2024年第34周安全周报 | 本周安全要闻速览
● 《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求
贯彻落实中央网信委决策部署,按照《深入推进IPv6规模部署和应用2024年工作安排》要求,中央网信办、工业和信息化部组织开展全国重点城市IPv6流量提升专项行动,覆盖北京市、天津市、上海市、深圳市、杭州市、合肥市、无锡市、烟台市等8个重点城市。为此,两部门印发《全国重点城市IPv6流量提升专项行动工作方案》,旨在敦促相关单位抓好贯彻执行,加强统筹协调,压实工作责任,按期保质完成专项行动目标任务,有效发挥示范引领作用,带动全国IPv6发展水平再上新台阶。根据《工作方案》,要用一年左右的时间,大型互联网应用IPv6放量引流规模进一步扩大,家庭路由器IPv6开启率大幅提升,重点单位政企专线IPv6实际使用率明显提高,数据中心承载业务全面完成升级改造并对外提供IPv6服务,云服务产品IPv6支持率持续提升。重点城市固定网络和移动网络IPv6流量占比明显提升,重点城市大型互联网企业、终端设备企业、云服务平台等IPv6升级改造有效带动全国各地区IPv6流量提升。强化监测通报《工作方案》提出的六个工作要求之一。要求重点城市要建立完善监测机制和统计台账,加强IPv6流量指标监测方法的宣贯培训,开展常态化监测分析和通报,为专项行动提供数据支撑。自2024年9月起,每月10日前,基础电信企业集团公司将各重点城市固定和移动网络IPv6流量占比等相关指标数据、各省级网信办将重点城市8项IPv6流量主要指标数据,报送至中央网信办。中央网信办定期通报专项行动进展情况。
来源:网信中国
● 英国国家网络安全中心启动网络弹性审计计划
近日,联合国打击网络犯罪公约特委会顺利通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》(简称《联合国打击网络犯罪公约》)。该条约接下来将于秋季提交联合国大会进行投票。由于投票国家与之前相同,预计该条约将在联合国大会顺利通过。我国一贯倡导并支持在联合国谈判制定关于打击网络犯罪的全球性公约,并于2019年共同提出关于启动公约谈判的联大第74/247号决议。2022年以来,中国作为特委会副主席国,以网络空间命运共同体理念为引领,旗帜鲜明倡导加强打击网络犯罪国际合作,支持强化发展中国家能力建设,并在谈判中与各方开展建设性对话,引导各方展现灵活,为最终谈成公约发挥关键作用。据了解,该公约是网络领域首个由联合国主持制定的普遍性国际公约,将在全球范围内为打击网络犯罪国际合作提供法律框架,对网络空间国际法发展有重大意义。
来源:Infosecurity Magazine
● 乌克兰银行捐款服务遭受大规模DDoS攻击
乌克兰广受欢迎的网上银行Monobank遭受了一场大规模分布式拒绝服务(DDoS)攻击,该攻击主要针对其为军队筹集捐款的服务。攻击从16日晚间持续至19日是早晨,总请求量达到每秒75亿次,被银行首席执行官Oleh Horokhovskyi描述为“非同寻常”。尽管攻击未影响银行运营,但银行与乌克兰安全部门及亚马逊网络服务专家合作,以缓解大量垃圾流量。Monobank此前在1月的DDoS事件中三天内收到5.8亿条垃圾请求。由于银行仅通过移动应用程序服务客户,因此成为黑客的主要目标。Horokhovskyi指出,攻击目的是破坏乌克兰人依赖的捐款服务,该服务允许用户通过创建虚拟钱包并分享至Instagram故事来简化捐款流程。自乌克兰跨境入侵俄罗斯库尔斯克地区以来,客户捐款速度增快,过去三年的持续捐款可能激怒了敌人,促使其试图破坏服务。此外,乌克兰服务公司EasyWay也报告受到DDoS攻击,影响了其提供公共交通信息的服务。
来源:The Record
● 越南《数据法草案》和《数字技术产业法草案》公开征求意见
越南当局在正在对《数据法草案》和《数字技术产业法草案》(简称“DTI法草案”)公开征求公众意见。这些拟议法律旨在解决数据和数字技术领域的各种问题,可能对各行各业的企业产生重大影响。《数据法草案》的预期生效日期为2026年1月1日,不设过渡期。该草案是越南成为数字国家并加强数据保护与安全这一更广泛战略的一部分。公安部被定位为执行《数据法》的主要国家行政机关,但同时也需与其他相关机构,如信息和通信部(MIC)合作,以应对网络安全和信息安全事件。至于《数字技术产业法草案》,虽然目前尚未确定具体生效日期,但预计将于2024年10月提交国会,并于2025年6月颁布。
来源:清华大学智能法治研究院
● 美国能源部利用人工智能加速清洁能源许可流程
美国能源部投资近2000万美元开展VoltAIc项目,旨在利用人工智能工具加快清洁能源项目的许可流程,从而提高效率并加快清洁能源基础设施的建设。该项目由太平洋西北国家实验室负责,开发名为PolicyAI的人工智能软件,以加强《国家环境政策法》下的联邦审查。通过建立数据湖屋,整合超过28,000份历史NEPA文件,人工智能工具将帮助政府雇员更快速地访问和分析环境影响声明。能源部正在测试的原型包括一个生成式人工智能驱动的语义搜索功能,以及两个与能源用户合作测试的相关试点工具,这些工具允许用户通过聊天界面查询文档并获得答案,或与一组文档进行“聊天”。此外,该部门还在探索使用人工智能帮助州和地方审查人员,以及对许可和环境审查期间收集的公众意见进行分类。
来源:nextgov
● 新加坡发布2024年OT总体规划,强化网络安全防御
新加坡在第四届运营技术网络安全专家组论坛上发布了更新的《运营技术网络安全总体规划2024》(OT总体规划2024)。该规划由数字发展和信息部长兼网络安全主管部长Josephine Teo女士发布,旨在提升新加坡关键和非关键信息基础设施的网络安全能力,以应对日益复杂的网络威胁。与2019年发布的最初规划相比,2024年版更加强调应对新兴技术带来的威胁,如边缘计算和物联网。此外,规划还提出了三大关键举措:培养网络安全人才、优化信息共享流程、以及强化供应链安全管理。为此,新加坡将推出一系列措施,包括将OT网络安全纳入教育框架,发布网络安全教育指南,建立网络安全卓越中心等。14家组织也承诺在OT系统全生命周期内采用“安全部署”原则,共同提升新加坡的网络安全韧性。
来源:the cyber express
● 印度《2024年电力行业网络安全法规草案》
印度中央电力局 (CEA)公布了《2024年电力行业网络安全法规草案》,这标志着该国在加强关键基础设施网络安全方面迈出了重要一步。《2024年电力行业网络安全法规草案》旨在加强国家关键基础设施的网络安全,涵盖电力行业的广泛实体。草案核心内容包括成立计算机安全事件响应小组 (CSIRT)-Power,负责制定网络安全框架、应对安全事件,并与其他网络安全组织协调。法规要求所有电力行业实体设立信息安全部门,负责关键基础设施的保护和网络安全政策的监督。供应商需遵守严格的网络安全标准,提供安全补丁和恢复计划。这些措施旨在全面提升电力行业的网络安全防御能力和应对潜在威胁的弹性。
来源:网空闲话plus
● 美国联邦航空局加强飞机网络安全规则
美国联邦航空管理局(FAA)宣布计划对飞机和航空电子设备引入新的网络安全要求,作为其“适航性”修订的一部分,旨在提高国家关键基础设施的保护。新规则将影响飞机及其部件,如发动机和螺旋桨,并将网络安全纳入新飞机型号的适航要求中。FAA承认,以往依赖的自愿措施未能提供足够的安全保障,因此新提案的主要目标是标准化FAA防范网络威胁的措施,提高安全水平,同时减少新设备认证的成本和时间。文件强调了保护现代飞机的设备、系统和网络的重要性,因为这些飞机配备了可能受到网络攻击的数字组件。FAA指出,航空业的日益数字化可能产生新的漏洞,例如使用笔记本电脑进行机场维护。新提案还旨在协调现有法规,降低成本并加快新组件或更改组件的审批流程,得到业界广泛支持。FAA强调,当前法规在不同项目和机构间不统一,新规则必须考虑网络威胁并提供缓解措施。
来源:SecurityLab.ru
● 尼日利亚政府推进IPv6过渡以增强网络安全和互联网服务
尼日利亚通信、创新和数字经济部长Bosun Tijani博士宣布,政府将从互联网协议版本4(IPv4)过渡到互联网协议版本6(IPv6),以加强国家网络安全并提升互联网服务水平。IPv6作为互联网协议的最新发展,对设备识别、定位和流量管理具有重要作用,此次过渡将带来服务质量提升、网络威胁防护增强和更有效的流量管理。在阿布贾举办的IPv6驱动数字基础设施峰会上,Tijani强调尼日利亚在非洲IPv6应用方面的领先地位,并赞扬了国家信息技术发展局(NITDA)及其合作伙伴的努力。NITDA总干事Kashifu Inuwa先生指出,峰会旨在提升IPv6认知、促进合作和制定战略,以推动IPv6在尼日利亚的广泛采用。Inuwa澄清,过渡至IPv6无需大量新投资,因为大多数现代设备已兼容,主要挑战在于确保向后兼容性和解决运营商的配置更改犹豫。Inuwa还强调了IPv6的经济潜力,引用研究显示采用IPv6可开启价值10万亿美元的全球市场,为非洲多设备用户带来安全性提升和更多机会。
来源:The Sun
● 美国NIST更新数字身份指南草案并征求公众意见
美国国家标准与技术研究所(NIST)近日发布了《数字身份指南特别出版物800-63修订版4》草案,并开始征求公众意见。此次更新旨在提高身份验证过程中的安全性、隐私性和可访问性,尤其在访问政府服务时,无论使用何种身份验证方式,指南都致力于保障用户的安全与权益。此次草案吸纳了2023年从私营企业、联邦机构、隐私及民权团体以及公众收集的反馈意见,目标是帮助联邦机构更有效地应对日益复杂的安全威胁,同时确保美国公民能够顺利获得政府服务和福利。NIST主任Laurie Locascio强调,这些更新不仅有助于各组织管理风险和防止欺诈,还确保所有人能够合法访问数字服务。公众可以在10月7日前提交评论,NIST计划于发布当天举行网络研讨会,进一步讨论该草案。
来源:ExecutiveGov
