2024年第41周安全周报 | 本周安全要闻速览
● 国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》
近日,国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》。《建设指南》深入贯彻落实习近平总书记关于数据发展和安全的重要论述精神,以数据“供得出、流得动、用得好、保安全”为指引,从基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障等7个部分,加快构建数据标准体系,全面指导数据标准化工作开展,为制修订数据领域相关标准提供了重要指引,有利于充分发挥数据标准体系在激活数据要素潜能、建设数据产业生态、做强做优做大数字经济、培育和发展新质生产力等方面的引领和规范作用。并提出计划到2026年底,基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30多项数据领域基础通用国家标准,形成一批标准应用示范案例,建成标准验证和应用服务平台,培育一批具备数据管理能力评估、数据评价、数据服务能力评估、公共数据授权运营绩效评估等能力的第三方标准化服务机构。
来源:国家数据局
● 《网络数据安全管理条例》正式公布,2025年1月1日起施行
国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容: 一是提出网络数据安全管理总体要求和一般规定。二是细化个人信息保护规定。三是完善重要数据安全制度。四是优化网络数据跨境安全管理规定。五是明确网络平台服务提供者义务。
来源:网信中国
● 9项网络安全国家标准获批发布,2025年4月1日起施
根据2024年9月29日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第22号),全国网络安全标准化技术委员会归口的9项国家标准日前正式发布。
来源:全国网络安全标准化技术委员会
● 《网络安全技术 抗拒绝服务攻击产品技术规范》等15项网络安全国家标准公开征求意见
全国网络安全标准化技术委员会归口的《网络安全技术 抗拒绝服务攻击产品技术规范》等15项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化技术委员会秘书处通过网安标委官方网站将该15项标准征求意见稿面向社会公开征求意见。如有意见或建议可于2024年11月29日24:00前反馈。
来源:全国网络安全标准化技术委员会
● 三项工业互联网企业网络安全国家标准发布
国家市场监督管理总局(国家标准化管理委员会)发布2024年第22号中国国家标准公告,批准由全国通信标准化技术委员会归口的《工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求》(GB/T 44462.1-2024)、《工业互联网企业网络安全 第2部分:平台企业防护要求》(GB/T 44462.2-2024)、《工业互联网企业网络安全 第3部分:标识解析企业防护要求》(GB/T 44462.3-2024)三项工业互联网企业网络安全国家标准发布。当前,工业互联网已进入规模化发展阶段,促进了数字经济和实体经济深度融合,网络安全风险加速由网络空间向现实世界蔓延,工业互联网安全事关工业运行和生产安全、产业链供应链安全、经济社会稳定运行。工业互联网企业数量众多、信息化发展程度不同、安全保护规律相异,为解决现有网络安全防护要求无法满足工业互联网企业发展实际需求的问题,需实施工业互联网安全分类分级管理并编制相关标准。本批发布的3项工业互联网企业网络安全国家标准聚焦三类工业互联网企业网络安全防护需求,提出不同级别企业的网络安全防护要求,为企业实施工业互联网安全分类分级管理工作提供指导,服务行业企业网络安全体系建设和能力提升。
来源: 中国通信标准化协会
● 美国水务巨头遭网络攻击:水计费系统瘫痪,上千万人无法处理账单
美国水务公司(American Water Works)昨天10月7日发布声明,表示其供水和废水设施未受到上周开始的网络攻击影响。该公司昨天向美国证券交易委员会(SEC)提交了相关文件,向公众通报此事件。公司管理层在其网站上警告,由于为遏制此次攻击采取了措施,客户目前无法访问用于管理个人账户和支付水费的门户网站。根据公司网站上的公告,目前公司的MyWater账户系统已瘫痪,所有客户预约的服务将被重新安排。此外,所有账单处理已暂停,直至另行通知。但是,系统恢复上线之前,不会产生逾期费用或停止服务。公司的呼叫中心也已无法正常运作。
来源:The Record
● 加纳发布国家网络安全政策以应对数字化转型中的网络威胁
加纳在阿克拉启动了国家网络安全政策和战略 (NCPS),这是加纳应对快速数字化过程中日益严峻的网络安全威胁的重要举措。通信和数字化部长Ursula Owusu-Ekufu 强调,修订后的政策旨在保护国家的数字基础设施,并为未来五年内的数字成就提供保障。NCPS建立在法律、技术、组织、能力建设和合作五大支柱上,旨在增强ICT生态系统的信心和安全性,并与国际电信联盟的全球网络安全议程相一致。该政策通过多方协作,致力于保护关键数字基础设施,打击网络犯罪,发展国家网络安全能力。Owusu-Ekuful强调,随着社会经济越来越依赖数字网络,网络威胁的全球性不容忽视,加纳也难以幸免。网络安全局(CSA)作为主要实施机构,承担推动政策执行的责任,并强调公共和私营部门共同参与应对挑战。CSA总干事Albert Antwi-Boasiako博士对该政策的前景充满信心,认为它将为加纳在数字时代奠定坚实基础。
来源:网空闲话plus
● 乌克兰国防部成立军事CERT以抵御网络攻击
乌克兰国防部建立了一个新的事件响应中心,专门用于防御包括俄罗斯在内的网络攻击,特别是保护其军事和通信网络。此前,国防部已有专门的网络安全团队,但新成立的军事CERT将扩大其网络防御职责。乌克兰国防部负责数字化的副部长卡捷琳娜·切尔诺霍连科表示,组建这个团队是她上任以来的重点任务之一,并且一直在积极招募新专家。该中心将与乌克兰其他军事和民间网络机构合作,并与北约国家合作应对联合网络威胁。乌克兰的军事和国防企业经常成为与俄罗斯有联系的黑客攻击的目标。
来源:The Record
● 澳大利亚将发布首部独立的网络安全法案
澳大利亚提交了一项具有里程碑意义的《2024年网络安全法案》,若通过,澳大利亚将成为首个要求公司强制报告勒索软件付款的国家。该法案旨在应对近年来包括Optus、Medibank等公司遭受的网络攻击,并作为2022年国家网络安全战略的一部分,计划耗资5.87亿澳元防范勒索软件攻击。法案规定,企业在支付勒索款后必须在73小时内报告,否则将面临民事处罚。此外,该法案还引入了智能设备安全标准、支持政府与工业信息共享及设立网络事件审查委员会等措施,力求增强网络安全防护。澳大利亚政府强调,强制报告将提供对勒索软件攻击的更全面理解,进而有效遏制网络犯罪。
来源:The Record
● 欧盟通过《网络弹性法案》加强联网设备网络安全
欧盟理事会正式通过了《网络弹性法案》(CRA),为含有数字元素的产品引入统一的网络安全要求。该法案适用于所有直接或间接联网的设备,包括智能门铃、婴儿监视器等物联网产品,旨在确保整个供应链及其生命周期内的产品安全,避免成员国立法重复。法案规定,硬件和软件产品在设计、开发和生产时需符合网络安全标准,并加贴CE标志以证明合规。CE标志在欧洲经济区内广泛应用,表明产品已满足安全、健康和环境保护标准。法案还针对已有规定网络安全要求的设备,如医疗器械和航空产品,做出部分例外安排。该法规将在未来几周内正式公布,并在公告发布20天后生效。
来源:InfoSecurity Magazine
