国内动态/事件盘点
《网络数据安全管理条例(草案)》 获审议通过
国务院总理李强8月30日主持召开国务院常务会议,研究推动保险业高质量发展的若干意见,审议通过《网络数据安全管理条例(草案)》,会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。
详见:
http://www.news.cn/20240830/1870dc27ee2447209897858b2b10794f/c.html
十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》
近日,工业和信息化部、中央网信办、教育部、财政部、自然资源部、住房城乡建设部、农业农村部、国家卫生健康委、中国人民银行、国务院国资委、国家铁路集团有限公司等十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》。
新型信息基础设施是以信息网络为基础,以新一代信息通信技术创新为驱动,为经济社会数字化转型提供感知、传输、存储、计算等基础性数字公共服务的基础设施体系。
《通知》提出了“1统筹6协调”等7方面主要工作,即全国统筹布局、跨区域协调、跨网络协调、跨行业协调,发展与绿色协调、发展与安全协调、跨部门政策协调等。
详见:
https://www.gov.cn/zhengce/zhengceku/202409/content_6972409.htm
《电子政务电子认证服务管理办法》(国家密码管理局令第4号)
为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,保障电子政务安全可靠,维护有关各方合法权益,国家密码管理局根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,组织制定了《电子政务电子认证服务管理办法》(以下简称“《办法》”)。
《办法》已经在2024年8月26日国家密码管理局局务会议审议通过,并于9月10在国家密码管理局官网正式公布,自2024年11月1日起施行。
《办法》明确要求,在我国从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。国家密码管理局对全国电子政务电子认证服务活动实施监督管理。县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。
详见:
https://www.oscca.gov.cn/sca/xxgk/2024-09/10/content_1061204.shtml
国家金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
为加强银行业保险业信息科技监管,指导银行业金融机构、保险业金融机构和金融控股公司(以下统称金融机构)有序规范建设移动互联网应用程序(以下简称移动应用),提升金融服务水平,金融监管总局近日印发了《关于加强银行业保险业移动互联网应用程序管理的通知》。
《通知》从四方面提出18条工作要求。一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作。
详见:
https://www.cbirc.gov.cn/cn/view/pages/governmentDetail.html?docId=1179186&itemId=&generaltype=1
《人工智能安全治理框架》1.0版发布
全国网络安全标准化技术委员会制定了《人工智能安全治理框架》1.0版,9月 9日在2024年国家网络安全宣传周主论坛上对外公开发布。
人工智能安全治理原则
秉持共同、综合、合作、可持续的安全观,坚持发展和安全并重,以促进人工智能创新发展为第一要务,以有效防范化解人工智能安全风险为出发点和落脚点,构建各方共同参与、技管结合、分工协作的治理机制,压实相关主体安全责任,打造全过程全要素治理链条,培育安全、可靠、公平、透明的人工智能技术研发和应用生态,推动人工智能健康发展和规范应用,切实维护国家主权、安全和发展利益,保障公民、法人和其他组织的合法权益,确保人工智能技术造福于人类。
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20240909102807
三项智能网联汽车强制性国家标准正式发布
近日,工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,将于2026年1月1日起开始实施。
GB 44495—2024《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求,以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法,适用于M类、N类及至少装有1个电子控制单元的O类车辆,对于提升我国汽车产品的信息安全防护技术水平、强化产业链风险防范和应对网络攻击的能力、筑牢汽车信息安全防护基线具有重要意义。
GB 44496—2024《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求,以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法,适用于具备软件升级功能的M类、N类和O类车辆,为规范车企软件升级行为、保障消费者权益和落实软件升级监管政策奠定坚实的标准基础。
GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法,适用于M和N类车辆配备的自动驾驶数据记录系统,将为事故责任认定及原因分析提供技术支撑,有利于促进自动驾驶技术进步。
本次发布的三项标准是我国智能网联汽车领域的首批强制性国家标准,是我国智能网联汽车技术的创新成果与经验总结,对提升智能网联汽车安全水平、保障产业健康持续发展具有重要意义。
详见:
https://mp.weixin.qq.com/s/sLPjXtu3P596AfiwODiPtw
《网络安全技术 人工智能生成合成内容标识方法》强制性国家标准(征求意见稿)发布
根据国家标准化管理委员会标准制修订计划,中央网络安全和信息化委员会办公室已组织完成了《网络安全技术 人工智能生成合成内容标识方法》国家标准的征求意见稿,现公开征求意见。请于2024年11月13日前将意见反馈给组织起草部门。
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20240914101244
全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》
为指导各相关组织开展敏感个人信息识别等工作,秘书处组织编制了《网络安全标准实践指南——敏感个人信息识别指南》。
本《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20240918084858
多项国家标准面向社会广泛征求意见
9月12日,网安标委秘书处发布一批国家标准征求意见稿面向社会广泛征求意见,意见于2024年11月11日前反馈给网安标委秘书处。
《网络安全技术 公钥基础设施 时间戳规范》征求意见稿
本文件代替GB/T 20520—2006《信息安全技术 公钥基础设施 时间戳规范》。
本文件给出了时间戳系统组件组成、时间戳的内容和申请签发流程,规定了时间相关技术要求、描述了对应的测试验证方法。本文件适用于时间戳系统的研发,测评和采购使用。
详见:
https://tech.cnr.cn/ycbd/20240826/t20240826_526873198.shtml
《网络安全技术 公钥基础设施 PKI组件最小互操作规范》征求意见稿
本文件代替 GB/T 19771-2005《信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范》
本文件规定了公钥基础设组件最小互操作的基本功能要求和数据格式要求,给出了测试评价方法。
本文件适用于电子签名、电子签章、身份管理等中的PKI的设计、开发、测试及其应用。
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240912163417919490&norm_id=20231220115910&recode_id=56900
《网络安全技术 公钥基础设施 证书管理协议》征求意见稿
本文件代替GB/T 19714—2005《信息技术 安全技术 公钥基础设施 证书管理协议》。
本文件描述了公钥基础设施(PKI)中证书管理协议的结构和内容,定义了与证书产生和管理相关的各方面所需要的协议消息。
本文件可为公钥基础设施的设计、开发、运行提供参考。
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240912163417904934&norm_id=20231220145117&recode_id=56896
《网络安全技术 网络身份认证公共服务 应用接入规范》征求意见稿
为解决多种应用接入国家网络身份认证公共服务平台过程中非授权接入、网络安全、数据泄露问题,支撑《国家网络身份认证公共服务管理办法》的落地实施,按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规要求,并参考《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019等国家标准制定本标准。本标准旨在便于接入机构快速理解、指导应用高效接入,增强应用安全,达到保障公民个人信息和公共服务平台安全目的。
本文件给出了多种应用接入国家网络身份认证公共服务平台的总体接入框架、接入流程和安全测试方法,规定了接入国家网络身份认证公共服务平台的应用服务的安全要求。
本文件适用于对接国家网络身份认证公共服务平台的应用服务的设计、开发、测试、运行。
详见:
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240912163417888977&norm_id=20231220114028&recode_id=56894
北京市通信管理局关于开展2024年电信和互联网行业网络与数据安全检查的通知
9月4日,北京市通信管理局印发《关于开展2024年电信和互联网行业网络与数据安全检查的通知》。
此次检查对象为北京市基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。重点检查相关企业建设运营的网络、系统、平台、应用、业务,特别是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统。
检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护及安全隐患工作情况、工业互联网企业网络安全防护情况,以及车联网网络安全防护定级备案管理情况。
详见:
https://mp.weixin.qq.com/s/M-tulD32Kvz9vO9jB3spxA
2024年国家网络安全宣传周开幕式在广州举行
以“网络安全为人民,网络安全靠人民”为主题的2024年国家网络安全宣传周开幕式8日在广州举行。9日至15日,2024年国家网络安全宣传周将在全国范围内统一开展。
今年网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办。
网安周期间,将举行网络安全技术高峰论坛,校园日、电信日等六大主题日活动,网络安全人才招聘专场活动、网络安全创新创业投资专场活动、中国网络安全创新创业大赛总决赛、“羊城杯”粤港澳大湾区网络安全大赛决赛、网络安全进基层等活动。
据悉,国家网络安全宣传周自2014年以来连续在全国范围内举办,以群众喜闻乐见的方式宣传网络安全理念、普及网络安全知识、推广网络安全技能,有力提升全社会网络安全意识和防护技能。
详见:
http://www.news.cn/politics/20240908/5cd3bd8779504d49b41254e9b6b9fdd1/c.html
国际动态/事件盘点
因非法收集面部数据,荷兰对美国人脸识别初创公司 Clearview AI 罚款 3050 万欧元
9 月 3 日消息,荷兰数据保护局(DPA)对美国人脸识别初创公司 Clearview AI 处以了 3050 万欧元(IT之家备注:当前约 2.4 亿元人民币)的罚款,原因是该公司违反了《通用数据保护条例》(GDPR)。
DPA 在发布的公告中解释说,Clearview 创建了一个包含数十亿张人脸照片的非法数据库,其中包括荷兰人的照片,并且没有正确告知人们其正在使用他们的数据。Clearview 的首席执行官在 2023 年初曾声称该公司拥有 300 亿张图像。
Clearview 必须立即停止所有违法行为,否则将面临最高 510 万欧元的违规罚款。荷兰 DPA 主席 Aleid Wolfsen 表示:“面部识别是一种高度侵入性的技术,不能简单地将其用于世界上的任何人。如果你的照片在互联网上,那么你可能会出现在 Clearview 的数据库中并被追踪。”他补充说,面部识别可以帮助提高安全性,但应该由“受严格条件约束的”主管部门来处理,而不是商业公司。
DPA 进一步指出,由于 Clearview 违反了法律,因此使用它也是非法的。Wolfsen 警告说,使用 Clearview 的荷兰公司也可能面临“巨额罚款”。Clearview 没有对 DPA 的罚款提出异议,因此无法提起上诉。
(IT之家)
美国华盛顿州34所公立学校因网络攻击紧急停课两天
日前,美国华盛顿州高线公立学区(Highline Public Schools)的技术系统遭遇网络攻击,导致学区内所有34所学校关闭两天并取消所有活动。
学区负责人表示,他们已经检测到技术系统上存在未经授权的活动,并立即采取措施隔离关键系统。他们正在与第三方、州和联邦合作伙伴紧密合作,以安全地恢复和测试系统。在学校关闭期间,针对网络攻击的调查仍在进行中。
高线公立学区超过1.75万名学生,拥有34所学校,雇佣超过2000名员工,提供从幼儿教育到大学预备的多种项目。此次网络攻击正值许多学生假期返校后的第一天,因此攻击影响比较严重,所有体育活动、学校活动、会议以及疫苗接种点均被暂停。
目前,调查人员尚未披露此次网络攻击的更多细节,尚不明确是否有员工或学生的个人信息在此次事件中被泄露或盗取。随着越来越多的学校系统依赖互联网和技术开展工作,网络攻击的频率也在上升。此次针对高线公立学校的攻击,仅是近年来影响北美及全球公立学区和学生的一系列网络攻击中的最新一起。(bleepingcomputer.com)
网络安全巨头 Fortinet 证实遭遇数据泄露
Fortinet 是全球最大的网络安全公司之一,销售防火墙、路由器和 VPN 设备等安全网络产品。该公司还提供 SIEM、网络管理和 EDR/XDR 解决方案以及咨询服务。本周,一名威胁者在黑客论坛上发帖称,他们从 Fortinet 的 Azure Sharepoint 实例中窃取了 440GB 的数据。随后,该威胁者将凭证共享到一个所谓的 S3 存储桶中,被盗数据就存储在该存储桶中,供其他威胁者下载。随后,网络安全巨头 Fortinet 证实,其公司遭遇数据泄露。
被称为 "Fortibitch" 的威胁者声称曾试图勒索 Fortinet 支付赎金阻止数据发布,但该公司拒绝支付。在回答关于事件的问题时,Fortinet 证实客户数据是从 " 第三方基于云的共享文件驱动器 " 中窃取的。
该公司表示:" 有人未经授权访问了 Fortinet 存储在第三方云共享文件驱动器上的有限数量文件,其中包括与少数 Fortinet 客户相关的有限数据。"
该网络安全公司还证实,该事件不涉及任何数据加密、勒索软件或对 Fortinet 公司网络的访问。有媒体联系 Fortinet 询问有关此次入侵的其他问题,但目前尚未收到回复。
(ZAKER)
黎巴嫩多地发生小型无线电通信设备爆炸事件
当地时间9月17日,黎首都贝鲁特南郊发生爆炸事件,涉及多个小型无线电通信设备。据悉,多名人员的手持寻呼机被引爆。黎东南部马加勇(Marjayoun)以及东北部希尔米勒(Hermel)同时也发生多起手持寻呼机被引爆的事件。
黎巴嫩公共卫生部长菲拉斯·阿卜亚德稍晚些时候称,受伤人数达数百人。
(央视新闻)