2025年第11周安全周报 | 本周安全要闻速览
● 工信部印发《卫星网络国内协调管理办法 (暂行)》
为贯彻落实党的二十届三中全会精神,健全因地制宜发展新质生产力体制机制,完善航天领域产业发展政策和治理体系,促进卫星频率轨道资源高效开发利用,根据《中华人民共和国无线电管理条例》,参照国际电信联盟《无线电规则》等相关法规和规定,工业和信息化部近日印发《卫星网络国内协调管理办法(暂行)》(以下简称《办法》)。《办法》规范和优化了国内协调工作,提升了国内协调效率。一是明确了国内协调基本原则。就国内协调地位判定标准、各单位职责分工、干扰处置和监督措施等方面进行了规定。二是规范了国内协调程序。明确了建立国内协调关系的条件和流程,国内协调需求征集、汇总和公示,以及协调反馈等环节的时限要求。三是优化了国内协调机制。强化了国家无线电办公室统筹协调作用,提出了无需建立国内协调关系的情形,减少国内协调对象范围,引入五种完成国内协调的形式,降低国内协调复杂度。下一步,工业和信息化部将做好《办法》宣传和解读以及配套制度的制定,确保《办法》各项措施落到实处,进一步激发航天企业活力,推动航天产业高质量发展。
来源:工业和信息化部
● 15部门印发《关于促进中小企业提升合规意识加强合规管理的指导意见》
工业和信息化部等十五部门发布《关于促进中小企业提升合规意识加强合规管理的指导意见》。提出,以促进中小企业高质量发展为主线,坚持问题导向、需求牵引,系统观念、法治思维,部门协同、上下联动,引导中小企业增强合规意识、加强合规建设、提升合规管理水平,防范生产经营风险。到2030年,中小企业合规发展环境进一步优化,中小企业合规服务工作体系基本形成,企业基本具备适应高质量发展要求的合规管理意识和能力,依法合规经营水平显著提升,合规成为中小企业核心竞争力的重要组成部分。针对网络和数据安全合规,《指导意见》要求,引导中小企业遵守网络安全、数据安全等方面法律法规,加强信息系统、网络、数据的安全防护和安全意识教育;制定实施数据安全合规管理制度,加强对数据的分类分级和权限管理,加强人员管理和技术控制,履行重要数据识别备案、分级防护、风险评估等责任义务,防范并及时应对和处理数据泄露、篡改、丢失事件;重点梳理向第三方输出、共享、委托、提供数据,从第三方接受数据,处理个人信息及跨境传输数据等活动中的合规要求和风险,落实特定类型信息收集与使用合规义务,保护企业数据及个人信息安全。
来源:工业和信息化部
● 美国NIST发布《差分隐私保证评估指南》,拟未来推进标准化和认证
美国国家标准与技术研究院(NIST)近日发布了800-226《差分隐私保证评估指南》,以评估差分隐私保护个人信息的有效性,旨在帮助各种机构和从业者(政策制定者、企业主、产品经理、IT 技术人员、软件工程师、数据科学家、研究人员和学者)更好地了解在部署差分隐私时做出和未做出的承诺。指南解释,差分隐私的优势是可以抵抗所有隐私攻击(包括使用外部(辅助)数据的攻击),并且可以随着时间的推移处理多个数据发布,而不会加剧隐私风险。然而,虽然差分隐私的框架在数学上是合理的,但在应用中,支撑它的软件生态系统仍然不成熟,因此,差分隐私在理论上的效果和实践上的效果可能有差异。对此,该指南提出了“差分隐私金字塔”以评估差分隐私的隐私保证效果。该金字塔涵盖影响差分隐私的隐私保护效果的关键因素,包括“隐私参数”、“隐私单位”、“算法设计”、“效用”、“偏见”、“信任模型”、“安全性”和“数据收集实践”。
来源:安全内参
● 瑞士出台新规,关键基础设施运营商要在24小时内报告网络攻击
瑞士联邦委员会于3月7日宣布,关键基础设施运营商将很快被要求依法向该国当局报告网络攻击。这一网络报告授权将被纳入2023年9月29日《信息安全法案》(ISA)的修正案中,并将于2025年4月1日生效。从该日期起,在瑞士运营的关键基础设施实体,包括能源和饮用水供应商、运输公司,以及州和市政管理部门,必须在发现网络攻击后24小时内向国家网络安全中心(NCSC)报告,报告义务适用于网络攻击威胁到关键基础设施的运作、导致信息被操纵或泄露,或涉及勒索、威胁或胁迫的情况。NCSC的网络安全中心将提供一个报告表格,该门户网站用于在瑞士联邦政府和关键基础设施运营商之间交换信息。未在该平台上注册的组织可以使用NCSC网站上提供的表格通过电子邮件提交报告。在发现事件后24小时内提交初步报告后,他们有14天的时间完成报告。未能报告符合要求标准的网络攻击的关键基础设施运营商可能面临罚款,但当局尚未具体说明罚款金额。全球其他立法也对关键基础设施运营商施加了类似的报告要求,包括澳大利亚、欧盟、日本、新加坡、韩国、英国和美国。
来源:securityaffairs
● 电信巨头遭网络攻击,近2万家企业客户采购数据泄露
日本电信服务提供商 NTT近日发布公告,警告约 1.8 万家企业客户的信息在一起网络安全事件中遭到泄露。NTT 于 2 月 5 日发现被入侵,并在次日阻止了威胁行为者对被入侵系统的访问。然而,进一步调查显示,攻击者已经转移到 NTT 网络上的另一台设备。NTT迅速断开了该设备的连接以防止进一步的横向移动,并确信威胁已被完全遏制。但黑客最初进入 NTT 系统的确切日期尚未确定。根据 NTT 的声明,黑客入侵了该公司的 "订单信息分发系统",该系统存储了 17,891 家企业客户的详细信息,但不包含个人消费者的数据。可能被黑客窃取的数据类型包括:客户名称(注册合同名)、客户代表姓名、合同编号、电话号码、电子邮件地址、物理地址以及服务使用信息。NTT 表示,NTT Docomo 直接提供的企业智能手机和移动电话合同不受此次事件影响。值得注意的是,NTT 表示不会向受影响的客户发送个性化通知,公司网站上的公开声明将是唯一的通知方式。
来源:bleepingcomputer
● 爱达荷州与INL引领网络信息工程保护供水系统
爱达荷州和爱达荷国家实验室(INL)在网络信息工程(CIE)领域处于领先地位,致力于保护供水系统免受网络威胁。CIE的核心思想是通过设计能够承受攻击或安全失效的系统来应对网络威胁。自2023年以来,爱达荷州环境质量部已将CIE纳入其饮用水和废水系统的拨款申请评分标准,优先资助采用CIE的项目。INL与多所大学合作,将CIE原则纳入工程和网络安全课程,并开发了相关工具和培训课程。爱达荷州的小型水务公司通过CIE增强了网络弹性,减少了潜在攻击的影响。INL还发布了关于电池储能系统(BESS)的白皮书,评估其网络安全风险并提出解决方案框架。
来源:Industrial Cyber
● 英国政府报告呼吁加强开源供应链安全实践
英国科学、创新和技术部(DSIT)发布了一份关于开源软件(OSS)和供应链风险管理最佳实践的报告,指出当前实践中存在显著缺陷,并提出了五项改进建议。报告发现,现行标准缺乏行业特定指导、对管理OSS组件缺乏共识、缺乏评估OSS可信度的正式流程,以及大型科技公司对OSS生态圈的过度影响。报告建议组织制定内部OSS政策,明确评估OSS组件可信度和成熟度的标准,并开发软件物料清单(SBOM)以增强供应链透明度。此外,报告强调持续监控漏洞和许可问题的重要性,并鼓励企业积极参与OSS社区以提升组件质量和开发人员能力。最后,报告建议利用工具自动化OSS管理流程,减轻开发人员负担并确保政策合规。Cloudsmith首席执行官Glenn Weinstein对报告表示支持,认为其准确指出了企业在使用开源软件时面临的实际问题,并强调了安全团队与开发人员共同承担责任的重要性。
来源:网空闲话plus
● 欧盟发布《通用人工智能行为准则》第三稿
欧盟委员会在其官网发布了《通用人工智能行为准则》(General-Purpose AI Code of Practice)第三稿;其中,欧盟人工智能办公室(AI Office)更新了常见问题解答(FAQs)。《行为准则》以简要的高级别承诺(high-level commitments)清单为基础,针对被归类为具有系统性风险的通用人工智能模型的提供商提供了实施每项承诺的详细措施,包括通用人工智能模型提供商的透明度和版权相关的承诺,以及十余项项与安全相关的承诺。《行为准则》共有四部分。前两部分详细说明了所有通用人工智能模型提供商的透明度要求和版权义务,并根据《人工智能法》对某些开源模型的提供商的透明度义务进行了豁免。版权部分包含了草案二稿的核心措施,但形式更加简化和清晰。第三、第四部分仅与少数可能构成系统性风险的最先进通用人工智能模型的提供商相关,这与《人工智能法》第51条的分类标准呼应。该部分概述了系统风险评估和缓解措施,涉及模型评估、事件报告和网络安全义务等方面。
来源: 上海市人工智能与社会发展研究会
● 联合国拥抱开源原则,推动开放与安全并重
开放源代码促进会(OSI)正式支持联合国开源原则,旨在推动开源技术在联合国内外的应用。该原则由联合国数字技术网络计划框架下的社区制定,涵盖八项核心内容:默认开放、相互贡献、设计安全性、包容性、可重用性、文档完备、RISE(开发者支持与激励)以及可扩展性。OSI执行董事Stefano Maffulli强调,这些原则与开源价值观一致,能够促进创新并带来巨大经济价值。他呼吁全球组织加入该倡议,支持开放数字解决方案的发展,确保技术的长期可持续性和安全性。
来源:SecurityLab
● MFA告急!黑客利用高级技术绕过保护
研究人员近期发现一种令人不安的趋势:黑客正在使用专门设计的复杂攻击手段来规避多因素认证(MFA)保护。这些先进技术利用认证工作流程中的漏洞,而非攻击认证因素本身,使攻击者能够在启用MFA的情况下未经授权访问受保护的账户。Quarkslab的研究人员分析显示,攻击者正在利用系统验证和跟踪MFA完成状态时的时序漏洞和实现缺陷,有效地欺骗应用程序认为二次验证已成功完成。最令人担忧的技术涉及在验证流程中精心操纵认证响应数据。当用户启动认证时,主要因素(通常是密码)生成一个初始会话令牌,然后等待二次验证。攻击者发现了在MFA挑战完成之前拦截并修改此令牌状态标志的方法。攻击通常使用JavaScript代码注入来修改认证响应。这种漏洞主要影响在认证服务器和资源服务器之间实现单独会话状态跟踪的系统。安全专家建议组织在整个会话生命周期内持续验证MFA状态,并采用无法在不被检测的情况下修改的加密签名令牌。
来源:安全牛
