▶︎ 1.《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》发布
3月1日,工业和信息化部、市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》(以下简称《通知》)。
该通知旨在进一步规范智能网联汽车准入、召回及软件在线升级(OTA)管理,切实保障车辆安全,提升智能网联汽车产品安全水平,推动汽车产业高质量发展。《通知》强调,通过加强OTA升级活动监督管理、强化OTA升级活动分类管理等,强化汽车软件在线升级活动协同管理。从技术、管理和监管等多维度构建严密的安全保障体系。
▶︎ 2.《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求(征求意见稿)》公开征求意见
3月3日,为规范个人信息保护合规审计专业机构提供个人信息保护合规审计的服务能力,全国网络安全标准化技术委员会秘书处组织对《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求(征求意见稿)》面向社会公开征求意见。
▶︎ 3.国家数据局等发布国家数据基础设施建设有关技术文件
3月6日,为推进国家数据基础设施体系化、集约化、一体化建设,国家数据局指导全国数据标准化技术委员会研究形成了《数据基础设施 参考架构(试行)》等6项技术文件,引导地方、行业、领域、企业按照“统一目录标识、统一身份登记、统一接口要求”推进国家数据基础设施建设。
上述技术文件围绕数据基础设施架构、互联互通、用户身份管理、标识管理、接入连接器、数据目录描述及安全保障等提出了技术标准要求,为构建横向联通、纵向贯通、协调有力的国家数据基础设施提供基础支撑。
▶︎ 4.四部门联合发布《人工智能生成合成内容标识办法》
3月7日,国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局联合发布《人工智能生成合成内容标识办法》(以下简称《标识办法》),自2025年9月1日起施行。
《标识办法》以内容标识为抓手,细化前期相关部门规章的标识相关要求,进一步发挥内容标识提醒提示和监督溯源的技术作用,着力构建开放、公正、有效的治理机制,营造公平有序发展环境,推动人工智能产业健康有序发展。
《标识办法》要求AI生成内容须显著标注“人工智能生成”字样,规范算法模型备案及提供者主体责任;明确生成合成类文本、图像、音视频等需通过固定位置、醒目标识等方式进行区分,防止虚假信息扩散。同时,建立算法模型备案制度,要求提供者记录内容生产日志,配合监管调查等。
▶︎ 5.十五部门印发《关于促进中小企业提升合规意识加强合规管理的指导意见》
3月7日,国家十五部门联合印发《关于促进中小企业提升合规意识加强合规管理的指导意见》,要求中小企业建立专项合规制度,完善风险预警机制,定期开展合规培训。
意见提出,通过编制合规指南、推广数字化管理工具等方式,帮助企业识别法律、安全及商业伦理风险,推动合规管理与业务发展深度融合。政府将通过政策倾斜、信用激励等措施,对合规达标企业给予融资、招投标等支持。同时,强化行业自律与部门协同监管,开展专项帮扶行动,重点解决中小企业合规成本高、专业人才不足等难题。该意见自发布起实施,旨在助力中小企业提升抗风险能力,促进市场公平竞争,为高质量发展筑牢法治根基。
▶︎ 6.网络安全成为两会焦点
3月5日—11日两会期间,网络安全成为代表和委员们热议的焦点。多位代表提出相关提案,涵盖网络安全技术创新、应急响应体系建设、法律法规完善等多个方面。
全国政协委员、360集团创始人周鸿祎建议推动网络安全服务化转型,鼓励企业从购买硬件产品转向购买安全服务。全国人大代表、格力电器董事长董明珠则提出强化网络谣言与网络暴力的综合治理体系,建议修订相关法律法规。此外,提案还涉及加强青少年网络安全保护、推动网络安全产业高质量发展等内容,体现了国家对网络安全问题的高度重视和全面考虑。
▶︎ 7.工信部部署做好2025年信息通信业安全生产和网络运行安全工作
3月10日,工业和信息化部发布《关于做好2025年信息通信业安全生产和网络运行安全工作的通知》,明确七大核心任务,要求强化通信建设全流程安全监管,建立覆盖规划、设计、施工到运维的全链条责任体系。针对5G基站、数据中心等高风险领域,提出严格动火作业审批、有限空间旁站监督等具体措施,同时要求企业建立重大事故隐患自查奖励机制,推动隐患动态清零。通知特别强调云服务安全治理,要求云服务商完善稳定性测试与应急演练,防范算力基础设施风险。
▶︎ 8.国家卫健委等三部门联合印发要求加强信息系统的安全等保和密码应用
3月12日,国家卫生健康委办公厅、国家中医药局综合司、国家疾控局综合司联合印发《关于印发紧密型县域医共体信息化功能指引的通知》(以下简称《通知》)。
《通知》强调完善数据信息安全保障,围绕区域数据安全,落实等保制度和安全可靠要求,应用各种安全技术措施,加强信息系统的安全等保和密码应用,加强网络安全日常监测和运维管控,做实应急预案,筑牢网络安全综合防控体系。
▶︎ 9.《人脸识别技术应用安全管理办法》公布
3月13日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。此外,《办法》还对应用人脸识别技术处理人脸信息的基本要求、人脸识别技术应用安全规范、监督管理职责等作出了规定。
▶︎ 10.强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》发布
3月15日,全国网安标委发布强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》,自2025年9月1日起施行。
本标准是配套《人工智能合成内容标识办法》的强制性国家标准,对防范人工智能生成合成内容引发安全风险、提升人工智能安全水平起到规范作用,促进人工智能行业安全发展。本标准规定了人工智能生成合成内容标识方法,适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。
▶︎ 11.《个人信息超范围收集与泄露问题分析研究报告》发布
3月15日,中国网络空间安全协会、中国消费者协会、新华网等联合发布《个人信息超范围收集与泄露问题分析研究报告》。
研究报告聚焦个人信息超范围收集和泄露问题,通过梳理我国当前个人信息超范围收集与泄露的情况,结合已经处置的11个典型案例,指出个人信息超范围收集和泄露的典型问题,主要是个人和企业能力与信息不对称加剧信息滥用、技术防护不足导致泄露频发、海量数据汇集放大泄露后果等。从企业、个人和技术三个层面究其原因,分别是企业合规缺位与安全管理缺失、个人判断能力欠缺与寻求救济困难、保护与利用在技术上存在冲突等。
▶︎ 12.2项网络安全国家标准获批发布
3月17日,根据2025年2月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2025年第4号),全国网络安全标准化技术委员会归口的2项国家标准正式发布。
具体清单如下:
▶︎ 13.征求《网络安全技术 信息安全管理体系审核和认证机构要求》意见的通知
3月20日,全国网络安全标准化技术委员会归口的《网络安全技术信息安全管理体系审核和认证机构要求》等3项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该3项标准征求意见稿面向社会公开征求意见。
▶︎ 14.国家密码管理局发布《电子认证服务使用密码管理办法(征求意见稿)》
3月21日,国家密码管理局就《电子认证服务使用密码管理办法(征求意见稿)》向社会公开征求意见。征求意见稿包括总体要求、许可审批、运行规范、监督检查、法律责任和附则共6个方面内容,共23条。
征求意见稿规定,采用商用密码技术提供电子认证服务,应当依法取得《电子认证服务使用密码许可证》。国家密码管理局负责对全国电子认证服务使用密码行为实施监督管理。县级以上地方各级密码管理部门负责对本行政区域的电子认证服务使用密码行为实施监督管理。
▶︎ 15.香港通过保护关基设施条例,运营者不更新系统最高可罚500万港元
3月21日,香港立法会批准了首部专门针对关键基础设施计算机系统网络安全的法案—《保护关键基础设施(电脑系统)条例草案》。
根据该法案,运营者若未能及时更新系统,最高可被罚款500万港元(约466万元人民币)。该法案涵盖被认为对社会正常运作至关重要的八大领域,包括能源、信息技术、银行及金融服务、海运、陆路运输、航空运输、医疗服务和通信及广播服务。此外,其他涉及关键社会及经济活动的基础设施运营者,如管理大型体育或表演场馆、科研园区的机构等,也被纳入法案范围。该法案不具有域外效力,仅适用于大型机构,不会影响大多数中小企业或普通市民。
▶︎ 16.《工业互联网安全分类分级管理办法》公布
3月26日,工业和信息化部印发《工业互联网安全分类分级管理办法》(以下简称《办法》)。该办法旨在加强工业互联网安全分类分级管理,落实企业网络安全主体责任,提升安全防护水平,促进工业互联网深度融合应用,护航新型工业化高质量发展。
《办法》明确了工业互联网企业的分类,包括联网工业企业、平台企业和标识解析企业,并要求企业根据规模、业务范围等因素进行自主定级,级别分为三级、二级和一级。企业需通过全国工业互联网安全分类分级管理平台进行信息登记,地方主管部门负责核查和指导。《办法》还强调了网络安全管理,要求工业和信息化部建立健全安全监测预警、应急处置、检查评估等机制,地方主管部门需加强属地管理,企业要落实网络安全主体责任,建立健全内部管理制度,加强安全防护能力建设。
▶︎ 17.《工业和信息化领域人工智能安全治理标准体系建设指南 (2025)》公开征求意见
3月27日,工业和信息化部发布《工业和信息化领域人工智能安全治理标准体系建设指南(2025)》(征求意见稿),面向社会公开征集意见至2025年9月30日。该指南提出构建覆盖基础共性、技术工具、产品服务、行业应用、安全治理五大类别的标准体系,重点围绕算法合规、数据安全、系统可控三大维度建立技术规范。
根据规划,2025年底前将制定30项关键标准,率先在智能制造、智能网联汽车等重点领域开展试点。企业需建立AI系统全生命周期风险评估机制,对高风险场景实施“算法备案+动态审计”双轨管理。工信部同步建设AI安全检测认证平台,推行产品安全分级标识制度。
▶︎ 18.市场监管总局将加快推进人工智能领域国家标准研制工作
3月28日,市场监管总局印发专项方案,全面启动人工智能领域国家标准研制工作,重点围绕基础共性、关键技术、安全治理三大维度构建标准体系,计划2025年前完成50项核心标准制定。根据方案部署,自动驾驶、智能医疗、生成式AI等八大重点领域将率先开展标准攻关。
市场监管总局将联合信通院、重点实验室等机构建立“技术研发-标准研制-检测认证”协同机制,同步推进AI伦理审查指南、算法可解释性评估等配套规范。在安全监管方面,明确建立产品分类分级管理制度,对高风险AI系统实施强制检测认证,推行全生命周期追溯标识。市场监管总局将建设国家级AI标准验证平台,组建跨领域标准化技术委员会,推动我国标准与国际主流体系对接互认。
▶︎ 19.《中华人民共和国网络安全法(修正草案再次征求意见稿)》公布
3月28日,国家网信办发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》,面向社会公开征求意见。此次修订进一步细化数据安全管理制度,明确网络平台主体责任,要求关键信息基础设施运营者加强风险监测与应急处置能力。
草案强调对个人信息保护的合规要求,完善跨境数据流动监管规则,并加大对违法行为的处罚力度,情节严重的可责令停业整顿或吊销业务许可。修订内容还涉及网络安全事件报告机制,要求运营者及时向主管部门通报重大风险隐患。
▶︎ 1.美国众议院投票批准《美联储承包商网络安全法案》
3月3日,美国众议院通过了《2025年联邦承包商网络安全漏洞消减法案》,旨在通过管理和预算办公室(OMB)及国防部(DoD)的行动,防止因联邦承包商带来的网络安全漏洞的问题。该法案要求所有联邦承包商实施符合国家标准与技术研究院(NIST)指南的《漏洞披露政策》(VDP)。
该法案将填补关键漏洞,保护美国免受恶意行为者的攻击,并确保联邦系统和数据的安全。法案要求OMB和DoD根据《联邦采购条例》(FAR)提出建议,更新合同要求和语言,以规范承包商的漏洞披露。该法案适用于合同金额达到或超过25万美元的承包商,以及管理和维护机构信息系统的承包商。
▶︎ 2.美国国防部推出Thunderforge项目
3月4日,美国国防部启动了一项名为“Thunderforge”的项目计划,旨在构建Thunderforge系统,并将人工智能技术融入军事工作流程。
该项目由Scale AI、Anduril和微软合作实施,分别由这些公司提供人工智能技术、数据管理平台和LLM模型。Thunderforge系统能够快速处理大量信息并模拟军事场景,取代传统的参谋演习,为指挥官提供最佳行动方案。首次测试计划在美国太平洋司令部进行。尽管该项目强调人类控制和数据验证,但其安全性和道德性仍引发争议。五角大楼表示,这一技术将显著提升军事决策效率,标志着人工智能在军事行动中的大规模应用迈出重要一步。
▶︎ 3.美国国防信息系统局发布新版数据战略
3月4日,美国国防信息系统局(DISA)发布《2025-2027财年数据战略》,提供了全面的数据战略路线图,旨在优化网络、增强网络安全,并利用人工智能和机器学习技术来满足美国防部作战需求。
该战略聚焦三大重点领域:一是加强数据架构和治理,通过数据标记、元数据管理、零信任架构和数据分类标准,将数据视为战略资产加以保护,并简化数据基础设施以促进稳健的数据共享;二是集成高级分析,发展描述性、预测性和规范性分析模型,推广人工智能和机器学习(ML)模型及自助分析工具,建立互操作性框架和数据标准,以推动数据驱动的决策;三是培育以数据为中心的文化,通过全面培训、数据挑战赛和招募数据人才,提高员工数据素养,完善知识管理。DISA首席数据官办公室将重点推进这些领域,确保数据作为战略资产在快速发展的数字环境中增强决策能力,为作战人员提供及时、安全、可靠的支持,保持美军在战场和网络空间的技术与作战优势。
▶︎ 4.美国NIST发布《网络安全框架2.0:半导体制造概要(草案)》
3月5日,美国国家标准与技术研究院(NIST)发布《网络安全框架2.0:半导体制造概要(草案)》,并公开征求公众意见。
该草案包含以下内容:“识别和改进半导体制造体系的现行网络安全做法的结构化方法;确保控制环境的风险水平位于可接受的范围内的网络安全评测方法;制定和维护半导体制造工艺网络安全计划的标准化方法。”该草案由NIST和企业界共同制定,遵循了NIST“网络安全框架2.0”下的六个主要功能领域(治理、识别、保护、检测、响应和恢复),并灵活扩展到制造、企业IT以及工艺装备等各种半导体子领域。
▶︎ 5.欧盟发布报告实施NIS2指令
3月5日,欧盟网络安全局(ENISA)发布了NIS360报告,旨在指导成员国实施《网络与信息系统安全指令2》(NIS2),并评估各行业的成熟度与关键性。报告基于国家机构数据、企业自评和欧盟数据源,提供了跨行业的网络安全成熟度分析。结果显示,电力、电信和银行行业的成熟度较高,而ICT服务管理、航天、公共行政、海运、医疗和天然气等六个行业处于“风险区”,其成熟度有待提升。
报告建议加强行业间合作、制定行业特定指导方针,并推动跨境要求对齐。ENISA强调,通过NIS360报告,成员国可更好地理解整体态势,优先改进关键领域,并助力政策制定者完善网络安全策略,从而提升欧盟整体的网络韧性。
▶︎ 6.欧盟拟立法推动网联汽车数据共享
3月10日,欧盟委员会拟于今年提出立法草案,旨在让保险、租赁公司及维修店公平获取车辆数据,终结汽车服务机构、科技巨头与车企间围绕车载数据商业化的竞争。这些数据涵盖驾驶习惯、油耗、轮胎磨损等,相关分析称联网汽车市场十年内或达数千亿欧元规模。因欧盟法律未明确数据所有权,当前存在访问争议。欧盟汽车行业行动计划草案显示,鉴于联网汽车拥有的市场潜力,需立法让整个汽车生态系统受益。
▶︎ 7.瑞士国家网络安全中心发布网络安全通报规定
3月11日,瑞士国家网络安全中心(NCSC)发布了一项新的规定,自2025年4月1日起,关键基础设施的运营商必须在发现网络攻击后的24小时内向国家网络安全中心(NCSC)进行报告。
需报告的情况涉及:威胁关键基础设施、信息操纵、信息泄露、勒索等。同时,根据该规定,未能及时报告网络攻击的关键基础设施运营商可能会被罚款。目前,瑞士联邦委员会决定于10月1日正式实施相关罚款立法,相关运营商有6个月时间做好相应准备。
▶︎ 8.美国陆军发布《陆军统一网络计划2.0》
3月13日,美国陆军正式发布《美国陆军统一网络计划2.0》,重申了初始版计划的五大战略工作路线,强调通过“实施零信任原则”和“转向以数据为中心”两项重点工作,改善陆军网络传输和保护数据的方式,使陆军更好地为多域作战作好准备。
该计划侧重于共同原则和标准实施,关键原则包括:一是整合零信任和数据中心;二是减少或消除边缘信息技术的复杂性;三是集中信息技术服务交付和资源配置;四是建立并采用共同的标准、流程和系统;五是推动作战人员优先考虑指挥控制以支持多域作战和通信受限环境;六是实现与合作伙伴、盟友以及跨安全域的快速安全数据共享;七是制定运行概念并验证各梯队的操作要求。
▶︎ 9.美国联邦通信委员会宣布将成立新国家安全委员会
3月13日,美国联邦通信委员会宣布,在电信机构内成立一个新的国家安全委员会,旨在抵御外国不良行为者。
据称,该委员会将重点聚焦3个重要领域,包括:一是减少美国在技术、电信供应链方面对国外的依赖;二是减轻美国对监视、间谍、网络攻击的脆弱性;三是确保美国在开发和部署“关键技术”等方面的竞争中领先于我国,涉及5G、6G、人工智能、卫星、量子、机器人、自主系统、物联网等。
▶︎ 10.西班牙出台人工智能治理法案
3月13日,西班牙政府批准一项人工智能治理法案,将人工智能应用细分为不同的风险等级,并对高风险人工智能系统施加更为严格的规定。该法案要求高风险系统必须遵循风险管理、透明度、人工监督以及数据治理等关键标准,并受到相关行业监管机构的严格监督。
法案明确禁止了若干有害的人工智能实践,主要包括运用潜意识技术操纵决策过程;基于敏感数据的歧视性分类;缺乏人工监督的生物识别监控等。法案还要求企业在采用人工智能生成内容时必须明确标识,否则将可能遭到高达3500万欧元或全球年营业额7%的罚款。
▶︎ 11.美国海军推出MOSAICS框架以强化关键基础设施网络安全
3月13日,美国海军信息战中心(NIWC)推出“工业控制系统态势感知增强系统”(MOSAICS),旨在保护国家关键工业控制系统(ICS)免受网络攻击。MOSAICS系统框架运用一套与供应商无关、非专有的现成商用硬件和软件工具,集成至自动化系统,为工业控制系统的所有者和资产提供运营弹性,实现对物理设备的网络监控与响应,为发电厂、水处理设施等关键工业控制系统(ICS)构建主动防御体系。
前MOSAICS首席系统工程师Aleksandra Scalco表示,该框架支持资产所有者保护系统免受网络攻击。NIWC希望MOSAICS成为国防部统一设施标准的一部分,确保军事设施ICS的安全性、可靠性和功能性。
▶︎ 12.阿拉伯联合酋长国发布《阿布扎比医疗信息和网络安全(ADHICS)战略》
3月14日,阿拉伯联合酋长国七个酋长国之一的阿布扎比发布了第二版《阿布扎比医疗信息和网络安全(ADHICS)战略》,重点关注六大支柱:治理、弹性、能力、伙伴关系、成熟度和创新。
该战略要求相关地区的每家医院、保险公司、医疗设备制造商必须根据要求部署能够保护数据信息和运营的安全设备及相关控制措施。此外,该战略指出,“该标准的整体方法覆盖整个组织而不仅仅是IT层面,并涵盖了整个健康信息生命周期中的人员、流程和技术等方面。”
▶︎ 13.参议员重新提出两党法案,加强农村供水系统网络安全措施
3月18日,美国参议院再次提出两项两党法案,旨在针对小型供水和污水处理设施,尤其是农村地区的基础设施,提供关键支持以应对日益增长的网络威胁和自然灾害风险,并加强农村供水系统的网络安全防御能力。第一项法案《农村供水系统防灾和援助法案》由内华达州民主党参议员凯瑟琳·科尔特斯·马斯托和密西西比州共和党参议员辛迪·海德·史密斯共同提出,该法案将在美国农业部(USDA)设立援助计划,帮助农村供水和污水处理设施识别脆弱性、制定灾害规程并培训员工应对紧急情况。
第二项法案《农村供水系统网络安全法案》由南达科他州共和党参议员迈克·朗兹提出,旨在更新“巡回骑士计划”(Circuit Rider Program),为小型供水系统提供网络安全评估、协议制定和技术援助。
▶︎ 14.特朗普推出国家复原力战略,优先提升基础设施网络攻击防护能力
3月20日,美国总统特朗普发布行政命令,推出国家复原力战略,旨在增强各州、地方政府和公民应对网络攻击及恶劣天气事件的能力。该战略明确了提高国家复原力的优先事项和方法,简化了美联邦准备和响应政策,使州和地方能更好理解需求。
行政命令要求审查前总统拜登政府的多项政策,包括关键基础设施安全和供应链复原力相关备忘录,并启动国家风险登记册,以识别和量化国家基础设施面临的风险,同时要求总统国家安全事务助理在90天内发布国家复原力战略,并在180天内审查所有关键基础设施政策,提出修订建议。
▶︎ 15.瑞典政府发布《国家网络安全战略2025—2029年》
3月20日,瑞典政府发布《国家网络安全战略2025—2029年》,对未来五年的国家网络安全建设进行了整体谋划,以应对日益复杂的网络安全威胁,提升国家整体网络安全水平。
该《战略》提出了3大支柱:一是系统高效的网络安全工作。二是网络安全知识和能力提升。三是加强网络安全事件的预防处置。《战略》还明确了当前面对的重要挑战及应对举措,要求进一步增加关键基础设施的网络安全防护水平和主动防御能力。
▶︎ 16.朝鲜成立227研究中心强化网络战能力
3月21日,朝鲜军方侦察总局(RGB)正式成立227研究中心,这是该国加强网络战能力的最新举措。该研究中心于3月9日在平壤万景台区投入运营,与RGB总部分开设立,旨在开发先进的攻击性网络技术。
据情报显示,该中心将重点研发三大核心技术:安全网络渗透技术、基于AI的信息窃取技术以及自动化信息收集分析系统。不同于传统情报机构,227研究中心将实行24小时运作机制,为海外黑客组织提供实时技术支持。朝鲜已启动人才选拔程序,计划从顶尖高校招募约90名计算机专家,要求具备程序开发、自动化系统或信息安全专业背景。通过整合人工智能等前沿技术,朝鲜意图增强其网络情报收集和资产窃取能力,进一步巩固其全球网络战参与者的地位。
▶︎ 17.美国网络司令部举办史上最大规模“网络卫士”演习
3月21日,美国网络司令部于2025年3月12日至18日完成了第11届年度“网络卫士”演习的第一阶段。
此次演习旨在模拟真实场景,让参演人员演练全面部队整合的内部和外部参谋流程;模拟了美网络司令部在危机期间支持影响多个地理责任区域的全球场景;测试参谋人员在困境中就行动方案、兵力调动以及与机构和盟军伙伴分担负担做出决策的能力;提供了测试各作战功能流程的机会,帮助美网络司令部改善任务中网络攻防行动的规划、整合和执行;激励各作战司令部相互协调,并为指挥官们提供了经验教训,以评估未来部队管理在指挥控制、权限和信息共享方面的挑战和差距。
▶︎ 18.加拿大政府推出“国家网络安全认证计划”
3月23日,加拿大政府效仿美国的“网络安全成熟度模型认证”计划,推出“国家网络安全认证计划”(CPCSC),以保护承包商的系统、网络和应用程序中的非密联邦合同信息。
CPCSC将分阶段实施:第一阶段(2025年3月)将推出1级网络安全认证和2级网络安全认证的实施标准;第二阶段(2025年秋季)起,将要求部分国防合同通过1级网络安全认证(包括通过1级自我评估工具的认证);第三阶段(2026年春季)起,将要求部分国防合同通过2级网络安全认证,并发布3级网络安全认证的相应标准;第四阶段(2027年)起,逐步将3级网络安全认证要求纳入少数合同的选定国防提案中,并由国防部开展3级网络安全认证。
▶︎ 19.欧盟网络安全局发布太空网络威胁报告
3月28日,欧盟网络安全局(ENISA)发布了一份关于太空领域网络安全威胁分析报告,系统性揭示全球卫星系统面临的严峻风险。
报告指出,随着商业卫星在通信、导航等领域的深度应用,全球供应链、老旧系统及开放性技术架构使其成为网络攻击的高价值目标,网络威胁主要包括国家级APT攻击、供应链后门、通信劫持等。ENISA基于卫星全生命周期模型,提出125项分层防御措施,涵盖加密强化、零信任架构及供应链安全等方面,并呼吁行业采用“安全设计”原则,推动欧盟《网络弹性法案》落地。
*新闻来源于互联网。