01
国际动态/事件盘点
1
美国联邦通信委员会发布美国网络信任标志标记计划拟议规则的制定通知
2023年8月10日,美国联邦通信委员会(FCC)宣布发布《拟议规则制定通知》(NOPR),就白宫于2023年7月18日宣布的美国网络信任标志计划征求公众意见。这是一项自愿性的网络安全标记计划,预计将于2024年投入使用,旨在帮助美国人民更轻松地选择更安全、更不易受到网络攻击的智能设备。
值得注意的是,如果该计划得以建立,消费者将可以通过寻找美国网络信任标志(U.S. Cyber Trust Mark)来轻松识别符合广泛认可的安全和隐私标准的智能设备和产品,该标识将出现在包装上,并附有二维码,消费者可以通过扫描二维码获取更多的设备产品信息。联邦通信委员会指出,随着时间的推移,预计会有越来越多的制造商参与到该自愿性计划中来,以表明他们对隐私和安全的承诺,因为消费者对易于识别的可信智能产品的需求会越来越大。
2
英国内阁:未来两年关基设施或发生重大网络攻击
8月8日消息,英国政府在近期发布的《2023年国家风险登记报告》中发出警告,严重网络攻击威胁正逼近国家关键基础设施。这份综合报告涵盖了恶意和非恶意风险,共列出了9大领域的89种风险,其中网络领域仅次于恐怖主义,位列第二。报告显示,未来两年内,关键基础设施有高达5-25%的概率遭遇重大网络攻击。
3
Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域上,从而回避系统的侦测,并骗取受害组织的脸书帐号。
4
国际船舶制造巨头宾士域集团因网络攻击损失超6.1亿元
8月3日消息,美国船舶制造巨头宾士域集团(Brunswick Corporation)的首席执行官上周向投资者透露,公司因一次网络安全事件蒙受高达8500万美元(约合人民币6.1亿元)的损失。宣布攻击事件后,该公司花费了九天时间恢复正常运营,目前尚无黑客团体或勒索软件团伙宣布对宾士域攻击事件负责。
5
网络攻击扰乱美国多州医院和医疗保健系统
美国大型医疗机构前景医疗遭到网络攻击,在多州运营的医院和诊所受影响,急诊被迫关闭,救护车被迫转移。
8月7日消息,上周五,美国数州的医院和诊所启动了网络攻击后的漫漫恢复之路。这起攻击扰乱了它们的计算机系统,一些急诊室被迫关闭,救护车被转移。
截至当时,由前景医疗控股公司(Prospect Medical Holdings)运营的许多初级保健服务机构仍然关闭。安全专家们正努力确定问题范围并加以解决。前景医疗的这起“数据安全事件”发生在上周四(8月3日),公司运营的设施受到影响。该公司总部位于加利福尼亚州,在加利福尼亚、德克萨斯、康涅狄格、罗得岛和宾夕法尼亚等州运营着16家医院、166家诊所和门诊中心,共同组成一个大型医院网络。
6
英国发生重大数据泄露事件!近10年选民数据全部曝光
8月9日消息,英国国家选举委员会披露了一起大规模的数据泄露事件。2014年至2022年间,所有在英国注册投票者,个人信息均遭泄露。
根据委员会发布的“网络攻击公开通知”,他们在2022年10月首次检测到本次网络攻击,后续调查时发现威胁行为者早在2021年8月就已经入侵了他们的系统。在这次网络攻击事件中,威胁行为者访问了英国选举委员会的服务器,其中存储了该部门的电子邮件、控制系统以及选民登记册副本,可能导致约4000万选民的数据泄露。
所幸被曝露的选举登记册不包含匿名注册者的个人信息。选举委员会表示,被曝露的选民信息包括:
委员会电子邮件系统中包含的个人数据:全名、名、姓。个人和/或商务电子邮件地址。网络表单或电子邮件中出现的家庭地址。个人和/或商务电话号码。可能包含个人数据的网络表单和电子邮件的内容。发送给委员会的任何个人图片。选举登记册条目中包含的个人数据:全名、名、姓。登记册条目中的家庭地址。选民于当年达到投票年龄的具体日期。
02
国内动态/事件盘点
1
习近平总书记对网络安全和信息化工作作出重要指示
近日召开的全国网络安全和信息化工作会议,传达了习近平总书记对网络安全和信息化工作作出的重要指示。在重要指示中,习近平总书记充分肯定了党的十八大以来网信事业取得的重大成就,深刻阐述新时代新征程网信事业的重要地位作用,鲜明提出网信工作“举旗帜聚民心、防风险保安全、强治理惠民生、增动能促发展、谋合作图共赢”的使命任务,明确了“十个坚持”的重要原则,并对各级党委(党组)及网信部门等做好网信工作提出了明确要求。
详见:
2
第九届金砖国家通信部长会议在南非开普敦举行
8月4日,第九届金砖国家通信部长会议在南非开普敦举行。会议主题为“实现普遍连接,繁荣数字经济”。工业和信息化部副部长张云明率团出席并发言。
张云明表示,金砖国家在促进设施互联、弥合治理赤字、扩大技术开发应用等方面面临共同挑战,但也有坚实合作基础、强大合作动力和广阔合作空间。中国工业和信息化部愿秉持开放包容、互利共赢的金砖精神,与各国信息通信行业主管部门加强务实合作,协同消弭数字鸿沟,共促数字经济繁荣、包容、可持续发展。
张云明提出:
一是深化沟通交流,增进合作共识。加强数字化领域战略对接和政策联动,在多边机制中加强立场协调,拓展政府间、企业间等多层次交流,推广普遍互联互通经验。
二是优化合作机制,扩大相互开放。在相互市场准入、跨境投资便利化等方面加大改革力度,共同营造开放、包容、公正、非歧视的数字经济发展环境,为扩大设施互联投资,拓展价值连接市场空间创造便利条件。
三是拓宽合作领域,深挖合作潜力。以基础设施共建共享为突破口,以数字化转型合作为主战场,以网络治理合作为重要方向,携手优化金砖多层次多领域数字合作生态。
四是激发平台作用,做实金砖合作。更好发挥ICT合作工作组、数字金砖任务组、金砖国家未来网络研究院等机制的作用,推动金砖国家各领域数字经济合作全面落实。
会议审议通过了《第九届金砖国家通信部长宣言》,就设施互联、数字治理、技术应用、人才培养等议题达成了重要共识,对中方提出的中小企业数字化转型合作倡议表示欢迎,一致同意在基础设施建设、人工智能发展等方面加快共同行动,并就依托金砖国家未来网络研究院、数字金砖任务组进一步深化技术研发、人才培训等方面的合作达成共识。
3
公安部公布打击侵犯公民个人信息犯罪十大典型案例
8月10日,公安部在京召开“公安心向党 护航新征程”主题新闻发布会,通报公安部党委坚决贯彻落实习近平总书记重要讲话指示批示精神,坚持总体国家安全观,坚持以人民为中心的发展思想,部署全国公安机关打击整治侵犯公民个人信息违法犯罪行为的举措成效,公布十起典型案例。新闻发布会上,公安部网安局相关负责人就“打击侵犯公民个人信息违法犯罪”答记者问。
侵犯公民个人信息犯罪十大典型案例,详见:
答记者问全文,详见:
4
广西北海某公司因泄露个人信息被罚款20万元
近日,广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现,北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。
经查,涉案公司主要提供网上咨询服务,建设有一网站,在日常工作中收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。主要的违法行为包括:
公司网站服务器安全防护措施不足,仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御,网站存在被多个境外IP攻击入侵的情况。
公司未采取数据加密等有效的技术保护措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,且在发现公司发生个人信息泄露的情况下,未及时告知用户和主动向公安机关报告。
该公司还存在网站日志只存储30日,网络日志留存不足六个月及相关安全管理制度缺失等问题。
对此,广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。
同时,北海网安部门应用网络与信息安全信息通报机制,将该案例通报各党政机关单位,监督指导其落实主体责任,提升网络安全保护能力和水平。
下一步,公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求,全方位加强网络安全监督检查,持续高压严打违法行为,监督指导网络运营者依法履行安全保护责任和义务,做好源头防控,减少违法犯罪发生,坚决维护国家网络安全和数据安全。
5
百行征信因违反信息安全管理相关规定被央行罚款51.5万元
2023年8月4日,中国人民银行发布了银罚决字【2023】71-73号行政处罚公告,公告显示百行征信有限公司(以下简称“百行征信”)因违反征信机构管理规定;违反信用信息采集、提供、查询及相关管理规定,被警告并处罚款51.5万元。同时因黄某安(时任百行征信有限公司运营部客服中心异议处理员)和汪某飞(时任百行征信有限公司运营部客服中心团队主管)对百行征信违反信息采集、提供、查询及相关管理规定的违法行为负有责任,分别对其二人处罚7.1万元。
6
重庆某科技公司因未建立数据安全管理制度等被网信办罚款10万元
近日,重庆市网信办依据《中华人民共和国数据安全法》对属地一科技公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚。
重庆市网信办根据有关部门移交的线索,对属地一科技公司涉网络数据安全违法行为进行立案调查。经调查后发现,该公司因业务开展,收集、存储、处理的网络数据量较大,但未按法律法规要求建立健全全流程网络数据安全管理制度,未组织开展网络数据安全教育培训,未采取相应的技术措施和其他必要措施,保障网络数据安全等数据安全保护义务,且存在数据库数据泄露的情形。重庆市网信办依据《中华人民共和国数据安全法》第二十七条、第二十九条、第四十五条之规定,对该公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚。
下一步,重庆网信部门将深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,持续加大网络安全、数据安全、个人信息保护等领域执法力度,依法严厉打击危害网络安全、数据安全、侵害公民个人信息等违法违规行为,切实维护网络安全、数据安全和广大网民的合法权益,进一步营造清朗网络空间。
7
政策资讯
1、我国牵头提出的两项网络安全国际标准正式发布
日前,从全国信息安全标准化技术委员会官网获悉,由我国牵头提出的两项网络安全国际标准ISO/IEC 27071:2023《网络安全 设备与服务建立可信连接的安全建议》和ISO/IEC 24392:2023《网络安全 工业互联网平台安全参考模型》已正式发布。
据了解,ISO/IEC 27071标准提案于2015年提交至ISO/IEC JTC1/SC27,后经研究,于2019年4月正式立项;2023年7月正式发布。我国2名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 27071给出了设备和服务建立可信连接的框架和安全建议,包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该国际标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,例如移动支付、车联网、工业物联网等,有助于提升数据从设备中采集到服务的全过程的安全性。
ISO/IEC 24392标准提案于2018年4月提交至ISO/IEC JTC1/SC27,后经研究,于2019年6月正式立项;2023年7月正式发布。我国3名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 24392作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础设施的安全性。
2、4项网络安全国家标准获批发布
根据2023年8月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第7号),全国信息安全标准化技术委员会归口的4项国家标准正式发布。具体清单如下:
3、国务院印发进一步优化外商投资环境加大吸引外商投资力度的意见,提出探索便利化的数据跨境流动安全管理机制
为进一步优化外商投资环境,提高投资促进工作水平,加大吸引外商投资力度,国务院近日印发《关于进一步优化外商投资环境加大吸引外商投资力度的意见》(国发〔2023〕11号,以下简称“《意见》”)。
《意见》提出6方面24条政策措施。
(一)提高利用外资质量。加大重点领域引进外资力度,发挥服务业扩大开放综合试点示范引领带动作用,拓宽吸引外资渠道,支持外商投资企业梯度转移,完善外资项目建设推进机制。
(二)保障外商投资企业国民待遇。保障依法参与政府采购活动,支持依法平等参与标准制定工作,确保平等享受支持政策。
(三)持续加强外商投资保护。健全外商投资权益保护机制,强化知识产权行政保护,加大知识产权行政执法力度,规范涉外经贸政策法规制定。
(四)提高投资运营便利化水平。优化外商投资企业外籍员工停居留政策,探索便利化的数据跨境流动安全管理机制,统筹优化涉外商投资企业执法检查,完善外商投资企业服务保障。
(五)加大财税支持力度。强化外商投资促进资金保障,鼓励外商投资企业境内再投资,落实外商投资企业相关税收优惠政策,支持外商投资企业投资国家鼓励发展领域。
(六)完善外商投资促进方式。健全引资工作机制,便利境外投资促进工作,拓展外商投资促进渠道,优化外商投资促进评价。
其中,《意见》第十四条提出,“探索便利化的数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息保护法等要求,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。”
4、中国支付清算协会印发《个人支付信息保护指引》
近日,中国支付清算协会印发关于《个人支付信息保护指引》的通知。为适应国家法律法规最新要求,更好地服务行业发展,中国支付清算协会组织对协会2016年发布的团体标准《个人信息保护技术指引》(PCAC/T 0001:2016)进行了修订,并更名为《个人支付信息保护指引》(以下简称“《指引》”)。经中国支付清算协会第四届理事会第三次会议审议通过,现予以发布,自发布之日起实施,原《个人信息保护技术指引》废止。
《指引》给出了个人支付信息的范围定义,提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容,并针对不同业务场景提出了典型的保护要求,包括:
1、用户场景下的信息保护要求(包括用户注册、登录、支付交易、信息查询、用户注销)
2、运营场景信息保护要求(包括信息查询、信息修改、信息删除、数据分析)
3、运维场景信息保护要求(包括数据库管理、数据备份、数据提取、数据介质销毁、大数据平台数据抽取、数据安全合规审计、日志信息处理)。
详见:
https://www.pcac.org.cn/eportal/ui?pageId=598261&articleKey=618264&columnId=595085
5、上海出台推动数据要素产业创新发展行动方案,促进数据产业规模提升
上海市政府办公厅近日印发《立足数字经济新赛道推动数据要素产业创新发展行动方案(2023-2025年)》(以下简称“《行动方案》”),进一步推动数据要素产业发展、促进数字红利释放、提升数字经济质量。《行动方案》明确到2025年,数据要素市场体系基本建成,国家级数据交易所地位基本确立;数据要素产业动能全面释放,数据产业规模达5000亿元,年均复合增长率达15%,引育1000家数商企业;建成数链融合应用超级节点,形成1000个高质量数据集,打造1000个品牌数据产品,选树20个国家级大数据产业示范标杆;数据要素发展生态整体跃升,网络和数据安全体系不断健全,国际交流合作全面深化。
如有侵权请联系:admin#unsafe.sh