2023年第19周安全周报 | 本周安全要闻速览
● 《信息安全技术 终端计算机通用安全技术规范》等3项国家标准公开征求意见
全国信息安全标准化技术委员会归口的《信息安全技术 终端计算机通用安全技术规范》等3项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该3项标准征求意见稿面向社会公开征求意见。
1、信息安全技术 终端计算机通用安全技术规范
2、信息安全技术 数据安全评估机构能力要求
3、信息安全技术 机密计算通用框架
来源:全国信息安全标准化技术委员会
● 《汽车整车信息安全技术要求》等四项强制性国家标准公开征求意见
按照《中华人民共和国标准化法》和《强制性国家标准管理办法》,工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,已形成征求意见稿,现公开征求社会各界意见。征求意见截止日期为2023年7月5日。
1、《汽车整车信息安全技术要求》(征求意见稿)
2、《智能网联汽车 自动驾驶数据记录系统》(征求意见稿)
3、《乘用车外部凸出物》(征求意见稿)
4、《商用车驾驶室外部凸出物》(征求意见稿)
来源:工业和信息化部
● 信安标委发布2023年度第一批网络安全国家标准需求
据信安标委网站消息,为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国信息安全标准化技术委员会秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了2023年度第一批网络安全国家标准需求清单。信安标委要求做好申报工作,并于2023年5月12日前通过信安标委网站首页(www.tc260.org.cn)“关于发布2023年度第一批网络安全国家标准需求的通知”模块进行申报。
来源:全国信息安全标准化技术委员会
● 《公路水路关键信息基础设施安全保护管理办法》6月起施行
近日,交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》,共6章33条,自今年6月1日起施行,切实保障公路水路关键信息基础设施安全,维护网络安全。公路水路关键信息基础设施是指在公路水路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。
来源:交通运输部
● 美国发布《关键和新兴技术的国家标准战略》
美国发布《关键和新兴技术的国家标准战略》。该战略旨在加强美国保护本土消费者以及美在国际标准制定中的领导地位和竞争力。该战略包括四个关键目标:投资方面,该战略将加强对标准化前研究的投资,促进创新、前沿科学和转化研究,推动美国在国际标准制定方面的领导地位;参与方面,美国将与更多的企业、学术界和其他主要利益攸关方(包括外国合作伙伴)合作,弥补差距,加强美国对标准制定活动的参与;劳动力方面,美国将加强教育和培训利益相关者;完整性和包容性方面,美国必须确保标准制定过程在技术上合理、独立,响应共享市场和社会需求。美国将联合世界各地志同道合的盟国和伙伴,促进国际标准体系的完整性。
来源:天极智库
● 英国最大外包公司云泄露655GB数据,客户包括多个部委政府
外媒TechCrunch获悉,英国外包巨头Capita大量数据暴露在互联网上,持续时间长达7年。此前数周前,该公司还承认发生了一起可能影响客户的数据泄露事件。一位安全研究人员向TechCrunch提供了一个未受保护的亚马逊AWS存储桶,Capita公司已经在上周实施了保护措施。此AWS存储桶自2016年以来一直暴露在互联网上,其中存放着约3000个文件,总大小为655 GB。存储桶未设置任何密码,因此任何掌握了网址的人都能访问到文件内容。根据媒体看到的文件名样本,暴露的数据包括软件文件、服务器镜像、大量Excel电子表格、PowerPoint演示文稿以及文本文件。从某些文件名中可以看到,直到今年还有数据被上传到这个暴露在外的存储桶内。目前还不清楚这些文件中是否涉及Capita客户的数据,英国国家卫生服务局(NHS)和就业与养老金部(DWP)都是Capita的机构客户。
来源:techcrunch
● 澳大利亚政府发布新指南以解决智慧城市中的5G安全问题
澳大利亚信号局(ASD)发布了一套新指南,警告在所谓的智能城市中使用5G技术带来的安全风险。ASD的担忧与五眼安全联盟的担忧一致,该联盟警告说,完全互联的城市的互联性使其容易受到网络攻击。虽然智慧城市提供了提高效率和数据驱动决策等好处,但缺点是它们可能会使国家和经济安全、公共健康和安全以及关键基础设施运营面临潜在漏洞。这些新的警告是在澳大利亚政府计划加强国家安全并使澳大利亚到2030年成为世界上最安全的国家之一的同时发出的。ASD指南建议智慧城市采用风险管理方法,包括识别潜在漏洞和实施适当的安全措施。指南还建议智慧城市采用“纵深防御”方法,使用多层安全保护网络。
来源:circleid
● 全球最大规模AI黑客大赛将开启:白宫支持 针对大模型安全
5月10日消息,美国白宫宣布,OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商,将在DEF CON 31上共同参与对他们的生成式人工智能系统的公开安全评估。DEF CON是每年8月在拉斯维加斯召开的黑客大会,此次安全竞赛由人工智能黑客社区AI Village主办。自去年开始,ChatGPT等大语言模型(LLM)迅速成为加快写作和交流任务的流行方式,但官方承认这些模型中也存在固有风险。混淆、越狱和偏见等问题给安全专业人士和公众带来了挑战。正因为如此,白宫科学、技术和政策办公室才支持对这些新的生成式AI模型进行极限测试。白宫在声明中表示,“这项独立测试将为研究人员和公众提供关于这些模型的关键信息,并使得人工智能公司和开发人员能够采取措施以解决在模型中发现的问题。”声明还提到,此次活动符合拜登政府提出的《人工智能权利法案》和国家标准与技术研究院(NIST)的《人工智能风险管理框架》。
来源:arstechnica
● 美国、加拿大派遣网络专家前往拉脱维亚加强数字防御
美国网络司令部最近完成了对拉脱维亚的第二项任务,旨在加强波罗的海国家的网络抵御数字攻击,并发现可用于对付美国及其盟国的恶意活动。该司令部的精锐网络国家任务部队(CNMF)于2月至4月期间派遣了一支约12人的团队前往前苏联国家和现任北约成员国,执行为期三个月的“向前追捕”任务,该组织于近期公布了这一消息。在那里,专家们与CERT.LV(拉脱维亚的主要网络安全响应中心)合作,开展了一项专注于该国关键基础设施的防御性数字行动。美国人员还与加拿大武装部队一起工作,他们在该国执行自己的任务。这标志着这两个盟友首次同时搜索另一个国家的网络,以获取不熟悉的恶意软件样本并收集对手的工具和技术。
来源:therecord
● 英国最大外包公司因勒索攻击损失1.75亿元
英国外包巨头Capita在今年遭遇勒索软件攻击。该公司昨日表示,应对此次事件可能将花费高达2000万英镑(约合人民币1.75亿元)。根据Capita的声明,这些成本包括“专家服务费、恢复与补救成本及加强对Capita网络安全环境的投资。”表示,此次攻击被公司安全团队阻断后“得到显著控制”,但“客户、供应商和内部员工的数据”可能已经被盗。
来源:therecord
