2024年第43周安全周报 | 本周安全要闻速览
● 国家数据局就《可信数据空间发展行动计划(2024—2028年)》公开征求意见
为贯彻落实党的二十届三中全会决策部署,引导和支持可信数据空间发展,促进数据要素合规高效流通使用,加快构建以数据为关键要素的数字经济,国家数据局研究起草了《可信数据空间发展行动计划(2024—2028年)》,现向社会公开征求意见。此次征求意见的时间是2024年10月18日至10月27日。
来源:国家数据局
● 国家数据局《数据领域名词解释》公开征求意见
为进一步凝聚共识,推动社会各界对数据领域术语形成统一认识,现就《数据领域名词解释》向社会公开征求意见。此次征求意见的时间是2024年10月21日至11月20日。涉及数据领域名词解释的名词有:数据、原始数据、数据资源、数据要素、数据资产、数据产品、数据要素市场化配置、数据处理、数据处理者、受托数据处理者、数据流通、数据交易、数据交互、数据治理、数据安全、公共数据、数字产业化、产业数字化、数字经济高质量发展、数字消费、产业互联网、城市全域数字化转型、“东数西算”工程、高速数据网、全国一体化算力网、元数据、结构化数据、半结构化数据、非结构化数据、数据分析、数据挖掘、数据可视化、.数据仓库、数据湖、湖仓一体、隐私计算、多方安全计算、联邦学习、可信执行环境、密态计算、区块链等41个。
来源: 国家数据局
● 《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文件印发
为了落实全国网络安全标准化技术委员会2024年度工作要点,网安标委秘书处组织对《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》、《全国网络安全标准化技术委员会标准参与单位管理办法》等2项委员会制度文件进行了修订。日前,文件正式印发,相关标准工作组及成员单位需认真遵照执行。
来源:全国网络安全标准化技术委员会
● 澳大利亚发布首份商业AI产品使用隐私指南
澳大利亚信息专员办公室(OAIC)于10月21日正式发布了首份商用AI产品使用的指南规范。该规范详细解释了企业在现成的AI产品(聊天机器人、生产力工具和图像生成器等)中使用个人信息时应尽的义务。文件概述了针对AI产品部署生命周期中的几个关键考量因素的最佳实践,包括AI产品的选择、使用AI产品时遵循隐私设计原则、使用AI产品时的透明度要求,以及使用AI时的数据隐私和准确性风险。对于使用AI的组织,该规范提出了五大隐私保护建议:1、明确了隐私保护要求适用于输入到AI系统中的任何个人信息,以及AI生成的任何个人信息输出数据。2、企业应更新隐私政策和通知,阐明AI使用方面的信息,确保任何面向公众的AI工具在对外用户(如客户)中明确标识。3、用于生成或推断个人信息的AI系统被认为是在收集个人信息,必须遵守澳大利亚隐私原则指导方针的相关要求。4、组织应尽量减少在面向公众的AI工具中输入个人和敏感信息。5、如果个人信息被输入到AI系统中,实体仅可在收集信息的主要目的下使用或披露该信息,除非获得同意或能够证明次要用途是个体合理预期的,并且与主要目的相关。
来源:Infosecurity Magazine
● 美国网络司令部面临改革,拟推“网络司令部2.0”
美国网络司令部为应对未来威胁,启动“网络司令部2.0”计划,旨在通过改进与工业界的合作,建立创新中心、组建人才管理工作组和新的部队生成模式等来加强战备。立法者对该司令部的战备水平和人才短缺问题感到担忧,推动其改革。审查报告包括五项核心建议,其中创新中心的设立最具约束力,将加强尖端网络技术的应用。而新的部队生成模式将让不同军种专注于各自的数字领域特长,如陆军专注云安全、海军处理射频网络攻击等。改革还提出高级网络培训和优化司令部与私营部门的合作,以应对中国和俄罗斯的竞争。目前这些建议是否能满足国会要求尚不确定,但改革已引起广泛关注。
来源:The Record
● 英国政府考虑全面措施以应对网络威胁
英国安全国务大臣丹·贾维斯在伦敦的一次会议上表示,英国政府正在考虑“所有选项”来加强对网络威胁的应对。这包括可能改革被认为已过时的《计算机滥用法案》,该法案使网络防御者在进行合法的网络安全活动时面临额外法律风险。贾维斯强调,网络攻击对英国组织造成了“重大损害”,并破坏了企业和生命。他提到,政府正在审查面临的威胁,并解决勒索软件等优先网络威胁。贾维斯还提到,英国情报机构正与国际合作伙伴一起,揭露和打击其他国家的恶意网络活动,特别是俄罗斯和中国的网络攻击。他警告说,俄罗斯利用勒索软件和其他网络攻击牟利,而中国则与多起引人注目的网络攻击事件有关。贾维斯表示,英国不会容忍俄罗斯的网络干扰,并将继续与国际伙伴合作,揭露网络侵略行为,并要求克里姆林宫为其恶意行为负责。英国政府也在与中国接触,希望网络空间成为更安全的商业和消费环境。
来源:The Record
● 美国CISA颁布史上最严数据安全规定
近日,美国网络安全与基础设施安全局(CISA)宣布了一项史无前例的,极为严苛的数据安全规定,旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的(科技)企业,特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。通过这一提案,CISA希望提升相关行业的数据安全标准,防止“重点关注国家”或个体通过技术手段获取美国的关键数据。CISA的新规标志着美国在数据安全领域的重大政策升级。这项新规不仅仅是针对美国企业的内部安全管理提升,也将对与美国有业务关联的全球企业带来深远的影响,尤其针对国家安全的考量使得中国企业面临前所未有的挑战。为了在中美紧张局势中继续保持业务连续性,中国企业必须加快在数据隐私和安全方面的技术投资,确保合规性,同时评估潜在的跨境业务风险。
来源:GoUpSec
● 英国新数据保护法案旨在促进经济增长
国政府向议会提交了新的《数据使用和访问法案》,预计该法案将在未来十年内为英国经济带来高达100亿英镑的增长。该法案提出了对英国隐私制度的改革,以适应数字经济的发展。改革内容包括简化数据共享流程,提高公共服务效率,以及支持数字身份服务和国家地下资产登记册的建立。政府预计,通过减少官僚主义和提高数据质量,可以节省大量成本,例如在警务和国家医疗服务体系(NHS)中。此外,法案还计划加强数据保护监管机构的权力,以提高其调查和监管能力。尽管有担忧认为合规成本的增加可能削弱经济利益,但新法案被认为在维护高数据保护标准和推动必要改革之间取得了平衡。
来源:The Record
● 美国政府发布人工智能发展优势计划
拜登政府发布了首份关于人工智能的国家安全备忘录,旨在推动联邦机构更多采用人工智能技术,以保持美国在人工智能领域相对于中国等国家的优势。备忘录强调了保护先进计算硬件供应链、成立联邦人工智能安全研究所、为国家安全任务中的人工智能提供治理和风险管理指导,以及评估美国私营部门在人工智能发展方面的表现。政府官员表示,人工智能在国家安全方面有明确应用,包括网络安全和反情报等领域。此外,备忘录还提到了需要制定国际规范以反映民主价值观,并指导行动以追踪和打击对手为国家安全目的对人工智能的开发和使用。尽管面临数据使用、监管缺失等问题,政府官员认为联邦机构采用人工智能将有助于解决这些问题,并为未来的最佳实践提供指导
来源:The Record
● 美国政府宣布将采用TLP协议共享网络威胁信息
近日,美国联邦政府宣布将全面采用TLP协议来促进与网络安全社区和企业组织之间的网络威胁信息共享。这有利于加强政府与网络安全研究社区之间的信任,确保在不违反现有法律或政策的前提下,高效共享重要的威胁数据。美国国家网络中心主任表示,充分的信息共享是网络安全领域的基本要求。美国国家网络主任办公室(ONCD)致力于与合作伙伴协作,亟需明确指引以确保整个联邦政府能够全面、安全地处理威胁信息。TLP由美国国土安全部支持的事件响应和安全团队论坛(FIRST)开发并管理,是一种广泛使用的标记系统,用于指定数据、文件或其他通信的信息处理权限。虽然这些标准不具有法律约束力,但它们已成为业界广泛接受和实践的数据传播期望沟通方式。采用TLP协议的决定或有助于打破信息孤岛,促进跨部门、跨领域的威胁情报共享,最终提高整个国家应对网络威胁的能力。然而,实施过程中也将如何平衡信息共享与保密需求等挑战。
来源:Infosecurity Magazine
