2023年第32周安全周报 | 本周安全要闻速
● 《网络安全标准实践指南——网络安全产品互联互通 告警信息格式(征求意见稿)》公开征求意见
为促进网络安全产品互联互通告警信息有效互通和整合,指导网络安全产品互联互通功能的设计、开发、应用和测试,秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 告警信息格式(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南——网络安全产品互联互通 告警信息格式(征求意见稿)》面向社会公开征求意见。
来源:全国信息安全标准化技术委员会
● 《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》公开征求意见
为落实《生成式人工智能服务管理暂行办法》相关要求,指导有关单位利用生成式人工智能技术提供生成文本、图片、音频、视频等内容服务时对内容进行标识,秘书处组织编制了《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》面向社会公开征求意见。
来源:全国信息安全标准化技术委员会
● 国家网信办《人脸识别技术应用安全管理规定 (试行)》公开征求意见
为规范人脸识别技术应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,并向社会公开征求意见。其中提到,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
来源:国家网信办
● 工信部组织开展APP备案工作:未备案不得从事APP互联网信息服务
为促进互联网行业规范健康发展,进一步做好移动互联网信息服务管理,工信部印发关于开展移动互联网应用程序备案工作的通知,组织开展移动互联网应用程序(以下简称“APP”)备案工作。通知要求,从事互联网信息服务的APP主办者,应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续,未履行备案手续的,不得从事APP互联网信息服务。2023年9月至2024年3月底,《通知》发布前开展业务的APP向其住所所在地省级通信管理局履行备案手续。2024年4月至2024年6月底,电信主管部门将组织对APP备案情况开展监督检查,对仍未履行备案手续的APP依法进行处置。
来源:工业和信息化部
● 国家标准《信息安全技术 敏感个人信息处理安全要求》公开征求意见
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 敏感个人信息处理安全要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。
来源:全国信息安全标准化技术委员会
● 地方标准《城市数字公共基础设施建设规范》正式发布
由国家工业信息安全发展研究中心(以下简称中心)牵头编制的《城市数字公共基础设施建设规范》(DB42/T 2066-2023)正式发布。这是数字基础设施领域发布的首批地方标准,是中心在智慧城市、信息基础设施等领域理论研究与产业实践的新成果。该标准规定了城市数字公共基础设施关于地址与编码、网络连接、运行感知、算网融合、融合基础设施、数字公共底座、典型应用、安全与保障八方面的建设内容与要求,为湖北省数字公共基础设施的规划、建设和管理提供指引,对湖北省数字公共基础设施建设工作具有指导意义,也为其他省市的数字公共基础设施建设提供了理论参考与依据。《城市数字公共基础设施建设规范》由中心牵头,与湖北省数字产业发展集团有限公司等共15家企事业单位联合编制,将于2023年8月31日起实施。
来源: 国家工业信息安全发展研究中心
● 白宫发起新的网络安全运动以保护学校
白宫8月7日宣布了一系列新举措和联邦资源来解决国家学校系统的网络安全问题。政府正在建立一个名为政府协调委员会的新实体,以带头制定网络安全政策和通信,以增强K-12学校的网络弹性。该委员会将帮助学校准备和应对网络安全攻击,同时促进联邦、州、地方、部落和地区政府之间的正式合作。教育部和网络安全和基础设施安全局还共同撰写了周一发布的三份K-12数字基础设施简报,其中提供了指导和建议行动,以确保整个教育系统的数字基础设施安全,并确保学校系统免受网络入侵。
来源:网空闲话plus
● 标准普尔预计新的和正在出现的立法措施将提高网络弹性
标准普尔发布了有关新兴立法的数据,这些立法规定了与网络相关的披露和治理标准,这可能会增加处罚的可能性并要求投资达到最低标准,从而影响发行人的财务风险状况。它认为,更严格的披露要求还将揭示网络准备情况的差异,并可能成为标准普尔全球评级风险和治理评估的一个差异化因素,这有助于其对发行人信用度的看法。欧盟和美国率先制定和执行网络法规,其做法正在影响其他地区的法律制定。数据显示,“构成大多数网络攻击的网络犯罪活动正在增长,并且在策略和技术方面都日益复杂。”各国政府通过越来越多的立法来应对日益严重的网络威胁,这些立法旨在保护关键基础设施和消费者数据,迫使组织加强网络防御,并确保更多地披露网络事件和网络风险因素。
来源:industrialcyber
● 拜登下令对与中国的新兴技术交易施加更多限制
乔·拜登总统的最新行政命令制定了一项新的国家安全计划,针对美国与敌对国家的出口,即他们在军事、监视和网络安全能力方面使用先进技术。8月9日公布的行政命令授权财政部管理更新后的国家安全计划,该计划将进一步规范美国公民如何向财政部通报选定的金融交易,并进一步禁止公民参与与三个新兴领域相关的金融活动。这些领域是专门根据国家安全需求量身定制的,包括半导体和微电子、量子信息技术和某些人工智能系统,特别是与中国的交易。一位高级政府官员在周三举行新闻发布会上表示:“该计划将补充我们现有的出口管制和入境投资筛选工具,以‘小场地、高意义’的方式来解决那些关注推进此类敏感技术的国家所构成的国家安全威胁。”与此同时,财政部发布了一项补充性拟议规则,定义了该机构将如何监管与中国以及香港和澳门的某些经济贸易活动。
来源:网空闲话plus
● 英国发生重大数据泄露事件!近10年选民数据全部曝光
英国国家选举委员会披露了一起大规模的数据泄露事件。2014年至2022年间,所有在英国注册投票者,个人信息均遭泄露。该委员会在十个月前检测到此次泄露事件,那时距首次泄露发生已经过去了两年时间。这不禁让人质疑,委员会为何花了如此之久才公开报告泄露事件。根据委员会发布的“网络攻击公开通知”,他们在2022年10月首次检测到本次网络攻击,后续调查时发现威胁行为者早在2021年8月就已经入侵了他们的系统。在这次网络攻击事件中,威胁行为者访问了英国选举委员会的服务器,其中存储了该部门的电子邮件、控制系统以及选民登记册副本,可能导致约4000万选民的数据泄露。
来源:bleepingcomputer
