近期网安资讯动态盘点(2024-4上)
2024-4-16 17:54:0 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

国内动态/事件盘点

2024年全国数据工作会议4月1日召开

会议提出,建立健全数据产权制度,制定促进数据合规高效流通和交易的政策,建立数据要素收益分配机制,健全数据流通利用安全治理机制。提升数据资源开发利用水平,持续探索企业数据、个人数据开发利用新路径,全力推动“数据要素×”行动。

会议提出,健全数据基础制度。建立健全数据产权制度,制定促进数据合规高效流通和交易的政策,建立数据要素收益分配机制,健全数据流通利用安全治理机制。……强化数据安全保障能力。始终紧绷数据安全这根弦,提升数据安全的技术保障水平。

详见:

https://finance.china.com.cn/news/20240403/6100907.shtml

国家数据局就《深化智慧城市发展 推进城市全域数字化转型的指导意见》公开征求意见

为深入贯彻习近平总书记关于加快城市数字化转型的重要指示精神,全面落实2024年政府工作报告关于“深入推进数字经济创新发展”“建设智慧城市”要求,将城市作为推进数字中国建设的综合载体,国家数据局研究起草了《深化智慧城市发展 推进城市全域数字化转型的指导意见》,现向社会公开征求意见。

此次征求意见的时间是2024年4月2日至2024年4月8日。

详见:

https://mp.weixin.qq.com/s/9EzBrWE0SWUDWecaIPsfHw

工业和信息化部办公厅关于公布网络安全保险典型服务方案目录的通知

据“工信微报”公众号消息,根据《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的通知》(工信厅网安函〔2023〕356号),经企业申报、形式审查、专家评审、社会公示等程序,确定了网络安全保险典型服务方案目录,现予以公布。请各单位结合目录积极组织开展网络安全保险服务试点工作,探索建立网络安全保险服务模式。

目录请见下图(上下滑动查看):

详见:

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_75e0130e77554ba9ba3987649b9b82c7.html

工信部:做好2024年信息通信业安全生产和网络运行安全工作

工信部官网4月7日发布《工业和信息化部办公厅关于做好2024年信息通信业安全生产和网络运行安全工作的通知》(下称通知)。

通知有关单位按照安全生产治本攻坚三年行动工作部署要求,坚持安全发展、预防为主、技管结合,把安全生产和网络运行安全的任务、措施、责任真正落到实处,切实筑牢保障人民群众生命财产安全和社会大局稳定的信息通信网络底座。着力完成强化思想政治引领、完善制度政策体系、增强安全预防能力、加强重点问题整治、紧盯关键环节场景、提升应急处置水平、严格执法监督考核等七项主要任务。

详见:

https://www.gov.cn/zhengce/zhengceku/202404/content_6943932.htm

外交部:敦促美方立即停止对华网络攻击

新华社北京4月15日电(记者曹嘉玥 袁睿)外交部发言人林剑15日表示,美国一些人“贼喊捉贼”,把网络攻击溯源当成打压中国的工具,将网络安全问题政治化,严重侵害中方合法权益。中方敦促美方立即停止对中国的网络攻击,停止对中国的污蔑抹黑。

当日例行记者会上,有记者问:4月15日,中国国家计算机病毒应急处理中心与360公司共同发布了《“伏特台风”——美国情报机构针对美国国会和纳税人的合谋欺诈行动》报告。我们还记得,美国一段时间以来多次指责中国政府支持“伏特台风”发动网络攻击。中方对有关报告有何评论?

 “我注意到你提到的这份报告。”林剑表示,根据报告,“伏特台风”黑客组织实际上是没有国家和地区支持背景的勒索病毒网络犯罪团伙“暗黑力量”。种种迹象显示,美国情报机构、网络安全企业为获取国会预算拨款、政府合同,合谋拼凑所谓证据,散布中国政府支持对美“网络攻击”的虚假信息。

林剑说,众所周知,美国才是最大的网络攻击来源地,是网络空间安全的最大威胁。一段时间以来,美国一些人“贼喊捉贼”,把网络攻击溯源当成打压中国的工具,将网络安全问题政治化,严重侵害中方合法权益。 “中方敦促美方立即停止对中国的网络攻击,停止对中国的污蔑抹黑。”

详见:

http://www.news.cn/mrdx/2024-04/16/c_1310771433.htm

财政部就《会计信息化工作规范》《会计软件基本功能和服务规范》公开征求意见

 为深入贯彻落实党的二十大精神,规范数字经济环境下的会计工作,提高会计软件和相关服务质量,根据《会计改革与发展“十四五”规划纲要》、《会计信息化发展规划(2021-2025年)》,结合电子凭证会计数据标准试点有关情况,财政部对《企业会计信息化工作规范》(财会〔2013〕20号)、《会计电算化工作规范》(财会字〔1996〕17号)、《会计核算软件基本功能规范》(财会字〔1994〕27号)进行修订,形成了《会计信息化工作规范(征求意见稿)》和《会计软件基本功能和服务规范(征求意见稿)》。

《会计信息化工作规范(征求意见稿)》共六章五十条内容,从总则、会计信息化建设、会计数据处理和应用、会计信息化安全、会计信息化监督五大方面做了会计数字化工作的相关规定。

《会计软件基本功能和服务规范(征求意见稿)》共八章四十七条内容,从总则、会计软件总体要求、会计数据输入、会计数据处理、会计数据输出、会计软件安全、会计软件服务、附则等方面制定。

详见:

https://kjs.mof.gov.cn/gongzuotongzhi/202404/t20240407_3932240.htm

国家标准化管理委员会下达8项网络安全推荐性国家标准计划

近日,国家标准化管理委员会下达的推荐性国家标准计划中,包括8项由全国网络安全标准化技术委员会归口的标准项目,具体清单如下:

详见:

https://www.tc260.org.cn/front/postDetail.html?id=20240403131429

关于征求《数据安全技术 基于个人请求的个人信息转移要求》(征求意见稿)等4项国家标准意见的通知

2024年4月3日,全国网安标委微信公众号发布“关于征求《数据安全技术 基于个人请求的个人信息转移要求》(征求意见稿)等4项国家标准意见的通知”。

通知显示,全国网络安全标准化技术委员会归口的《数据安全技术 基于个人请求的个人信息转移要求》等4项国家标准现已形成标准征求意见稿。根据委员会标准制修订工作程序要求,现将该4项标准征求意见稿面向社会公开征求意见。

详见:

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

香港私隐公署发表数码港资料外泄事故调查报告

中新社香港4月2日电 (记者 刘大炜)香港个人资料私隐专员公署(私隐公署)2日发表对香港数码港管理有限公司(数码港)资料外泄事故的调查报告。

数码港于2023年8月中旬发现系统被黑客入侵,导致逾1.3万名当事人的个人资料数据泄露,其中约四成为求职者或已离职雇员。相关资料超过400GB,包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的针对性调查,事故起因是黑客取得数码港一个具管理员权限的账户凭证,通过远端桌面连接进入内部网络,随后通过各种工具进行网络恶意活动,致使数码港13个Windows系统和两台虚拟服务器被入侵。

私隐公署2日公布的调查报告中指出,此次资料外泄事故主要由5方面缺失导致:其一,数码港的资讯系统欠缺有效的侦测措施;其二,未启用远端存取资料多重认证功能,以核实获授权可远端登入数码港网络的用户身份;其三,对资讯系统进行的保安审计不足,事发前最后一次审计距离资料外泄事故发生已超过19个月,无法适时应对资讯科技的变化和网络安全的风险;其四,资讯保安政策欠具体,未给员工提供可依循的、具体的网络保安框架;其五,未根据其资料保留政策删除保留期届满的个人资料。

对此,个人资料私隐专员钟丽玲表示,希望通过此份报告,向数码港以及其他使用资讯和通讯科技处理个人资料的机构提出5项建议:应设立个人资料私隐管理系统并委任保障资料主任、建立稳健的网络保安框架、适时对资讯系统进行风险评估和保安审计、建立重视资讯安全的企业文化、适时删除逾期保留的个人资料。

钟丽玲表示,网络攻击是全球性问题。各机构必须提高网络安全意识,及时升级网络安全架构,维护网络安全。

详见:

https://backend.chinanews.com/dwq/2024/04-02/10191780.shtml

国际动态/事件盘点

全球首个!英美就人工智能安全达成双边协议

4 月 2 日消息,美国东部时间 4 月 1 日晚,美国和英国签署了一项具有里程碑意义的 AI 相关协议,双方宣布建立人工智能安全科学合作伙伴关系。

这也是全球首个关于人工智能安全的双边协议。该协议明确,英国去年 11 月成立的新 AI 安全研究所和美国同类机构,将通过借调两国研究人员来互相交流专业知识。

此外,两家机构还将开发一种共同的人工智能安全测试方法,包括使用相同的方法和底层基础设施,双方将根据国家法律法规和合同,寻求员工交流和信息共享。新闻稿还称,双方拟将在一个“可公开访问”的 AI 模型上开展联合测试。

美国环境保护局遭黑客攻击,850万用户数据泄露

据hackread网站消息,美国环境保护局(EPA)近期遭遇了一起重大的数据泄露事件。此次事件可能由一名被称为USDoD的黑客所为,涉及超过850万用户(包括客户和承包商)的个人敏感信息外泄,引发了对身份盗用、网络间谍活动以及环境报告产生的不良影响的担忧。

据了解,USDoD 曾有过高调泄露数据的历史,在之前的事件中曝光了 InfraGard(一个由联邦调查局资助的敏感安全项目,致力于保护美国的关键基础设施) 8.7 万名成员的数据。

关于此次事件,黑客声称已成功入侵并泄露了该机构的整个数据库。Hackread.com的分析表明,USDoD提供的数据似乎是合法的,但最终验证仍需由美国环境保护局提供。

菲律宾科技部服务器遭黑客入侵:网站被篡改 25TB数据被删除

安全内参4月11日消息,一家名为Ph1ns的黑客组织宣布,对菲律宾科技部(科学和技术部,DOST)的服务器进行了毁灭性攻击,这在菲律宾网络社区引发了热议。

该组织声称,已经获得对虚拟机管理器、网络附加存储(NAS)和路由器等关键基础设施的访问权限,甚至获取了域管理员权限,从而能够无限制地访问员工的计算机。雪上加霜的是,他们还夸耀称加密了域控制器,有效地封锁了授权用户的访问。

菲律宾信息和通信技术部(DICT)的消息人士透露,黑客删除了25TB数据,造成一片混乱。菲律宾信息和通信技术部基础设施管理、网络安全和技能提升副秘书长Jeffrey Ian C. Dy表示:“我们报警系统在夜间10点左右检测到了对科技部的攻击。我们认识到需要改进国家网络安全运营中心(NSOC)的自动响应机制。目前,我们正在与科技部合作,尽快恢复他们的服务,并提高我们的检测和事件响应能力。我们还已经通知了我们在国家调查局(NBI)和安全机构的联系人,告知对方一个本地组织声称对此次攻击负责。

黑客滥用谷歌虚假广告传播恶意软件

有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件,这次他们利用广告跟踪功能,向企业用户发送 Slack 和 Notion 等流行协作群件的虚假广告。

本周,AhnLab 安全情报中心(ASEC)的研究人员发布的文章中提到,黑客利用了统计功能嵌入传播恶意软件(包括 Rhadamanthys 窃取程序)的 URL。该功能允许广告商在广告中插入外部分析网站地址,以收集和使用访问者的访问相关数据来计算广告流量。

但研究人员发现,黑客并没有插入外部统计网站的 URL,而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据ASEC的说法,当这些广告仍处于“活动”状态时,如果用户不小心点击了横幅广告,仍然会跳转到下载恶意文件的页面。

在类似的攻击活动中,Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行,它就会从黑客的服务器下载恶意文件和有效载荷。

Facebook、Instagram将显著标记由AI生成的音视频内容

据CyberNews消息,Meta于4月5日宣布将对旗下Facebook 和 Instagram平台上的数字创建和更改媒体政策进行调整,以遏制在美国大选前利用人工智能进行的深度伪造内容传播。

据Meta内容政策副总裁莫妮卡-比克特(Monika Bickert)透露,这一政策将从今年5月起生效,其平台上发布的由人工智能生成的视频、图片和音频将被打上相应的标签,以进行显著区分。

人工智能生成的视频、音频和图片内容上标注新的 "Made with AI"(人工智能制造)标签,旨在帮助用户识别被操纵的内容。此外,对于在重要事实问题上容易对公众造成欺骗或误导的高风险性内容,无论是否涉及人工智能生成,Meta都将为其单独贴上更醒目的标签。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247496499&idx=1&sn=eb5cddd1490084fce6cad6ffbe7decdd&chksm=feb67220c9c1fb367d3ffee1712dd8a873b832278dd6fbf0acbf86a50fc2ccff52c01f34a161&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh