2025年第1周安全周报 | 本周安全要闻速览
● 国家数据局等五部门印发《关于促进企业数据资源开发利用的意见》
为充分释放企业数据资源价值,构建以数据为关键要素的数字经济,近日,国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委印发了《关于促进企业数据资源开发利用的意见》)。《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发展理念,着力推动高质量发展,统筹数据发展和安全,以深化数据要素市场化配置改革为主线,以激发企业创新活力为关键,以健全企业数据权益实现机制为重点,充分发挥企业主体作用,分类推进企业数据资源开发利用,提升企业竞争力,赋能产业数字化转型,助力提升治理效能和公共服务能力,为培育新质生产力、推动高质量发展提供有力支撑。《意见》从健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等五个方面作出具体部署。下一步,国家数据局将会同相关部门,加强统筹协调和政策保障,协同各行业主管部门结合本领域实际,高质量推进企业数据资源开发利用。
来源:央视网
● 《工信部等三部门联合印发《制造业企业数字化转型实施指南》
为深入贯彻习近平总书记关于信息化和工业化深度融合的重要指示批示精神,落实党中央、国务院决策部署,工业和信息化部、国务院国有资产监督管理委员会、中华全国工商业联合会等三部门近日联合印发《制造业企业数字化转型实施指南》,加快新一代信息技术全方位全链条普及应用,加速产业模式和企业组织形态变革,系统提升企业数字化水平,不断培育新质生产力发展新动能。制造业数字化转型是当前阶段推进信息化和工业化深度融合的主要任务,企业是制造业数字化转型的主体。《指南》主要内容包括基本原则、分步实施、场景突破、分类推进、政策保障五个部分,涵盖企业实施数字化转型升级的目标导向、推进方法、关键切入口以及路径选择等一系列重要内容,为制造业企业运用数字技术转型升级提供通用参考。下一步,工业和信息化部将会同有关部门,加强《指南》宣贯培训,强化工具准备、选型实施、政策引导、标准规范、资金支持、人才培养等企业数字化转型服务保障,扎实推动《指南》落地见效,推进制造业数字化转型走深走实,为加快推进新型工业化、构建现代化产业体系注入强劲动力。
来源:工业和信息化部
● 国家发改委等六部门印发《关于促进数据产业高质量发展的指导意见》
为贯彻落实党中央、国务院决策部署,促进数据产业高质量发展,近日,国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发了《关于促进数据产业高质量发展的指导意见》。《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发展理念,统筹发展和安全,面向数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设,从加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、发展数据流通交易、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等八个方面部署了系列政策举措。下一步,国家发展改革委将加强统筹协调,会同相关部门,充分调动地方的积极性,发挥企业的主体作用,加快繁荣数据产业生态,发展壮大数据产业和培育一批具备国际竞争力的数据企业,为培育全国一体化数据市场提供有力支撑。
来源:国家发改委
● 国家金融监督管理总局发布《银行保险机构数据安全管理办法》
为规范银行业保险业数据处理活动,保障数据安全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益,金融监管总局近日制定《银行保险机构数据安全管理办法》,共9章81条,包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理、附则等:一是强化数据治理顶层设计。二是落实分类分级管理要求。三是强化数据安全管理体系。四是加强个人信息保护。五是完善风险监测处置机制。
来源:国家金融监督管理总局
● 数据安全保护不力,浙江某软件科技公司被公安机关行政处罚
近日,浙江台州公安机关工作中发现,浙江某软件科技公司受托搭建的数据库存在安全漏洞,数据库中承载的大量电子政务数据存在泄露风险。经查,该公司主要为政府部门提供软件开发、信息系统建设和运维等服务。在与台州当地部分政府部门合作期间,该公司未对受托维护、处理的电子政务数据履行应尽的数据安全保护义务,未依法建立全流程数据安全管理制度,导致电子政务数据存在严重泄露风险,相关行为违反了《中华人民共和国数据安全法》。台州公安机关依法对该公司和该公司负责人进行了行政罚款,并责令其依法依规履行数据安全保护义务。同时,依法约谈涉事政府部门相关负责人,通报委托处理电子政务数据活动中存在的安全问题,责令进一步加强数据安全管理和保护,严防数据泄露。
来源:浙江网警
● 联合国通过首个全球打击网络犯罪公约
联合国193个成员国经过五年谈判,通过了具有法律约束力的《网络犯罪公约》,这是全球首个针对网络犯罪的国际法律文书。该公约旨在加强打击网络犯罪的国际合作,提高对网络犯罪的响应速度和效率,保护数字和物理环境的安全。公约将规范电子证据的访问和交换,促进跨国犯罪的调查和起诉,并建立24/7运营的援助网络。此外,公约还是首个旨在保护儿童免受信息技术性暴力的全球协议,包括援助网络犯罪受害者的措施,鼓励提供恢复、补偿等支持。公约要求各国制定措施减少网络犯罪风险,包括培训、康复计划等。该公约将于2025年在越南河内举行的官方仪式上开放签署。
来源:人民网
● 印度尼西亚政府遭遇大规模数据泄露事件
印度尼西亚政府的区域金融管理信息系统(SIPKD)遭受黑客攻击,导致82GB的敏感数据被泄露。该系统由布洛拉县的地区收入、金融和资产管理机构(BPPKAD)运营。泄露的数据包括财务、管理和个人数据,涉及政府财务运作、税收、法律框架等敏感信息。黑客声称获取了活动数据库及其备份的访问权限,泄露的数据包括金融交易、政府雇员、纳税人信息等。此次泄露事件不仅暴露了个人和企业的敏感信息,还可能危及政府运营,引发身份盗窃、金融欺诈等安全问题。目前尚不清楚布洛拉县政府是否已采取措施应对此次事件,但这一事件凸显了加强网络安全基础设施和数据保护法规遵守的紧迫性。
来源:Gbhacker
● 白宫发布美国能源生态系统网络安全计划
国家网络总监办公室发布了《能源现代化网络安全实施计划》(EMCIP),该计划详细阐述了联邦政府为实现更安全的能源生态系统所采取的措施。白宫表示,EMCIP为美国下一代能源生产、输送和分配提供了路线图,需要政府和私营部门的紧密合作。计划包含32项举措,每项举措都由一个牵头机构管理,并有明确的完成期限。EMCIP旨在实现五项关键能源技术的网络安全弹性,包括将电池储能系统运营商纳入网络演习计划,制定指南提高联网逆变器和电力转换设备的网络安全态势,设计关键管理软件的测试程序,以及增强建筑能源管理系统和保障电动汽车及其充电基础设施的网络安全。该计划将通过12个联邦机构实施,与利益相关者合作并在执行过程中建立新的伙伴关系。
来源:ExecutiveGov
● AES标准扩展至256位块:NIST推动加密技术新发展
美国国家标准与技术研究院(NIST)提交了关于高级加密标准(AES)新变体的标准化提案,该提案将AES的数据块大小从128位扩展至256位,以适应处理大规模信息的需求增长。AES起源于Rijndael密码系列,原本使用128位数据块。NIST在公共研讨会和SP 800-38A评论中发现增加块大小的优势,并于2024年8月宣布探索批准具有256位数据块和单个256位密钥的Rijndael变体的可能性,计划一年内完成Rijndael-256标准草案。NIST特别关注安全分析和AES硬件支持下的性能问题,并正在征集有关Rijndael-256的分析和性能评论,截止日期为2025年6月25日。
来源:SecurityLab
● 美国提议新规则以增强医疗数据安全性
美国卫生与公众服务部(HHS)民权办公室(OCR)提出新的网络安全要求,旨在保护医疗机构在遭受网络攻击时患者的私人数据。这些新规则是在一系列重大网络攻击事件之后提出的,包括今年早些时候超过1亿联合健康患者信息泄露的事件。OCR的提案包括在大多数情况下强制医疗保健机构实施多因素身份验证,对网络进行分段以降低系统间传播风险,以及对患者数据进行加密,确保即使数据被盗也无法被访问。此外,提案还要求受监管团体进行风险分析,保存合规文件等。这些规则是拜登政府去年宣布的网络安全战略的一部分,一旦最终确定,将更新1996年《健康保险流通与责任法案》(HIPAA)的安全规则,该法案上次更新是在2013年。
来源:The Verge
