2024年第6周安全周报 | 本周安全要闻速览
● 国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿发布
2月4日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿。文件给出了依据GB/T 31168-2023《信息安全技术 云计算服务安全能力要求》,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在对自身云计算服务安全能力进行自评估时也可参考。标准主要内容的确定既参考了国外相关标准和实践,同时也主要由我国云计算服务安全评估工作的经验凝聚而来。
来源:全国网络安全标准化技术委员会
● 工信部修改《电信设备进网管理办法》《非经营性互联网信息服务备案管理办法》部分条款
为了贯彻落实《国务院关于取消和调整一批罚款事项的决定》(国发〔2023〕20号),进一步优化营商环境,工业和信息化部决定对2部规章部分条款予以修改。
一、将《电信设备进网管理办法》(原信息产业部令第11号,根据工业和信息化部第28号令修改)第二十九条修改为:“违反本办法规定,伪造、冒用、转让进网许可证,或者编造进网许可证编号的,由工业和信息化部或者省、自治区、直辖市通信管理局没收违法所得,并处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款。“违反本办法规定,粘贴伪造的进网许可标志的,由工业和信息化部或者省、自治区、直辖市通信管理局责令限期改正。”
二、将《非经营性互联网信息服务备案管理办法》(原信息产业部令第33号)第十二条修改为:“省通信管理局在收到备案人提交的备案材料后,材料齐全的,应当在二十个工作日内予以备案,向其发放备案编号,并通过工业和信息化部备案管理系统向社会公布有关备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。”删去第十三条第二款。将第二十五条修改为:“违反本办法第十三条的规定,未在其备案编号下方链接工业和信息化部备案管理系统网址的,由住所所在地省通信管理局责令限期改正;逾期不改正的,处五千元以上一万元以下罚款。”将第三条、第六条、第七条、第十三条至第十五条、第十九条至第二十一条、第二十八条中的“信息产业部”修改为“工业和信息化部”。将附录中的“工商部门”修改为“市场监督管理部门”。
本决定自公布之日起施行。《电信设备进网管理办法》《非经营性互联网信息服务备案管理办法》根据本决定作相应修改,重新公布。
来源:工业和信息化部
● 《寄递服务用户个人信息安全管理办法(征求意见稿)》公开征求意见
为保护寄递服务用户个人信息权益,规范寄递企业用户个人信息处理活动,国家邮政局起草了《寄递服务用户个人信息安全管理办法(征求意见稿)》,现向社会公开征求意见。征求意见稿将寄递服务用户个人信息定义为“寄递企业在提供寄递服务过程中获取的,以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”征求意见稿还规定,寄递企业应当对用户个人信息依法进行去标识化处理。快递电子运单的去标识化应当考虑正常寄递服务的需求。寄递企业授权电商使用本企业的快递单号资源时,应当要求电商对快递电子运单中的个人信息执行去标识化。寄递企业应当与电商等第三方签订协议,明确去标识化执行主体数据传输以及数据转化等相关事项。
来源:国家邮政局
● 工信部发布修订版《业余无线电台管理办法》,放开未成年人设台
工信部2月6日发布修订版《业余无线电台管理办法》,在未成年人设台、操作技术能力验证等方面充实细化完善相关制度。新修订的《办法》主要修订了电台和呼号管理、操作技术能力验证、设置使用要求等制度,包括总则,许可管理,操作技术能力验证,设置、使用要求,电波秩序维护,法律责任以及附则共七章 58 条,自 2024 年 3 月 1 日起施行。
来源:工业和信息化部
● 对美国宾夕法尼亚州法院系统的DDoS攻击导致归档系统和保释金支付网站瘫痪
首席大法官黛布拉·托德(Debra Todd)表示,恩西瓦尼亚的法院系统遭受了分布式拒绝服务(DDoS)攻击,并且正在遭受中断。由于此次攻击,宾夕法尼亚州法院网站的部分内容目前已关闭,托德表示,联邦调查局(FBI)和网络安全与基础设施安全局 (CISA)都参与了恢复工作。在2月5日下午的一份声明中表示:“仍然没有迹象表明任何法庭数据已被泄露,我们的法庭仍然开放并向公众开放。”该州4日晚上宣布面临服务中断。律师使用的电子归档系统以及跟踪指定监护人等的其他关键系统不可用。网络摘要系统也已关闭。用于法庭付款的系统——包括罚款、赔偿、保释和登记——也无法使用。该州的执法机构仍然可以使用包含逮捕令和刑事投诉信息的网站。法院官员没有回应关于是否就DDoS攻击提出任何要求或赎金的置评请求。
来源:The Record
● 白宫将在未来几周内发布内存安全代码指南
白宫主要网络安全委员会将在未来几周内发布一篇有关内存安全软件开发的论文,以鼓励公共和私营部门程序员采取防止黑客通过代码漏洞破坏系统的做法。这一消息是由国家网络总监Harry Coker在2月7日于华盛顿特区举行的信息技术产业委员会活动上向技术和网络安全专业人士发表的首次重要演讲中宣布的。科克是第二位确认担任该职位的人,他上任仅七周多一点,他利用这次演讲概述了该办公室旨在通过去年发布的全面国家战略引入的各种网络优先事项。这些优先事项包括增强网络安全劳动力和保护美国关键基础设施。Coker在活动中表示:“犯罪分子希望利用的一些最危险的漏洞是内存安全漏洞,而内存安全编码语言可以防止这些错误进入生产环境。”“然而,尽管许多技术已经存在多年,但开发商在采用它们方面进展缓慢。”内存漏洞根源于黑客用来控制系统的软件代码缺陷。内存安全是某些自动分配内存的编程工具的一项属性,有助于防止人为错误导致软件遭受与内存相关的黑客攻击。美国及其五眼情报合作伙伴在2023年12月份的一份咨询报告中向软件开发人员推荐了这些语言,包括C#、Go、Java、Python、Rust和Swift。除了将编程环境更改为内存安全语言之外,该指南还建议开发人员创建自己的路线图来实施软件测试等相关更改。网络安全和基础设施安全局长Jen Easterly在发布消息时表示,大约三分之二的软件漏洞是由于缺乏内存安全编码造成的。ONCD在2023年8月份提出了信息请求,要求就内存安全语言的采用以及与开源软件相关的其他领域提供信息。
来源:NEXTGOV
● 巴基斯坦超级联赛票务网站瘫痪:网络攻击导致在线销售停止
备受期待的巴基斯坦超级联赛(PSL)第九赛季即将到来,PSL票务网站遭到网络攻击,组织者和球迷陷入混乱,扰乱了即将举行的赛事的准备工作。尽管最新更新表明票务网站问题已得到修复,但仍有不少用户无法访问该网站。安全事件发生后,当局通过社交媒体平台X宣布PSL票务网站遭受网络攻击。票务合作伙伴的技术团队正在高效地解决这个问题。预计会迅速得到解决,并希望服务提供商的网站很快就能再次运行。尽管当局最新更新称PSL网站上的网络攻击已得到解决,球迷现在可以预订门票,但用户在尝试访问该网站时仍然遇到错误消息。巴基斯坦超级联赛的官方网站仍然无法访问,这让渴望获得即将举行的比赛门票的球迷更加沮丧。这次恶意网络攻击对PSL票务网站的影响不仅仅是带来不便,粉丝们在社交媒体平台上表达了他们的担忧和失望。巴基斯坦T20顶级赛事第九赛季定于2月17日拉开帷幕。揭幕战将是卫冕冠军拉合尔Qalandars队与强大的伊斯兰堡联队在拉合尔标志性的卡扎菲体育场。在整个比赛的小组赛阶段,共有30场比赛将在四个场馆进行。
来源:The Cyber Express
● 美国众议院国土安全小组委员会讨论OT威胁以及CISA在确保OT安全方面的作用
美国众议院国土安全小组委员会网络安全和基础设施保护委员会2月6日举行了一次听证会,以解决包括水务部门在内的关键基础设施部门运营技术(OT)面临的威胁,并讨论网络安全和基础设施安全局(CISA)的履职情况。来自纽约的共和党人、委员会主席Andrew Garbarino在开幕词中概述了确保CISA有效履职的重要性。“OT系统负责控制整个美国生命线功能的可靠交付,包括清洁水和电力。确保支撑我们国家最关键职能的基础技术和基础设施是国家当务之急。”Garbarino表示:“在我担任该委员会期间,我们在将CISA的工作重点集中在确保OT方面取得了长足进步。” “但鉴于最近发生的事件,我们必须重新审视这个话题,以考虑国会如何进一步完善和加强CISA对关键基础设施所有者和运营商的支持。”2023年末,伊朗附属网络参与者针对多个领域的OT设备进行了最新的恶意网络活动,其中包括水和废水处理系统。这种针对以色列可编程逻辑控制器(PLC)的恶意活动是不可接受的。欣喜的是政部上周晚些时候宣布对六名伊朗政府官员实施制裁——这是让这些不良行为者承担全部责任的第一步。不幸的是,这种利用并非孤立于某个部门,这凸显了与关键基础设施相互依赖相关的风险。各行业的所有者和运营商必须提高OT系统的安全级别。重要的第一步包括遵循CISA的指导来更改默认口令并断开OT系统与互联网的连接。
来源:industrialcyber
