1.美国网络安全和基础设施安全局发布《为供水公司提供免费的网络漏洞扫描》情况说明书，加强供水关键基础设施信息安全

【内容概述】2023年9月11日，美国网络安全和基础设施安全局（CISA）发布《为供水公司提供免费的网络漏洞扫描》（Free Cyber Vulnerability Scanning for Water Utilities）情况说明书（以下简称《情况说明书》），旨在识别和解决饮用水和废水处理系统漏洞，降低供水系统遭受网络攻击的风险。

《情况说明书》主要介绍了免费漏洞扫描服务的注册流程，包括4个阶段。第一，前期规划阶段。要求申请者提出漏洞扫描请求服务、签署并上传文件。第二，规划阶段。要求申请者提供目标列表（或范围）。第三，执行阶段。要求CISA对提交的目标范围执行初始扫描、判别已识别漏洞的最高危险级别，并按一定时间间隔重新扫描申请者者的目标列表。第四，报告阶段。要求CISA在检测到新的“紧急”情况后24小时内发送临时警报，向申请者提供每周报告，以可用格式向申请者提供详细的发现结果，并向申请者提供漏洞缓解建议。

【导读分析】供水系统事关民众基本生活，近年来针对城市供水系统的网络攻击日益增加，如以色列中部供水设施遭遇国家级黑客组织网络攻击、美国佛罗里达州自来水厂系统遭黑客入侵等。美国政府此前开展一系列监管行动审查供水行业网络安全，如针对水和废水部门的百日行动计划、环境保护署提高公共供水系统的网络安全弹性专项行动、NIST提出《确保水和污水公共服务的安全：水和污水系统部门的网络安全》草案等。

“水及污水处理系统”是美国政府认定的16类关键基础设施部门之一（奥巴马总统行政令PPD-21，2013）。在水及污水处理网络系统中推行免费漏洞扫描服务，是美国加强水及污水处理系统关键基础设施安全的一项重要举措。

对此，一方面，我国的水及污水处理系统是否属于关键信息基础设施范畴值得主管部门深入探讨和研判；另一方面，在关键信息基础设施系统推行免费漏洞扫描的机制，或可为我国关键信息基础设施保护带来思考借鉴。此外，对于网络安全行业而言，美国的这种做法无疑也是潜在拉动网络安全需求的一种实践。

2.美国国防部发布《2023年国防部网络战略》摘要，延续“以攻为守”网络安全思想

【内容概述】2023年9月12日，美国国防部发布《2023年国防部网络战略》摘要（2023 Cyber Strategy of the Department of Defense）（以下简称《2023战略》）。《2023战略》概述了美国国防部如何最大限度地发挥其网络能力，以支持综合威慑，并与其他国家力量工具协同运用于网络空间行动，并明确提出了该战略的总体优先事项。

《2023战略》明确美国国防部将开展以下4项具体工作。一是保卫国家，包括洞察网络危险、破坏和削弱恶意网络行为者能力、支持关键基础设施防御、保护国防工业基础等。二是准备战斗并取得国家战争胜利，包括保卫国防部信息网络（DODIN）、加强联合部队网络弹性、支持联合部队相关活动和应急计划等。三是与盟友和伙伴一同保护网络领域，包括建设网络能力、拓展网络合作途径、强化负责任的网络空间行为规范等。四是在网络空间建立持久优势，包括投资于网络劳动力、开发和运用新的网络能力、建立网络弹性、培养网络意识、开发和实施新技术等。

【导读分析】美国于2011年发布了首份《国防部网络空间行动战略》（Department of Defense Strategy for Operating in Cyberspace），此后又发布了《2015年国防部网络战略》、《2018年国防部网络战略》。《2023战略》贯彻了美国网络安全战略的“综合威慑、国际合作、投资引领”等指导思想，并对美国国防领域的具体网络行动进行了明确，如开展前出防御（Defend Forward）、前出狩猎（Hunt Forward）等。

《2023战略》反映出美国网络军事化的两个特点。一方面，进一步强化“以攻为守”的网络安全策略。《2023战略》体现出更强的“进攻性防御”属性，后续或将对美国国防领域网络安全的监管方式、合作路径等方面产生影响。另一方面，网络安全对产业、外交等领域的溢出效应将持续显现。《2023战略》所涉及的网络安全重点领域建设方向、管理思路等，可能引起相关国家效仿；而在网络安全建设管理模式、技术路线和重点工作等方面的趋同，反过来也会强化以美国为首的国防、网络、技术乃至外交领域同盟、联盟的发展。

美国防部每年发布的网络战略可以视为其网络空间军事化发展的一个风向标。从中，不仅可以观察美军的网络武器储备、网络攻防技术研发等领域的大致情况，也能对其发展目标、战略布局、重点工作和举措等有一个大概的了解。对于我国业界的产品技术创新、市场前瞻等相关研究也能起到一定参考作用。

3.美国网络安全和基础设施安全局发布《CISA开源软件安全路线图》，反映开源软件安全保护的“生态化”治理思路

【内容概述】2023年9月12日，美国网络安全和基础设施安全局（CISA）发布《CISA开源软件安全路线图》（CISA Open Source Software Security Roadmap）（以下简称《路线图》），旨在确保美国联邦政府内部开源软件生态系统的安全。

《路线图》列出了CISA帮助保护开源软件生态系统的4个关键目标。一是确立CISA在支持开源软件安全方面的作用，包括鼓励集中式开源软件实体采取集体行动、建立开源工作组织结构等。二是提高开源软件使用和风险的可见性，包括制定开源软件风险优先排序框架、评估关键开源软件依赖性威胁等。三是减轻美国联邦政府的风险，包括制定开源项目办公室指南、加速联邦行动在开源软件上的安全性排序等。四是强化开源生态系统，包括促进开源软件开发人员的安全教育、发布开发源码安全使用指南等。

【导读分析】开源软件是美国网络安全监管的重点领域之一。开源软件安全风险主要来自两方面。一方面，开源软件自身的安全风险，会直接威胁基于其建立的各类信息系统，此类典型事件如Log4j2事件。另一方面，对开源软件供应链的攻击，会威胁开源软件上、下游多个环节，此类典型事件如太阳风（SolarWinds）事件等。美国政府对此开展了一系列行动，包括召开开源软件安全峰会、发布《关于开源软件安全和内存安全编程语言的征求意见》、发布《提高运营技术和工业控制系统中开源软件的安全性》政策文件等。

我国对于开源软件的安全，在政策法规层面尚缺乏统一的专项管理规定；在标准方面现行的也仅有一部国家标准《金融行业开源软件测评规范准》（GB/T 42927-2023）。美国《路线图》提出了建立开源软件工作组等系列举措，尤其是其对于开源软件“生态化”的保护和治理思路，对于我国逐步建立健全开源软件安全管理机制，具有一定参考价值。

4.美国众议院提出《2023年减少联邦网络安全漏洞法案》，加强国防部供应商漏洞披露管理

【内容概述】2023年9月12日，美国参议院司法委员会召开“对人工智能的监管：人工智能立法”（Oversight of A.I.: Legislating on Artificial Intelligence）听证会，讨论此前提出的《两党人工智能立法框架》（Bipartisan Framework for AI Legislation）（以下简称《框架》）。《框架》旨在真正实现可执行的人工智能保护政策。

本次听证会聚焦立法框架的5个关键主题。一是建立许可制，包括实行注册制度、加强对人工智能模型开发公司的审核监管、制定人工智能开发的具体标准和指南等。二是建立问责制，包括强调人工智能开发公司的内容管理治理责任等。三是捍卫国家安全和国际竞争，包括利用出口管制、金融制裁和其他政策工具限制人工智能技术的转让等。四是加强透明度保障，包括披露人工智能模型的训练数据、模型的目的和预期用途、模型的局限性和风险、应对措施等。五是保护消费者和儿童，包括提供用户对收集或使用数据的知情同意权、提供用户选择退出选项和数据删除权利、监管人工智能的一些高风险应用、提出儿童的年龄认证要求等。

【导读分析】近年来，随着以ChatGPT为代表的人工智能大模型的应用推进，引发各界对人工智能的更多关注和讨论，其中监管问题尤其引入瞩目。

目前，部分国家对人工智能安全监管也开展了一些政策法规层面的实践探索。美国联邦政府将人工智能列为网络安全研究6大关键方向之首（《联邦网络空间安全研究和发展战略规划（2019-2023）》），并通过发布《国家人工智能研发战略计划》（白宫）、《人工智能风险管理框架》（NIST）等政策文件，对AI的可解释性、风险管理、责任机制、专职机构等做出规定。欧盟发布《人工智能法案》草案，侧重于关注AI系统的具体利用及其风险。我国也已将“人工智能法草案”列入国务院2023年立法工作的预备提请审议计划中，并正式发布了《生成式人工智能服务暂行管理办法》等规章。

《框架》提出了许多具体的监管制度和机制，如建立独立监管机构对模型开发公司进行审核、推动AI开发企业为模型输出内容承担责任制、以及利用出口管制等法律政策限制AI系统转让等。这些对于丰富当前各国的AI立法实践、规范和引导相关产业健康发展等，都具有一定的示范意义。

5.欧盟《数据治理法案》正式施行，为欧盟提供数据共享新模式

【内容概述】2023年9月24日，欧盟《数据治理法案》正式施行。《法案》旨在促进整个欧盟内部和跨部门之间的数据共享，并为主要技术平台的数据处理实践提供一种新的欧洲模式，帮助释放人工智能的潜力。

《法案》的主要内容包括以下3方面。第一，建立公共部门数据再利用新机制。要求开展数据再利用的公共部门具有相应技术设备条件，并要求各成员国必须设立单一联络点。第二，创建促进“数据中介机构”发展的制度框架，为公共机构、企业或个人共享数据提供安全处理环境。第三，促进公共机构、企业或个人自愿向数据公益组织共享数据，出于公共利益而收集数据的实体可被认定为数据利他主义组织。

【内容概述】《数据治理法案》于2020年11月正式提出，并于2023年6月达成政治协议（political agreement），是落实《欧洲数据战略》的重要立法举措之一，进一步革新了欧洲数据治理模式，旨在为欧盟打造统一的数据市场，使欧盟科技企业能够更为有效地转化和利用数据。

我国正在全面推进数字战略，数据要素作为一种战略资源的重要价值也日益凸显。欧盟《数据治理法案》所提出的建设数据中介机构的思路，对于我国构建和完善数据要素开发利用机制具有借鉴意义。我国目前在促进数据开发利用方面，以规范数据合法、合规利用为侧重点，在发挥第三方中介力量问题上也较多同数据交易平台的建设发展相关联。下一步如何充分发挥第三方中介尤其是非盈利组织的作用，促进和完善数据开发层面的良性发展，或是一个具有较大意义的新研究方向。