2024年第27周安全周报 | 本周安全要闻速览
● 我国牵头提出的国际标准《网络安全 物联网安全与隐私 家庭物联网指南》正式发布
近日,我国牵头提出的国际标准ISO/IEC 27403:2024《网络安全 物联网安全与隐私 家庭物联网指南》(Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics)正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27,后经研究,于2019年10月正式立项;2024年6月正式发布。家庭物联网系统具有终端异构、人机交互复杂、智能应用泛在等特点,面临网络安全和隐私保护的多重压力。针对这些特点,ISO/IEC 27403识别了家庭物联网系统的主要相关方以及各自的生命周期阶段,分析了家庭物联网系统的安全和隐私风险,并从网络安全、人工智能安全、数据安全等方面提出了安全控制措施。该标准可指导相关方防范家庭物联网系统中的安全风险,对于提升家庭物联网安全与隐私风险防护能力,完善物联网安全标准体系具有积极作用。
来源:全国网络安全标准化技术委员会
● 网安标委发布《数据安全技术 数据安全和个人信息保护社会责任指南》征求意见稿
为深入贯彻落实党中央、国务院决策部署,加强人工智能标准化工作系统谋划,工业和信息化部、中央网信办、国家发展改革委、国家标准委等四部门近日联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》。提出到2026年,我国标准与产业科技创新的联动水平持续提升,新制定国家标准和行业标准50项以上,引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过1000家,标准服务企业创新发展的成效更加凸显。参与制定国际标准20项以上,促进人工智能产业全球化发展。
来源:工信微报
● 国家数据局今年将推出八项制度文件
7月2日,国家数据局党组书记、局长刘烈宏出席在北京举行的2024年全球数字经济大会开幕式,并作题为《把握经济发展新机遇》的致辞。刘烈宏指出,国家数据局将以制度建设为主线,在今年陆续推出数据产权、数据流通、收益分配、安全治理、公共数据开发利用、企业数据开发利用、数字经济高质量发展、数据基础设施建设指引等8项制度文件,加大政策供给,推动我国海量数据优势转化为新的国家竞争优势。同时表示,国家数据局会继续加强统筹协调和政策协同,加快推进数据基础设施和基础制度建设,大力发展数字经济,提升数字化公共服务水平,全面统筹数字化发展和安全,完善数字中国建设推进机制,强化常态化监测评估,全面提升数字中国建设的整体性、系统性、协同性。
来源:数字国资
● 美国军方启动商业航天合作计划以强化太空网络安全
美国军方最近推出了商业增强太空储备(CASR)计划,旨在加强与商业航天业的合作,整合商业设备到军事太空操作中,提升军用卫星的网络安全。随着太空基础设施对全球关键基础设施的重要性日益增加,来自敌对国家的网络攻击风险也相应上升。CASR计划将超越传统政府与私人承包商的合作模式,通过避免对单一商业实体的过度依赖来降低潜在风险。然而,扩大商业供应商范围也带来了新的挑战,如供应商可能无法满足军事合同要求或遭遇财务不稳定等问题。此外,商业硬件在网络攻击方面的脆弱性可能不如军用标准严格。美国国防部认为,通过这一战略转变,可以增强美国的国家安全和太空领域的竞争优势,同时促进全球公司参与其中,推动航天工业的网络安全发展。
来源:网空闲话plus
● 印度储备银行发布银行业网络安全咨询以应对日益增长的网络威胁
印度储备银行(RBI)发出警告,提醒商业银行注意网络攻击风险的增加,并强调了在数字化银行业务中网络安全的重要性。RBI咨询文件突出了公司治理在银行内部问责制中的核心作用,特别是信息技术治理,要求强有力的领导支持和清晰的组织结构。RBI指导银行明确董事会和高级管理层在IT治理中的角色和责任,建议在董事会层面成立IT战略委员会,并根据银行规模和业务活动构建IT组织结构。同时,RBI强调了实施与国际标准接轨的IT治理实践的必要性,包括价值交付和IT风险管理。在信息安全方面,RBI建议银行制定全面的安全治理框架,包括安全政策、风险评估和合规性监管。此外,咨询还强调了风险管理和合规性的重要性,敦促银行将IT风险纳入整体风险管理框架,并进行有效监控。通过这些措施,银行能够提高运营弹性,保护客户数据,维护金融稳定,并增强公众对银行业的信任。
来源:THE CYBER EXPRESS
● 美国大选面临内部威胁,FBI与CISA发布新指南
2024年美国大选在即,联邦调查局(FBI)和网络安全和基础设施安全局(CISA)联合发布了新的指导方针,以应对选举基础设施可能遭遇的内部威胁。内部威胁可能来自现任或前任雇员、临时工、志愿者、承包商等有权访问选举系统的个人。新指南详细介绍了内部威胁的风险、潜在情景及减轻威胁的步骤,强调了标准操作程序、物理和数字访问控制、持续监控和网络安全最佳实践的重要性。指南中提到,虽然没有证据显示恶意行为者曾影响过选举结果,但选举利益相关者必须意识到内部威胁的风险,并采取措施识别和减轻这些威胁。指南也指出,外国对手可能通过意识形态、金融或胁迫手段操纵拥有特权的个人,以干涉大选。为了防范这些风险,选举官员应建立内部威胁缓解计划,包括严格的操作程序、访问控制、保管链程序、零信任安全、持续监控、例行审计和网络安全措施。
来源:THE CYBER EXPRESS
● 五角大楼推动开放技术整合以增强军事网络
美国国防部正积极探索整合专业和开放技术,特别是开放无线电接入网络(ORAN)架构,以支持5G和FutureG计划的实施。在TechNet网络会议上,官员们讨论了公共、私有和混合网络的潜力,强调国家安全领域对独特且安全网络的需求。五角大楼认为,在缺乏无线网络基础设施的远程战区,使用ORAN能提供更大的信息交换控制和网络灵活性。鉴于当前中美在台湾海峡的地缘政治紧张局势,这一决策显得尤为重要。ORAN允许多个供应商协同工作,提供网络扩展的灵活性。五角大楼正在推动ORAN研究,并寻求国会通过未来的国防拨款法案提供额外支持。
来源:SecurityLab.ru
● 美国CISA更新“安全明日系列工具包”以强化关键基础设施
美国网络安全和基础设施安全局(CISA)发布了“安全明日系列工具包”的更新版,旨在帮助关键基础设施的所有者和运营商应对日益增长和演变的风险。该工具包通过组织讨论,针对未来可能出现的风险,提供了战略预见活动的工具和材料。2024年的更新版引入了三个新主题:信息和通信技术供应链弹性、先进制造业、以及水资源可用性,这些主题与现有的脑机接口、合成生物学等主题一起,构成了工具库的核心内容。CISA利用这个工具库,构建了一套战略预见活动工具包,目的是让关键基础设施合作伙伴能够聚集具有特定领域、地区和行业专业知识的人员,共同制定相关且可操作的风险缓解策略。工具包中的活动设计得既有趣又具有挑战性,从简短的矩阵游戏到全天的情景研讨会,旨在根据不同的参与度和时间投入提供不同程度的风险缓解见解。
来源:industrialcyber
● Space ISAC与澳大利亚网络协作中心签署谅解备忘录,加强空间网络安全合作
Space信息共享与分析中心(Space ISAC)近日宣布与澳大利亚网络协作中心(Aus3C)签署谅解备忘录(MOU),这标志着Space ISAC在全球范围内扩展其影响力并促进国际空间网络安全合作的重要里程碑。Aus3C致力于提升澳大利亚的网络能力,确保数字领域的安全性,其使命与Space ISAC通过协作和信息共享增强空间系统网络安全的目标高度契合。Space ISAC执行董事表示,此次合作将进一步巩固Space ISAC与澳大利亚空间网络生态系统之间的联系。Aus3C CEO补充道,这一合作将推动两组织在空间网络领域的协同创新,提升威胁检测和响应能力,为全球空间环境的安全做出贡献。此次合作利用双方的先进工具、能力和专业知识,旨在解决关键挑战,促进空间网络安全领域的增长。
来源:industrialcyber
● 美国FedRAMP推出新框架推动新兴技术采用
美国联邦风险授权管理计划(FedRAMP)推出了一项新框架,以帮助优先批准联邦机构使用的新兴技术,旨在提升其操作的安全性和效率。新框架重点优先考虑与云相关的最关键的新兴技术,包括三种生成式AI功能:聊天界面、代码生成和调试工具、以及基于提示的图像生成器。FedRAMP计划每年更新和发展优先新兴技术清单,并最终优先考虑通用API服务,以促进这三种生成式AI功能的整合。此优先系统将使云服务提供商更快地通过授权审核流程,加快新技术的采用。新框架要求云服务提供商与授权官员合作,通过“重大变更请求”流程将新兴技术纳入其授权。此举预计将优先批准多达12个基于AI的云服务。
来源:GOV INFO SECURITY
