2025年第8周安全周报 | 本周安全要闻速览
● 《个人信息保护合规审计管理办法》发布,5月起施行
近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》,自2025年5月1日起施行。国家互联网信息办公室有关负责人表示,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定,《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。《办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。
来源:网信中国
● 《公共区域电子屏及相关播控系统安全管理要求》等3项地方标准公开征求意见
由上海市信息安全标准化技术委员会归口的《公共区域电子屏及相关播控系统安全管理要求》《多模态大模型安全评估指南》《生成式人工智能个人信息保护基本要求》3项地方标准现已形成标准征求意见稿。根据《上海市信息安全标准化技术委员会标准制修订工作程序》要求,现将该地方标准(征求意见稿)及编制说明予以公示,面向社会公开征求意见,期限为2025年2月20日至2025年3月19日。
来源: 上海市信息安全标准化技术委员会
● 美国会拟立法:将太空系统作为关基设施进行保护
美国国会共和党议员肯·卡尔弗特提出了一项法案,将太空系统、服务和技术列为美国关键基础设施的一部分。该法案名为《太空基础设施法案》(H.R. 1154),旨在确保太空资产的安全性与韧性。该法案由民主党议员刘云平(Ted Lieu)、萨鲁德·卡尔巴哈尔和共和党议员布赖恩·菲茨帕特里克共同发起。卡尔弗特和刘云平是国会航天小组的共同主席。卡尔弗特表示:“《太空基础设施法案》将美国的太空系统认定为关键基础设施,并采取必要措施加以保护。随着我们的经济和重要通信系统愈加依赖太空系统和服务的支持,我们必须采取切实行动,增强防护,防范潜在威胁。”官员表示,该法案要求国土安全部部长发布一份关于如何将太空系统、服务和技术纳入国家关键基础设施的指导方针。该法案目前已提交至美国众议院科学、太空与技术委员会审议。
来源:安全内参
● 欧洲将《打击虚假信息自律行为准则》纳入《数字服务法》框架
欧盟委员会和欧洲数字服务委员会正式批准将《打击虚假信息自律行为准则》纳入《数字服务法》(DSA)框架。《打击虚假信息行为准则》是一个由广泛利益相关者——包括在线平台、搜索引擎、广告行业、事实核查机构和民间社会组织等——共同商定的开创性框架,旨在打击网络虚假信息。该准则于2018年确立,并在2022年得到了显著加强,目标是成为《数字服务法》(DSA)项下的行为准则。2025年1月,《打击虚假信息行为准则》的签署方,包括根据DSA被指定为超大型在线平台(VLOPs)和超大型在线搜索引擎(VLOSEs)的Facebook、Instagram、LinkedIn、Bing、TikTok、YouTube和Google Search,提交了支持其将《行为准则》转化为DSA项下行为准则的必要文件。在此基础上,欧洲数字服务委员会和欧盟委员会采纳了积极意见,认定该准则符合DSA规定的条件,并批准其正式纳入DSA框架。因此,对于遵守并履行其承诺的VLOPs和VLOSEs提供商而言,该准则将成为判断其是否符合DSA关于虚假信息风险要求的相关基准。
来源:安全内参
● 美国NIST报告称数字孪生技术集成需制定标准
国国家标准与技术研究院(NIST)发布内部报告《IR 8356——数字孪生技术的安全与信任考虑》,指出数字孪生技术虽具有显著优势,但其广泛应用依赖于标准的制定与采用。报告将数字孪生定义为现实世界实体或概念的虚拟表示,强调其允许用户在创建实际对象前通过模型进行研究和实验。然而,支撑数字孪生的技术(如仿真建模软件和虚拟现实系统)多为专有,导致集成和文件共享困难。报告呼吁制定数字孪生专用标准,以实现“即插即用”集成,并提升兼容性、安全性、网络安全及可信度。目前,相关工作已启动,旨在补充现有信息与通信技术标准。
来源:NIST
● 俄罗斯政府提议新惩罚措施打击网络犯罪
俄罗斯政府公布了一项全面立法方案,旨在通过严厉惩罚措施打击网络犯罪。此次改革修订了30多项现行法律,通过增加监禁期限、扩大资产没收程序以及强制公开审判知名网络罪犯,以实现俄罗斯网络安全框架的现代化。这一举措旨在应对近年来与国家相关的黑客活动激增,包括对德克萨斯州水利设施和波兰工业系统的攻击。新立法大幅加强了俄罗斯刑法的处罚力度,特别是针对未经授权的访问、恶意软件传播和对关键信息基础设施(CII)的损害。入侵政府或企业系统的刑期从最高6年提升至5至15年,而网络欺诈的刑期也翻倍至12年。此外,法律授权法院没收与非法活动相关的加密货币和其他数字资产,解决了追踪区块链交易的执法漏洞。关键条款包括:金融机构必须在发现可疑交易后的24小时内冻结账户;被定罪的黑客将面临10年内禁止从事IT、金融或公共部门职务的禁令;重大网络犯罪案件将公开审判,以威慑潜在犯罪者;俄罗斯承诺加强与国际刑警组织合作,引渡居住在国外的黑客。运营关键基础设施的组织必须部署国家认证的入侵检测系统(IDS),并与国家监控平台GosSOPKA兼容。联邦安全局(FSB)获得实时流量日志的访问权,并要求通过FinCERT门户网站自动报告威胁。国家计算机事件协调中心(NCC)将监督新的“反欺诈系统”,以标记未经授权的资金转移。
来源:网空闲话plus
● 俄罗斯通信监管新规引发争议:MTS警告隐私威胁与成本问题
俄罗斯联邦通信监管局(Roskomnadzor)提出新规,要求电信运营商提供用户访问互联网的IP地址、区域数据及设备标识符等信息,以提升网络安全和打击DDoS攻击。然而,MTS对此表示反对,认为此举将泄露通信保密性,并需投入大量资金升级网络基础设施。MTS指出,新规要求的技术实施将耗时至少六个月,且可能导致网络可靠性下降。此外,95%的移动连接无法确定具体设备信息,进一步增加了执行难度。俄罗斯工商会也警告称,新规将大幅增加企业成本。尽管Roskomnadzor强调新规仅用于IP地址区域分布识别,但MTS认为其仍涉及用户隐私。目前,除俄罗斯电信表示支持外,其他主要运营商尚未发表官方评论。
来源:SecurityLab
● 美国证券交易委员会重塑加密货币部门,聚焦新兴技术监管
美国证券交易委员会(SEC)将其加密资产和网络部门更名为“网络和新兴技术部门”,旨在打击与网络相关的不当行为,并保护投资者免受新兴技术领域的不良行为者侵害。新部门由Laura D'Allaird领导,重点关注区块链技术、加密资产欺诈、社交媒体欺诈及网络安全规则合规等领域。此次更名被视为SEC在加密货币监管方向上的调整。尽管新部门仍将加密资产欺诈列为核心关注点,但部分观察人士认为,此举可能是SEC减少对加密货币执法力度的信号。特朗普政府提名的SEC官员对加密货币行业持支持态度,而拜登政府则更倾向于严格监管。新部门的职责扩展至人工智能和量子计算等新兴技术,表明SEC正试图在保护投资者与促进创新之间寻求平衡。
来源:CyberScoop
● 美国网络安全机构发布联合咨文,防范Ghost勒索软件攻击
近日,美国网络安全机构CISA与FBI和多州信息共享与分析中心(MS-ISAC)近日联合发布了一份网络安全咨文,防范Ghost(Cring)勒索软件攻击。该咨文为网络防御人员提供了与Ghost勒索软件活动相关的危害指示器(IOC)、战术、技术和程序(TTP)以及检测方法。Ghost黑客组织针对使用过时软件和固件版本的互联网服务,对多个组织实施了广泛攻击。这些恶意勒索软件团伙通常利用公开的代码,利用未打补丁的常见漏洞和风险(CVE)获取对互联网服务器的访问权限。已知的CVE包括CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。CISA建议网络防御人员审查此咨文并采取建议的缓解措施,获取有关勒索软件防护、检测和响应的指导。
来源:sdxcentral
● 意大利计划打造本土低轨道卫星系统,替代Starlink
意大利工业部长宣布,意大利计划开发自己的低轨道卫星系统,以替代埃隆·马斯克的Starlink网络。此举旨在确保国家通信安全,减少对外国技术的依赖。此前,意大利政府曾考虑使用Starlink为高风险地区官员提供加密通信,但因国家安全担忧遭到反对。新项目将与意大利主要公司合作,并由国家航天局进行可行性研究。尽管尚未公布具体时间表和参与企业,但这一计划标志着意大利在数字独立和战略通信控制方面迈出重要一步。
来源:SecurityLab
