2023年第17周安全周报 | 本周安全要闻速览
● 工信部等八部门联合印发《关于推进IPv6技术演进和应用创新发展的实施意见》
工业和信息化部、中央网信办、国家发展改革委、教育部、交通运输部、人民银行、国务院国资委、国家能源局等八部门近日联合《关于推进IPv6技术演进和应用创新发展的实施意见》,提出到2025年底,IPv6技术演进和应用创新取得显著成效,网络技术创新能力明显增强,“IPv6+”等创新技术应用范围进一步扩大,重点行业“IPv6+”融合应用水平大幅提升;并在技术创新取得显著突破、产业支撑能力大幅提升、基础设施能力持续增强、重点行业应用成效凸显、安全保障能力显著提升等方面明确了具体发展目标。《实施意见》围绕构建IPv6演进技术体系、强化IPv6演进创新产业基础、加快IPv6基础设施演进发展、深化“IPv6+”行业融合应用、提升安全保障能力等五个方面部署15项重点任务。
来源:工业和信息化部
● 国家能源局《关于加强新型电力系统稳定工作的指导意见》公开征求意见
电力系统稳定工作是以保障电力系统安全稳定运行为目标,统筹发输供用储各环节的系统性全局性综合性工作,是电力行业管理的重要内容。为深入贯彻落实党的二十大精神,加强新形势下电力系统稳定工作,国家能源局起草了《关于加强新型电力系统稳定工作的指导意见(征求意见稿)》,现向社会公开征求意见。
来源:国家能源局
● 新修订的反间谍法将于7月1日起施行
4月26日,十四届全国人大常委会第二次会议表决通过修订后的《反间谍法》。新法完善了间谍行为的定义,将“投靠间谍组织及其代理人”、“针对国家机关、涉密单位或者关键信息基础设施等实施网络攻击等行为”明确为间谍行为。修订后的《反间谍法》将于2023年7月1日起施行。现行反间谍法前身是1993年制定的国家安全法,主要规定国家安全机关履行的职责特别是反间谍方面的职责。2014年,《反间谍法》在原国家安全法的基础上修订出台。《反间谍法》共计6章71条,分别是总则、安全防范、调查处置、保障与监督、法律责任、附则。新法坚持问题导向,聚焦现行反间谍法实施中存在的间谍行为范围较窄、安全防范制度不健全、行政执法赋权不足等重点难点问题,完善相关法律规定。妥善处理赋权与限权的关系,加强反间谍工作,同时注重对行使公权力的监督制约。
来源:全国人民代表大会
● 北京市出台 “打造信创高地” 专项政策:最高奖励3000万
为贯彻落实北京市“十四五”时期高精尖产业发展规划,加强技术突破,深化行业应用,加快优质企业培育集聚,优化完善产业生态,北京市经济和信息化局制订并发布了《北京市关于加快打造信息技术应用创新产业高地的若干政策措施(征求意见稿)》,这是全国第七个地方性信创产业专项奖励政策。《征求意见稿》共十条,涵盖技术创新、生态建设、开源项目、行业信创解决方案、行业信创标准制定、行业信创应用推广、信创研发中心引进、信创园区建设、信创企业上市、信创人才引进等,并通过资金奖励、补贴、展示推广、贷款贴息、信创生态产业基金、融资、风险补偿、孵化培育、免租金等不同形式支持信创产业发展,最高不超过3000万。
来源:北京市经济和信息化局
● 英国启动GovAssure网络安全计划以保护政府IT功能
作为称为GovAssure的新安全制度的一部分,所有政府部门和一些机构都将根据新的、更严格的措施对其网络安全状况进行审查。在最近的 CyberUK会议上宣布,GovAssure将由内阁办公室的政府安全小组在英国国家网络安全中心(NCSC)的支持下运营。根据新规定,所有中央政府部门都将每年对其网络健康状况进行审查,从而对政府保护自身免受网络威胁的方式进行多项改革。GovAssure将使用NCSC的网络评估框架(CAF)来审查所有政府部门的保障措施,包括制定管理安全风险和防范网络攻击的良好做法指标等措施。第三方还将对各部门进行评估,以提高标准化程度并验证结果,并引入集中的网络安全政策和指南,以帮助政府组织确定最佳实践。
来源:csoonline
● NCCoE发布了涵盖向后量子密码学迁移的初步草案
美国国家标准与技术研究院(NIST)发布了一份初步草案,征求公共和私营部门利益相关者的意见,以提高人们对从当前的公钥密码算法集迁移到后量子密码学所涉及的挑战的认识抗量子算法。通过国家网络安全卓越中心(NCCoE),该项目侧重于启动实践开发,以简化从当前的公钥加密算法集向可抵抗基于量子计算机的攻击的替代算法的迁移。在NIST特别出版物1800-38A的“执行摘要”中,NCCoE承认量子计算的进步可能会损害当前广泛用于保护数字信息的许多加密算法,因此有必要用抗量子算法替换现有算法. “以前更新或更换已安装的加密技术的举措已经花费了很多年,因此现在开始计划更换使用受影响算法的硬件、软件和服务至关重要,这样数据和系统就可以受到未来量子计算机的保护——基于攻击。”NIST一直在征集、评估和标准化抗量子公钥加密算法。
来源:industrialcyber
● NIST CSF 2.0 心讨论草案发布并公开征求意见
美国国家标准与技术研究院(NIST)近日发布了一份讨论草案,确定了NIST网络安全框架(CSF) 2.0核心的潜在功能、类别和子类别。在初始阶段,NIST CSF 2.0核心的早期草案涵盖了六个功能、21个类别和112个子类别的网络安全成果,旨在提高更新过程的透明度并促进讨论以产生改进框架的具体建议。NIST正在发布该文档以供讨论,以便为完整的NIST CSF 2.0草案的开发提供信息。
来源:industrialcyber
● MITRE Caldera for OT工具简化了网络安全评估
非营利组织MITRE在正在进行的RSA 2023会议上发布了其MITRE Caldera for OT工具,该工具允许安全团队运行针对OT(操作技术)环境的自动化对手仿真练习。基于MITRE ATT&CK for ICS框架,MITER Caldera for OT模拟通过ATT&CK for ICS或其他定制插件定义的攻击路径和攻击者能力,使组织能够评估其网络风险分析和对抗性仿真工具,以保护关键基础设施环境。作为MITRE Caldera框架的一部分,用于OT的MITRE Caldera提供以OT为中心的插件,以增强红色或蓝色团队培训、产品测试和评估,甚至是针对验收测试里程碑的测量。
来源:industrialcyber
● 美国国土安全部推动国会正式成立网络安全审查委员会
国土安全部一名高级官员证实,国土安全部正在与国会和白宫合作制定一项法案,该法案将编纂网络安全审查委员会(CSRB)——一项审查重大网络安全事件的全新举措。负责战略、政策和计划的副部长Rob Silvers在RSA会议上表示,国土安全部希望通过立法正式授权该委员会的资金并授予其传票权,以迫使受害者说实话。去年根据行政命令成立的15人CSRB的任务是评估重大网络事件并提出补救建议。董事会于4月24日投票通过了一项立法提案并将其提交给国会。
来源:therecord
● 欧洲银行因ATM黑客攻击损失数亿欧元
欧洲安全交易协会(EAST)报告称 ,欧洲银行因犯罪团伙损失了2.11亿欧元,其中绝大多数损失是由于欧洲各地ATM机上安装的盗刷设备造成的。EAST表示,由于ATM窃取设备造成的损失总计仅为140,000 欧元,这是自EAST开始跟踪此类统计数据以来的最低数字,此类攻击减少了40%。攻击还包括所谓的黑盒攻击 。EAST强调,略读卡片是一个重要的问题,掠夺攻击造成了1.67亿欧元的损失。因此,人们在使用ATM前应始终注意盗刷器并对其进行快速目视或物理检查。特别推荐仔细看看读卡器。
来源:securitylab.ru
