2024年第42周安全周报 | 本周安全要闻速览

ISO/IEC JTC1/SC27（以下简称“SC27”）是国际上专门负责网络安全领域标准研制工作的技术组织，具体负责开展信息安全、网络安全和隐私保护领域的国际标准研制工作。全国网络安全标准化技术委员会承担SC27国内技术业务工作，负责统筹协调和组织参加网络安全领域国际标准化活动。为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，网安标委秘书处现组织开展SC27国际标准提案征集工作，面向网络安全领域产学研用等相关单位征集提案，提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域。

《电力交易数据安全分类分级管理规范》、《电子银行安全评估过程实施指南》和《个人信息保护合规管理实施指南》三项团体标准已完成征求意见稿，现向社会各界公开征求意见，于2024年11月11日前将意见以电子邮件或信函等形式反馈给广东省网络空间安全协会标准化处。

俄罗斯联邦通信、信息技术和大众传媒监督局（RKN）发布了新命令草案，允许通过反威胁技术手段（TSPU）对通信网络进行管理。这一命令赋予总检察长及其副手权力，向电信运营商发出“强制性指令”，以加强对互联网的控制。该草案于10月11日在法律信息门户上公开征求意见，涉及到2024年通过的《通信法》修正案。新规背景下，RKN正面对YouTube等视频平台流量下降的挑战，Rostelecom等运营商已通知用户可能出现问题，并警告流量下降与对谷歌缓存服务器支持的停止有关。尽管尚未正式决定屏蔽YouTube，RKN仍威胁要剥夺不配合的运营商的通信服务许可证。专家指出，这一新命令将使RKN能更直接地管理电信运营商的网络，而当前的监管框架尚未对此做出调整。此外，检察长办公室将能够通过TSPU直接控制网络流量，这可能导致透明度降低及问责机制缺失，用户难以得知哪些资源被阻止。

欧盟理事会通过了《网络弹性法案》（CRA），旨在为物联网设备引入新的网络安全标准。该法案要求带有数字元素的产品在开发、生产和销售过程中符合网络安全要求，确保联网设备如相机、冰箱、电视和玩具在整个生命周期内受到保护。CRA的目标是填补现有的安全差距，使欧盟各国的网络安全立法更加一致。所有带有数字组件的产品将贴有CE标志，表明它们符合高安全、健康和环境标准。然而，该法律的实施也引发了对开源软件开发的担忧。一些组织和个人警告称，CRA可能会限制开源开发人员，并增加漏洞披露的风险。此外，网络安全专家指出，CRA可能被滥用于情报或监视目的，导致对个人隐私的潜在侵犯。尽管法案旨在提升产品的网络安全性，相关专家认为其副作用可能对开源社区和个人隐私造成不利影响。法案将在欧盟官方公报发布后20天生效，其条款将于36个月后正式实施。

英国国家网络安全中心（NCSC）宣布推出针对学校的保护域名系统（PDNS）服务，以帮助学校抵御勒索软件攻击和其他在线威胁。这项服务已在中央政府、紧急服务部门和国防部中使用，并由Cloudflare和Accenture提供支持。PDNS通过阻止计算机连接到已知恶意域名列表来保护组织，该列表由多个来源构建，包括一些只有情报部门才能访问的来源。去年，英国学校报告了创纪录的131起勒索软件事件，今年上半年至少有47所学校遭受攻击。NCSC强调，随着网络威胁的增加，保护教育环境变得尤为重要。所有教育机构都可以通过MyNCSC注册来免费使用这项服务。

美国国防部近日宣布推出新版网络安全成熟度模型认证（CMMC），旨在简化政府承包商的网络安全评估流程，同时确保其符合安全标准。新版CMMC将评估级别从原有的五个减少到三个，以简化中小型企业的认证过程。其中，前两个级别可通过自我评估工具完成，也可选择在第三方安全提供商的协助下进行，而最高级别的评估仍需由国防工业基地网络安全评估中心执行。据介绍，CMMC的主要目的是验证承包商是否遵守联邦合同信息（FCI）和受控未分类信息（CUI）的保护规定，并确保这些信息在面对包括高级持续性威胁在内的网络安全威胁时得到适当保护。而值得注意的是，CMMC还提供了追究责任的工具，针对那些故意歪曲网络安全实践或协议，或故意违反监控和报告网络安全事件和漏洞义务的实体或个人。这一举措旨在提高承包商的网络安全意识和责任感。