Aggregator

当前，以大模型为代表的人工智能技术持续快速发展、应用不断泛化和深化，为社会生产生活充分注入前所未有的新动能、新活力，激发全球各国广泛关注。然而，正如双刃剑之喻，人工智能在加快应用的同时，面临的安全挑战和风险也与日俱增，其深远影响或波及我国经济的繁荣基石、社会的和谐稳定乃至民众福祉。在此背景下，亟需构筑坚实的人工智能安全治理体系，妥善应对人工智能安全风险，保障人工智能安全、快速、有序发展。

遵循习近平总书记提出的“坚持以人为本、智能向善”的理念和宗旨，积极响应并贯彻落实《全球人工智能治理倡议》，全国网络安全标准化技术委员会制定《人工智能安全治理框架》（以下简称“《框架》”），于2024年全国网络安全宣传周正式发布。《框架》不仅标志着我国在人工智能安全治理领域取得了标志性进展，更为社会各界提供了指导蓝本和参考依据，有力促进了人工智能安全治理工作的持续深化与优化。聚焦于构建全方位、全链条的治理体系，旨在推动形成覆盖人工智能发展全周期、全要素的治理格局，是推动人工智能健康发展和规范应用的关键依据。

一、制定《人工智能安全治理框架》的背景认识

近年来，我国高度重视人工智能治理工作，习近平总书记在“一带一路”国际高峰合作论坛上亲自宣布提出《全球人工智能治理倡议》，围绕人工智能发展、安全、治理三方面系统阐述了人工智能治理中国方案，指出人工智能治理攸关全人类命运，强调要坚持发展和安全并重的原则看待人工智能。《框架》的发布为社会各界贯彻落实《全球人工智能治理倡议》提供了坚实的支撑，同时也成为推动人工智能安全治理工作向更深层次、更广泛领域迈进的关键力量。

《框架》系统总结并分享了我国人工智能安全治理工作中取得的研究成果和经验，为国内外各界提供了深入学习、准确理解及高效识别人工智能安全风险的详尽指南，为构建多方协同的全链条安全治理机制提供助力，为全球人工智能安全治理工作贡献中国智慧。《框架》的公开发布再次凸显了我国一直以来作为全球人工智能大国，以及人工智能安全治理引领者的负责任态度与担当。

二、《人工智能安全治理框架》内容理解

《框架》主要包含四部分内容，一是治理原则，二是安全风险，三是技术应对与综合治理措施，四是安全开发应用指引。

《框架》首先阐述了人工智能安全治理的理念和原则，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享四项原则，为开展人工智能安全治理工作开展提供整体思路。

按照风险管理思路，《框架》紧密结合人工智能特性，系统梳理了人工智能重大安全风险，为有效识别人工智能安全风险提供了基本依据。一是包括偏见歧视、训练数据被投毒、数据泄露等由人工智能自身技术缺陷和不足带来的内生安全风险，二是包括被用于违法犯罪活动、加剧信息茧房、制作虚假新闻等由人工智能被不当使用、滥用、恶意利用带来的应用安全风险。

针对不同类型安全风险，《框架》从技术、管理两方面提出防范应对措施，为应对人工智能安全风险提供整体指导。针对模型、数据、系统等方面的内生安全风险，提出安全开发运维、输出内容标识等技术应对措施，并推动负责任研发应用体系、供应链安全保障等综合治理措施。针对网络、现实、认知、伦理等方面的应用安全风险，提出安全防护机制、最终用途追溯等技术应对措施，并实施分类分级管理、人才培养等综合治理措施。

同时，《框架》还提出了人工智能安全开发应用的指引，为不同主体开展人工智能相关活动给出了具体的安全指引规范，包括模型算法研发者如何进行人工智能安全开发、服务提供者如何安全提供人工智能服务、重点领域使用者以及社会公众如何安全应用人工智能。

三、以标准工作促进《框架》有效落地

《框架》的发布为推动各方就人工智能安全治理达成共识、协调一致起到了促进作用。加强人工智能安全治理，需要社会各方的共同努力、紧密协作。在标准工作方面，积极推动人工智能安全标准工作，通过标准促进《框架》的有效落地实施。

一是加快构建并持续完善人工智能安全标准体系，统筹规划、合理布局，通过标准凝聚各方在人工智能安全方面的共识，助力构建开放、公正、有效的治理机制。

二是大力推动重点急需标准研制工作，包括生成式人工智能服务安全基本要求、训练数据安全规范、数据标注安全规范，以及人工智能生成合成内容标识方法等重点网络安全国家标准。

三是聚焦行业领域安全问题开展标准化工作探索，在金融、能源、电信、交通、民生等行业领域，组织相关单位开展标准化研究，防范化解人工智能安全风险，保障人工智能的应用安全。

四是加强《框架》及人工智能安全标准宣贯，面向网络安全企业、科研机构、地方主管部门，开展人工智能安全标准宣讲，同时利用新媒体、新渠道加强标准宣贯，推动标准落地实施。

文章来源自：全国网安标委

As per recent reports, the RansomHub ransomware group threat actors have stolen data from at least 210 victims ever since the group’s inception in February 2024. The victims of these attacks span across various sectors. In this article, we’ll dive into all the details and learn more about the attacks. Let’s begin! Understanding RansomHub Ransomware […]

The post RansomHub Ransomware Targets 210 Victims Since February 2024 appeared first on TuxCare.

The post RansomHub Ransomware Targets 210 Victims Since February 2024 appeared first on Security Boulevard.

9月12-13日，由国家信息中心《信息安全研究》杂志社和广州市政务服务和数据管理局主办的关键信息基础设施安全防护专家认证培训（第4期）在广东省广州市顺利召开。本次培训聚焦互联网政务应用安全，邀请政府有关部门和行业专家学者等嘉宾代表围绕数字政府建设、数据安全治理、关保攻防安全实践等议题内容展开交流，共同探索互联网政务应用的安全发展之道。

梆梆安全作为国内移动安全领域代表企业受邀参加本次会议，解决方案总监张廷伦作《互联网移动政务应用面临的新型攻击与防护实践》的主题分享，聚焦移动政务应用所面临的攻击趋势与风险挑战，从人脸识别绕过、API接口攻击、业务渠道攻击等多个热点场景进行深入剖析，并提出端到端&全渠道的互联网移动政务应用安全防护思路，实现动静结合联动协同防御，不同渠道实时联防联控，与在场嘉宾分享先进技术理念与安全场景最佳实践。

随着政务数字化建设的不断深化，各类政务服务应用应运而生。从应用形态上，已由最初的门户网站拓展到了APP、小程序、公众号等多元化的新应用形态，现在又逐步向“超级APP”的方向发展。与此同时，针对移动端的新型网络攻击层出不穷，人脸识别绕过、业务欺诈、数据泄露、渠道洗钱、盗版仿冒等安全风险随之而来，安全威胁类型也趋于多样化，包括定制ROM、云手机、注入攻击、抓包篡改等，传统WAF、API安全网关等安全机制已很难有效应对，给电子政务行业的安全防护与合规建设带来极大挑战。

监管要求持续加码

互联网移动政务应用安全建设加速

电子政务系统的安全保障对于政府的有效运作至关重要，由于政府部门在处理公共事务时涉及大量的机密和敏感信息，这些信息的安全直接关系到国家的安全、社会的稳定以及公民的隐私保护。近年来，国家在政务服务领域密集出台多项网络安全法律法规和政策文件，以对互联网政务应用进行建设指导。

2023年6月，国家信息中心牵头编制的GB/T 35282—2023《信息安全技术 电子政务移动办公系统安全技术规范》正式发布，聚焦政务办公和政务服务两大移动应用场景，重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题。标准中对政务服务移动应用管理和安全监测方面的安全技术要求如下：

1. 移动应用管理

·应支持对政务APP进行安全防护和加固，防止受到恶意程序的破坏、破解和篡改； 

·应支持对政务APP进行安全检测和签名，并通过应用商店或授权渠道统一提供下载。

2. 安全监测

·应支持对移动终端的网络攻击行为进行监测和告警，包括但不限于模拟器攻击、框架攻击、位置欺诈、域名欺诈等； 

·应支持对移动政务应用的异常访问和操作行为进行监测和告警，包括但不限于账户登录异常、数据下载异常、可疑网络访问、操作异常等；

·应支持对移动政务应用程序和服务端存在的安全漏洞和脆弱性进行持续监测。 

2024年5月，中央网信办、中央编办、工业和信息化部、公安部等四部门联合发布《互联网政务应用安全管理规定》，为保障互联网政务应用安全稳定运行和数据安全，强调了针对互联网政务应用的安全监测能力建设要求：

·各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。

·机关事业单位应当建立完善互联网政务应用安全监测能力，实时监测互联网政务应用运行状态和网络安全事件情况。

构建端到端全渠道防御体系

梆梆安全护航政务服务高质量发展

通过建设端到端全渠道的安全联动机制，实现前后端业务风险的联动机制保障未来业务安全运行，监测人脸绕过、数据泄漏、业务欺诈等黑灰产攻击，并进行此类安全事件处置、溯源，确保互联网移动政务应用安全、合规运营。

1.静态防御措施全渠道覆盖

由于线上渠道众多，且部分API接口存在多渠道API接口共用，攻击者在发起攻击时，往往会选择防护能力最弱的渠道发起攻击，故在做静态防御措施时需要针对于全渠道进行静态防御。

2.动静结合&端到端联动

动静结合的安全防御策略是一种使用广泛的安全防御思路，动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。端到端的全渠道API安全防御思路中，动态防御机制需要能够：

·实时感知客户端风险：加固破解、动态攻击等，将前端风险感知与后端流量感知结合，实现端到端的安全协同；

·前端风险感知能力亦需要纳入当前的静态保护范围，防止被逆向分析。

3.实时防御&全渠道联动

针对前端风险的防御机制需做到实时防御，同时防御措施需要多样化，需覆盖不同业务渠道，不同渠道安全防御能力也能联防联控，如针对APP的攻击识别情报能够同步对轻应用侧协同。

方案已在包括国家多个省、市级互联网移动政务应用安全建设中落地应用，满足电子渠道攻击溯源、业务违规联动监测、便民缴费业务反洗钱、电子渠道零信任安全体系、敏感数据防泄漏等移动政务终端场景安全建设需求，合理性及适用性得到充分验证与认可，切实保障政务移动办公、公众政务服务等移动业务的安全运行，为数字政府服务的安全稳健发展提供有力支持。

随着数字技术的蓬勃发展，使得移动政务应用成为各级政府单位高效办公、服务公众的重要渠道，其面临的安全风险和挑战愈发严峻，国家也对提高互联网政务应用安全防护水平，保障和促进互联网政务应用安全稳定运行提出明确要求，数字政府安全建设任重而道远。未来，梆梆安全将继续发挥自身在网络安全中的研究积累和技术创新，不断打磨、优化安全产品与服务，为政务应用的安全运转和顺利运行提供安全防御支撑，为我国数字政府服务高质量发展保驾护航。