2023年第42周安全周报 | 本周安全要闻速
● 国家密码管理局《电子政务电子认证服务管理办法》公开征求意见
为加强电子政务电子认证服务管理,规范电子政务电子认证服务行为,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《电子政务电子认证服务管理办法(征求意见稿)》,包括总则、资质认定、行为规范、监督管理、法律责任和附则6章,共44条,现向社会公开征求意见。
来源: 国家密码管理局
● 上海发布进一步推进新型基础设施建设行动方案(2023-2026年)
上海市人民政府关于印发《上海市进一步推进新型基础设施建设行动方案(2023-2026年)》的通知,10月19日上午,市政府新闻办举行市政府新闻发布会,市政府副秘书长、市发展改革委主任顾军介绍《上海市进一步推进新型基础设施建设行动方案(2023-2026年)》有关情况,并回答记者提问。表示新一轮新基建《行动方案》紧抓智能算力、大模型、数据要素、区块链、机器人等技术发展趋势和绿色低碳节能要求,立足产业数字化、数字产业化、跨界融合化、品牌高端化,强化技术引领、应用引导、统筹布局、开放合作。将持续发挥市新型基础设施建设推进工作机制作用,进一步深化规划布局、加强要素支撑、完善标准体系、扩大示范应用、引导市场投入、加强法制保障,打造新型基础设施建设高地,为全面推进上海城市数字化转型、提升城市能级和核心竞争力提供重要支撑。
来源:上海市人民政府
● 香港拟立法订定关键基础设施营运者的网络安全责任
香港特区政府署理创新科技及工业局局长张曼莉18日表示,为提升对关键基础设施网络安全的保护,特区政府计划以立法方式清晰订定关键基础设施营运者的网络安全责任,包括建立良好的防范管理体系,以确保其资讯系统和网络安全运作。并指出,在数据安全风险管理上,特区政府已制定多重保安措施和工作机制,涵盖数据保护、审计及风险评估、事故处理及应变、教育培训等方面,全方位维护政府系统和数据的安全。其中,特区政府资讯科技总监办公室会定期为特区政府各部门进行独立的资讯保安遵行审计,并提供建议协助持续改善保安管理系统。该部门也一直与公营机构持份者保持紧密协作,提醒他们加强网络保安措施,保护资讯系统和数据,防范网络攻击。特区政府会继续落实和检视有关工作,致力构建香港成为一个安全稳妥的智慧城市。
来源:中国新闻网
● 香港芭蕾舞团电脑遭勒索软件入侵读取个人及内部资料
继数码港及消委会,香港再发生黑客入侵电脑系统事件,香港芭蕾舞团10月16日公布,电脑网络系统近日遭勒索软体入侵,导致内部电脑系统遭非法读取,当中或包括个人资料及港芭内部资料,惟档案被勒索软体加密,故未能完全确认被读取的资料内容。港芭在发现事故后,已立即内部调查,并聘用网络安全专家评估资料外泄的程度,及采取紧急应对措施,报警及通报私隐专员公署,防止内部系统再次遭非法入侵。
来源: 安全内参
● 关基安全重大挫折!美国水务行业叫停强制性网络安全规定
10月16日消息,美国环保署将不再强制要求,美国供水设施在卫生检查过程中执行网络安全审计。这对于正在努力改进美国关键基础设施网络安全的拜登政府不啻为重大打击。环保署给各州饮用水管理机构致信表示,由于共和党执政州和贸易协会提起诉讼,质疑对供水设施网络安全进行监管的提案不具备长期法律可行性,环保署决定废除3月要求实施水务部门网络安全规定的备忘录。环保署的上述声明,标志着白宫加强关键基础设施部门网络安全法规的努力遭受了重大挫折。环保署发言人在声明中表示:“尽管备忘录因诉讼而撤销,改善水务部门的网络安全依然是环保署的最高优先事项之一。供水和废水设施面临严重网络安全威胁,这种威胁在不断增加。”环保署表示,他们鼓励“所有州自愿审查公共供水系统的网络安全计划,确保发现并纠正任何漏洞,并为需要帮助的系统提供支持。”
来源:CYBERSCOOP
● 美国众议院通过法案,拟将联邦政府打造成网络安全“模范雇主”
10月16日消息,美国众议院10月2日通过一项两党法案,规定除非法律要求,联邦机构不得对网络安全工作设定最低教育要求。《网络安全专家招聘现代化法案》旨在扩大合格申请人的范围,从而解决联邦网络安全岗位面临的人才短缺问题。法案以394对1票的压倒性优势轻松过关。该法案由众议员Nancy Mace(南卡罗来纳州,共和党)和Katie Porter(加利福尼亚州,民主党)联合发起。根据这项立法,机构只能在岗位能力与教育背景直接挂钩的情况下考虑申请人的教育水平。法案还要求人事管理办公室每年发布报告,详细介绍网络安全职位最低资质要求的变化、汇报担任此类职位人员的教育水平数据。
来源:FEDSCOOP
● 美国NIST将发布网络更新以引入新的安全控制
美国国家标准与技术研究所正在修改其安全控制措施的各个部分,这是旨在进一步加强美国网络安全态势的更大补丁发布的一部分。补丁是修复现有漏洞的推荐软件系统更新。在NIST定于11月初发布的最新补丁版本5.1.1中,该机构将增强特别出版物800-53中概述的两项现有控制措施,并引入新的安全控制措施。寻求用户社区反馈的公众评议期将于2023年10月31日开放。“NIST认识到我们指导中稳定性和敏捷性的重要性,”该机构在一份声明中表示。控制增强将有相应的评估程序,重点关注身份管理和服务器授权以及加密密钥的保护。NIST表示,它还将进行细微的语法调整和编辑,这不会影响任何安全控制程序或结果,但主要会改变控制的术语。作为一份出版物,SP 800-53充当帮助公共和私营部门用户管理威胁网络安全的网络风险的资源。NIST发言人告诉NextGov/FCW,更新后的新控制措施旨在弥补控制目录中的空白。与 NIST的其他产品一样,风险管理框架中的新控制措施不是强制性的。
来源:nextgov
● 全球安全机构更新安全设计原则和技术提供商指南
美国网络安全和基础设施安全局 (CISA)与17个美国和国际合作伙伴合作,10月16日发布了更新的“设计安全”原则联合指南。该文件为技术提供商提供了扩展的原则和指南,以提高其在世界各地使用的产品的安全性,同时还提供了对基本原则和指南的更多见解,并得到了另外八个国际网络安全机构的认可。更新后的指南“改变网络安全风险的平衡:设计安全软件的原则和方法”敦促软件制造商采取必要的紧急措施来交付设计安全的产品,并修改其设计和开发计划,以仅允许设计安全将产品运送给客户。与 CISA、联邦调查局 (FBI)、国家安全局 (NSA) 以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全机构 (CERT NZ、NCSC-NZ) 一起,共同开发了了最初的版本。更新后的指南得益于与捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas Network 和日本(JPCERT/CC 和 NISC)网络安全机构的见解和合作。
来源:industrialcyber
● 思科路由器爆零日漏洞遭黑客滥用!全网至少4万台仍暴露
美国思科公司近期发布警告,黑客正利用一个零日漏洞(CVE-2023-20198)攻击该公司的一系列软件。该漏洞十分严重,CVSS漏洞评分为最高的10分。思科表示,漏洞“授予攻击者完整的管理员权限,使他们能够有效地控制受影响路由器,开展未经授权的后续活动。” CVE-2023-20198漏洞来源于思科IOS XE软件的一项功能,会影响运行该软件的物理和虚拟设备。这个功能名为Web UI,旨在简化部署、管理过程,提升用户体验。为了解决这个问题,思科敦促客户在所有面向互联网的系统关闭HTTP服务器功能。并指出,美国网络安全与基础设施安全局(CISA)已多次发布相同的建议,以减轻与暴露于互联网的管理界面相关的风险。CISA也发布了关于该漏洞的警告。
来源:安全内参
● 美国安全机构发布防止网络钓鱼入侵的指南并提供缓解策略
国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局 (FBI) 和多州信息共享与分析中心(MS-ISAC) 推出指南,帮助组织了解恶意行为者是什么这样做,防御者可以采取适当的网络钓鱼缓解措施。该文档详细介绍了恶意行为者的技术,以及技术缓解措施和最佳实践,以帮助防止成功的网络钓鱼尝试。该联合指南的标题为“网络钓鱼指南,在第一阶段停止攻击周期”,旨在成为帮助组织保护其系统免受网络钓鱼威胁的一站式资源。它概述了恶意行为者常用的网络钓鱼技术,为网络防御者和软件制造商提供指导,并提供侧重于设计安全和默认策略和技术的建议。它还提供了有关技术缓解措施和最佳实践的详细见解,以帮助防止成功的网络钓鱼尝试。网络防御者指南适用于所有组织,但对于资源有限的组织可能不可行。因此,该指南包含一段针对中小型企业 (SMB) 的定制建议,这些企业可能没有资源聘请专门持续防御网络钓鱼威胁的 IT员工。通过查看该指南,这些运营商可以更好地了解不断发展的网络钓鱼技术,并实施量身定制的网络安全控制和最佳实践,以降低妥协风险。
来源:industrialcyber
