2024年第47周安全周报 | 本周安全要闻速览
● 四部委发布商用密码进口许可和出口管制清单
11月15日,商务部、工业和信息化部、海关总署和国家密码局发布公告2024年第51号(关于发布《中华人民共和国两用物项出口管制清单》的公告)。公告显示,根据《中华人民共和国出口管制法》《中华人民共和国两用物项出口管制条例》有关规定,现公布《中华人民共和国两用物项出口管制清单》,自2024年12月1日起实施。同日,商务部、海关总署公告2003年第5号(《关于对磷酸三丁酯实施临时出口管制的公告》)等11个公告废止;商务部、国家密码局、海关总署公告2020年第63号(《关于发布商用密码进口许可清单、出口管制清单和相关管理措施的公告》)所附《商用密码出口管制清单》及商用密码出口许可程序相关内容不再适用。
来源:海关总署
● 国家网信办发布《移动互联网未成年人模式建设指南》
为进一步强化未成年人网络保护,充分发挥未成年人模式在防范网络沉迷、优化内容建设方面的积极作用,营造更加健康安全的网络环境,根据《中华人民共和国未成年人保护法》《未成年人网络保护条例》,近日,国家互联网信息办公室发布了《移动互联网未成年人模式建设指南》(以下简称《指南》)。《指南》提出未成年人模式建设的整体方案,鼓励和支持移动智能终端、应用程序和应用程序分发平台等,共同参与未成年人模式建设,将分散的功能集成化,将分段保护一体化,筑牢未成年人网络保护的“三重防线”。《指南》共7章,细化不同主体的具体建设任务,统一“三方联动”“一键启动”等技术标准,为企业履行未成年人网络保护义务提供指引。《指南》推出未成年人网络保护组合拳,创新未成年人模式保护措施,推动时间、内容、功能等“三大优化”。时间管理方面,未成年人模式允许用户对每日上网时长进行总量限制。内容建设方面,首次提出分龄推荐标准,优先展示适龄内容。功能安全方面,在保障使用需求的前提下,避免诱导沉迷的功能服务,提供诸多“个性定制”功能,实现便捷性和安全性双提升。
来源:中国网信网
● 《全球数据跨境流动合作倡议》发布
11月20日,中国国家互联网信息办公室提出了全球数据跨境流动合作倡议,旨在平衡技术创新与安全、经济发展与个人隐私保护的关系。倡议强调各国应秉持开放、包容、安全、合作、非歧视的原则,推动数据跨境流动规则形成共识。建议各国政府鼓励电子方式跨境传输数据,尊重数据跨境流动相关制度的差异性,支持不涉及国家安全、公共利益和个人隐私的数据自由流动。同时,倡议尊重各国依法采取的安全保护措施,保障非个人数据跨境安全有序流动,并保护个人隐私等个人信息权益。此外,倡议鼓励建立数据跨境流动管理负面清单,提高数据跨境流动管理措施的透明度、可预见性和非歧视性。同时,呼吁积极开展国际合作,支持发展中国家和最不发达国家有效参与和利用数据跨境流动,以促进数字经济增长。反对将数据问题泛安全化,禁止非法获取数据,共同打击数据领域跨境违法犯罪活动。该倡议呼吁各国、各地区通过双多边或地区协议、安排等形式呼应、确认上述倡议,并欢迎国际组织、企业、民间机构等各主体支持本倡议,共同推动数字红利惠及各国人民。
来源: 网信中国
● 《工业和信息化领域数据安全合规指引》联合发布
为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策要求,引导工业和信息化领域数据处理者规范开展数据处理活动,中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位组织编制了《工业和信息化领域数据安全合规指引》(简称《合规指引》)。各相关单位、企业在履行数据安全保护义务时可以参考使用,共同维护数据安全、促进行业健康发展。
来源:中国互联网协会
● 《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》发布
为落实《全球数据跨境流动合作倡议》,促进粤港澳大湾区个人信息跨境安全有序流动,全国网络安全标准化委员会秘书处联合香港私隐公署编制了《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》。本《实践指南》规定了粤港澳大湾区(内地、香港)个人信息处理者或者接收方,在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求,适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。
来源:BLEEPINGCOMPUTER
● 瑞典发布数字化备战指南,强调网络安全和心理建设
近日,瑞典政府向全国居民发布了新版危机与备战指南《如果危机或战争来临》,这是六年来该指南首次更新。面对全球地缘政治局势的紧张和网络攻击的威胁,该指南不仅涵盖传统的生存技巧,还特别增加了网络安全意识和心理建设的内容,顺应了现代危机管理的新潮流。新版备战指南直言当前的不确定性:“武装冲突、恐怖主义、网络攻击与虚假信息正威胁我们的社会。要抵御这些威胁,我们必须团结一致。”指南呼吁每位瑞典居民了解如何在危机或战争中行动,为保护国家独立尽一份力。瑞典的网络安全政策强调全民参与,此次备战指南的发布旨在向居民普及网络安全基本知识,并建议采取行动保护自身数字资产。
来源:GoUpSec
● 美全国水务系统存在大量漏洞,可致使上亿人供水中断
美国环保局(EPA)监察长办公室(OIG)日前发布报告称,美国有超过300个为约1.1亿人提供服务的饮用水系统存在安全漏洞,这些漏洞可能会导致服务中断。该部门在对1062个服务范围覆盖超过1.93亿人口的饮用水系统进行的被动安全评估中,四分之一的系统被发现存在可能遭受攻击的风险。这些攻击可能导致系统功能瘫痪、拒绝服务及客户信息泄露等问题。评估涉及五个网络安全领域:电子邮件安全、IT卫生、漏洞管理、对抗性威胁,以及恶意活动。根据潜在影响,发现的问题被划分为从“严重”到“低级”的不同等级。OIG报告指出,截至2024年10月,在被评估的供水系统中,有97个存在“严重”或“高危”的安全问题,这些系统共为约2700万人提供饮用水服务。此外,有211个饮用水系统存在“中级”或“低级”严重性的安全隐患,这些系统为约8300万人提供服务。这些问题主要集中在外部可见的开放端口上。
来源:安全内参
● 俄罗斯法院成立信息安全部门应对网络威胁
在国家自动化系统“司法”因黑客攻击导致大规模故障后,俄罗斯最高法院司法部门决定成立专门的信息安全部门,以加强网络安全防护。该部门将负责预防未来的黑客攻击和其他数字事件,此举是对数字化大趋势的响应。最高法院司法部总经理弗拉迪斯拉夫·伊万诺夫宣布,除了成立信息安全部门外,还计划在各地区扩大人员规模以更有效地应对类似情况。此前,由于10月7日的黑客攻击,包括联邦法院、治安法官的网站以及司法部门的官方资源在内的多个网站停止工作,影响了电子司法服务的正常运行。亲乌克兰的黑客组织BO Team声称对此次攻击负责。目前,大多数法院网站已恢复运行,预计系统将完全恢复。专家们认为,成立专门的网络部门是对黑客活动增加的正确反应,并且是一个积极的步骤。数字化可以提高司法系统的效率和信息可用性,但也需要更多的专业人才来应对技术挑战。
来源:网空闲话plus
● 美国问责局建议成立新机构以统一公民数据保护措施
美国政府问责局(GAO)发布报告,建议国会设立新的联邦机构,以统一指导和推动政府部门在使用个人数据时保护公民的民权与自由。这项建议源于GAO对24个联邦机构的调查,发现各机构在数据保护上做法不一,其中8个机构在相关政策中完全未涵盖民权或自由保障。报告指出,人脸识别、人工智能等技术使个人数据处理量激增,但现行法律和指导缺乏全面性,难以应对敏感数据使用带来的系统性风险和技术歧视问题。仅7个机构指定专人监督公民自由保障,另有12个机构表示因技术复杂性面临挑战,11个机构反映技术能力不足。GAO强调,当前联邦法律对新兴技术中的数据使用及潜在偏见风险未提供明确规范,容易导致数据被不当收集或使用,侵犯公民权益。报告建议,国会应明确赋予新机构技术和政策决策权,或亲自制定相关规定,以消除技术误识别和种族偏见等隐患。报告还警示人脸识别技术可能被滥用于限制言论自由,如在抗议场所监控人群,并呼吁加强对数据安全和技术歧视的系统性治理。
来源:Fedscoop
● 美国CISA和ODNI发布指导意见保护美国关键基础设施免受外国威胁
在国家关键基础设施安全和恢复力月之际,美国网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)发布了指导意见,旨在帮助关键基础设施所有者和运营商发现并缓解外国情报机构对美国关键基础设施的破坏行为。指导意见指出,美国的对手及其外国情报实体(FIE)了解关键基础设施部门的重要性,并可能通过降级这些部门来阻碍国家在危机或战争中的反应。FIE通过多种方式攻击美国关键基础设施,包括研究收集目标、利用网络、利用已知和零日漏洞、进行物理侦察、雇佣内部人员和通过战略投资确保访问权,以及通过嵌入恶意硬件、固件和软件破坏供应链。这些活动可能影响美国的国家和经济安全以及公共健康和安全,包括在紧急情况和灾难恢复期间。指导意见强调了观察和报告这些迹象的重要性,并提供了一系列的企业安全措施,包括识别关键资产、实施企业范围的安全态势、制定应急响应计划等,以保护关键基础设施免受威胁。
来源:Industrial Cyber
