2024年第21周安全周报 | 本周安全要闻速览
● 四部门印发《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》
国家发展改革委、国家数据局、财政部、自然资源部联合发布《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》,提出,到2027年,全国城市全域数字化转型取得明显成效,形成一批横向打通、纵向贯通、各具特色的宜居、韧性、智慧城市,有力支撑数字中国建设。到2030年,全国城市全域数字化转型全面突破,人民群众的获得感、幸福感、安全感全面提升,涌现一批数字文明时代具有全球竞争力的中国式现代化城市。
来源:国家发展改革委
● 中央网信办等四部门发布《互联网政务应用安全管理规定》
由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发。规定要求,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。规定共8章,包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则。规定要求,一个党政机关最多开设一个门户网站。互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。指出,机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理。根据规定,机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。规定自2024年7月1日起施行。
来源:网信中国
● 国家标准《网络安全技术 生成式人工智能服务安全基本要求》公开征求意见
全国网络安全标准化技术委员会归口的国家标准《网络安全技术 生成式人工智能服务安全基本要求》现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2024年7月22日24:00前反馈。
来源:全国网络安全标准化技术委员会
● 澳大利亚政府警告发生“大规模勒索软件数据泄露”,大型医疗服务商被黑
澳大利亚电子处方提供商MediSecure成为最新一家遭受勒索软件攻击的医疗机构,并且犯罪分子窃取了患者的个人和健康数据。MediSecure在澳大利亚经营处方递送服务,该公司提供的服务可将纸质和电子处方送到个人选定的药房。这家电子处方提供商发表声明称:“初步迹象表明事件可能源自我们的一家第三方供应商。”还补充表示,“该事件影响了MediSecure系统截至2023年11月保存的数据。”MediSecure尚未透露受影响人数,但承诺会在获得更多信息后通过网站提供更新。该公司表示正与澳大利亚国家网络安全协调员合作“控制事件影响”,并已通知澳大利亚信息专员办公室等监管机构。澳大利亚联邦警察正在调查这起入侵事件,澳大利亚国家网络安全协调员将其描述为“大规模勒索软件数据泄露事件”。澳大利亚政府正在向卫生部门行业团体通报数字入侵和应对情况。
来源:The A Register
● 欧洲理事会最终批准人工智能法案
5月21日,欧洲理事会最终批准了《人工智能法案》,这是一项旨在协调整个欧盟人工智能规则的开创性立法。该法采用基于风险的方法,即对社会的潜在危害就越大,法规就越严格。作为全球首部全面的人工智能法规,它为人工智能治理设定了新标准。《人工智能法案》根据风险程度对人工智能系统进行分类。低风险的人工智能系统将面临最低的透明度要求,而高风险的人工智能系统则必须满足严格的标准才能获准在欧盟使用。某些人工智能应用,如认知行为操纵和社交评分,因其不可接受的风险而被直接禁止。立法还禁止将人工智能用于基于种族的预测性警务,以及根据种族、宗教或性取向等生物特征数据对个人进行分类的系统。该法规还涉及通用人工智能(GPAI)模型。不构成系统性风险的GPAI模型将遵守有限的透明度要求。但是,那些被认为有系统性风险的模型必须遵守更严格的规定。
来源:European Council官网
● 英国拟禁止关基设施支付勒索软件赎金,其它组织需强制申报
英国官员计划提出重大改革,要求所有勒索软件攻击受害者向政府报告事件,并要求这些受害者必须获得许可之后才能支付赎金。多位知情人士向外媒The Record透露,在下个月发布的公众征询文件中将包括这些提议。英国还将提出,完全禁止与关键国家基础设施相关的组织支付赎金。该禁令旨在打消黑客破坏这些关键服务的动机,阻止他们通过攻击牟利。英国官员认为,强制性报告要求将有助于揭示勒索软件问题的真正规模。政策官员一直对他们未能掌握该问题的严重程度心知肚明。这一举措预计将为强制性报告要求提供补充,并可能让一些受害者意识到他们有替代方案可以避免支付赎金。但是,有人担心,在某些情况下,申请许可的过程可能会导致恢复延迟,并可能增加勒索软件攻击造成的伤害和破坏。
来源:The Record
● 美国国防部发布《网络安全互惠手册》
美国国防部首席信息官(CIO)宣布公开发布《国防部网络安全互惠手册》,该手册参考了国防部长备忘录中的互惠概念。手册提供了在国防部系统内实施网络安全互惠的指导,定义了互惠概念,概述了其益处和风险,并提供了示例用例。与国防部指令(DoDI)8510.01一致,手册旨在提供有关网络安全互惠的关键部门优先事项的全面信息。手册强调,为了支持互惠,国防部组件与受影响的信息所有者和互联系统所有者共享安全授权包。重用这些成果使授权官员(AO)能够接受对它们计划部署的系统的评估,而无需重复评估。接受来自类似评估的相关成果可以减少成本高昂的评估,使系统能够更快速、更高效地获得授权。国防部指出,未能最大程度利用互惠可能导致冗余和资源密集的工作。缺乏互惠会破坏机构间的协作和信息共享。在网络威胁迅速演变的时代,快速跨不同政府机构和组织共享网络安全洞察和发现的能力至关重要。
来源:industrialcyber
● 美国众议院军事委员会推动建立军事网络服务的提案
美国众议院军事委员会成员准备推动一项要求五角大楼研究建立军事网络服务的两党提案。该措施将在2025财年国防授权法案审议期间提出,要求国防部委托美国国家科学院进行独立评估,探讨建立统一网络部队的可行性。该修正案由众议员摩根·勒特雷尔和克里斯西·胡拉汉提出,旨在解决现有数字作战分支孤立的问题,并提高网络作战效率。尽管五角大楼此前对建立网络军种持保留态度,但新的两党提案可能改变这一立场。修正案还包含“禁止干扰”条款,确保评估的独立性。美国国家科学院将有约九个月时间完成评估,其结论可能影响2027财年的政策制定。勒特雷尔认为修正案通过的可能性较高,并预计即使在委员会中被否决,也将在众议院或未来国防法案中继续推进。这一提案反映了美国国会对于加强网络作战能力的迫切需求,以及对现有网络司令部结构和效能的担忧。
来源:The Record
● 美国无线电中继联盟(ARRL)遭受重大网络攻击
美国无线电中继联盟(ARRL),一个杰出的业余无线电爱好者协会,已确认遭受严重网络攻击,影响了包括“世界日志”(LoTW)互联网数据库在内的多个关键在线服务。LoTW对业余无线电运营商至关重要,用于记录和验证全球联系。ARRL强调,其系统不存储社会安全号码或信用卡信息,但会员数据库包含公开信息和呼号等敏感数据。ARRL尚未明确网络事件的性质,正与外部网络安全专家合作,以减轻影响并恢复服务。该事件在业余无线电界引起了不同的反应,从支持和耐心到对数据安全和潜在长期影响的担忧。此事件凸显了数字化转型的固有风险和强化网络安全措施的必要性。ARRL遭受的网络攻击不仅对该组织造成影响,也波及了依赖其服务的业余无线电操作员社区。目前,社区对ARRL的服务恢复持谨慎乐观态度,同时期待更多关于攻击性质和防范措施的详细信息。
来源:The CYBER EXPRESS
● 美军网络部队条款获得众议院委员会批准
美国众议院军事委员会以57比1的高票通过了一项修正案,要求五角大楼对建立美国网络部队进行独立研究。这项修正案被纳入了众议院版本的2025财年国防政策法案中,该法案预计下个月将在众议院全体会议上审议。修正案的提出者包括众议员Morgan Luttrell (R-TX),旨在解决现有军事部门未能为美国网络司令部提供足够支持的问题。尽管小组民主党最初撤回了对该修正案的支持,但在委员会的加价会议结束时,该提案被纳入最终整体修正案中,无需辩论。修正案要求美国国家科学院研究建立武装网络服务的影响,以应对网络军官和士兵分散在陆军、海军、空军和海军陆战队的现状。目前,参议院军事委员会计划下个月审议国防授权法案的草案。
来源:The Record
