2024年第36周安全周报 | 本周安全要闻速览
● 国务院常务会议审议通过《网络数据安全管理条例(草案)》
8月30日,国务院总理李强主持召开国务院常务会议,审议通过《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。据了解,该条例由国家网信办组织起草。2021年11月,国家网信办曾就《网络数据安全管理条例(草案)》公开征求意见,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。在2022年度和2023年度国务院立法计划里,明确将《网络数据安全管理条例》纳入拟制定的行政法规中。今年5月,国务院办公厅发布的《国务院2024年度立法工作计划》再次提到,围绕健全国家安全法治体系,制定《网络数据安全管理条例》等。
来源:工信微报
● 工业和信息化部就《电子认证服务管理办法(征求意见稿)》公开征求意见
为加强电子认证服务行业监管,规范电子认证服务行为,根据《中华人民共和国电子签名法》等有关法律法规,工业和信息化部修订了《电子认证服务管理办法》。为进一步听取社会各界意见,现予以公示。如有意见或建议,请于2024年10月3日前反馈。
来源:工业和信息化部
● 《网络安全技术 网络安全试验平台 体系架构》等3项国家标准公开征求意见
全国网络安全标准化技术委员会归口的《网络安全技术 网络安全试验平台 体系架构》《网络安全技术 网络空间安全图谱要素表示要求》《数据安全技术 二手电子产品信息清除技术要求》等3项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该3项标准征求意见稿面向社会公开征求意见。如有意见或建议请于2024年10月29日24:00前反馈。
来源:全国网络安全标准化技术委员会
● 韩国发布《国家网络安全基本计划》
韩国国家安保室9月1日发布了《韩国国家网络安全基本计划》,作为对《韩国国家网络安全战略》的实施细则。该计划由14个政府部门和机构联合制定,包含100项行动任务,旨在加强国家网络安全。主要措施包括:加强进攻性网络防御活动,建立全球网络空间合作框架,增强关键基础设施网络弹性,确保关键新兴技术竞争优势,以及强化操作实施基础。计划特别强调了对国际黑客组织的识别和追踪、国家网络安全信息合作中心的建立、信息安全产业生态系统的培育、公共网络安全意识的提升等。此外,还包括与美国、英国等国家在网络安全领域的合作。韩国政府未公开全部细节,但强调了跨部门合作和国际合作在提升国家网络安全中的重要性。
来源:奇安网情局
● 马来西亚国家基建遭勒索攻击疑泄露超300GB数据
马来西亚公共交通运营商国家基建公司(Prasarana Malaysia Bhd)确认,社交媒体上关于其网站可能因勒索软件攻击而导致316GB数据泄露的网络安全事件的报道属实。国家基建公司在一份声明中表示,此次事件并未影响其日常运营,公司正与网络安全专家合作,调查并缓解这一情况。该公司还表示,正在与国家网络安全局(Nacsa)和马来西亚网络安全机构(CyberSecurity Malaysia)协调,以提供全面的应对措施并保护其系统免受任何威胁。
来源: 安全内参
● 美国法院裁决:社交媒体平台或对算法推荐内容承担法律责任
美国联邦第三巡回上诉法院近期做出一项重大裁决,可能对社交媒体平台的运营模式产生深远影响。法院判定,社交媒体平台可能需要对其算法推荐的内容承担法律责任。这一裁决源于10岁女孩妮拉·安德森因参与TikTok上危险“挑战”而不幸身亡的案件。女孩的母亲起诉TikTok,指控其算法在明知风险的情况下,向孩子推荐了致命内容。此前,根据《通信诚信法》第230条的保护,类似诉讼通常被驳回。然而,法院认为,当平台通过算法主动推荐内容时,已不再是中立中介,需为此承担责任。该裁决被视为社交媒体行业的转折点,可能引发大规模诉讼,迫使平台修改其推荐算法并加强内容审核。此外,该判决依据美国最高法院近期在Moody诉NetChoice案中的裁决,指出包含编辑控制或内容审核要素的算法可以作为一种言论形式受到第一修正案的保护,但平台需对算法推荐内容承担责任。
来源:SecurityLab.ru
● 巴基斯坦政府加强互联网监管引发对数字自由的担忧
印度防务新闻2024年8月31日报道,巴基斯坦政府因部署网络监控系统 (WMS) 以屏蔽不符合法律要求的内容而面临用户和企业的批评。近期,互联网速度大幅下降,引发了商界和用户对政府监控和防火墙实施的担忧,认为这些举措导致数字服务效率降低,经济损失加剧。虽然信息技术部长沙扎·法蒂玛·卡瓦贾否认政府有意限制互联网,强调升级网络管理系统是为应对网络安全威胁,但用户仍然质疑其动机。巴基斯坦电信管理局 (PTA) 承认已封锁数千个泄露个人信息的URL和应用程序,并面临执行《防止电子犯罪法》的挑战,尤其是控制VPN滥用。随着政府扩大数字监管,互联网速度和可访问性的问题愈发引起争议,反映了对数字自由和经济活动潜在影响的广泛担忧。
来源:网空闲话plus
● 德国空中交通管制中心遭受网络攻击
据BR24当地时间9月2日凌晨1:48的报道,德国空中交通管制中心(DFS)遭受黑客攻击。DFS位于美因河畔法兰克福附近的朗根,已对此进行了确认。目前尚在调查是否有数据被访问以及是哪些数据。德国交通部、德国信息安全监管机构BSI和联邦宪法保护办公室均已证实此事。据发言人表示,“行政IT基础设施,即DFS GmbH的办公室通信”受到了影响。此前一名空中交通管制发言人向德新社证实,DFS上周发现了此次攻击。受影响的系统是内部办公室通信,这对于组织内部的信息交换至关重要。飞行安全未受影响DFS表示,飞行安全得到了充分保障,他们正在努力将影响降到最低。空中交通没有受到影响,运行正常。
来源:SecurityLab.ru
● 白宫发布加强全球互联网基础路由安全路线图
白宫近日发布了一项旨在加强全球数据路由框架网络安全的路线图,呼吁联邦政府与能够提供安全互联网路由技术的公司合作,以验证进入机构网络数据的合法性。该路线图针对的是边界网关协议(BGP),这是一种关键的全球数据传输算法,负责确定数据包在网络间传输的最佳路径。BGP自1989年首次被设计以来,虽然有助于数据快速传输,但基于所有路由内容均可信的前提,这在2024年已不再适用。美国国家网络总监办公室(ONCD)作为新蓝图的一部分,正试图保护美国网络免受BGP劫持攻击,此类攻击中黑客通过破坏路由路径来控制互联网地址群组。路线图建议使用资源公钥基础设施(RPKI)系统来提高互联网路由的安全性,该系统旨在确认网络有权使用特定的互联网协议地址,并确保流量只通过经过验证的网络路由。然而,目前只有大约一半的聚合IP地址拥有有效的路由起源授权(ROA)。白宫还要求网络服务提供商如AT&T和Verizon监控其网络数据状态,并制定网络安全风险管理计划。同时,管理和预算办公室(OMB)应与联邦采购法规委员会及总务管理局合作,要求政府合同公司采用最新的互联网路由安全技术,并在互联网连接上实施专门的过滤技术。联邦通信委员会也已批准一项提案,要求美国九大宽带提供商定期向委员会提交机密文件,描述他们正在开发的加强BGP安全的计划。
来源:NEXTGOV FCW
● 伦敦交通局遭遇网络攻击,公共交通服务受到影响
近期,负责伦敦公共交通网络的伦敦交通局(TfL)遭遇了一次复杂的网络攻击事件,导致其IT系统、网站和多个内部系统受到影响,服务信息和票务操作暂时中断。虽然此次攻击并未直接影响公交车、火车或地铁网络的运营,但乘客无法获取最新旅行信息,造成了一定程度的混乱。TfL迅速采取行动,隔离受影响的系统并降低进一步风险。目前,TfL的网络安全团队正在与国家网络安全中心(NCSC)密切合作,积极调查此次攻击事件。截至目前,大部分服务已恢复,但某些在线功能在恢复过程中可能会出现间歇性问题。初步调查显示,TfL账户持有人的个人数据可能已被访问。TfL正在评估数据泄露的程度,并建议客户监控其账户以防任何可疑活动。
来源:安全牛
