2024年第32周安全周报 | 本周安全要闻速览
● 《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见
为规范互联网平台停服数据处理活动,保障数据安全,促进数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,全国网络安全标准化技术委员会现组织对《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》面向社会公开征求意见。截止时间于2024年8月22日前。
来源:全国网络安全标准化技术委员会
● 2项网络/数据安全国家标准公开征求意见
全国网络安全标准化技术委员会秘书处日前发布关于征求《网络安全技术 标识密码认证系统密码及其相关安全技术要求》(征求意见稿)和《数据安全技术 数据接口安全风险监测方法》(征求意见稿)2项国家标准意见的通知。根据通知,这两个全国网络安全标准化技术委员会归口的国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,秘书处现将该2项标准征求意见稿面向社会公开征求意见。截止时间于2024年10月1日24:00前。
来源:全国网络安全标准化技术委员会
● 英国将启动主动网络防御2.0计划
英国国家网络安全中心(NCSC)宣布,将启动最新版主动网络防御(ACD)计划,并开发下一代网络安全工具和服务套件,以帮助企业应对新兴的网络威胁。NCSC同时表示,将会审查ACD目前的工具和服务,并在适当的时间和地点将服务管理权移交给私营部门,目标是三年内将大部分新的成熟服务剥离给私营部门,以保证持久运营。具体事项将在9月份公布。据了解,NCSC开发ACD 2.0的目标是为了更好应对不断变化的网络威胁形势和网络安全市场提供的服务类型,旨在符合ACD的总体目标,即在大多数时间内,保护英国大多数人免受大多数网络攻击造成的大多数伤害。ACD计划于2017年启动,为英国政府部门提供四方面的免费服务以提高网络安全基本水准,其中包括自助式检查、组织部署的检测机制、攻防机制,以及提供辅助服务。
来源:Infosecurity Magazine
● 美国环保署需加强水务部门网络安全
美国政府问责局(GAO)在最新报告中指出,美国环境保护署(EPA)需强化水务部门的网络安全战略,以应对日益严峻的网络安全威胁。水务行业包含约17万个供水和污水处理系统,这些系统面临网络攻击的风险,可能严重破坏公共健康和环境。报告提到,2023年伊朗相关黑客攻击了匹兹堡附近的供水系统,中国支持的黑客也试图入侵饮用水系统。尽管存在这些风险,水务部门的网络安全措施仍然分散且被动,许多公司还在使用过时技术,网络安全投资常被监管要求所掩盖。GAO报告强调,EPA依赖自愿合作的方法不足以应对当前威胁,需要进行全面风险评估和制定风险知情战略。GAO建议EPA采取果断措施,包括制定国家网络安全战略,评估并可能寻求额外的执行权力,确保水务系统遵守最佳网络防护做法。
来源:the cyber express
● 美国拟立法推动医疗电子设备在机密设施中的规范使用
美国参议员彼得·韦尔奇和鲍勃·凯西提出立法,旨在为机密信息设施(SCIFs)中的医疗电子设备使用制定标准化政策和透明度要求。该法案确保需使用医疗设备的员工能在储存机密信息的设施中工作,同时维持严格的安全标准。该法案主要关注允许在SCIFs中使用的设备类型,并要求官员更重视哪些医疗设备可以进入这些机密设施。联邦监督机构近期敦促情报界明确政策。政府问责办公室的报告指出,机构对需使用医疗设备的残障人员进入SCIFs的权限应用不一致。国家情报总监办公室(ODNI)4月发布指令,要求情报界统一管理这些设备并制定审查程序。法案将部分ODNI指令法制化,并要求机构向国会提交设备审批信息。法案要求情报机构负责人跟踪每个SCIF的设备使用请求,并在180天内制定相关政策。
来源:NEXTGOV FCW
● 日本拟强制私营部门报告网络安全事件以加强防御
面对网络攻击威胁的增加,日本政府正考虑实施新措施,要求关键基础设施领域的私营部门运营商必须报告任何网络破坏事件。此举主要针对企业因担心股价受损而不愿报告网络攻击的问题,以促进信息快速共享,防止攻击蔓延。日本政府曾在2022年推出自愿行动计划,鼓励企业报告网络攻击,但现拟将此转变为法律义务,以营造透明和合作的文化。关键基础设施包括电信、金融、机场、港口等,政府网络安全工作组还将政府和行政服务、医疗等15个行业指定为关键基础设施。日本企业高管协会支持强制报告,认为这有助于协调和主动采取网络安全措施。政府的新计划意在通过提高透明度和信息共享,使企业能更好地保护自己和客户免受网络攻击影响。
来源:the cyber express
● 马来西亚启动即时数据泄露报告新系统
马来西亚政府为加强网络安全,推出了一个新的数据泄露警报系统,要求所有数据使用者在发生个人信息泄露事件时立即报告。这一新规定的目的是快速响应网络安全事件,分析事件信息,采取措施防止数据进一步泄露,并监控事件的持续影响。交通部副部长张汝静强调,为了维持公众对国家数据管理的信任,需要加强数据处理规则,提高控制力度,并发起了一场大规模的宣传活动。张汝静还提到,随着数字化的发展,技术滥用和欺诈风险也在增加,这要求国家不断适应攻击者策略的变化。为此,马来西亚成立了国家欺诈应对中心(NSRC),以确保各利益相关方之间的有效互动,包括信息交流、协调努力,分析并改进现行立法,以及解决欺诈活动的全球性问题。通过这些措施,马来西亚政府希望能够提高国家网络安全水平,保护公民个人信息安全。
来源:SecurityLab.ru
● 巴黎奥运会比赛场馆遭勒索软件攻击
近期,巴黎检察官办公室表示,法国国家博物馆网络系统遭遇了一次“勒索软件攻击”,其中也包括了本届奥运会的举办场地“巴黎大皇宫”博物馆。该馆主要用于举办巴黎2024年夏季奥运会的击剑和跆拳道比赛。据介绍,攻击一度导致巴黎大皇宫的服务器系统访问被中断,但目前尚未发现2024年奥运会赛事安排受到影响。目前,法国网络犯罪警察部门正积极调查情况,旨在减小影响,并恢复加密数据。法国政府网站公布的数据显示,自7月22日以来,该国共发现并挫败68起针对2024年巴黎奥运会组织工作的网络攻击。
来源:安全内参
● 澳大利亚国防部发布《国防数据战略2.0》
澳大利亚国防部8月6日发布《国防数据战略2.0-数据时代的决策优势》,该战略响应《2024年国防战略》和《综合投资计划》,旨在以数据为中心改善国防部的工作模式,利用数据加强战备工作,提升决策效率,实现决策优势。战略以“治理、信任、共享、发现、利用”为原则,提出以下举措:提升国防数据治理能力,实现灵活、可扩展和网络化的数据治理和管理;通过“一体化国防能力系统”,解决联合部队的数据需求;优化能力投资和资源分配决策;以更快的速度为作战人员提供高质量数据;提高国防数据的安全性和完整性,提升数据保护和共享能力;加强国防部的数据文化和数据素养;加速数据搜索和使用技术的创新和开发。
来源:科荟智库
● 美国CISA和FBI发布《安全需求指南》推动软件制造商增强安全性
美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)发布了《安全需求指南》,旨在帮助组织通过采购安全的技术产品来推动安全技术生态系统的发展。该指南为购买软件的组织提供了评估制造商网络安全方法的问题和资源,确保“安全设计”成为软件制造商的核心考虑。指南建议在采购生命周期的各个阶段融入安全性考虑,从采购前评估制造商的安全性策略,到合同中纳入安全性要求,再到采购后的持续安全性评估。CISA强调,客户应通过采购决策推动软件制造商承诺和落实“安全设计”,并应在日志管理、第三方依赖性管理和漏洞报告等关键领域保持透明性和及时性。
来源:industrialcyber
