国内外网络安全政策动态（2024年8月）

▶︎ 1.《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知》公开征求意见

8月1日，工业和信息化部装备工业一司联合市场监管总局质量发展局组织编制了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知（征求意见稿）》，现公开征求意见。

该文件正文共4章10条，包括总体要求、加强组合驾驶辅助准入与召回管理、强化汽车软件在线升级协同管理、保障措施。该文件正文共4章10条，包括总体要求、加强组合驾驶辅助准入与召回管理、强化汽车软件在线升级协同管理、保障措施。该文件要求，企业要落实智能网联汽车产品质量和生产一致性、产品安全主体责任，持续确保汽车数据安全、网络安全、OTA升级、功能安全和预期功能安全等保障能力有效，严格履行OTA升级管理和备案承诺，以及事件事故报告要求。

▶︎ 2.事关重点工业产品质量安全追溯市场监管总局公开征求意见

8月1日，贯彻落实《质量强国建设纲要》关于“构建重点产品质量安全追溯体系”的要求，市场监管总局在前期试点、专题调研的基础上，起草形成了《市场监管总局关于推进重点工业产品质量安全追溯的实施意见（征求意见稿）》，现向社会公开征求意见，意见反馈截止日期为2024年8月30日。

其中（七）保障追溯数据安全。参加追溯的相关方应做好追溯平台和追溯数据的安全防护工作，确保重点工业产品质量安全追溯数据真实、完整、准确，做到可查证和不可篡改。市场监管总局加强相关信息基础设施安全保护和网络安全等级保护，实现对追溯平台安全防护技术保障和追溯数据全生命周期安全管理。

▶︎ 3.《标识密码认证系统密码及其相关安全技术要求》等2项国家标准公开征求意见

8月2日，全国网络安全标准化技术委员会归口的国家标准《网络安全技术标识密码认证系统密码及其相关安全技术要求》和《数据安全技术数据接口安全风险监测方法》现已形成标准征求意见稿，现公开征求意见。

其中，前者规定了标识密码认证系统的系统组成架构，及其密钥生成、管理以及公开参数查询等服务的技术要求，适用于标识密码认证系统的设计、开发、使用和检测。后者给出了数据接口安全风险监测的方法，包括方式、内容、流程等，明确了数据接口安全风险监测各阶段的监测要点，适用于指导各类组织开展的数据接口安全风险监测活动。

▶︎ 4.财政部修订《会计信息化工作规范》《会计软件基本功能和服务规范》

8月7日，财政部修订印发了《会计信息化工作规范》及《会计软件基本功能和服务规范》，自2025年1月1日起施行。

《会计信息化工作规范》共6章50条，与原规范相比强化了会计信息化安全，全面要求单位统筹考虑会计信息化的系统安全、网络安全、涉密安全、跨境安全等，强化会计数据在生成、传输、存储等环节的安全风险防范。

《会计软件基本功能和服务规范》共8章47条，与原规范相比加强了会计软件及服务对会计数据的多维度保障，要求会计软件应当保证会计数据的真实、完整、安全传输，能够完整接收和读取电子凭证，并通过验签等方式检查电子凭证合法性和真实性，应当满足数据保密性的要求，支持对重要敏感数据的加密存储和传输，保障会计数据不被篡改。

▶︎ 5.《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见

8月7日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》，现公开征求意见。

该文件提出了互联网平台停服数据处理基本要求，规定了重要数据处理的要求，适用于指导互联网平台数据处理者开展数据安全保护工作，也可为主管监管部门实施安全监管或安全评估提供参考。

▶︎ 6.北数所发布《个人信息授权运营管理办法（试行）》

8月9日，随着数据要素市场建设的快速发展，个人信息的合规利用与有效保护已成为社会关注的焦点。北京国际大数据交易所按照《中华人民共和国个人信息保护法》的框架，在北京市相关委办局的指导下，发布了《个人信息授权运营管理办法（试行）》，旨在规范个人信息授权运营管理，保障个人信息主体的知情权、决定权和收益权，同时促进个人信息的合规流通。

▶︎ 7.《旅游大数据安全与隐私保护要求（征求意见稿）》公开征求意见

8月14日，全国旅游标准化技术委员会近日发布标准《旅游大数据安全与隐私保护要求（征求意见稿）》，公开征求意见，征求意见截止时间为2024年10月8日。

征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。适用于旅游管理和服务机构开展旅游大数据收集、传输、存储、提供与公开、使用与加工等过程中的安全管理组织、人员安全管理、相关系统建设等，也可为有关部门对旅游大数据相关活动进行监管管理提供参考。

▶︎ 8.中国信通院启动“数据匿名化标准”试点单位征集工作

8月22日，随着数据要素在数字经济中的广泛应用，数据安全与隐私保护问题也逐步显现，保障数据要素流通交易安全成为构建全国一体化数据要素市场的重要前提。

匿名化是保障数据要素交易流通安全的重要措施之一，《个人信息保护法》明确了匿名化的定义，同时《民法典》《网络安全法》等均将匿名化数据，排除在个人信息之外，使得个人信息在经匿名化处理后，安全、合规、高效地流通交易成为可能。然而，现行法律法规均未对匿名化定义中的“无法识别”以及“不能复原”作具体规定或解释，行业企业在实施数据匿名化保护措施的过程中，面临匿名化有效性难以判定的难题。

为解决困扰行业的痛点问题，助力数据要素市场的培育与发展，中国信息通信研究院联合阿里巴巴等企业凝聚行业共识，共同研制数据匿名化标准，并组织开展匿名化标准试点工作，现面向行业征集首批标准试点单位。

▶︎ 9.《未成年人网络保护年度报告2024》发布

8月28日，以“筑牢网络保护防线护航未成年人成长”为主题的2024年中国网络文明大会未成年人网络保护分论坛在四川成都举行。会上发布了《未成年人网络保护年度报告2024》（以下简称《报告》）。

由中国网络社会组织联合会和中国社会科学院大学互联网法治研究中心联合发布的《报告》，对我国未成年人网络保护现状进行全面梳理，为我国未成年人网络权益保护的阶段性成果作出系统总结。《报告》从2023-2024年度我国未成年人网络保护总体情况出发，分别从法律体系建设情况、行政监管和综合治理情况、司法保护情况、平台实践经验、社会共治促进、网络素养培育以及未来展望等方面进行了阐释，以期为未成年人网络保护工作提供参考借鉴。

▶︎ 10.全国网安标委就国家标准《网络安全技术安全技术网络安全第7部分：网络虚拟化安全》发布征求意见稿

8月29日，经标准编制单位的辛勤努力，现已形成国家标准《网络安全技术安全技术网络安全第7部分：网络虚拟化安全》征求意见稿。为确保标准质量，网安标委秘书处面向社会广泛征求意见。本文件旨在识别网络虚拟化安全风险，并为网络虚拟化的安全实施提供指引。

总体上，本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助，适用于负责实施和维护安全虚拟化环境并进行相应技术控制的用户和实施者。

▶︎ 1.欧盟《人工智能法案》正式生效

8月1日，欧盟《人工智能法案》正式生效。该法案是全球首部全面监管人工智能的法规。欧盟介绍，制定《人工智能法案》的目的在于，在维护民主、人权和法治的同时，推动普及值得信赖的人工智能。根据使用方法而非技术本身造成的影响风险进行分类。风险分为四类，风险等级越高，管控越严格。

▶︎ 2.英国家网络安全中心发布主动网络防御2.0计划

8月6日，英国家网络安全中心（NCSC）发布主动网络防御（ACD）2.0计划，以帮助政府部门和企业应对新兴网络威胁。ACD 2.0计划将引入更先进的网络安全工具和服务，填补商业市场空白。NCSC计划重新评估现有工具和服务，并在必要时将其管理权转交给私营部门，目标是在三年内实现大部分服务的顺利转移。

ACD计划最初于2017年启动，提供四个方面的免费服务：自查与预警、威胁检测、防护和防御以及提供支持多种ACD服务的通用平台。

▶︎ 3.美国防部计划推出多云战略和敏捷软件指令

8月6日，美国防部首席信息官办公室云计算和软件现代化主管乔治·兰姆（George Lamb）透露，计划在未来4~6个月内公布多云战略。美国防部联合作战云能力（JWCC）项目选择了谷歌、亚马逊AWS、甲骨文和微软作为提供云服务的四家供应商，以此构建系统韧性。同时，该部门也正在和MITRE公司合作探索简化多云策略的方法。此外，兰姆的办公室还在拟定一项敏捷软件指令，旨在变革传统的软件采购流程，以支持软件的快速开发。

▶︎ 4.澳大利亚国防部发布《国防数据战略2.0》

8月6日，澳大利亚国防部发布《国防数据战略2.0-数据时代的决策优势》，该战略作为对《2024年国防战略》和《综合投资计划》的响应，旨在以数据为中心改善国防部的工作模式，利用数据提升战备水平，提高决策效率，并最终获得决策上的优势。

战略以“治理、信任、共享、发现、利用”为原则，提出以下举措：提升国防数据治理能力，实现灵活、可扩展和网络化的数据治理和管理；借助“一体化国防能力系统”来解决联合部队的数据需求；优化能力投资和资源分配决策过程；更迅速地为作战人员提供高质量数据；提高国防数据的安全性和完整性，提升数据保护和共享能力；加强国防部的数据文化和数据素养；以及加速数据搜索和使用技术的创新和开发。

▶︎ 5.日本拟强制私营部门报告网络安全事件

8月6日，日本政府正考虑实施新措施，要求关键基础设施领域的私营部门运营商必须报告任何网络破坏事件，报告范围涵盖电信、金融、机场、港口等15个行业的关键基础设施。政府的新计划旨在将之前鼓励企业报告网络安全攻击转变为具体的法律义务。通过提高透明度和信息共享，增强私营部门企业的网络攻击防御能力。此举主要针对企业因担心股价受损而不愿报告网络攻击的问题，以促进信息快速共享，防止攻击蔓延。

▶︎ 6.CISA发布指南加强软件安全评估

8月7日，美国网络安全和基础设施安全局（CISA）发布新指南，以帮助组织强化评估软件制造商安全实践的方法。该指南强调了在软件采购过程中优先考虑产品安全的重要性，详细列出了将产品安全性整合到采购生命周期的各个阶段的注意事项，以及根据安全设计原则来评估产品安全成熟度的资源。

该指南还强调了消除默认密码、支持多因素身份验证（MFA）以及修复系统性漏洞的重要性。此外，建议软件制造商提供安全日志作为证据，维护第三方依赖项的详细记录，并能够展示及时的漏洞报告。

▶︎ 7.CISA、FBI发布《安全需求指南》增强软件制造商安全性

8月8日，美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）共同发布了《安全需求指南》，旨在帮助组织通过采购安全的技术产品来推动安全技术生态系统的发展。该指南为购买软件的组织提供了评估制造商网络安全方法的问题和资源，确保“安全设计”成为软件制造商的核心考量因素。

指南建议在采购生命周期的各个阶段都应考虑安全性，从评估潜在制造商的安全性策略开始，到在合同中纳入安全性要求，再到采购完成后进行持续的安全性评估。CISA强调，客户应通过采购决策激励软件致力于并实践“安全设计”的原则，并应在日志管理、第三方依赖性管理和漏洞报告等关键领域保持透明度和及时性。

▶︎ 8.联合国通过《全球网络犯罪条约》

8月9日，联合国网络犯罪问题特设委员会一致投票通过了《联合国打击网络犯罪公约》。该条约是首份打击网络犯罪的公约，首次建立了全球层面打击网络犯罪及支持相关数据访问的法律框架，共同打击网络犯罪和促进跨国数据交换。

人权组织和大型科技公司对该条约的一些条款表示担忧，认为条约文本未充分保障人权，并可能导致监视行为的增加和公众对数字技术信任的下降。美战略与国际问题研究中心（CSIS）认为，该条约的通过对于国际社会在打击网络犯罪方面的合作具有重要意义。

▶︎ 9.美国制定应对灾难性事件的网络安全保险政策

8月10日，美国正在制定应对灾难性网络事件的网络保险新政策。该政策旨在通过稳定保险市场和增强国家网络安全的韧性来管理风险。它将填补保险市场在应对灾难性网络事件方面的不足，并与行业利益相关者合作，确保政策满足多方需求。美国家网络安全局（NSA）局长哈里·科克（Harry Coker Jr.）表示，该机构正与财政部和网络安全与基础设施安全局（CISA）合作，预计将在年底前发布该政策。

▶︎ 10.NIST发布全球首批后量子安全加密标准

8月13日，美国国家标准与技术研究院（NIST）正式敲定三项用于应对未来量子计算威胁的加密算法，并在此基础上发布了三项后量子加密标准。这标志着全球首批后量子（post-quantum）安全加密标准的诞生。据NIST介绍，这些标准不仅考虑了底层数学的安全性，还评估了它们的实际应用效果。标准涵盖了一般加密和数字签名两大关键领域，为保障从机密电子邮件到电子商务交易等广泛应用提供了坚实的安全基础。

▶︎ 11.澳大利亚政府推出人工智能政策

8月15日，澳大利亚发布了《在政府中负责任地使用人工智能的政策》。该政策由数字化转型机构（DTA）公布，并计划于2024年9月1日实施，旨在统一战略需求，确保人工智能技术安全、合乎道德地应用，并通过提高透明度、加强治理和风险保障来增强公众对政府使用人工智能的信任，解决公众对数据使用、透明度和决策影响的担忧。政策基于“赋能、参与和发展”框架，引入相关原则、强制性要求和建议行动，以适应技术和社区期望的发展。

▶︎ 12.美国NIST发布5G网络安全白皮书系列文件

8月16日，美国国家标准与技术研究院（NIST）的国家网络安全卓越中心发布两份关于应用5G网络安全和隐私功能的白皮书，主要介绍了在商用级5G设备试验台上实现的功能，旨在帮助技术、网络安全和隐私项目经理识别、了解、评估和减轻5G网络的风险。其中一份文件涵盖了“应用5G网络安全和隐私功能”以及“使用订阅隐藏标识符保护用户标识符”；另一份文件则探讨了订阅隐藏标识符（SUCI）如何为网络用户提供安全和隐私保护。该中心呼吁公众在9月16日之前对这些文件提供反馈。

▶︎ 13.英国家网络安全中心计划建立全国网络欺诈证据库

8月20日消息，英国国家网络安全中心（NCSC）举办重要会议，讨论如何利用网络欺骗技术加强网络防御，核心目的是建立一个全国范围的网络欺骗证据库，以支持其主动网络防御2.0战略。

NCSC计划在英国互联网上部署5000个低交互和高交互网络欺骗解决方案实例，内部网络中部署2万个实例，云环境中部署20万个资产以及200万个令牌。这些部署将应对关于网络欺骗技术在发现潜在威胁和影响攻击者的有效性问题。此次会议汇集了国际政府合作伙伴、英国政府官员和行业领袖。

▶︎ 14.新加坡更新2024年运营技术总体规划

8月20日，新加坡网络安全局（CSA）更新了《2024年运营技术（OT）总体规划》。该文件将作为进一步加强新加坡防御的战略蓝图，确保为关键和非关键的OT部门提供一个具有韧性和安全的网络环境。

该文件概述了新加坡为提升OT部门网络安全技能和能力而采取的几项主要举措：一是加强OT网络安全人才管道及信息共享能力；二是提升OT网络安全弹性，提高对网络供应链生态系统的可见性；三是建立OT网络安全卓越中心，并促进OT系统整个生命周期中的安全部署。

▶︎ 15.美国NIST更新数字身份指南草案

8月21日，美国国家标准与技术研究院（NIST）发布了《数字身份指南特别出版物800-63修订版4》草案，并征求公众意见。此次更新旨在提高身份验证过程中的安全性、隐私性和可访问性。

该草案旨在帮助联邦机构有效应对日益复杂的安全威胁，同时确保美公民能够顺利获得政府服务和福利。NIST主任劳里·洛卡西奥（Laurie Locascio）强调，该草案将有助于各组织管理风险和防止欺诈，同时确保所有人能够合法访问数字服务。

▶︎ 16.英国公务员制度推出网络安全毕业生计划

8月21日，英国公务员制度的Fast Stream计划将新增网络安全专业轨道，以吸引有潜力的毕业生加入公共部门。该计划由公共技术部首次报道，旨在解决公共和私营部门在网络专业技能方面的人才短缺问题。Fast Stream网站已经为申请者推出了“网络安全”和“风险管理”两项新专业计划，申请通道将在未来几个月内开放。新计划的细节预计9月初公布，而正式招聘活动则计划于10月10日开始。

▶︎ 17.多国网络安全机构联合发布《事件日志与威胁检测指南》

8月22日，澳大利亚网络安全中心（ACSC）联合美CISA、FBI、NSA以及加拿大和英国等国家的网络安全机构，共同发布了《事件日志和威胁实践指南》（Best practices for event logging and threat detection）。指南旨在帮助组织建立完善的事件日志记录基线，以应对不断增多的恶意网络威胁，特别是针对利用“离地生活”技术（LOTL）和无文件恶意软件发起的复杂网络攻击。

指南强调了增强事件记录策略和威胁检测能力的重要性，并提出了有效事件记录解决方案的关键目标，这些目标包括：生成关键网络安全事件的警报、检测潜在事件、确保有效事件响应、提供妥协的详细见解、管理警报以减少噪音和成本，以及优化日志和日志记录平台以增强可用性和分析性能。此外，指南还提供了关于实施用户和实体行为分析以提高威胁检测能力的指导，以及确保事件日志存储安全和完整性的建议。此举旨在通过早期检测恶意活动提升组织的响应能力。

文章来源：网信中国、信息安全国家工程研究中心、中国信息安全、国家网信办、公安部、市场监管总局、全国网安标委、关键基础设施安全应急响应中心、中国政府网等