期更新软件、选择手机制造商的最新硬件版本、避免使用个人VPN，并针对苹果和安卓设备提出特定安全防护建议。

12月16日，美国家标准与技术研究院（NIST）国家网络安全卓越中心（NCCoE）新发布了两份出版物草案，旨在帮助组织解决与处理基因组数据相关的网络安全和隐私风险。其中，《基因组数据网络安全和隐私框架概况（IR）8467》提供了一种结构化的、基于风险的方法，用于在处理基因组数据时管理网络安全和隐私风险。《网络安全威胁建模：基因组数据测序工作流程》使用迭代方法评估基因组数据处理环境中的潜在威胁，文中提供了一个使用案例，演示了一种组织可以适应的方法，以识别其环境中的网络安全威胁和缓解措施。

12月16日，美国防部监察长办公室（DoD OIG）发布了国防部（DoD）对分类移动设备的网络安全控制实施情况的审计报告（编号DODIG-2025-053）。该报告旨在评估DoD国防信息系统局（DISA）、美欧洲司令部（USEUCOM）和美特种作战司令部（USSOCOM）等部门在保护分类移动设备及其访问、传输和存储的数据方面的措施。报告发现了涉密移动设备的内在风险、库存记录不完整、培训和用户协议不完整、事件响应计划未定期审查、访问控制管理不严、连续监控不足等六类问题。报告提出了40项改进建议，以改善DoD分类移动设备程序的网络安全管理。

12月13日，美政府驻美洲国家组织（OAS）代表团宣布与OAS综合发展执行秘书处合作启动名为“为美洲制定人工智能政策框架”的新项目。该项目获美政府110万美元资助，将推动整个西半球的OAS成员国制定安全、可靠和值得信赖的人工智能政策框架和生态系统，重点关注以下领域：政策和体制框架；良好实践和关键行动；人工智能标准制定；多部门合作；技能建设和培训。

12月17日，澳大利亚信号局（ASD）为应对量子计算可能带来的威胁，宣布将逐步淘汰现有加密技术。ASD提出了采用高保证加密设备（HACE）的建议，指出SHA-RSA、ECDSA和ECDH算法在2030年后不应再被使用，制定了对AES、RSA、散列、MAC、DH和ECDH的具体替换要求和时间表。专家表示，快速实施新标准将是一项挑战，需要在未来几年内对系统进行大规模升级。

12月19日，美奥本大学麦克拉里（McCrary）研究所发布研究报告《网络安全的经济性如何有利于攻击者，以及防御者可以采取哪些措施来改变局面》。报告认为，由于攻击成本低且攻击者很少受到惩罚，网络攻击对美企业造成了巨大损失。为了应对这一问题，提出了三个策略：建立国家网络安全认证和标识机构，利用政府采购激励软件制造商重视网络安全，以及通过激励措施提高关键基础设施的网络安全性能。此外，报告还建议执法部门采取行动，如破坏勒索软件供应链、采用“热点警务”策略保护关键基础设施，以及将网络犯罪国家赞助者和跨国网络犯罪组织列入黑名单，以提高攻击成本，惩罚和威慑网络犯罪分子。

12月18日，美特权访问管理公司BeyondTrust遭遇了一起网络攻击，攻击者成功入侵了部分远程支持SaaS实例。BeyondTrust是一家专注于特权访问管理（PAM）及安全远程访问解决方案的网络安全公司，其产品广泛应用于政府机构、科技公司、零售和电子商务企业、医疗组织、能源和公用事业服务提供商以及银行业。进一步调查发现，黑客获取了一个远程支持SaaS的API密钥，并利用该密钥重置了本地应用程序账号的密码。

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”