四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览
日期:2024年05月23日 阅:57
新闻速览
ㆍ 四部门联合发布《互联网政务应用安全管理规定》,自7月1日起施行
ㆍ陕西警方打击整治网络暴力违法犯罪5起典型案例
ㆍYouTube成为助长网络犯罪的新“温床”
ㆍ70%的CISO认为会在12个月内遭受网络攻击
ㆍBlackbasta声称已窃取美国最大燃料分销集团730G数据
ㆍ超过60%网络安全设备缺陷可被利用为零日漏洞
ㆍSolarMarker恶意软件通过多层级基础架构进化规避安全检测
ㆍZscaler将为AI数据保护平台增加新功能
ㆍZoom视频会议系统启用后量子端到端加密保护功能
ㆍGitLab即将发布Duo企业版AI插件
ㆍ亚信安全宣布将全面融入鸿蒙生态
特别关注
四部门联合发布《互联网政务应用安全管理规定》,自7月1日起施行
日前,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合制定并引发《互联网政务应用安全管理规定》。 各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用时,应当严格遵守本规定要求,保障互联网政务应用安全稳定运行和数据安全。
以下是规定的具体内容:
互联网政务应用安全管理规定
(2024年2月19日中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定 2024年5月15日发布)
第一章 总则
第一条 为保障互联网政务应用安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,制定本规定。
第二条 各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
第三条 建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
第二章 开办和建设
第四条 机关事业单位开办网站应当按程序完成开办审核和备案工作。一个党政机关最多开设一个门户网站。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填报材料,缩短开办周期。
机关事业单位开办网站,应当将运维和安全保障经费纳入预算。
第五条 一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“.gov.cn”或“.政务”为后缀。非党政机关网站不得注册使用“.gov.cn”或“.政务”的域名。
事业单位网站的域名应当以“.cn”或“.公益”为后缀。
机关事业单位不得将已注册的网站域名擅自转让给其他单位或个人使用。
第六条 机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关事业单位网站分发。
第七条 机构编制管理部门为机关事业单位制发专属电子证书或纸质证书。机关事业单位通过应用程序分发平台分发移动应用程序,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。
第八条 互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。具体命名规范由中央机构编制管理部门制定。
第九条 中央机构编制管理部门为机关事业单位设置专属网上标识,非机关事业单位不得使用。
机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
第十条 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划,推进集约化建设。
县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。
第十一条 互联网政务应用应当支持开放标准,充分考虑对用户端的兼容性,不得要求用户使用特定浏览器、办公软件等用户端软硬件系统访问。
机关事业单位通过互联网提供公共服务,不得绑定单一互联网平台,不得将用户下载安装、注册使用特定互联网平台作为获取服务的前提条件。
第十二条 互联网政务应用因机构调整等原因需变更开办主体的,应当及时变更域名或注册备案信息。不再使用的,应当及时关闭服务,完成数据归档和删除,注销域名和注册备案信息。
第三章 信息安全
第十三条 机关事业单位通过互联网政务应用发布信息,应当健全信息发布审核制度,明确审核程序,指定机构和在编人员负责审核工作,建立审核记录档案;应当确保发布信息内容的权威性、真实性、准确性、及时性和严肃性,严禁发布违法和不良信息。
第十四条 机关事业单位通过互联网政务应用转载信息,应当与政务等履行职能的活动相关,并评估内容的真实性和客观性。转载页面上要准确清晰标注转载来源网站、转载时间、转载链接等,充分考虑图片、内容等知识产权保护问题。
第十五条 机关事业单位发布信息内容需要链接非互联网政务应用的,应当确认链接的资源与政务等履行职能的活动相关,或属于便民服务的范围;应当定期检查链接的有效性和适用性,及时处置异常链接。党政机关门户网站应当采取技术措施,做到在用户点击链接跳转到非党政机关网站时,予以明确提示。
第十六条 机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理。
第四章 网络和数据安全
第十七条 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。
第十八条 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。
互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。
第十九条 互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制,确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
第二十条 机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。
第二十一条 机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。
第二十二条 机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。
第二十三条 为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内。
第二十四条 党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。
第二十五条 机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当以合同等手段明确外包单位网络和数据安全责任,并加强日常监督管理和考核问责;督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
第二十六条 机关事业单位应当合理建设或利用社会化专业灾备设施,对互联网政务应用重要数据和信息系统等进行容灾备份。
第二十七条 机关事业单位应当加强互联网政务应用开发安全管理,使用外部代码应当经过安全检测。建立业务连续性计划,防范因供应商服务变更等对升级改造、运维保障等带来的风险。
第二十八条 互联网政务应用使用内容分发网络(CDN)服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
第二十九条 互联网政务应用应当使用安全连接方式访问,涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。
第三十条 互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。
对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取多因素鉴别提高安全性,采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险,鼓励采用电子证书等身份认证措施。
第五章 电子邮件安全
第三十一条 鼓励各地区、各部门通过统一建设、共享使用的模式,建设机关事业单位专用互联网电子邮件系统,作为工作邮箱,为本地区、本行业机关事业单位提供电子邮件服务。党政机关自建的互联网电子邮件系统的域名应当以“.gov.cn”或“.政务”为后缀,事业单位自建的互联网电子邮件系统的域名应当以“.cn”或“.公益”为后缀。
机关事业单位工作人员不得使用工作邮箱违规存储、处理、传输、转发国家秘密。
第三十二条 机关事业单位应当建立工作邮箱账号的申请、发放、变更、注销等流程,严格账号审批登记,定期开展账号清理。
第三十三条 机关事业单位互联网电子邮件系统应当关闭邮件自动转发、自动下载附件功能。
第三十四条 机关事业单位互联网电子邮件系统应当具备恶意邮件(含本单位内部发送的邮件)检测拦截功能,对恶意邮箱账号、恶意邮件服务器IP以及恶意邮件主题、正文、链接、附件等进行检测和拦截。应当支持钓鱼邮件威胁情报共享,将发现的钓鱼邮件信息报送至主管部门和属地网信部门,按照有关部门下发的钓鱼邮件威胁情报,配置相应防护策略预置拦截钓鱼邮件。
第三十五条 鼓励机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。
第六章 监测预警和应急处置
第三十六条 中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门,组织对地市级以上党政机关互联网政务应用开展安全监测。
各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。
机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。
第三十七条 互联网政务应用发生网络安全事件时,机关事业单位应当按照有关规定向相关部门报告。
第三十八条 中央网络安全和信息化委员会办公室统筹协调重大网络安全事件的应急处置。
互联网政务应用发生或可能发生网络安全事件时,机关事业单位应当立即启动本单位网络安全应急预案,及时处置网络安全事件,消除安全隐患,防止危害扩大。
第三十九条 机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。网信部门会同电信主管部门,及时对监测发现或网民举报的假冒仿冒互联网政务应用采取停止域名解析、阻断互联网连接和下线处理等措施。公安部门负责打击假冒仿冒互联网政务应用相关违法犯罪活动。
第七章 监督管理
第四十条 中央网络安全和信息化委员会办公室负责统筹协调互联网政务应用安全管理工作。中央机构编制管理部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。国务院电信主管部门负责互联网政务应用域名监督管理和互联网信息服务(ICP)备案工作。国务院公安部门负责监督检查指导互联网政务应用网络安全等级保护和相关安全管理工作。
各地区、各部门承担本地区、本行业机关事业单位互联网政务应用安全管理责任,指定一名负责人分管相关工作,加强对互联网政务应用安全工作的组织领导。
第四十一条 对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。
第八章 附则
第四十二条 列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
第四十三条 本规定由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部负责解释。
第四十四条 本规定自2024年7月1日起施行。
原文链接:
https://www.cac.gov.cn/2024-05/22/c_1718054910848581.htm
陕西警方打击整治网络暴力违法犯罪5起典型案例
针对造谣诽谤、谩骂侮辱、侵犯隐私等网络暴力违法犯罪行为,近日,陕西公安网安部门依法打击、处置了5起典型网络暴力案件。
1、王某某侮辱诽谤案
王某某因与同村李某存在纠纷,通过微信群聊向受害人发送大量辱骂信息,该群内有300余名微信用户。严重干扰受害人正常生活,造成恶劣社会影响。目前,陕西西安警方依法对王某某给予行政拘留15日处罚。
2、王某侮辱他人案
今日,因琐事为泄私愤,王某在400余人的微信群里随意辱骂曹某,造成了恶劣的社会影响,严重影响了曹某正常生活。目前,陕西咸阳警方依法给予王某行政处罚。
3、毋某侮辱她人案
毋某因感情和经济纠纷,在某网络平台发布一条对王某某侮辱的视频,严重影响了王某某正常工作生活。目前,陕西铜川警方依法给予毋某行政处罚。
4、杨某编造侮辱性信息网暴他人案
杨某因不满女友与其分手,多次在微信群虚构事实,发布前女友隐私视频,并对其进行侮辱和人身攻击,引发网民关注造成恶劣影响,对其前女友工作生活产生极大影响。目前,陕西汉中警方依法对杨某给予行政拘留10日处罚。
5、王某某泄露他人隐私案
王某某因剪羊毛与李某发生矛盾纠纷,为发泄私愤,王某某便将李某的个人信息、家庭住址等隐私信息发布到网络平台,给李某某造成了不良社会影响。当前,陕西榆林警方依法给予王某某行政处罚。
原文链接:
https://mp.weixin.qq.com/s/sZSRAyzc_kE9rnoNxpvFcQ
热点观察
YouTube成为助长网络犯罪的新“温床”
根据安全公司 Avast 最新报告发现,YouTube已经成为帮助恶意行为者部署网络钓鱼、恶意软件和虚假投资计划等各种犯罪活动的新“温床”。该公司特别提到了两种恶意软件 Lumma 和 RedLine,它们正在 YouTube上大规模活动。
Avast 指出,YouTube 充当了一个流量分发渠道,将用户引导到各种恶意网站和页面,助长了不同严重程度的网络犯罪。攻击者利用 YouTube 的庞大影响力,诱导用户访问欺骗性网站和下载恶意软件。此外,YouTube 上日益增多的深度造假视频也成为了一大问题。这些虚假视频通过模仿真人或事件来误导观众,传播虚假信息。Avast 发现,有多个拥有超过 5000 万订阅者的账号已被黑客入侵,并被用来传播依赖于深度造假视频的加密货币骗局。
原文链接:
70%的CISO认为会在12个月内遭受网络攻击
根据Proofpoint最新发布的《数据泄露环境》报告,七成首席信息安全官(CISOs)担心其企业在未来12个月内会遭受网络攻击,这一比例较往年有所上升。报告指出,远程和混合办公模式扩大了企业的攻击面,加之员工流失率创新高以及生成式AI和现成黑客工具的普及,使得企业网络安全管理变得更加复杂。
调查发现,尽管有70%的CISOs相信其企业在未来12个月内面临网络攻击风险,但只有43%的人感到对针对性攻击未作好准备,这一比例较之前大幅下降,表明CISOs对公司防御措施日益自信。然而,人为错误仍是CISOs最为关注的网络安全隐患,74%的CISOs将其视为最大的网络安全漏洞。此外,80%的受访者预计未来两年内,人为风险和员工疏忽将成为重大网络安全问题,突显了员工安全意识与实际应对效果之间的脱节。除此之外,报告还发现,过半数受访CISOs表示在过去一年内经历或目睹了职业倦怠,66%的人认为对他们的期望过高,这也可能影响到他们应对网络安全挑战的能力。
原文链接:
https://www.infosecurity-magazine.com/news/70-cisos-expect-cyberattacks-next/
网络攻击
Blackbasta声称已窃取美国最大燃料分销集团730G数据
近日,勒索软件集团 Blackbasta 声称已入侵美国最大的国家级燃料分销商之一Atlas公司, 并将其添加到该组织旗下 Tor 泄露网站受害者名单中,这表明他们已成功渗透该公司的网络。
该团伙声称,从 Atlas 窃取了 730GB 的数据,包括公司账户、人力资源、财务、高管以及用户和员工个人信息等。作为攻击证据,他们发布了一系列文件,如员工身份证、数据表和工资单付款申请单。尽管 Atlas 尚未披露此次事件,但这次入侵无疑给这家能源公司造成了严重打击。
Blackbasta 是一个活跃的勒索软件集团,自2022年4月以来一直实施双重勒索攻击。Cybereason 的专家观察到,在针对美国的持续 QakBot 恶意软件攻击中,QakBot 感染最终导致了Blackbasta 勒索软件的部署。这种攻击链始于垃圾邮件/网络钓鱼,一旦获得访问权限,攻击者的行动速度极快,有时在不到2小时内就能获得域管理员权限,并在 12 小时内完成勒索软件的部署,这种迅速的攻击速度使得企业难以及时发现并应对。
原文链接:
超过60%网络安全设备缺陷可被利用为零日漏洞
根据Rapid7的最新报告,在2023年所发现的网络和安全设备缺陷中,超过60%可被利用为零日漏洞,这反映了攻击者越来越擅长在补丁发布之前利用系统自身的安全缺陷。
2023年以来,许多大规模入侵事件的攻击方式发生了明显转变。近四分之一(23%)的广泛传播的威胁性公共漏洞和暴露(CVE)来自高度协调的零日攻击,单一攻击者能够影响数百家机构。这种”单一攻击者,多目标”的模式取代了之前常见的”多攻击者,多目标”模式。
研究人员指出,2023年开始,超过三分之一(36%)的广泛利用的漏洞来自网络边界技术,几乎是前一年的两倍。大部分广泛利用的CVE源于易于利用的根本原因,如命令注入和身份验证不当问题,而远离内存损坏利用。此外,2023年41%的事件是由于未启用或未强制实施多因素身份验证(MFA)而造成的。
原文链接:
https://www.infosecurity-magazine.com/news/network-security-flaws-exploited/
SolarMarker恶意软件通过多层级基础架构进化规避安全检测
长期盯防SolarMarker信息窃取型恶意软件的安全公司Recorded Future在其最新报告中指出,该恶意软件的幕后威胁行为者已建立了多层级基础架构,以增加执法部门检测查处的难度。该恶意软件的核心是其分层C2服务器架构,包括至少两个集群:一个主要集群用于活跃操作,另一个次要集群可能用于测试新策略或针对特定区域和行业的攻击。这种分层设计不仅增强了该恶意软件适应和应对对策的能力,也大大提高了其根除的难度。
SolarMarker自2020年9月首次出现以来一直在持续演化,已经发展成为一种相当复杂的威胁。它不仅具有从多种网络浏览器和加密货币钱包窃取数据的能力,还能瞄准VPN和RDP配置。尽管最初的感染媒介通常是托管在虚假下载网站上的恶意软件或通过恶意电子邮件传播,但为了提高隐蔽性和持久性,恶意软件作者不断改进,增加了载荷大小、使用有效的Authenticode证书、Windows注册表的新变化,以及直接从内存运行而非磁盘。
原文链接:
https://thehackernews.com/2024/05/solarmarker-malware-evolves-to-resist.html
产业动态
Zscaler将为AI数据保护平台增加新功能
据SiliconAngle 报道,近日,云安全公司Zscaler宣布为其AI数据保护平台添加了新的AI功能,旨在提高数据安全性并简化跨多样化环境的管理。这些创新旨在帮助用户保护知识产权和客户数据免受各种威胁和风险,包括恶意内部人员、意外数据丢失、勒索软件以及云服务的日益普及。其中一项关键新功能是本地集成的数据安全态势管理,用于在 AWS 和 Azure 等平台上发现、分类和保护敏感数据。GenAI App Security功能则可检测存在风险的AI应用程序使用情况并提供细粒度的策略控制。此外,Zscaler还推出了电子邮件数据丢失防护,帮助企业应对内部威胁。
原文链接:
https://www.scmagazine.com/brief/ai-features-added-to-zscalers-ai-data-protection-platform
Zoom视频会议系统启用后量子端到端加密保护功能
日前,Zoom宣布了其视频通讯平台的一个重大安全升级,即全新的后量子端到端加密(E2EE)功能,使得高级量子计算机也无法破译其服务器和客户端之间传输的所有数据。该公司已经为Zoom会议增加了这项新功能,并计划在不久的将来将其扩展到Zoom电话和Zoom会议室
这一举措解决了Zoom在早期因缺乏端到端加密而受到的批评问题。Zoom在COVID-19大流行期间取得了巨大成功,成为远程工作和在线学习的主导平台,此前Zoom的安全性一直存在疑虑,直到2020年该公司才为Zoom会议增加了E2EE功能。现在,通过引入最新的量子安全加密技术,Zoom正在进一步提高其平台的安全性,让用户有信心继续使用该软件而不会损害安全性。这与其他通信平台如Signal、苹果iMessage、Tuta Mail和Google Chrome最近采取的主动方法一致,它们都采用了同一种NIST推荐的Kyber密钥封装算法。
原文链接:
GitLab即将发布Duo企业版AI插件
日前,根据DevOps的消息,GitLab计划推出其持续集成/持续交付平台的企业级AI插件版本,名为”Duo企业版”。这个新版本将拥有一些新功能,包括检测和解决安全漏洞、总结问题讨论和合并请求、消除工作流程中的瓶颈、提高团队协作,同时还将增强现有的代码建议和隐私控制等功能。此外,Duo企业版还将配备一个价值流预测仪表板,并支持安全环境中的自托管模型部署。
与此同时,GitLab正在准备GitLab 17的更新,引入了可观测性工具、项目规划功能、本地机密管理器,以及与静态应用程序安全测试工具的集成。更值得关注的是,此次更新还将包括一个数据科学家注册表,使得他们能够在与工程师相同的平台上开发AI模型。这种跨职能的协作有助于进一步增强软件开发过程的可见性和自动化程度,从而提高整体的研发效率。
原文链接:
https://www.scmagazine.com/brief/gitlab-duo-enterprises-set-to-be-released
亚信安全宣布将全面融入鸿蒙生态
2024年5月18日,在C3安全大会上亚信安全与华为终端合作签约仪式隆重举行,亚信安全CEO马红军、华为终端云开发者服务与平台部总裁望岳共同签约。
鸿蒙系统作为国产自主研发的操作系统,在近年来取得了显著的发展成果,其开放、智能的特性受到业界的广泛认可。亚信安全一直以来在终端安全领域拥有深厚的技术实力和丰富的行业经验,此次深度投入鸿蒙生态建设,结合领先行业的终端安全能力,为用户提供更加安全、可靠的终端环境,保障用户的信息安全。双方将共同探索智慧生态领域的新机遇,为用户带来更加便捷、智能、安全的体验。
原文链接: