2024年第38周安全周报 | 本周安全要闻速览
● 《电子政务电子认证服务管理办法》发布
为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,保障电子政务安全可靠,维护有关各方合法权益,国家密码管理局根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,组织制定了《电子政务电子认证服务管理办法》。《办法》已经在2024年8月26日国家密码管理局局务会议审议通过,并于9月10在国家密码管理局官网正式公布,自2024年11月1日起施行。其中明确要求,在我国从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。国家密码管理局对全国电子政务电子认证服务活动实施监督管理。县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。
来源:国家密码管理局
● 4项工业互联网平台国家标准正式发布实施
近日,国家市场监督管理总局(国家标准化管理委员会)发布2024年第17号中国国家标准公告,批准《工业互联网平台 监测分析指南》(GB/T 44280-2024)、《工业互联网平台 解决方案分类方法》(GB/T 44281-2024)、《工业互联网平台 服务商评价方法》(GB/T 44405-2024)、《工业互联网平台 质量管理要求》(GB/T 44282-2024)4项工业互联网平台国家标准正式发布。本批发布的4项工业互联网平台国家标准从供给侧和需求侧两端入手,为工业互联网平台各相关方科学开展“建能力”“选平台”工作提供方法指导,可增强工业互联网平台产业供给能力,助力平台在垂直行业的落地深耕,服务制造业高质量发展。
来源:工业和信息化部信息技术发展司
● 《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》公布
国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局发布联合公告,公布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称实施指引)。为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称备忘录),国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定实施指引。实施指引指出,《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同》为备忘录下有关促进粤港澳大湾区个人信息跨境流动的便利措施。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求,通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。
来源: 网信中国
● 4项网络安全技术国家标准公开征求意见
全国网络安全标准化技术委员会归口的《网络安全技术 网络身份认证公共服务应用接入规范》《网络安全技术 公钥基础设施 时间戳规范》《网络安全技术 公钥基础设施 PKI组件最小互操作规范》《网络安全技术 公钥基础设施证书管理协议》等4项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该4项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2024年11月11日24:00前反馈。
来源:全国网络安全标准化技术委员会
● 广州市发布《网络数据安全管理规范》地方标准
广州在2024年国家网络安全宣传周期间发布《网络数据安全管理规范》(DB4401/T 276—2024)地方标准。该标准将于9月28日开始实施,为规范数据处理者的数据处理活动、保障网络数据安全、促进数据安全流通,助力数据经济发展提供参考依据和重要支撑。据了解,在探索出台《广州市网络数据安全工作指引(试行)》基础上,广州细化制定《网络数据安全管理规范》,为全市各行业、各领域、各地区、各部门数据处理者开展网络数据安全管理工作提供指导,为数据安全监管部门、数据安全认证、评估、审计机构或其他有关组织对网络数据处理活动实施安全监管、评估提供参考,有效推动全市数据要素发展在合法合规中实现数据安全、高速流通。同时,《规范》面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动管理要求,列举相关数据处理场景,进一步明确相对应的安全管理意见,指导各单位建立业务场景与数据处理活动环节的对应关系。
来源:南方都市报
● 美国土安全部征求港口运营商意见以增强海上安全
美国国土安全部科学技术局(S&T)发布了一份信息请求(RFI),旨在征求商业港口运营商的意见,以增强海上安全和弹性。该请求是海港弹性和安全研究试验台项目的一部分,该项目研究美国港口的脆弱性及现有保护措施的有效性。S&T将基于反馈提供网络安全建议,帮助海港行业确保海上贸易的安全高效。RFI的提交截止日期为2024年10月4日。研究将创建虚拟模型,评估并解决潜在漏洞。此外,美国总统拜登签署了第14116号行政命令,加强海上网络安全。S&T的活动支持国土安全部保护海上运输系统(MTS),通过研究港口网络,了解资源部署,并确定MTS特有的研发需求。S&T项目经理Jason McCasland强调了与行业专家合作的重要性,以设计有效的虚拟测试平台,应对关键海上基础设施面临的威胁。
来源:IndustrialCyber
● 澳大利亚Centrelink服务中断事件概述
近期,澳大利亚Centrelink 服务出现大规模中断,导致用户无法访问其应用程序和网站,影响了众多依赖该服务的澳大利亚人。Centrelink 作为 Services Australia 旗下的重要机构,负责提供政府付款和社会保障服务。这次中断引发了用户的不满和困惑,尤其是在 X(前称Twitter)等社交媒体上,用户纷纷讨论登录问题及服务中断的影响。myGov 官方账户确认了 Centrelink 的服务问题,并提醒用户不要回应任何要求提供个人信息或登录凭证的可疑电子邮件或短信,以防诈骗。官方表示正在紧急调查中断原因,但尚未提供详细的解决时间或原因说明。此外,myGov 近期还举办了“诈骗意识周”,提醒用户警惕网络钓鱼和诈骗。
来源:THE CYBER EXPRESS
● 新规下的AI发展:美国设立300Gbps门槛以保障国家安全
美国商务部根据2023年行政命令,对人工智能开发者和提供训练基础设施的公司提出了新的报告要求,目的是确保AI的安全开发与使用。新规要求开发需要超过1026次运算的AI模型或使用生物序列并超过1023次运算的模型的开发者提交详细报告,涵盖模型能力、信息安全措施及网络攻击抵御能力。此外,计算集群在训练过程中超过300Gbps网络吞吐量或每秒超过1020次运算的基础设施运营商也需按季度报告性能。这一新规则的实施旨在防止强大AI模型被用于网络犯罪或大规模杀伤性武器开发。尽管新门槛仅对少数大型企业有直接影响,但其目的是在快速发展的AI领域中平衡创新与安全,确保技术不会对国家安全构成威胁。
来源:SecurityLab.ru
● 俄罗斯企业和FSTEC合作制定匿名数据保护标准
俄罗斯大数据协会(BDA)与俄罗斯联邦安全技术监管局(FSTEC)正在讨论制定保护匿名数据的国家标准,以降低处理个人数据时去匿名化的风险。BDA包括Sberbank、Yandex、VK等公司,已向FSTEC提交了关于提高数据保密性的初步国家标准提案。提案建议记录数据处理和交换技术,并描述各类技术的风险评估方法。去匿名化风险指从匿名数据集中获取个人信息的可能性,如数据匹配或根据独特特征识别个人。BDA开发的风险评估模型考虑了所有这些威胁。FSTEC尚未对此发表评论,但ANO“数字经济”强调了讨论问题的重要性,并指出相关法规应根据8月8日签署的联邦个人数据法制定。该法律修订了个人数据的去个性化、处理和流通规则,要求数据运营商应数字发展部要求对数据进行匿名处理并传输至国家信息系统,数字发展部负责确保数据机密性。这一系列措施旨在提高数据安全性,帮助政府机构做出更有效的决策。
来源:SecurityLab.ru
● 美国能源部征求公众意见以推进人工智能技术发展
美国能源部正在寻求公众意见,以支持其“科学、安全和技术人工智能前沿”(FASST)计划,该计划旨在利用人工智能技术造福公众。通过FASST,能源部将利用其17个国家实验室的资源,为应用能源开发和其他科学应用创建先进的人工智能模型。该部门将在《联邦公报》上发布信息请求,收集公众对合作开发和实施FASST四大支柱的意见,包括人工智能就绪数据、计算基础设施、安全可靠的人工智能模型和系统以及人工智能应用程序。此外,能源部还启动了“科学人工智能进步”计划,将为45个项目提供6800万美元资金,以开发可能加强科学编程和实验室自动化的人工智能基础模型。公众意见的提交截止日期为11月11日。
来源:网空闲话plus
