2025年第2周安全周报 | 本周安全要闻速览
● 三部委联合印发《国家数据基础设施建设指引》
为贯彻落实党的二十届三中全会关于建设和运营国家数据基础设施,促进数据共享的部署要求,近日,国家发展改革委、国家数据局、工业和信息化部联合印发《国家数据基础设施建设指引》,阐述了国家数据基础设施概念内涵、发展愿景、总体功能、总体架构,从数据流通利用、算力底座、网络支撑、安全防护等四个方面指明具体建设方向。1、在安全防护方面,《指引》明确国家数据基础设施安全保障体系建设重点是构建多层次、全方位、立体化的国家数据基础设施安全保障框架,贯穿数据生命周期全流程,帮助各参与方提升数据安全保障能力,确保数据的可信性、完整性和安全性。2、在国家数据基础设施安全保障层面,实现可信接入、安全互联、跨域管控和全栈防护等安全管理,建立网络安全风险和威胁的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力,提供应对芯片、软件、硬件、协议等内置后门、漏洞安全威胁的内生防护能力。加强对合作伙伴、运维人员、平台用户等数据安全内部风险的防范应对。加强对入侵渗透、拒绝服务、数据窃取、勒索投毒等外部威胁的应急响应。3、在数据流通利用安全层面,综合利用隐私保护计算、区块链、数据使用控制等技术手段,保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等,规避数据隐私泄露、违规滥用等风险。加强算法、模型、数据的安全审计,增强模型鲁棒性和安全性,保证高价值、高敏感数据“可用不可见”“可控可计量”“可溯可审计”,确保贯穿数据全生命周期各环节安全。
来源:国家数据局
● 国家网信办:302款生成式人工智能服务完成备案
国家互联网信息办公室发布2024年生成式人工智能服务已备案信息的公告。公告指出,促进生成式人工智能服务创新发展和规范应用,2024年,网信部门会同有关部门按照《生成式人工智能服务管理暂行办法》要求,持续开展生成式人工智能服务备案工作。截至2024年12月31日,共302款生成式人工智能服务在国家网信办完成备案,其中2024年新增238款备案;对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,2024年共105款生成式人工智能应用或功能在地方网信办完成登记,现将相关信息予以公告。公告提示,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,可通过属地网信部门履行备案或登记程序。已上线的生成式人工智能应用或功能,应在显著位置或产品详情页面公示所使用已备案或登记生成式人工智能服务情况,注明模型名称、备案号或上线编号。
来源:网信中国
● 网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见
为促进个人信息高效便利安全跨境流动,规范个人信息出境个人信息保护认证工作,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法(征求意见稿)》,现向社会公开征求意见,意见反馈截止时间为2025年2月3日。
来源:网信中国
● 拜登政府即将发布第二份网络安全行政命令
美国总统拜登近日将签署任内第二份网络安全行政命令,寻求为联邦首席信息官和首席信息安全官提供更多要求和工具,指导联邦机构解决云安全、人工智能、访问管理、安全软件、后量子密码等广泛问题,以应对不断变化的网络安全威胁。该行政命令将强制要求民事机构执行美国网络安全和基础设施安全局(CISA)的持续访问能力(PAC)计划,从而使CISA能够关闭任何可能遭受攻击的网络或设备。新的行政命令将要求美国白宫行政管理和预算局在未来三年修订2016年版A-130号通告,使该通知更加注重采用现代网络安全实践。修订后的通告应:概述对机构网络安全信息共享和交换、体系可见性和机构首席信息安全官对体系范围网络安全计划责任的期望;在适当情况下减少关键领域的技术规定性,更明确地推动整个联邦系统采用不断发展的网络安全最佳实践,包括迁移到零信任架构和实施关键要素,如端点检测和响应功能、加密、网络分段和防网络钓鱼多因素身份验证;解决机构应如何识别、评估、应对和减轻因IT供应商和服务集中而对任务基本功能带来的风险。
来源: 奇安网情局
● 美国CISA发布自愿网络安全绩效目标,提升软件安全性
美国网络安全和基础设施安全局(CISA)于2025年1月7日发布了针对IT和产品设计领域的新自愿网络安全绩效目标。这些IT领域特定目标(SSGs)与“安全设计”原则相一致,旨在保护该领域免受网络事件的影响,助力在产品发布前识别和解决漏洞,改善事件响应,并显著提升软件安全性。CISA与IT领域协调委员会(IT SCC)进行了广泛合作,开发了这些目标。尽管这些目标专门针对IT领域,但它们为所有关键基础设施领域的软件和产品开发者提供了应重点关注的最低基础实践。CISA鼓励产品开发者采纳这些SSGs,以显著提升软件产品的网络安全态势,推荐的行动包括:1、将所有软件开发环境逻辑上分隔,使用网络分段和访问控制等措施;2、定期记录、监控和审查用于授权和访问的软件开发环境中的信任关系;3、要求使用多因素身份验证(MFA),理想情况下应为抗钓鱼的MFA,以访问所有软件开发环境;4、为跨软件开发环境使用的软件产品建立并执行安全要求;5、不要在源代码中存储敏感数据或凭据,而应以加密方式存储,例如使用秘密管理器;6、建立软件供应链风险管理程序。
来源:CISA
● 警惕!欧盟统一安全愿景或将破裂,安全合规面临碎片化风险
2025年本该是欧洲数字安全进入新纪元的第一年。然而,去年10月各成员国落实《网络与信息安全指令2》(NIS2)的最后期限已经过去,原本承诺的更统一、更具弹性的安全措施却显得遥不可及。《指令》的执行不仅未能带来凝聚力,反而因延误而被蒙上阴影。整个欧洲的成员国在合规方面的做法各不相同。本应打造统一安全态势的欧洲,如今却面临持续发酵的抵制情绪,这种局面正在考验监管机构、企业和投资者的耐心。如果欧盟不采取果断行动解决这些问题,这种拼凑式的做法不仅会削弱欧洲的整体安全态势,还可能损害其作为全球商业领先地区的声誉。2025年将成为NIS2的“清算之年”。欧盟必须确保所有成员国在合规上保持一致。现在是时候从成员国缺乏紧迫感中吸取教训,采用更务实、分阶段的合规方法,同时明确问责机制和透明度。将雄心转化为具体行动的时刻已经到来。
来源:The Stack
● 印度发布数据保护规则草案公开征求意见
印度政府于2025年1月3日发布了《数字个人数据保护法》的草案规则,并开放公众咨询至2025年2月18日。这些规则旨在为数据受托人(处理个人数据的实体)提供明确的指导,确保数据收集和使用的透明度。规则要求数据受托人在收集数据时向用户提供清晰的通知,说明数据用途,并获得用户的知情同意。此外,规则引入了“同意管理人”机制,以标准化用户的收集过程。数据受托人需在数据泄露后72小时内通知印度数据保护委员会,并采取加密、假名化等技术措施保护数据。对于未成年人数据的处理,规则要求获得父母或监护人的可验证同意。跨境数据传输将受到未来政府命令的约束。规则还要求重要数据受托人定期进行数据保护影响评估和审计。
来源:网空闲话plus
● 美国土安全部发布《公共部门生成式人工智能部署手册》
美国国土安全部(DHS)发布《公共部门生成人工智能部署手册》,旨在帮助联邦、州和地方政府官员负责任地使用生成式人工智能(GenAI)技术,以改善公共服务。该手册基于DHS试点项目的案例研究,展示了GenAI在加强调查线索、制定灾害缓解计划和创新移民官员培训中的应用。手册提供了公共部门组织推进GenAI使用的七类可行步骤,涵盖政策、技术和行政方面:开发增强任务的GenAI用例、建立联盟和促进有效治理、利用工具和基础设施、负责任和安全地使用AI、衡量进度和定义成功、培训员工和聘用技术人才,以及寻求用户反馈。例如,组织应将GenAI部署与优先任务相结合,并确定试点范围以改进特定流程。国土安全部部长Alejandro Mayorkas强调,安全利用GenAI潜力需要政府、行业、学术界和民间社会的合作,呼吁培育负责任、以使命为中心的创新文化。
来源:网空闲话plus
● 美国CISA通过KEV目录、CPG和PRNI计划增强网络安全弹性
美国网络安全和基础设施安全局(CISA)通过三项关键举措——已知利用漏洞(KEV)目录、网络安全绩效目标(CPG)和勒索软件前通知计划(PRNI),显著提升了关键基础设施的网络安全弹性。KEV目录帮助组织优先修复被利用的漏洞,FCEB机构已修复超过1200万个漏洞。CPG为关键基础设施部门提供可操作的网络安全基准,特别关注中小企业的资源限制。PRNI通过早期预警系统,成功阻止了154家医疗机构的勒索软件攻击,节省了数百万美元成本。CISA执行助理主任Jeff Greene强调,这些举措通过促进公共和私营部门的合作,推动了主动防御和资源高效解决方案的实施。未来,KEV目录、CPG和PRNI将继续作为应对复杂网络威胁的蓝图,增强全球网络弹性。
来源:Industrialcyber
● 英国政府投资190万英镑推动网络安全本地化项目
英国政府宣布投资190万英镑(约230万美元)支持英格兰和北爱尔兰的30个“网络本地”项目,旨在提升网络安全技能并保护数字经济。这些项目覆盖北爱尔兰、中部地区、约克郡和亨伯等多个地区,重点包括增强企业网络防御能力、支持神经多样性人才、提升小企业员工技能,以及帮助妇女和女童应对网络暴力。英国国家网络安全中心(NCSC)表示,这些举措将帮助英国成为最安全的在线生活和工作场所。尽管英国网络安全行业年收入达119亿英镑,但网络劳动力缺口每年增长27%,预计2024年将达到9.3万人。专家认为,尽管投资规模有限,但这是解决地区间网络安全技能分布不均的重要一步。
来源:Infosecurity-magazin
