2024年第11期《网络安全国际动态》

2024年11月14日，美国土安全部（DHS）发布了《关键基础设施中人工智能的角色和责任框架》（Roles and Responsibilities Framework for Artificial Intelligence in Critical Infrastructure）。该框架是与行业和民间社会的首次合作，为推进美国关键基础设施中负责任地使用人工智能提供了有益指导。

该框架为人工智能供应链每个层面的实体进行指导，这些实体包括云服务和计算机提供商、人工智能开发者、关键基础设施所有者和运营商，以及保护消费者的民间社会和公共部门实体等。该框架是由DHS设立的公私咨询委员会和人工智能安全与安保委员会进行大量研究形成的成果。DHS认识到，需要明确指导人工智能供应链的各个层面，让其在美国关键基础设施中安全可靠地部署人工智能。

2024年11月7日，美国国家安全局（NSA）发布了《可信平台模块的使用指南》（Guidance for using Trusted Platform Modules，TPMs），旨在保护计算设备，加强国防部（DoD）企业基础设施的安全性。

TPM是一种嵌入大多数企业计算系统的安全解决方案。当前DoD的许多设备都要求配备TPM，以帮助保护用户凭证和存储的数据。这份使用指南涵盖了使用TPM进行资产管理、检查硬件供应链以及在启动时监控系统完整性等内容。该指南还提出了使用TPM的潜在方式，包括持续供应链安全、持续完整性监控以及无需手动干预的设置。

2024年11月7日，欧盟网络安全局（ENISA）发布《NIS2指令中的安全措施实施指南》（Implementation guidance on NIS2 security measures），面向公众征求意见。

该指南旨在支持欧盟成员国和相关实体实施NIS2指令的网络安全风险管理措施。具体内容包括：

（1）执行要求的建议和概念解释；

（2）满足要求的证据示例；

（3）将实施指南中的安全要求映射至相关标准的对应关系。

NIS2指令要求欧盟成员国将其纳入本国法律，旨在提高欧洲的网络安全水平，并增强欧盟关键部门的弹性。该指南特别提及DNS服务、云计算、数据中心、CDN等多个子部门的技术和要求，由ENISA与欧盟委员会及成员国合作制定。

2024年11月4日，欧盟网络安全局（ENISA）召开网络安全弹性和市场会议，以“通过加强协作保障数字统一市场”为主题，聚焦于推进欧盟网络安全监管框架建设及《网络弹性法案》（Cyber Resilience Act，CRA）的实施。

此次会议的中心主题旨在通过强有力的欧盟网络安全监管框架来保护数字统一市场。与会者呼吁各利益相关方与欧洲网络安全能力中心（ECCC）、英国国家计算教育中心（NCC）和ENISA联合，建立统一的监管制度，促进市场准入。与会者分享了对欧盟网络安全市场未来发展的见解，强调合作和公开对话对加强数字统一市场的重要性。此外，会议讨论了新兴技术发展趋势，强调了各方合作在保护数字生态系统中的关键作用。

2024年11月12日，美国网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）、联邦调查局（FBI）、联合澳大利亚信号局网络安全中心（ASD ACSC）、加拿大网络安全中心（CCCS）、新西兰国家网络安全中心（NCSC-NZ）、新西兰计算机应急响应小组（CERT NZ）以及英国国家网络安全中心（NCSC-UK）发布了《2023年最常被利用漏洞》（2023 Top Routinely Exploited Vulnerabilities）年度网络安全公告。

该公告公布了2023年网络犯罪分子最常利用的15个公开披露的网络安全漏洞（Common Vulnerabilities and Exposures, CVE），还附带了一份更全面的常被利用漏洞清单，以帮助从业者进行趋势分析和回顾历史数据。该公告呼吁软件供应商、设计人员和开发者加强安全设计，优先采用默认安全配置，并在发布CVE时确保包含正确的常见缺陷枚举（CWE），以便更好地识别漏洞。同时，报告建议终端用户组织及时为系统打补丁，实施集中式补丁管理系统，部署如端点检测与响应（EDR）、Web应用程序防火墙（WAF）、网络协议分析仪的安全工具，并向软件供应商了解其安全设计计划。

2024年11月1日，NIST发布特别出版物SP 800-161 r1《系统和组织的网络安全供应链风险管理实践》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations）初版草案，面向公众征求意见。

NIST SP 800-161 r1旨在为组织在其所有级别的供应链中识别、评估和减轻网络安全风险提供指导。该指南中给出了通过应用多层级的、专注于网络安全供应链风险管理的方法，包括网络安全供应链风险管理的战略实施规划、策略、计划以及对产品和服务的风险评估等方面的实践指南，将网络安全供应链风险管理集成到组织的风险管理活动中。

2024年11月14日，NIST发布了特别出版物SP 800-157r1《衍生个人身份验证（PIV）证书指南》（Guidelines for Derived Personal Identity Verification (PIV) Credentials）和SP 800-217《个人身份验证（PIV）联盟指南》（Guidelines for Personal Identity Verification (PIV) Federation）2项草案，面向公众征求意见。

NIST SP 800-157 r1扩展了多种形态和验证器类型的PIV凭证集。NIST SP 800-217则详细说明了如何利用联合协议实现衍生PIV凭证的跨域和机构间使用。这两份指南均回应了2023年初步草案收到的反馈，并与新发布的NIST SP 800-63-4数字身份指南第二次公开草案保持一致，旨在提高联邦身份验证的安全性和互操作性。

2024年11月15日，NIST发布了内部报告IR 8517《硬件安全故障场景：潜在的硬件弱点》（Hardware Security Failure Scenarios: Potential Hardware Weaknesses），旨在探讨了硬件安全故障场景和潜在弱点。

该报告指出，尽管硬件通常被认为是安全的，但由于芯片的创建涉及软件且包含复杂编码，如电路设计和固件，这可能存在安全漏洞。报告给出了可能出现的漏洞类型，并为每种类型提供了安全故障场景，描述了漏洞如何被利用、通常出现在哪里以及攻击者可能带来的损害。报告提供了98个故障场景，展示了硬件相关安全故障的广泛和分散可能性。这些场景涵盖了从核心计算问题到跨领域问题、调试和测试问题等多个类别，旨在提高对硬件设计过程中可能引入的漏洞风险的认识。

2024年11月21日，NIST举办了2024年手风琴密码模式（Accordion Cipher Mode）的研讨会，汇集了来自网络安全和密码学领域的领先专家、研究人员和从业人员，讨论手风琴密码模式的设计、实施和潜在应用，为该领域的发展提供了重要指导。

手风琴模式是一种可调节的、基于块密码的加密方式。会议聚焦于参数大小、主要用例要求、安全概念、性能要求和标准化过程。参与者来自政府、工业界和学术界，讨论了多种话题，包括多用户安全、密钥/上下文承诺、nonce隐藏和KDI安全。

欧盟《网络弹性法案》的深度解析

2024年11月20日，欧盟正式发布了《网络弹性法案》（Cyber Resilience Act，CRA），对数字产品的网络安全要求提出详细实施指导。它为欧盟在网络安全领域面临的多重挑战提供了解决方案，包括设备连通性的急剧增长、网络攻击带来的严重风险，以及消费者对网络安全认识和信息获取的不足。CRA的主要目标是通过统一的法律框架，提升欧盟市场上的数字产品安全性，督促制造商在产品生命周期中重视安全问题，同时增强用户选择和使用安全的数字产品的能力。

一、背景介绍

随着互联网和物联网设备的迅速普及，数字产品已成为日常生活和经济活动中的核心组成部分。然而，设备数量和复杂性的增加也为网络攻击者提供了更多攻击途径。攻击者利用设备漏洞、供应链的薄弱环节以及数据处理系统中的缺陷，实施数据窃取、服务中断等恶意行为，严重侵害了消费者的隐私权益，干扰了企业的正常运营，并威胁到了公共安全。例如，勒索软件、DDoS攻击等已对企业和公共服务造成严重的负面影响。

目前，欧盟已出台一些针对网络安全的法案，如2016年发布的《网络与信息系统安全指令》（NIS指令）和2019年《欧盟网络安全法案》（EU Cybersecurity Act），这些法案主要聚焦于关键基础设施和特定行业，但未能全面覆盖所有包含数字元素的产品。由于不同成员国间的法律和标准存在差异，制造商和消费者面临着额外的合规负担。此外，这些法案在规范网络安全生命周期管理和推动供应链安全方面也显得不足，缺乏统一的强制性要求。

市场对网络安全的需求日益增加。许多制造商在设计产品时未能充分考虑安全防护，导致产品存在漏洞，如弱口令、权限绕过和命令执行漏洞。消费者往往缺乏辨别产品安全性的能力，而现行法律未能有效保障消费者在选择数字产品时的安全需求。因此，建立一个统一的、横向覆盖所有数字产品的网络安全法案体系已成为欧盟的紧迫需求。

CRA的出台并不仅仅提供了应对当前网络安全问题的解决方案，更是为未来奠定技术标准和法律基础的一项战略性举措。通过统一的法律框架和跨国协作，欧盟试图在全球数字安全领域占据主导地位，树立更高的行业标准，同时为其他国家和地区提供参考模型。这种前瞻性的立法能够有效引导技术发展方向，鼓励企业在创新和安全之间找到平衡点。

二、主要内容

CRA共分为8章71条，全面覆盖了数字产品网络安全管理的各个方面。首先，明确了网络安全基本要求，确保产品设计无已知漏洞，支持安全更新，保护数据的保密性和完整性，并强化漏洞管理流程。其次，对制造商、进口商和经销商的责任进行了规定。最后，规定了市场监督与执法机制，明确成员国的责任。

（一）适用范围

CRA覆盖几乎所有数字产品，适用于在欧盟市场上分销或使用的所有具有数字元素的商用硬件和软件产品，包括嵌入式软件、远程数据处理功能（如云解决方案）、开源代码软件（在商业活动中使用时），以及消费类和工业类设备（如智能家居设备、联网玩具和个人健康设备）。

（二）网络安全基本要求

CRA针对含有数字元素的产品，设定了一套全面的网络安全基本要求，以保障其从设计、开发、生产到整个生命周期均能达到高水平的网络安全保障。基本要求分为两大部分：产品的网络安全特性要求和漏洞管理要求。

1. 产品基本网络安全要求

（1）无已知漏洞的设计和开发：产品必须在设计和开发阶段确保没有已知的可利用漏洞。制造商应执行严格的安全开发流程，涵盖定期的代码审核和渗透测试，从而最大限度地降低潜在的安全威胁。

（2）默认安全配置：产品在初次交付或安装时，必须采用安全的默认配置。例如，用户口令不得设置为通用的默认值，而是需要采取强密码策略。

（3）安全更新和补丁支持：产品需具备安全更新的能力，包括自动更新的功能。在整个产品支持周期内，必须持续提供安全更新，以便及时修补新发现的漏洞。

（4）保护数据的保密性、完整性和可用性：产品需要通过技术手段（如加密、访问控制等）保护用户数据。对于存储和传输中的数据，应确保其不受未经授权的访问或篡改。

（5）防止未经授权访问和滥用：产品必须实行严格的用户身份验证机制，避免未经授权的访问。制造商还应记录可能的异常行为，以便于检测潜在威胁。

（6）减少对其他设备或网络的负面影响：产品应尽可能降低在安全事件中对其他设备或网络产生的连带影响。例如，联网设备必须具有防止DDoS攻击的功能。

2. 漏洞管理要求

（1）漏洞识别和管理：制造商需建立全面的漏洞管理机制，涵盖识别、记录、分类漏洞等环节。制造商还需维护软件材料清单（SBOM），列出所有组件及其版本信息，便于快速定位安全问题。

（2）定期安全更新：制造商必须定期发布安全更新，修复已识别的漏洞。更新需确保易于用户安装，同时不对产品的核心功能产生任何负面影响。

（3）协调的漏洞披露政策：制造商需制定和实施漏洞披露政策，与安全研究人员和用户协调解决已发现的问题。该政策应透明且易于访问，确保漏洞信息能及时传递给相关方。

（4）漏洞修复的通知与支持：当发现安全漏洞时，制造商需及时通知用户，并提供清晰的修复指南或解决方案。对于严重漏洞，应在尽可能短的时间内提供补丁。

（5）安全监控和报告机制：制造商需实现对产品运行状态的安全监控，以发现和报告潜在安全事件。例如，通过日志记录和行为分析来检测可能的异常或攻击行为。

（三）制造商、进口商和经销商的责任

CRA明确规定了制造商、进口商和经销商在包含数字元素产品的网络安全方面的责任，构建了从产品设计到销售全流程的安全保障体系。三类市场主体在各自领域履行不同的职责，制造商在源头保障产品安全，进口商负责跨境核查，经销商则面向消费者提供末端支持，共同确保产品网络安全的全面性和一致性。

制造商 作为产品的直接开发者和生产者，在网络安全责任链中占据核心地位。CRA规定制造商需在产品的设计和开发阶段确保其不存在已知安全漏洞，并应采用默认安全配置。制造商需提供完整的技术文档，包含产品的安全特性和风险评估报告，同时在产品生命周期内持续监控漏洞并提供安全更新。合规性是制造商责任的重点，所有产品需通过合格评估，并附有CE标志以证明其符合网络安全要求。此外，制造商需向用户提供明确的使用说明和支持信息，确保产品的透明性和可用性。一旦发现安全问题，制造商有义务及时修复漏洞并通知用户。

进口商 作为跨境产品进入欧盟市场的第一道关卡，承担着核实与把关的责任。进口商需确保所引入产品已通过制造商的合格评估，并符合欧盟网络安全标准。为增强产品的可追溯性，进口商需保存相关技术文档并记录销售和分销信息。出现安全问题时，进口商需与制造商和经销商协作，提供用户支持和解决方案，同时配合市场监督机构的检查与问责。

经销商 位于产品供应链的末端，其职责聚焦于保障消费者获取安全可靠的商品。经销商需验证所销售产品的合规性，并向用户提供清晰的操作指南与支持信息。在发现安全问题或收到用户反馈后，经销商需及时与制造商或进口商沟通，并采取必要措施防止问题扩大。经销商还需协助市场监管部门对产品的合规性进行核查，确保销售环节的透明和责任落实。

（四）市场监督与执法措施

CRA提出了严格的检查、快速的风险预警和有力的处罚措施，以确保具有数字元素的产品符合网络安全要求，从而为消费者和企业提供一个更加安全、透明和可信的市场环境。

CRA要求欧盟成员国设立或指定市场监督机构，负责监督其管辖范围内产品的合规性。这些机构需对市场上销售的产品进行抽查和验证，确保它们符合CRA规定的网络安全要求，如CE标志的合法性和技术文档的完整性。一旦发现产品存在潜在的不合规情况或安全隐患，监督机构需进一步审查产品的安全性能与合格评估记录，以确认制造商是否履行了应尽义务。

对于违反法案规定的行为，市场监督机构可根据违规程度处以相应罚款。罚款金额取决于产品的不合规性质和潜在危害程度，旨在对违规行为形成威慑。此外，违规方需公开其整改措施，以再次取得消费者和市场的信任。

（五）影响分析

CRA的推出，为欧盟的数字产品网络安全管理奠定了统一的法律框架。通过明确责任、统一标准、推动技术创新和优化市场环境，CRA对技术发展、市场竞争、消费者权益和社会安全产生了多层次、深远的影响。

首先，从技术发展的角度看，CRA要求制造商在设计和开发中融入网络安全理念，这显著推动了相关技术的进步。例如，为满足法规要求，物联网设备制造商需要采用加密技术、漏洞扫描工具和自动更新机制。

其次，在市场层面，CRA的统一标准减少了成员国间法规差异，为制造商跨境运营降低了合规负担，促进了欧盟统一市场的整合。这种规则透明化有利于提高市场竞争力，吸引更多企业进入欧盟市场。然而，法规的高要求对中小企业形成了较大挑战，它们可能因合规成本上升而退出市场，但也促使行业集中度提升，优化市场竞争格局。

从消费者角度看，CRA通过产品认证、漏洞管理和安全信息披露，极大提升了消费者权益保护。消费者在购买和使用数字产品时可以获得更加透明和可靠的信息，例如产品的安全期限和更新政策。这种透明性不仅增强了消费者信任，还促使制造商改进产品的安全设计，为消费者提供更安全的选择。

三、小结

2024年11月欧盟发布的CRA兼顾了技术发展与市场需求之间的平衡，通过增强透明度、支持安全创新和改进供应链网络安全，CRA不仅有助于提升欧盟市场的整体安全水平，还为未来的全球网络安全立法提供了参考样本。然而，法案的成功实施离不开成员国政府、企业和消费者的积极配合，需要充分应对法案在执行中的复杂性和潜在挑战。

通过此法案，欧盟展示了在技术监管领域引领全球的雄心，同时也为数字经济的发展和安全保障之间找到了一条前瞻性路径。（完）

本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司王龑、吴潇等专家的大力支持，特此致谢。