2024年第49周安全周报 | 本周安全要闻速览
● 2项网络安全国家标准获批发布
根据2024年11月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第29号),全国网络安全标准化技术委员会归口的2项国家标准正式发布。
来源:全国网络安全标准化技术委员会
● 《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见
日前,全国网络安全标准化技术委员会归口的《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》和《信息技术 安全技术 网络安全 第6部分:无线网络访问安全》2项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化委员会秘书处特将该2项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2025年1月31日24:00前反馈。
来源:全国网络安全标准化技术委员会
● 四大行业协会同日发布安全提示声明:审慎采购美国芯片
美国政府日前发布了对华半导体出口管制措施。该措施进一步加严对半导体制造设备、存储芯片等物项的对华出口管制,并将136家中国实体增列至出口管制实体清单,还拓展长臂管辖,对中国与第三国贸易横加干涉,是典型的经济胁迫行为和非市场做法。12月3日,中国互联网协会、中国汽车工业协会、中国半导体行业协会、中国通信企业协会分别发布安全提示声明,呼吁或建议国内企业审慎选择采购美国芯片。中国半导体行业协会声明称,在全球经济一体化的今天,美国的单边主义行为不仅损害了中美两国企业的利益,也极大增加了全球半导体供应链成本。随着美国出口管制措施不断加码,其反噬效应也在持续扩大,美国对华管制措施的随意性对美国企业也造成了供应链中断、运营成本上升等影响,影响了美国芯片产品的稳定供应,美国芯片产品不再安全、不再可靠,中国相关行业需谨慎采购美国芯片。中国汽车工业协会声明称,美国政府随意修改管制规则,严重影响了美国芯片产品的稳定供应,中国汽车行业对采购美国企业芯片产品的信任和信心正在被动摇,美国汽车芯片产品不再可靠、不再安全。为保障汽车产业链、供应链安全稳定,协会建议中国汽车企业谨慎采购美国芯片。中国互联网协会发布声明称,为确保我国互联网产业安全、稳定、可持续发展,我会呼吁国内企业主动采取应对措施,审慎选择采购美国芯片,寻求扩大与其他国家和地区芯片企业的合作,并积极使用内外资企业在华生产制造的芯片。中国通信企业声明称,美国政府此举既严重破坏了国际贸易规则,又给中国信息通信行业的产业链、供应链安全稳定带来实质性损害。中国信息通信业对于采购美国企业芯片产品的信任和信心已经动摇,认为美国芯片产品不再可靠,不再安全,呼吁政府开展关键信息基础设施供应链安全调查,采取有力措施,保障关键信息基础设施安全稳定运行。
来源:中国证券报
● 欧洲理事会通过新法案加强网络安全
欧洲理事会通过两项关于网络安全的法案,旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。这两项法律分别为《网络团结法案》和《网络安全法案》修正案,属于欧盟网络安全立法“一揽子计划”的一部分。欧洲理事会发表声明说,《网络团结法案》构建了欧盟在应对网络威胁方面的能力,同时加强了合作机制。例如,欧盟将建立一个由国家和跨境网络中心组成的“网络安全警报系统”,以实现信息共享、检测并应对网络威胁。该法案还提出建立网络安全应急机制,以提高欧盟的突发事件响应能力。《网络安全法案》修正案承认托管安全服务在预防、检测、响应和恢复网络安全事件方面的重要性日益增加,该修正案将有助于提高托管安全服务的质量,培养值得信赖的网络安全服务商。声明介绍,两项新法案经欧洲理事会主席和欧洲议会议长签署后,将于未来几周内在欧盟官方刊物上公布,并于公布20天后生效。
来源:新华网
● 澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付
近日,澳大利亚议会通过了新的《网络安全法》,其中最关键的条款之一是要求组织机构在向黑客支付勒索款项后72小时内进行报告。这一变化旨在提高澳大利亚的网络弹性,震慑网络犯罪分子,同时确保企业对其行为负责。根据新法,除小型企业外,所有公司在支付任何勒索软件赎金后,无论金额大小,都必须向澳大利亚信号局(ASD)报告。这一举措将帮助ASD监控勒索软件趋势,评估潜在的国家安全威胁,并协助执法部门追踪网络犯罪分子。值得注意的是,法律特别指出,虽然不鼓励向网络犯罪分子付款,但在特殊情况下,支付赎金可能是合理的。除了报告勒索支付外,该法还引入了智能设备新安全标准。物联网设备制造商将被要求满足新的安全标准,包括安全的默认设置、每台设备的唯一密码和敏感数据加密。此外,法案还设立了网络事件审查委员会,负责审查影响国家安全或公共福利的重大网络事件。《网络安全法》还扩大了《关键基础设施安全法》(2018年)的范围,将与关键基础设施相关的数据系统纳入其中。这一变化赋予了监管机构更多权力,以评估和解决可能影响国家安全或公共安全的漏洞。
来源:The Cyber Express
● 美国CISA发布更新版TIC 3.0安全能力目录3.2
美国网络安全和基础设施安全局(CISA)发布了更新版的可信互联网连接(TIC)3.0安全能力目录(SCC)3.2版本。新版本纳入了国家标准与技术研究院(NIST)网络安全框架(CSF)2.0的更新,为联邦机构提供了加强网络安全和确保合规性的重要工具。TIC 3.0 SCC提供了一套全面的可部署安全控制措施、能力和最佳实践,帮助联邦机构实施安全的网络环境。目录与NIST CSF的核心功能(治理、识别、保护、检测、响应和恢复)保持一致,确保目录内的安全控制和能力与风险管理、事件检测和威胁响应的最佳实践保持一致。TIC 3.0的目标是管理流量、保护流量的机密性和完整性、确保服务弹性和有效响应。这些目标旨在与NIST CSF的功能保持一致,确保TIC 3.0为保护联邦网络提供全面的方法。SCC分为通用安全能力和策略执行点(PEP)安全能力两大部分,对于保护联邦网络和管理网络安全风险至关重要。
来源:The Cyber Express
● 马来西亚加强网络法律以应对数字时代挑战
马来西亚部长法赫米·法齐尔提出两项重要立法,旨在加强网络安全法律框架,应对网络骚扰和网络犯罪威胁。这两项立法是《2024年通信和多媒体(修正案)法案》和《2024年马来西亚通信和多媒体委员会(MCMC)(修正案)法案》。修正案旨在更新马来西亚网络法律,以适应现代数字时代的挑战,确保马来西亚在保护公民免受网络犯罪和网络滥用的同时,保持数字创新的前沿地位。关键条款包括扩大第233条的范围,涵盖网络骚扰和个人欺诈等罪行,以及新增第233a条,将发送未经请求的商业电子信息定为犯罪。此外,MCMC法案的修正案扩大了委员会在监督数字基础设施方面的作用,并提高了合同价值上限,简化MCMC的运作。这些修正案预计将在本届国会期间获得通过,并在2024年1月17日生效,对马来西亚数字化未来具有重要意义。
来源:The Cyber Express
● 美国CISA发布网络监控指南,加强通信基础设施安全
美国网络安全和基础设施安全局(CISA)发布了新的网络监控指南,旨在增强通信基础设施的可视性与安全性。这项举措由CISA联合国家安全局(NSA)、联邦调查局(FBI)及国际合作伙伴共同制定,回应与某国相关的网络间谍活动,这些行为者已成功渗透全球主要电信提供商的网络。该指南名为“通信基础设施的增强可视性和强化指南”,提供了全面的最佳实践,主要面向网络工程师和通信基础设施保护者,但也适用于企业内部设备运营组织。关键措施包括:提高网络流量和用户活动的可见性,设备强化(如禁用未使用的协议、管理密码和管理连接的安全)、及时更新设备并加强日志记录。此外,指南强调实施强加密协议,并提供了针对思科操作系统的具体强化措施,这一操作系统正是此次攻击的目标。CISA和NSA的专家指出,及时修补已知漏洞并保持警惕对防止网络威胁至关重要。通过实施这些措施,组织能够显著提升其网络安全防护能力,有效应对复杂的网络威胁。
来源:The Record
● 强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南
美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局(FBI)于2024年12月3日联合多国安全机构发布了《增强通信基础设施可见性和加固指南》。该指南重点提供了三个方面的建议:快速识别异常行为、漏洞和威胁的方法;应对网络事件的响应措施;以及减少现有漏洞、改进安全配置习惯和限制潜在入侵点的具体做法。CISA网络安全执行助理主任Jeff Greene表示,该指南将帮助电信和其他组织检测和预防网络入侵。他同时呼吁软件制造商在开发过程中融入"安全设计"原则,以增强客户的安全态势。FBI网络部门助理主任Bryan Vorndran则指出,针对商业电信供应商的攻击旨在窃取敏感数据并从事网络间谍活动。FBI与合作机构共同制定了这份指南,以增强网络防御者的可见性,加固设备防护能力。
来源:美国政府官方网站
● 欧盟网络安全局发布《2024年欧盟网络安全状况报告》
ENISA在12月3日发布的首份《联盟网络安全状况报告》中表示,2023年7月至2024年6月期间欧盟面临的网络威胁级别为“相当高”。这意味着,欧盟实体很可能在报告期内直接成为威胁行为者的攻击目标,或可能通过最近发现的漏洞遭受攻击。ENISA表示,报告期内网络攻击明显升级,攻击种类、数量及后果均创下新高。此外,未来网络攻击可能会对重要实体或欧盟机构、团体和机构(EUIBA)造成严重破坏。报告指出,随着地缘政治和经济紧张局势加剧,网络战不断升级,间谍、破坏和虚假宣传活动成为各国操纵事件和获得战略优势的关键工具。该文件是ENISA与NIS合作小组和欧盟委员会根据(EU)2022/2555指令(以下简称NIS2)第18条合作通过的首份欧盟网络安全状况报告。该报告旨在为欧盟层面的政策制定者提供欧盟、国家和社会层面网络安全状况和能力的基于证据的概述,并提出政策建议,以解决已发现的缺陷并提高整个联盟的网络安全水平。
来源:网空闲话plus
