2022年第24周安全周报 | 本周安全要闻速览

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定，国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。

2022年6月6日，国家安全部公布部门规章《公民举报危害国家安全行为奖励办法》（中华人民共和国国家安全部令第2号），自公布之日起施行。《办法》共5章24条，根据《中华人民共和国国家安全法》《中华人民共和国反间谍法》及其实施细则等法律法规，对国家安全机关实施的公民举报奖励工作进行了全面规范，明确举报奖励工作应当贯彻总体国家安全观，坚持国家安全一切为了人民、一切依靠人民，坚持专门工作与群众路线相结合，坚持客观公正、依法依规。

软件物料清单（SBOM）通过提高软件全生命周期对利益相关方的可见性来提高漏洞和许可管理能力，目前已成为国际公认的重要方法论。《软件物料清单实践指南》从10个重要维度展开论述，为有效推动企业展开落地实践指明了方向。

美国商务部要求各实体查验网络安全合作方身份，如与中国等D组国家政府相关，须申请许可才能跨境发送潜在网络漏洞等信息；微软认为这一审查制度将阻碍与安全研究人员和漏洞奖励计划参与者的跨境合作。

意大利南部巴勒莫市遭受网络攻击，导致全城断网，IT系统瘫痪，给当地旅游业和城市运营带来灾难性影响。受影响的系统包括公共视频监控管理、警务以及市政府的所有（网络）服务。

2022年6月6-9日，被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开，作为全球顶级的网络安全大会，RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂，探讨当下热门网络安全技术理念，共同寻求抵御安全风险的新解法。通过CAASM帮助企业全面盘点网络资产，不断提高资产可见性和云配置，减少安全漏洞风险成为RSAC2022的焦点之一。

美国司法部（DoJ）6月7日宣布，其捣毁了一个名为SSNDOB的非法在线市场。SSNDOB售卖约2400万人的个人信息，包括姓名、出生日期、信用卡号和社会安全号码等，获得约1900万美元非法收入。

近日，美国网络空间日光浴委员会（CSC）2.0发布了其最新报告《网络安全劳动力发展》。这次迭代再次确认了在网络安全方面需要公私合作伙伴关系，包括开发共享资源和增加对网络劳动力的投资。此外，该报告还包括对美国国家网络总监关于教育和发展国家网络劳动力、扩大网络职位招聘权限以及为“最需要的职位制定特殊工资率”行动的大量建议。报告提出了包括对国家网络总监、美国国会和私营部门的七项有益建议，如果这些建议被采纳，将有助于提高国家网络劳动力在公共和私营部门的招聘、人员留存和工作效率。

美国司法部近日查封了一个涉网犯罪域名ipstress[.]in，据悉此前曾为乌克兰IT军服务；目前尚不清楚，ipstress[.]in的网络攻击活动，是否与乌克兰IT军有关，美国查封行动是否对乌克兰政府提前通气；这类攻击活动目前在乌克兰合法，但在全球其他地方应该都非法，该如何定性和定责还属于灰色地带。