一、法律法规政策
1.美国OMB发布联邦日志与网络可见性备忘录
2026年5月22日,美国白宫管理和预算办公室(OMB)发布备忘录M-26-14《确保机构日志和网络可见性有效高效以防御不断演变的网络威胁》(Ensuring Effective and Efficient Agency Logging and Network Visibility to Defend Against Evolving Cyber Threats),对联邦机构日志记录、网络可见性和安全监测要求作出调整。该备忘录撤销2021年发布的M-21-31,不再以统一日志成熟度等级作为主要抓手,而是要求各机构围绕威胁狩猎、调查、事件响应和取证需求,建立更具风险导向和任务适配性的日志与可见性能力。
备忘录要求美国网络安全和基础设施安全局(CISA)在90天内制定日志管理参考架构,为联邦机构提供实施指引;要求机构结合高价值资产、互联网暴露面、身份系统、云服务和关键业务系统等风险场景确定日志采集与保存重点。
2.CISA等多国机构提醒谨慎部署智能体AI
2026年5月1日,美国网络安全和基础设施安全局(CISA)、澳大利亚信号局澳大利亚网络安全中心(ASD ACSC)及多国网络安全机构联合发布《谨慎采用智能体人工智能服务》《Careful Adoption of Agentic AI Services》指南,提醒各类组织在引入智能体AI前充分评估潜在网络安全风险。指南指出,关键基础设施、国防和公共服务等领域正加快部署具备自主规划、任务执行和系统交互能力的智能体AI,以提升自动化水平和任务处理效率,但此类系统一旦与内部网络、敏感数据或关键业务系统深度连接,也可能放大既有安全风险并引入新的攻击路径。
CISA等机构建议,组织应避免一次性授予智能体过高权限,优先在低风险、非敏感场景试点,并落实最小权限、分层隔离、行为监测、审计日志和人工监督等措施,确保部署过程符合安全要求。
3.欧盟委员会发布2025年《数字市场法》实施报告
2026年5月22日,欧盟委员会发布第三份《数字市场法》(Digital Markets Act, DMA)年度实施报告。报告显示,DMA监管已从制度建设进入持续执法阶段,重点关注大型数字平台在公平竞争、用户选择和数据使用等方面的合规情况。
欧委会将监管重点扩展至云计算、搜索排序和平台互操作等领域,包括启动三项云计算市场调查,并关注搜索结果中媒体出版商内容可能被降级的问题。
4.欧盟新增生成式AI滥用禁令
2026年5月7日,欧盟委员会表示,欧洲议会与欧盟理事会就简化的《人工智能法》(Artificial Intelligence Act,AI Act)实施规则达成政治协议。该协议属于欧盟《数字综合法案》(Digital Omnibus)简化议程的一部分,旨在降低企业特别是中小企业的合规负担,同时继续保障安全、基本权利和公共利益。
根据协议,独立高风险AI系统的相关规则将自2027年12月2日起适用,涉及生物识别、关键基础设施、教育、就业、移民、庇护和边境管制等领域;嵌入电梯、玩具等受欧盟产品安全法规约束产品中的高风险AI系统,其规则将自2028年8月2日起适用。
协议还强化了对生成式AI滥用的限制,新增禁止生成未经同意的露骨性内容、私密内容及儿童性虐待材料的AI系统。同时,欧盟将加强AI办公室监管权限,并通过监管沙盒、简化技术文档和明确产品安全法规衔接机制,支持企业创新与合规落地。
5.欧盟就高风险AI系统分类指南草案征求意见
2026年5月19日,欧盟委员会发布高风险人工智能系统分类指南草案,进一步细化《人工智能法》(Artificial Intelligence Act,AI Act)框架下高风险AI系统的认定标准和适用边界。该指南主要面向AI系统提供商、开发者和部署者,旨在帮助相关主体判断其开发、投放或使用的AI系统是否因应用于特定场景而触发更严格的合规义务。高风险认定重点关注AI系统是否可能对个人健康、安全或基本权利产生重大影响,其相关场景覆盖了生物识别、教育培训、就业管理、关键基础设施、公共服务、执法、移民和边境管制等领域。
草案同时提供了多项实际案例,便于企业、公共机构、学术界、研究机构及公民社会等利益相关方理解不同应用情形下的风险分类逻辑。欧盟委员会表示,该指南后续将与其他高风险AI系统相关指南配套使用,共同支持相关主体理解并履行《人工智能法》的责任。
6.ENISA发布报告评估NIS2关键行业安全成熟度
2026年5月28日,欧盟网络安全局(ENISA)发布2026年NIS360报告,围绕《网络与信息系统安全指令》(NIS2)所覆盖的高关键性行业,评估各行业网络安全成熟度和关键性水平。报告面向欧盟政策制定者、主管机构和行业组织,旨在从跨行业视角识别关键部门的网络安全能力差异、共性短板和优先改进方向,为NIS2实施和欧盟整体网络韧性建设提供参考。
报告将行业关键性与网络安全成熟度结合分析,有助于成员国和行业主管部门更有针对性地配置监管资源、能力建设投入和风险缓解措施。随着NIS2进入落地实施阶段,欧盟网络安全治理重点正从立法框架建设转向行业执行能力评估和持续改进。NIS360报告也反映出欧盟试图通过共同评估方法和跨行业比较,推动能源、交通、金融、医疗、数字基础设施、公共管理等关键领域形成更加一致的安全基线和韧性目标。
二、标准与合规
1.美国国家安全局发布MCP安全设计指南
2026年5月20日,美国国家安全局(NSA)人工智能安全中心发布网络安全信息表《模型上下文协议(MCP):人工智能驱动自动化安全设计考量》(Model Context Protocol (MCP): Security Design Considerations for AI-Driven Automation),提醒各类组织关注AI自动化系统在接入外部工具、数据源和服务时产生的网络安全风险。NSA表示,MCP正被广泛用于商业、金融、法律和软件开发等场景,可提升AI系统调用工具、处理上下文和执行自动化任务的能力,但也可能带来序列化风险、信任边界不清、代理滥用、动态工具调用失控和上下文共享等问题。
NSA建议,相关组织在生产环境部署MCP前,应重点审查工具调用链、上下文传递机制、自动化权限边界和日志审计能力,并加强实施者、安全研究人员和标准组织之间的协作,推动形成更完善的MCP安全实践。
2.NIST征求RESTful API安全指南意见
2026年5月18日,美国国家标准与技术研究院(NIST)发布特别出版物SP 800-228A《RESTful Web API安全部署指南》(Guidelines for the Secure Deployment of RESTful Web APIs)初始公开草案,并面向公众征求意见,评议期截至2026年7月2日。
草案聚焦现代Web应用广泛使用的RESTful API,RESTful API是一种基于HTTP协议的应用接口设计方式,常用于让不同系统通过标准请求方式进行数据访问、交换和操作。该草案指出其基于HTTP协议、无状态架构和资源交换机制,虽然具备兼容性强、开发便利和缓存效率高等优势,但也更容易因设计、配置或运行管理不当引入安全漏洞。
NIST表示,该文件将在SP 800-228既有控制集基础上,进一步补充面向RESTful Web API架构的安全参数和部署要求,为开发人员、安全团队和系统运营方提供更具针对性的实施参考。
3.NIST公布新一轮后量子签名算法候选名单
2026年5月14日,美国国家标准与技术研究院(NIST)宣布,9个候选算法进入后量子密码学(PQC)标准化流程附加数字签名算法的第三轮筛选。此次入选算法包括FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign和UOV。NIST表示,这一结果是在约18个月评估基础上形成的,相关评估标准和遴选过程已在NIST内部报告IR 8610中说明。
进入第三轮后,各候选团队将有机会提交更新后的算法规范和实现方案,对方案进行进一步微调。NIST预计第三轮评估和公开审查将持续约两年,重点考察算法安全性、性能、实现复杂度和部署适用性等因素。此外,NIST计划于2027年春末至夏初举办第七届PQC标准化会议,进一步推动后量子数字签名标准的形成。
4.NIST发布SP 800-70r5
2026年5月8日,美国国家标准与技术研究院(NIST)发布特别出版物SP 800-70r5《国家IT产品检查清单计划:清单用户和开发者指南》(National Checklist Program for IT Products: Guidelines for Checklist Users and Developers)。该文件面向安全配置清单的开发者、维护者和使用者,说明如何编制、共享和使用可操作的安全配置清单,以帮助组织将IT产品配置到特定风险态势,验证配置状态,识别未授权配置变化,并生成安全态势相关证据。
本次修订适应IT环境和自动化安全管理需求变化,强调检查清单可包含说明性文档、程序性步骤以及机器可读、可执行内容,并可服务于配置基线管理、持续监测和合规证明。新版指南有助于推动组织从人工配置检查转向标准化、自动化和可复用的配置治理模式,对于云服务、终端、网络设备、软件平台以及关键业务系统的安全加固具有较强参考价值。
5.NIST发布高性能计算HPC安全指南
2026年5月4日,美国国家标准与技术研究院(NIST)发布特别出版物SP 800-234《高性能计算(HPC)安全叠加》(High-Performance Computing Security Overlay Security Overlay)。该文件面向高性能计算环境的安全保护需求,提出一套适用于HPC系统的安全控制调整方案。NIST指出,HPC系统广泛支撑大规模模拟、大数据分析以及人工智能和机器学习模型训练,通常涉及敏感数据、专用硬件、高速网络和复杂用户环境,因此其安全保护不能简单套用普通信息系统要求。
该文件以NIST SP 800-53B中的适度基线为基础,对SP 800-53中的60项安全控制进行调整,并补充HPC场景下的实施指导。文件强调,HPC安全措施应在保护数据、系统和AI模型的同时,尽量减少对计算性能和科研任务效率的影响。
6.NIST发布制造业网络恢复指南草案
2026年5月21日,美国国家标准与技术研究院(NIST)国家网络安全卓越中心(NCCoE)发布特别出版物SP 1800-41《响应并恢复网络攻击:制造业网络安全》(Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector)初始公开草案,面向公众征求意见。
该实践指南围绕制造业环境中的网络攻击响应和恢复需求,结合行业协作者设计多个攻击场景,提出可供采用和实施的响应、恢复方法,以提升制造环境的运营韧性。
NIST指出,制造业系统通常同时包含IT、OT和工业控制系统,网络攻击可能导致停产、质量异常、供应链中断和安全事故。SP 1800-41强调通过事件分析、日志审查、恢复规划、系统重建和生产流程恢复等措施,帮助制造企业在遭受勒索软件、凭证滥用或工业环境入侵后更快恢复关键能力。
7.ETSI发布第7版TeraFlowSDN
2026年5月11日,欧洲电信标准化协会(ETSI)发布TeraFlowSDN第7版,进一步增强其作为开源网络自动化框架的能力。新版重点提升P4可编程设备集成、5G用户平面功能(User Plane Function,UPF)卸载支持,以及多粒度光网络自动化能力,面向边缘计算、硬件加速网络和高容量光链路管理等场景提供更精细的控制。
此次更新还扩展了北向接口(Northbound Interface,NBI)功能,新增光切片、媒体通道服务等接口,并结合遥测、关键绩效指标管理和分析能力,支持光网络闭环自动化和自愈运行。在互操作方面,TeraFlowSDN 7对接IETF NETWORK NBI、YANG模型、gNMI/OpenConfig等标准和接口,并完成与ETSI开放源代码管理与编排项目(Open Source MANO,OSM)的端到端测试。
8.ETSI发布技术规范ETSI TS 103 480
2026年5月7日,欧洲电信标准化协会(ETSI)发布技术规范ETSI TS 103 480《应急通信(EMTEL):网络独立接入应急服务核心要素互操作性测试》(Emergency Communications (EMTEL); Interoperability testing of core elements for network independent access to emergency services),重点解决下一代应急通信网络中的互操作性测试问题。随着应急通信逐步从传统语音呼叫转向支持语音、视频、实时文本、NG eCall等多媒体方式,不同网络、设备和供应商系统之间能否稳定协同,已成为保障应急服务可用性的关键。
该规范提出了一套标准化测试框架,用于验证端到端互操作、位置传递、路由策略、传输流程和实验室测试方法等内容,确保高级移动定位(AML)、eCall、下一代112和公共预警等能力能够在复杂网络环境下可靠运行。ETSI表示,互操作性直接关系到公民能否在紧急情况下顺利获得救援服务。为推动落地,ETSI还将通过Plugtests™活动,邀请行业参与者在真实场景中测试相关实现方案。
9.G7发布AI软件物料清单最低要素
2026年5月12日,七国集团(G7)网络安全工作组发布《人工智能软件物料清单最低要素》(Software Bill of Materials for AI: Minimum Elements),提出面向AI系统的软件物料清单基础框架。该文件将传统SBOM理念延伸至AI系统和模型供应链,要求相关组织在描述AI产品或服务时,除列明软件组件、依赖关系和版本信息外,还应关注模型、数据、训练和推理环境、第三方服务及安全属性等要素。
三、深度观察
NIST《受控非密信息增强型安全要求》解读
2026年5月13日,美国国家标准与技术研究院(NIST)正式发布SP 800-172r3《保护受控非密信息的增强型安全要求》(Enhanced Security Requirements for Protecting Controlled Unclassified Information)和SP 800-172Ar3《受控非密信息增强型安全要求评估》(Assessing Enhanced Security Requirements for Controlled Unclassified Information)两份最终文件,旨在进一步完善非联邦系统和组织中受控非密信息(CUI)的安全保护体系。SP 800-172r3作为SP 800-171r3的补充文件,主要聚焦涉及关键项目和高价值资产的CUI环境,在基础安全要求之上构建更高强度的增强型防护机制,以应对高级持续性威胁(APT)、供应链攻击和横向移动等复杂安全风险。此次修订扩展了访问控制、网络分段、资产管理和供应链安全等核心要求,并与SP 800-171r3、SP 800-53r5及SP 800-160的相关内容保持深度衔接。同步发布的SP 800-172Ar3提供了配套的评估程序,支持自评估、第三方评估和政府主导评估。同时,NIST发布了CPRT和OSCAL格式资源,旨在推动CUI安全保护由基础合规向结构化控制、网络弹性与持续治理方向演进。
一、背景介绍
受控非密信息(Controlled Unclassified Information,CUI)是指虽不属于国家涉密信息,但依法规、政策或合同约定需受到严格保护的信息。此类信息广泛分布于美国的国防工业、科研合作、航空航天、能源、制造、公共服务及联邦供应链体系中,涵盖技术图纸、工程数据、测试结果、漏洞信息与敏感项目资料等。因CUI通常由非联邦组织负责处理、存储或传输,其安全态势直接关系到联邦机构关键任务的执行效能、供应链的可靠性及国家安全利益。
此前,SP 800-171系列文件为非联邦系统保护CUI确立了基础安全要求,涵盖访问控制、身份认证、事件响应与风险评估等基本安全能力建设。然而,面对日益严峻的高级持续性威胁、供应链渗透及软件漏洞利用等复杂风险,常规基础防护已难以有效保障关键项目与高价值资产的安全。攻击者常以承包商、子供应商或外包服务商等弱防护节点为突破口,进而渗透目标网络以窃取敏感数据。
鉴于上述安全威胁,SP 800-172r3致力于提升关键CUI环境的安全强度。新版文件标志着NIST对CUI保护目标的显著拓展:由单纯防止信息泄露,深化为保护系统完整性、可用性及提升网络弹性。该目标要求相关组织在遭受网络攻击时,具备限制攻击扩散、维持关键业务功能运转及支撑系统快速恢复的能力。同时,SP 800-172Ar3的发布表明CUI的保护与监管已迈入实质性严格评估阶段,安全控制的有效性需通过明确的评估程序、证据材料和测试方法进行验证,进而要求承担联邦项目的组织必须提升安全控制的可证明性、有效性与自动化管理水平。
二、主要内容
(一)适用范围与安全目标
SP 800-172r3的核心定位是在SP 800-171r3基础安全要求之上,为关键项目和高价值资产相关CUI系统提供更高强度的增强型安全要求。它并不是面向所有非联邦组织的统一强制清单,也不是对SP 800-171r3的替代,而是由联邦机构根据任务重要性、业务需求、威胁环境和持续风险评估结果,选择适用于特定系统、项目或合同场景的增强要求,并通过合同、资助协议或其他正式协议向相关组织传达。
从适用对象看,SP 800-172r3主要面向处理、存储或传输高价值CUI的非联邦系统和组织,如图1所示,特别是参与国防工业基础、关键科研合作、航空航天、能源、先进制造、公共服务和联邦供应链的承包商、分包商及服务提供方。这类组织所持有的信息虽然不属于涉密信息,但一旦遭到泄露、篡改或破坏,可能影响联邦任务执行、关键项目安全、供应链稳定性和国家安全利益。因此,新版文件强调CUI保护不能只停留在基础合规层面,而应当根据数据敏感性、任务关键性和威胁强度采取差异化、增强型的防护措施。
图 1 SP800-172r3的适用对象
从安全目标看,SP 800-172r3不再仅仅关注CUI的保密性,也更加重视完整性、可用性和网络弹性。面对高级持续性威胁、供应链攻击、凭证滥用、软件漏洞利用和横向移动等复杂风险,组织需要具备限制攻击扩散、维持关键功能、发现异常活动和支撑系统恢复的能力。也就是说,增强要求的重点不是简单增加控制项数量,而是推动组织围绕真实攻击路径、关键资产暴露面、系统依赖关系和业务连续性建立更强的安全韧性。
另外,SP 800-172Ar3为这些增强型安全要求提供了配套评估程序。评估活动可以根据联邦机构定义的深度和覆盖范围,采取自评估、独立第三方评估或政府主导评估等方式进行。评估重点不只是检查组织是否制定了制度文件,还要验证相关安全措施是否真实部署、是否持续运行、是否具有日志、配置、测试记录、流程文件和技术证据支撑。NIST同步发布CPRT和OSCAL格式资源,也表明CUI安全治理正在向结构化、机器可读和自动化评估方向发展。
(一)增强型安全要求
1. 强化访问控制与身份认证
访问控制是SP 800-172r3增强要求中的基础环节。新版文件强调组织应围绕CUI系统建立更严格的访问边界,确保只有经过授权的用户、进程、设备和服务能够访问相关资源。对于高价值CUI环境,简单依赖账号密码或粗粒度权限划分已经难以满足安全需求,组织需要结合角色、属性、任务需求和访问场景实施更精细化的权限控制,减少越权访问和凭证滥用风险。在具体措施上,新版文件要求加强特权账户管理、远程访问监测、会话控制和双人授权等机制。对于关键操作、敏感配置变更、重要数据导出或高风险管理行为,可以引入双人授权或多方确认机制,避免单个账号被攻破后直接造成严重后果。同时,组织还应对远程访问行为进行自动化监测和异常识别,防止攻击者利用VPN、远程桌面、运维平台或第三方接入通道进入CUI系统。
在身份认证方面,SP 800-172r3进一步强调设备认证、凭证保护和身份集中管理。组织应避免在脚本、应用程序或配置文件中嵌入明文静态认证凭据,防止攻击者通过代码泄露、配置错误或日志暴露获取系统访问能力。对于身份提供者、授权服务器和认证服务,也应加强集中管理、配置保护和运行监测,确保身份认证体系本身不成为攻击者突破CUI环境的入口。
2. 加强网络分段与系统隔离
网络分段与系统隔离是新版文件应对横向移动和攻击扩散的重要措施。对于处理、存储或传输CUI的系统而言,风险并不只来自核心业务系统本身,也可能来自普通办公网络、开发测试环境、互联网暴露服务、外包服务接口或第三方远程接入通道。一旦这些外围环境被攻击者突破,如果不同系统之间缺乏清晰边界,攻击者就可能借助凭证复用、管理通道或信任关系逐步接近关键CUI系统。因此,SP 800-172r3强调组织应根据数据敏感性、业务重要性和系统访问关系,对网络区域和系统组件进行合理划分。涉及CUI的系统应与普通办公网络、互联网服务、开发测试环境和低可信组件保持必要隔离,减少不同安全等级系统之间的直接连通。对于确需跨区域访问的业务,应通过身份认证、最小权限、访问控制、日志审计和流量监测进行约束,确保访问行为可授权、可记录、可追踪。
在高价值资产场景下,组织还可以结合独立子网、系统分区、虚拟化隔离、非持久化组件、安全工具隔离、端口控制和输入输出设备管理等方式,进一步压缩攻击面。其目的不是简单地把网络划分得更复杂,而是通过隔离关键功能、限制攻击路径和降低系统耦合度来使攻击者即使攻破某个外围节点,也难以快速扩散到核心CUI系统。
3. 提升审计监测与威胁发现能力
在高级持续性威胁场景下,CUI系统面临的风险往往不是一次性的外部入侵,而是长期、隐蔽的渗透过程。攻击者可能利用被盗凭证、远程接入通道、供应商接口或外围系统漏洞进入环境,再通过权限提升和横向移动逐步接近关键数据。此类攻击早期未必会造成明显破坏,如果缺乏持续监测和关联分析,组织可能很难及时发现异常。因此,SP 800-172r3更加重视审计记录、异常发现和安全分析能力。组织需要记录关键用户行为、远程访问、特权操作、配置变更和CUI访问活动,并保护审计日志不被删除、篡改或绕过。对于高价值CUI环境而言,日志不只是事后追责材料,更应服务于攻击发现、路径还原、影响评估和事件处置。尤其在多系统、多账户和多供应商共同参与的环境中,只有将身份、终端、网络、应用和安全设备日志进行综合分析,才能更准确识别真实威胁。
另外,新版文件也体现出主动防御思路。组织需要结合威胁情报、入侵指标、漏洞利用方式和攻击技术特征,主动开展威胁狩猎和异常排查,而不是完全依赖被动告警。对于承担关键项目和高价值资产保护任务的组织而言,能否尽早发现攻击迹象,直接关系到后续能否限制损害范围并支撑业务恢复。
4. 强化供应链安全与资产管理
供应链风险是新版文件重点关注的另一类问题。CUI泄露或关键系统受损,并不一定源于核心系统被直接突破,也可能来自软件更新、第三方工具、外包运维、云服务接口、远程维护账号或下游分包商。换言之,CUI系统的真实边界往往超出组织内部网络,任何与CUI处理活动存在连接关系的组件、服务或供应商,都可能成为攻击入口。
基于供应链风险,SP 800-172r3要求组织更加清楚地掌握资产和供应链依赖关系。哪些系统处理CUI,哪些组件支撑关键业务,哪些外部服务能够接触敏感数据,哪些供应商拥有远程访问权限,都应纳入资产管理和风险管理范围。对于关键软硬件、外部服务和供应商关系,组织应关注来源真实性、完整性验证、版本状态、漏洞情况和维护责任,避免在资产不清、来源不明、接口失控的情况下运行关键CUI系统。同时,供应链安全还需要通过采购流程、合同条款、安全评估和持续监督向上下游延伸。特别是分包商、托管服务商、软件供应商和远程维护方,应明确其安全责任、访问边界、事件通报要求和合规证明方式,避免下游环节成为整体防护短板。
5. 推动网络弹性与持续治理
与传统偏重控制项落实的合规思路相比,SP 800-172r3更强调遭受攻击后仍能维持关键能力的网络弹性。对于关键CUI系统而言,安全建设不能只回答是否部署了防护措施,还要回答攻击发生后能否及时发现、限制扩散、恢复运行并证明控制仍然有效。这意味着组织需要把纵深防御、网络隔离、备份恢复、应急响应和持续监测结合起来,形成面向真实攻击场景的治理闭环。NIST同步发布CPRT和OSCAL格式资源,也说明CUI安全要求正在向结构化控制映射、自动化证据采集和持续评估方向发展。后续CUI合规将不再是一次性整改,而是围绕风险变化、系统变化和威胁态势持续调整的治理过程。
三、小结
总体来看,SP 800-172r3和SP 800-172Ar3的发布,标志着美国CUI保护体系正在从基础合规阶段进入增强防护和可验证治理阶段。SP 800-171r3主要解决非联邦系统保护CUI所需的基础安全能力,而SP 800-172r3则面向关键项目和高价值资产,进一步强调应对高级持续性威胁、限制攻击扩散、提升网络弹性和保障关键任务持续运行。新版文件的重点不只是增加控制项数量,而是要求组织围绕真实攻击路径、关键资产暴露面、供应链依赖关系和系统恢复能力重新审视CUI保护体系。对参与联邦项目、国防工业基础、科研合作及关键供应链的组织而言,后续合规重点将从制度建设转向持续治理。组织需识别关键CUI相关系统、组件、数据流和第三方接口,并将访问控制、网络分段、威胁监测、供应链安全等要求落实为可审计、可验证的证据体系,以适应CPRT、OSCAL推动下的自动化合规趋势。
图文来源于“全国网安标委”公众号,如涉版权问题,请联系删除!
推荐阅读:
