国内动态/事件盘点
工信部部长金壮龙:健全促进实体经济和数字经济深度融合制度
8月20日,工业和信息化部部长金壮龙在人民日报发表题为《健全促进实体经济和数字经济深度融合制度》的署名文章,金壮龙提出要建立健全国家公共数据资源体系,推动公共数据资源安全有序开放。
工信部部长金壮龙发文指出,建立健全数据基础制度。数据是新型生产要素,我国是全球数据资源大国,但数据基础制度不够健全,数据要素市场不够完善,制约了数据价值挖掘和利用。要加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,完善数据要素市场体制机制。建立健全数据共享和开发利用的激励约束机制,促进数据共享,推进公共数据、企业数据、个人数据开发利用,强化高质量数据要素供给。建立健全国家公共数据资源体系,推动公共数据资源安全有序开放。建立合规高效的数据要素流通和交易制度,建设规范数据交易市场。提升数据安全治理监管能力,健全行业数据安全管理制度,完善标准规范,构建重要数据识别、目录备案、风险评估等常态化监管机制,建立高效便利安全的数据跨境流动机制。
详见:
https://www.gov.cn/lianbo/bumen/202408/content_6969346.htm
国家金融监督管理总局关于《小额贷款公司监督管理暂行办法(征求意见稿)》公开征求意见
为规范小额贷款公司行为,加强监督管理,促进小额贷款公司稳健经营、健康发展,国家金融监督管理总局研究制定了《小额贷款公司监督管理暂行办法(征求意见稿)》(以下简称《暂行办法》),8月23日正式向社会公开征求意见。
《暂行办法》共七章、六十六条,分别为总则、业务经营、公司治理与风险管理、消费者权益保护、非正常经营企业退出、监督管理、附则。
《暂行办法》要求小额贷款公司加强对合作机构的名单制管理,确保合作机构移动应用程序(APP)、小程序、网站经过依法备案,及时识别、评估因合作机构违法违规可能导致的风险,督促合作机构落实合规管理、消费者权益保护责任。
《暂行办法》部分节选:
第三十一条【合作机构管理】 小额贷款公司应当加强对合作机构的名单制管理,确保合作机构移动应用程序(APP)、小程序、网站经过依法备案,及时识别、评估因合作机构违法违规可能导致的风险,督促合作机构落实合规管理、消费者权益保护责任。.......
第三十二条【信息化建设】......
小额贷款公司应当加强网络安全管理、数据安全管理、业务连续性管理和信息科技外包管理等工作,贯彻落实国家网络安全等级保护制度,开展网络安全定级备案,定期开展等级保护测评,充分识别、监测和控制信息科技风险,保障信息系统安全稳定运行。......
第三十三条【互联网业务信息系统】 网络小额贷款公司使用的互联网业务信息系统应当符合以下要求:
......(二)符合网络安全与数据安全管理要求,具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度,保障系统安全稳健运行和各类信息安全;
(三)该业务系统的网络安全等级保护定级应当不低于第三级;
(四)该业务系统应当由本法人机构依法设立、独立运营并享有完整数据权限,规范开展网站备案、移动应用程序(APP)和小程序备案等工作,防范、监测假冒网站、假冒移动应用程序(APP)和假冒小程序;......
第三十四条【风险防控体系】 ......网络小额贷款公司评定和防控客户信用风险应当主要借助互联网平台内生数据信息以及通过合法渠道获取的其他数据信息。
详见:
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1176117&itemId=951&generaltype=2
全国网安标委就国家标准《网络安全技术 安全技术 网络安全 第7部分:网络虚拟化安全》征求意见稿征求意见
本文件旨在识别网络虚拟化安全风险,并为网络虚拟化的安全实施提供指引。
总体上,本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助,适用于负责实施和维护安全虚拟化环境并进行相应技术控制的用户和实施者。
标准解决的问题及主要内容:
本标准针对当前网络虚拟化技术伴随着云计算、5G等新技术的发展而广泛应用,导致网络架构从封闭走向开放、安全控制边界不再清晰有效、敏捷开发和快速系统迭代成为主流形态,缺乏相关安全标准规范的问题,拟针对网络虚拟化带来的信息泄露、DDoS攻击、权限提升、内容伪造、网络可用性降低等安全风险,为组织构建安全的虚拟化环境提供指导。
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240829101217&norm_id=20231220150526&recode_id=56654
《旅游大数据安全与隐私保护要求(征求意见稿)》公开征求意见
全国旅游标准化技术委员会近日发布标准《旅游大数据安全与隐私保护要求(征求意见稿)》,公开征求意见,征求意见截止时间为2024年10月8日。
征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。适用于旅游管理和服务机构开展旅游大数据收集、传输、存储、提供与公开、使用与加工等过程中的安全管理组织、人员安全管理、相关系统建设等,也可为有关部门对旅游大数据相关活动进行监管管理提供参考。
详见:
https://www.ctnews.com.cn/jujiao/content/2024-08/14/content_163594.html
工信部、国家标准委联合印发《物联网标准体系建设指南(2024版)》
8月27日,工业和信息化部、国家标准化管理委员会印发《物联网标准体系建设指南(2024版)》(以下简称《指南》),提出到2025年,新制定物联网领域国家标准和行业标准30项以上,引导社会团体制定先进团体标准,加强标准宣贯和实施推广,参与制定国际标准10项以上,引领物联网产业高质量发展的标准体系加快形成。根据《指南》,物联网标准体系包括基础标准、技术标准、建设运维标准和应用标准4个部分。其中,技术标准包括感知技术、网络与通信技术、数据处理技术、融合技术、射频与电磁兼容技术、边缘计算技术、物联网操作系统、数字孪生技术等标准。
详见:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_4ff2646910384278a75238457893a14c.html
央视财经报道:构建制度体系,让数据“供得出,流得动,用得好,保安全”
国家数据局提出构建数据要素市场制度体系,确保数据"供得出、流得动、用得好、保安全",以加快数据产权归属认定、市场交易权益分配和数据安全治理监管。近日央视财经频道对此进行了报道,本文整理了报道内容进行分享。
详见:
https://tv.cctv.cn/2024/08/20/VIDELs5F7kXQdrGWfqJfMXsd240820.shtml
2024中国国际大数据产业博览会在贵阳开幕
2024中国国际大数据产业博览会8月28日在贵州省贵阳市开幕。全国政协副主席、民建中央常务副主席秦博勇出席开幕式并讲话。
秦博勇强调,我国数字经济规模连续多年位居世界前列,数字经济发展具有坚实基础和广阔空间。要持续促进实体经济和数字经济深度融合,加快推进数据基础制度和基础设施建设,以数字化转型全方位赋能经济社会发展,筑牢数字安全屏障,主动拓展国际合作,全面推动数字经济高质量发展。
详见:
http://www.guizhou.gov.cn/home/tt/202408/t20240829_85497138.html
工信部发布关于侵害用户权益行为的APP(SDK)通报(2024年第7批,总第42批)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,我部组织第三方检测机构进行抽查,共发现21款APP及SDK存在侵害用户权益行为(详见附件),现予以通报。
工业和信息化部通报存在问题的APP(SDK)名单:(上下滑动图片查看)
详见:
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_93a1b8bbf8ff491490afc9115d267fcf.html
《黑神话:悟空》发行平台Steam遭DDoS攻击
央广网北京8月26日消息(记者 牛谷月)8月24日晚,“Steam崩了”冲上社交平台热搜榜单,全球多国《黑神话:悟空》玩家纷纷反馈无法登录和进入游戏。Steam中国区代理——完美世界竞技平台公告称,此次Steam崩溃是由于“受到大规模DDoS攻击”导致。奇安信方面分析称,本次攻击较平时激增2万倍,动用60个僵尸网络,对Steam全球网站轮番攻击,涉及13个国家和地区的107个Steam服务器IP。
详见:
https://tech.cnr.cn/ycbd/20240826/t20240826_526873198.shtml
国际动态/事件盘点
多国网络安全机构联合发布《事件日志与威胁检测指南》
8月22日,澳大利亚网络安全中心(ACSC)联合美CISA、FBI、NSA以及加拿大和英国等国家的网络安全机构,共同发布了《事件日志和威胁实践指南》(Best practices for event logging and threat detection)。指南旨在帮助组织建立完善的事件日志记录基线,以应对不断增多的恶意网络威胁,特别是针对利用“离地生活”技术(LOTL)和无文件恶意软件发起的复杂网络攻击。指南强调了增强事件记录策略和威胁检测能力的重要性,并提出了有效事件记录解决方案的关键目标,这些目标包括:生成关键网络安全事件的警报、检测潜在事件、确保有效事件响应、提供妥协的详细见解、管理警报以减少噪音和成本,以及优化日志和日志记录平台以增强可用性和分析性能。此外,指南还提供了关于实施用户和实体行为分析以提高威胁检测能力的指导,以及确保事件日志存储安全和完整性的建议。此举旨在通过早期检测恶意活动提升组织的响应能力。(关键基础设施安全应急响应中心)
英国家网络安全中心计划建立全国网络欺诈证据库,旨在增强网络防御能力
8月20日消息,英国家网络安全中心(NCSC)举办重要会议,讨论如何利用网络欺骗技术加强网络防御,核心目的是建立一个全国范围的网络欺骗证据库,以支持其主动网络防御2.0战略。NCSC计划在英国互联网上部署5000个低交互和高交互网络欺骗解决方案实例,内部网络中部署2万个实例,云环境中部署20万个资产以及200万个令牌。这些部署将应对关于网络欺骗技术在发现潜在威胁和影响攻击者的有效性问题。此次会议汇集了国际政府合作伙伴、英国政府官员和行业领袖。(英NCSC网站)
AMD曝出超级权限漏洞,数亿设备面临威胁
8月17日消息,安全公司IOActive的研究人员披露了AMD处理器的一个名为“Sinkclose”的难以修复的严重漏洞,该漏洞影响了自2006年以来发布的几乎所有AMD处理器,数以亿计的笔记本、台式机和服务器面临威胁。研究人员警告称,针对任何装有易受攻击的AMD芯片的设备,攻击者都可以用一种名为Bootkit的恶意软件感染计算机,一旦成功,攻击者就可完全控制受感染系统,甚至可能破坏系统的完整性。AMD决定不为一些较旧但仍很流行的处理器提供补丁。(AMD官网)
美国油田服务公司哈里伯顿遭网络攻击
8月22日消息,据知情人士透露,美国油田服务公司哈里伯顿(Halliburton)周三遭到网络攻击。哈里伯顿表示,已经意识到影响公司某些系统的问题,并正在努力确定问题的原因和影响。一位发言人在电子邮件声明中表示,该公司还在与“外部专家”合作解决这个问题。(路透社)
丰田遭黑客入侵手持240GB员工/客户信息!官方回应:影响范围有限!
2024年8月20日,黑客ZeroSevenGroup在论坛上发贴声称:成功入侵了世界上最大的汽车制造商之一,也就是丰田(Toyota),并窃取了240GB的文件,其中包括丰田员工和客户的信息,以及合同和财务信息。
黑客还声称使用开源ADRecon工具,收集了包括凭证在内的网络基础设施信息,该工具有助于从Active Directory环境中提取大量信息。我们入侵了世界上最大的汽车制造商之一(丰田)在美国的一家分公司。我们很高兴在此免费与您分享这些文件。数据大小:240GB。如:联系人、财务、客户、计划、员工、照片、数据库、网络基础设施、电子邮件以及大量完美数据。我们还为所有目标网络提供带密码的AD-Recon。
丰田回应表示:“我们确实遭到攻击并发生数据泄露的情况。不过这个问题的范围有限,并不是系统范围内的问题。目前我们已经联系了受影响的员工和客户,并承诺在需要时提供帮助”。消息源BleepingComputer发现这些文件被盗或至少是在2022年12月25日创建的。这个日期可能表明,威胁行为者访问了存储数据的备份服务器。(freebuf 新浪科技)
美国知名军工芯片厂商因网络攻击生产能力受损
8月23日消息,美国半导体制造公司微芯科技(Microchip Technology)披露,“未经授权的第三方破坏了公司对某些服务器的使用以及部分业务操作。”
微芯科技于周二向美国证券交易委员会(SEC)提交文件披露称,8月17日,该公司“检测到可能涉及其信息技术系统的可疑活动。”公司随后展开调查。8月19日,调查结果确认存在未经授权的访问。该公司采取了隔离相关系统、关闭其他系统等多项措施,并聘请了外部网络安全顾问来确定问题范围。
“由于该事件,公司某些制造设施的运营低于正常水平,公司目前履行订单的能力受到影响。”文件中还承诺,微芯科技正在尽快努力修复问题。(安全内参 theregister.com)
数据跨境违规,Uber被荷兰罚款23亿
当地时间8月26日,荷兰数据保护局对网约车服务运营商优步公司(Uber)处以2.9亿欧元(约合人民币23亿元)罚款。这是该机构有史以来开出的最高罚款。荷兰数据保护局称,优步公司在没有遵守隐私保护规则的情况下将欧洲出租车司机的数据传输到美国。该公司收集位置信息、照片、付款信息、身份证明信息等,甚至在某些情况下收集司机的犯罪记录和医疗数据。过去两年来,优步将这些数据传输至美国总部,并未充分保护个人信息。荷兰数据保护局称,这种做法“严重违规”。此次罚款是荷兰数据保护局针对优步开出的第三张罚单,此前该机构先后针对优步发起过1000万欧元和60万欧元的罚款。(央视财经)