2023年第49周安全周报 | 本周安全要闻
● 国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿发布
2023年12月4日,全国信安标委发布国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿。本文件给出了政务客户端计算机上常用的七类配置对象,包括BIOS、操作系统、办公软件、浏览器、电子邮件客户端、安全防护软件、即时通信软件。规定了政务客户端计算机各类配置对象的通用配置项及其具体配置要求。给出了政务客户端计算机通用配置的证实方法。附录给出了核心基线包格式规范、自动化部署及监测方法、实施流程,并提供了配置要求的实例和配置要求的基线包示例。
来源:全国信息安全标准化技术委员会
● 国家标准化管理委员会宣布提前实施《民用无人驾驶航空器系统安全要求》主要条款
近日,为有效支撑《无人驾驶航空器飞行管理暂行条例》(国令第761号)实施,国家标准化管理委员会决定将GB 42590—2023《民用无人驾驶航空器系统安全要求》国家标准主要条款实施日期由2024年6月1日提前至2024年1月1日。《民用无人驾驶航空器系统安全要求》是《无人驾驶航空器飞行管理暂行条例》的配套支撑标准,可以有效指导研制单位设计生产、规范检测机构合规检测和保障使用者安全使用,有利于进一步筑牢民用无人机产品安全底线,贯彻民用无人机管理要求,促进民用无人机产业健康发展。该标准是我国民用无人机领域首项强制性国家标准,适用于除航模之外的微型、轻型和小型民用无人机,提出了电子围栏、远程识别、应急处置、结构强度、机体结构、整机跌落、动力能源系统、可控性、防差错、感知和避让、数据链保护、电磁兼容性、抗风性、噪声、灯光、标识、使用说明书等17个方面的强制性技术要求及相应的试验方法。
来源:国家标准化管理委员会
● 全国信安标委公开征集ISO/IEC JTC1/SC27网络安全国际标准提案
ISO/IEC JTC1/SC27是国际上专门负责网络安全领域标准研制工作的技术组织,具体负责开展信息安全、网络安全和隐私保护领域的国际标准研制工作。全国信息安全标准化技术委员会承担SC27国内技术业务工作,负责统筹协调和组织参加网络安全领域国际标准化活动。为继续推进我国网络安全国际标准化工作,鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出,信安标委秘书处现组织开展SC27国际标准提案征集工作,面向网络安全领域产学研用等相关单位征集提案,提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、关键信息基础设施安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域。
来源:全国信息安全标准化技术委员会
● 交通运输部印发自动驾驶汽车运输安全服务指南
近日,交通运输部印发《自动驾驶汽车运输安全服务指南(试行)》。《指南》包括适用范围、基本原则、应用场景、自动驾驶运输经营者、运输车辆、人员配备、安全保障和监督管理等八部分。明确了在现行法律法规框架下使用自动驾驶汽车从事运输经营活动的基本要求,引导自动驾驶运输服务健康有序发展,最大限度防范化解运输安全风险,切实保障人民群众生命财产安全。
来源:交通运输部
● 国内首个数据要素省级标准今起实施,数据资产化进程加速
12月5日起,由浙江省财政厅归口,浙江省标准化研究院牵头制定的《数据资产确认工作指南》正式实施,这是国内首个针对数据资产确认制定的省级地方性标准。《工作指南》明确了“数据资源”“数据资产”“数据资产确认”等相关术语和定义,填补了数据资产确认标准空白,指引组织将其拥有或控制的数据资源确认为资产,促进了数据资产化进程。电子政务建模仿真国家工程实验室首席数字经济专家陈晓华表示:“该标准的制定及实施将规范数据资产的确认流程和标准化管理方法,有利于形成数据要素市场统一认知,增强产业发展确定性,鼓励企业在认识到‘安全红线’的前提下,充分发挥起主观能动性。”
来源:证券日报
● 国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》
为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,并于2023年12月8日发布。共14条,指出运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内按照《网络安全事件信息报告表》进行报告事件。因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
来源:国家互联网信息办公室
● 欧盟就《网络弹性法案》达成一致,数字产品该如何落实漏洞报告机制
12月5日消息,欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议,弥合了在最后几个悬而未决问题上的分歧。《网络弹性法案》是一项立法提案,为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过,才能成为法律。该协议此前在技术层面上已经基本敲定,提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。牵头此事的欧洲议会议员Nicola Danti表示,“《网络弹性法案》将加强联网产品的网络安全,解决硬件和软件中的漏洞问题,让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链,并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。”
来源:安全内参
● 美国知名基因测试公司被黑,或泄露30万华人血缘数据
12月6日消息,美国基因测试公司23andMe周一宣布,黑客利用客户的旧密码,成功获取了大约690万份用户档案的个人信息。这次泄漏事件令数百万其他客户的档案门户大开。这些客户约占23andMe客户总数的一半,他们希望通过23andMe与DNA相匹配的人联系。23andMe发布声明称,黑客获得了550万个“DNA亲属”档案信息,其中包括显示名称、账户上次登录时间、与“DNA亲属”的共享DNA百分比、与该“DNA亲属”的关系预测。这些档案还可能包括自我报告信息,比如地理位置、出生年份、家族谱系以及用户上传的任何照片。除此之外,黑客还能够访问启用“DNA亲属”功能的其他约140万名客户的家族谱系档案信息,包括显示名称和关系标签。如果用户选择共享相关数据,可访问信息还可能包括出生年份和地理位置。
来源:安全内参
● 美国FCC与四个州合作实施隐私和数据保护
联邦通信委员会(FCC)主席12月6日宣布,FCC隐私和数据保护工作组将开始与四个州政府合作,加强执法调查并汇集资源。康涅狄格州、伊利诺伊州、纽约州和宾夕法尼亚州总检察长与联邦通信委员会签署了一份谅解备忘录,以巩固合作伙伴关系。FCC在一份新闻稿中表示,联邦和州调查人员将共享记录、证人访谈以及确定访谈目标和审查消费者投诉的执法工作。通过新的合作伙伴关系,联邦通信委员会可以将州执法人员介绍给处理类似案件的其他联邦机构,并就如何使用目标的传票和机密回复信等工具提供专业知识。各州受益于FCC的专业知识,而FCC受益于州执法人员的多样化经验和广泛的专业知识。联邦通信委员会发布的新闻稿称,联邦通信委员会和各州执法机构已经共同努力遏制机器人电话。
来源:The Record
● 美国众议院司法机构轻松通过法案以授权更新监控工具
众议院司法委员会12月6日以压倒性多数通过了一项两党法案,该法案要求所有美国情报机构在搜索通过强大的电子间谍工具检索到的有关美国人的信息之前必须获得法院授权。议员们以35比2的投票结果通过了《保护自由和结束无证监视法案》,该法案将修改并重新授权国家安全局拦截外国情报目标的电子通信。该法案将把《外国情报监视法》第702条授权的数字窥探活动再延长三年,同时实施严格的隐私和透明度规定,包括对查询NSA的数据库。该措施对“紧急情况”进行了例外处理,包括使用“网络安全威胁签名”作为搜索词以防止恶意软件造成的伤害,或者存在“迫在眉睫的死亡威胁”或严重的身体伤害。法案通过的前一天,联邦调查局局长克里斯托弗·雷警告参议员,授权令将削弱该局应对国家安全威胁的能力。最终通过的投票是在成员们筛选了多项修正案后进行的。然而,距离议员们离开华盛顿进入圣诞节休会仅剩几天,目前还不清楚第702条是否会在年底截止日期前得到更新。
来源:The Record
