2023年第15周安全周报 | 本周安全要闻速览
● 国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
为促进生成式人工智能技术健康发展和规范应用,4月11日,国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》,共计二十一条,其中“生成式人工智能”指的是,基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。《管理办法》指出,利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(提供者),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
来源:国家互联网信息办公室
● 国家标准《信息安全技术 公钥基础设施 在线证书状态协议》公开征集意见
全国信息安全标准化技术委员会归口的《信息安全技术 公钥基础设施 在线证书状态协议》国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,截止日期为2023年6月6日24:00。
来源:全国信息安全标准化技术委员会
● 国家标准《信息安全技术 实体鉴别 第2部分 采用可鉴别加密技术的机制》公开征集意见
全国信息安全标准化技术委员会归口的《信息安全技术 实体鉴别 第2部分 采用可鉴别加密技术的机制》国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,截止日期为2023年6月6日24:00。
来源:全国信息安全标准化技术委员会
● 国家标准《信息安全技术 软件产品开源代码安全评价方法》公开征求意见
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,截止日期为2023年6月9日24:00。
来源:全国信息安全标准化技术委员会
● 英国发布《数据保护和数字信息法案》修正案
近日,英国在议会提交了新的《数据保护和数字信息法案》。《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》(GDPR),修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。《数据保护和数字信息法案》于2022年夏天首次提出,由政府相关部门、数据保护专家和商业领袖共同参与设计。为了避免欧盟《通用数据保护条例》的“一刀切”和流程烦琐等问题,去年9月,英国暂缓了《数据保护和数字信息法案》的立法程序。此次修订后的法案引入了一个简单清晰且对企业友好的框架,在沿用欧盟《通用数据保护条例》优势的基础上为企业提供更大的灵活性;确保新制度与欧盟数据容量保持一致;进一步减少合规性文书;不会为企业增加额外成本;明确何时可在未经同意的情况下处理个人数据;确保自动化决策有所保障,从而提高公众和企业对人工智能技术的信心。
来源:人民日报
● 供应商惹祸!知名律所客户敏感数据被Azure云暴露超半年
美国知名国际律师事务所普洛思(Proskauer Rose)因安全漏洞导致客户敏感数据暴露,持续时间超过六个月。知情人士表示,普洛思律所将并购业务数据保存在一个不安全的微软Azure云服务器上。外媒TechCrunch获得了部分暴露数据集,其中包含约18.4万个文件。只要知晓存储位置,任何人都能通过网络浏览器访问这些文件,具体涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。这台暴露云服务器由GrayHatWarfare发现。GrayHatWarfare是一个可搜索的数据库,能够索引公开可见的云存储及文件。据了解,这些文件已在网上公开至少六个月之久。
来源:bleepingcompute
● 以色列地方灌溉系统遭敌对黑客攻击,农民田地无法浇水
4月12日消息,以色列上加利利地区的灌溉系统和污水处理系统在上周日遭到一轮网络攻击,导致监控这些系统的数只水位监测器失灵。具体而言,负责约旦河谷农田灌溉的水位控制器,以及加利尔污水公司(Galil Sewage Corporation)的控制系统都遭到了破坏。外媒HackRead称,被入侵的控制器显示一条消息“你被黑客入侵了,打倒以色列。”据悉,至少有10名农民受到影响,预定的浇水被迫停止。整个周日上午,灌溉系统和污水处理系统的管理层都在努力解决问题,希望系统恢复正常运行。然而,网络攻击的来源仍然未知。
来源:安全内参
● 首度公开!美国网军申请超6亿元建设网络攻击关键平台
美国网络司令部申请8940万美元(约合人民币6.14亿元)预算,计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台(Joint Common Access Platform,JCAP)。这是该部门首次公开此类项目的预算数字。美国网络司令部在预算申请中指出,“JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台,支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。JCAP计划利用现有服务访问平台项目,目标是通过组合、增强和发展现有项目基准,打造出‘同类最佳’JCAP。”
来源:defensescoop
● 美国防部批准软件现代化实施计划以简化软件交付机制
美国国防部 (DoD) 宣布,其软件现代化实施计划 (I-Plan) 已于3月30日获得国防部CIO的批准。该计划认识到软件对于现代军事行动至关重要。从商业系统到武器系统,软件定义了军事能力,能够检测和跟踪对手,保护行动免受网络威胁,并提高决策和行动的准确性和有效性。软件敏捷性使国防部能够在未来的战场上战斗并取胜,并且需要全部门的参与。I-Plan确定了一组初始的高优先级任务,主要侧重于实现软件现代化所需的通用基础架构、功能和流程转换。该计划确定了关键活动、近期里程碑以及推动流程改进和实现国防部软件现代化愿景所需能力的责任。国防部软件现代化战略迫使国防部大胆寻求通过现代基础设施和平台实现安全软件交付的转变,并通过流程转型和劳动力发展实现这一转变。该计划中的实施任务与战略的三个目标一致,包括加速国防部企业云环境;建立部门范围的软件工厂生态系统;转变流程以实现弹性和速度。
来源:industrialcyber
