国内动态/事件盘点
聚焦二十届三中全会数数据安全、网络安全要点内容
7月18日,党的二十届三中全会审议通过了《中共中央关于进一步全面深化改革、推进中国式现代化的决定》(以下简称“决定”),阐明了进一步全面深化改革、推进中国式现代化的重大意义和总体要求,锚定2035年基本实现社会主义现代化目标,重点部署了未来五年的重大改革举措。《决定》一共15个部分60条,提出300多项重要改革举措,其中多条举措与我国数据安全、网络安全建设密切相关。相关内容如下:
第9条强调“健全促进实体经济和数字经济深度融合制度”:加快构建促进数字经济发展体制机制,完善促进数字产业化和产业数字化政策体系。加快新一代信息技术全方位全链条普及应用,发展工业互联网,打造具有国际竞争力的数字产业集群。促进平台经济创新发展,健全平台经济常态化监管制度。建设和运营国家数据基础设施,促进数据共享。加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。
第40条提出“健全网络综合治理体系”:深化网络管理体制改革,整合网络内容建设和管理职能,推进新闻宣传和网络舆论一体化管理。完善生成式人工智能发展和管理机制。加强网络空间法治建设,健全网络生态治理长效机制,健全未成年人网络保护工作体系。
第50条强调“提出健全国家安全体系”:强化国家安全工作协调机制,完善国家安全法治体系、战略体系、政策体系、风险监测预警体系,完善重点领域安全保障体系和重要专项协调指挥体系。构建联动高效的国家安全防护体系,推进国家安全科技赋能。
详见:
https://www.gov.cn/zhengce/202407/content\_6963770.htm?menuid=104
《国家密码管理局商用密码随机抽查事项清单(2024年版)》发布
根据《中华人民共和国密码法》、《商用密码管理条例》及相关商用密码管理规章,现发布《国家密码管理局商用密码随机抽查事项清单(2024年版)》,自发布之日起施行,2018年7月7日发布的《国家密码管理局关于印发商用密码随机抽查事项清单的通知》(国密局字〔2018〕268号)同时废止。
抽查对象
商用密码检测机构(商用密码产品检测业务)
商用密码检测机构(商用密码应用安全性评估业务)
法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统运营者
电子认证服务使用密码许可单位
电子政务电子认证服务机构
详见:
https://www.oscca.gov.cn/sca/xwdt/2024-07/19/content\_1061193.shtml
发改委向社会公开征求《电力监控系统安全防护规定》(公开征求意见稿)意见
为完善电力监控系统网络安全技术防护体系,提升电力监控系统安全防护水平,我们组织修订了《电力监控系统安全防护规定》(中华人民共和国国家发展改革委员会2014年第14号令),形成《电力监控系统安全防护规定》(公开征求意见稿),现向社会公开征求意见。
此次公开征求意见的时间为2024年7月25日至2024年8月24日。
详见:
公安部、网信办就《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见
为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。意见建议反馈截止时间为2024年8月25日。
详见:
https://www.mps.gov.cn/n2254536/n4904355/c9679908/content.html
工信部发布 关于侵害用户权益行为的APP(SDK)通报(2024年第6批,总第41批)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,我部组织第三方检测机构进行抽查,共发现17款APP及SDK存在侵害用户权益行为(详见附件),现予以通报。
主要所涉问题:
APP 频繁自启动和关联启动
APP 强制、频繁、过度索取权限
SDK 强制、频繁、过度索取权限
SDK 使用说明不完整
超范围收集个人信息
强制用户使用定向推送功能
违规使用、收集个人信息
信息窗口点击、“摇一摇”乱跳转
会议新闻详见:
https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art\_f9c4134ea5a6444db3f023ac0bf0aaff.html
自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知
有关事项通知如下:
一、依法开展智能网联汽车相关测绘活动。 二、加强智能网联汽车涉测绘行为管理。三、严格涉密、敏感地理信息数据管理。 四、从严审核把关导航电子地图。 五、落实地理信息数据存储和出境要求。六、强化地理信息安全监管。 七、鼓励地理信息安全应用探索。八、优化地理信息公共服务。九、营造安全发展的良好氛围。十、强化工作落实。
详见:
https://gi.mnr.gov.cn/202407/t20240729\_2853731.html
工信部发布《工业机器人行业规范条件(2024版)》《工业机器人行业规范条件管理实施办法(2024版)》
为全面贯彻党的二十大和二十届二中、三中全会精神,加快推进新型工业化,进一步加强工业机器人行业规范管理,推动产业高质量发展,根据行业发展变化和有关工作部署,工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订,形成了《工业机器人行业规范条件(2024版)》和《工业机器人行业规范条件管理实施办法(2024版)》。现予以公告。
《工业机器人行业规范条件(2024版)》要求,我国境内的工业机器人关键零部件(指减速器、伺服驱动系统、控制器等工业机器人关键零部件)、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,加强网络和数据安全管理,保障网络和数据安全。
详见:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/gg/art/2024/art\_0730dca47daf48cca7ac085ba500ba4b.html
国家网络与信息安全信息通报机制2024年度全体会议在京召开
2024年7月18日,国家网络与信息安全信息通报中心在京组织召开国家网络与信息安全信息通报机制2024年度全体会议,深入分析当前网络安全工作面临的形势和存在的问题,交流学习网络安全信息通报工作优秀经验做法,研究部署国家网络安全重点工作。
会议指出,要牢记“国之大者”,充分认识当前网络安全复杂严峻形势,深刻理解网络安全对国家安全、高质量发展和人民群众切身利益的重大影响,切实把思想和行动统一到党中央决策部署上来,增强做好网络安全工作的政治责任,以更强担当做好网络安全工作,维护国家网络安全。
会议强调,要树立“网络空间大安全”理念,紧紧围绕服务国家网络安全工作大局,充分依托国家网络与信息安全信息通报机制,发挥各自职能优势、资源优势、技术优势,不断增强网络安全工作的系统性、整体性,构建全域联动、协同高效的国家级网络安全防御体系。
会议要求,要锻造过硬本领,全面落实网络安全主体责任、主管责任、监管责任,加强对网络安全工作的前瞻性思考、全局性谋划、整体性推进,保持敏感敏锐,坚持主动作为,强化运行体系、预警预防、信息共享等方面工作,以更实举措确保网络安全取得更大成效。
会议以电视电话会议形式召开,在公安部设主会场,各省、自治区、直辖市公安厅局和新疆生产建设兵团公安局设分会场,中央政法委、中央网信办等职能部门,国家网络与信息安全信息通报机制成员单位,各省级公安机关,各省级通报机制成员单位相关负责同志参加会议。
详见:
https://mp.weixin.qq.com/s/a6DIeVpSiGfWDa7jv7WakA
国际动态/事件盘点
英国政府宣布将推出《网络安全与韧性法案》
英国政府在国王演讲中宣布,将推出《网络安全与韧性法案》,更新国家的网络安全法规。新法案将要求遭受勒索软件攻击的公司进行强制报告。尽管这一法案的影响范围有限,仅适用于“受监管实体”,但其范围可能会扩大到包括管理服务提供商(MSPs)等公司。
新法案旨在填补当前法律的空白,保护更多的数字服务和供应链,防止类似于最近影响伦敦医院的勒索软件攻击再次发生。现行的《网络与信息系统法规》设定了较高的报告门槛,导致报告数量较低。新法案将修订这些门槛,增加事件报告的数量,以便政府更好地了解网络攻击的威胁,并预警潜在的攻击。
此外,新法案还将赋予关键基础设施公司的行业监管机构更多的权力,确保实施必要的网络安全措施。这包括提供潜在的成本回收机制和主动调查潜在漏洞的权力。新法案由科学、创新和技术部提出,目前尚不清楚何时会提交议会审议。
《网络安全与韧性法案》的推出,标志着英国在应对勒索软件攻击和保护关键基础设施方面迈出了重要一步。(therecord.media)
北约新建综合网络防御中心
据美国《防务邮报》网站报道,在近期落幕的华盛顿峰会上,北约宣布将在欧洲新建一个综合网络防御中心,以应对未来复杂多变的网络威胁。此举反映了北约对网络防御的高度重视,同时也引发外界对国际网络空间对抗加剧的担忧。
此次组建的综合网络防御中心将聚焦加强网络保护、态势感知以及在不同环境下进行网络空间作战等方面,具有鲜明特点。
此次新建综合网络防御中心,是北约持续强化网络安全能力的关键行动。实际上,北约长期采取多项举措推动网络安全能力建设,意图在该领域形成竞争优势。(中国国防报)
英将出台《网络安全与恢复力法案》保护关键基础设施
7月25日,英政府通信总部国家网络安全中心(NCSC)宣布将出台《网络安全与恢复力法案》,旨在加强保护英关键国家基础设施。该法案将扩大监管机构的职权范围,强化基础并增加报告要求。此外,该法案还将对传统的监管框架进行更新,扩大保护范围,以覆盖更多数字服务和供应链,填补国家防御空白。(中国信息安全)
微软、谷歌等14家科技巨头成立安全AI联盟
7月18日,微软、OpenAI、英特尔、谷歌、英伟达、亚马逊、思科、IBM、Anthropic等十多家科技巨头在2024年阿斯彭安全论坛上联合成立安全AI联盟——CoSAI。CoSAI在国际标准和开源联盟OASIS Open的支持下运营,是一个由行业领导者、研究人员和开发人员组成的联盟,致力于增强人工智能实施的安全性。(IT之家)
微软回应“蓝屏故障”事件
7月19日晚间,微软就“蓝屏事件”回应:称根本问题已经得到解决。官方账号Microsoft 365 Status在X(原推特)平台上发文写道:“根本原因已得到修复,但残余影响仍在继续影响一些Microsoft 365应用和服务。我们正在采取额外的缓解措施以提供帮助。”7月19日早些时候,“微软蓝屏”等多个话题登上热搜。
当地时间19日,微软公司旗下部分应用和服务出现访问延迟、功能不全或蓝屏无法访问问题,已对多国包括航空、铁路、银行、企业、媒体等在内的多领域造成影响。受此影响,微软股价盘前大跌。
据了解,故障与一家与微软有关联的全球网络安全公司CrowdStrike有关。一位不愿透露姓名的英国安全部门官员表示,安全专家没有将此次全球多个行业遭遇的网络故障问题视为恶意攻击。
受此次技术故障影响,Crowdstrike美股盘前大跌13%,微软跌超2%。多国机场表示,已经执飞的航班不受影响,但受影响的航空公司需要手动办理登机手续。澳大利亚广播公司遭遇“重大”技术故障,澳政府针对此次大范围技术故障召开紧急会议;英国天空新闻台也出现过无法直播问题。英国最大的铁路运营商GTR称面临技术问题;西日本旅客铁道公司(JR西日本)列车行驶位置信息因Windows系统故障导致无法获取。以色列、南非等国银行系统受到技术故障影响,澳大利亚超市自动收银机也出现结算异常问题。路透社报道称伦敦证券交易所也受到影响。(光明网)
智利超70%公民数据遭泄露,数据库在暗网被出售
7月24日消息,黑客宣称获取一份包含14603422名智利公民信息的综合数据库,以500美元的价格在暗网数据交易平台出售,并提供了一个包含数据类型的示例格式,如姓名、身份证号码、完整地址和地区等。智利2022年人口数量约为1960万,本次事件可能导致70%以上的公民数据遭泄露,引发智利公民对隐私和安全的担忧。(hackernews.cc)
洛杉矶高等法院遭遇严重勒索攻击,紧急关闭所有网络系统
美国洛杉矶县高等法院(LASC)近日遭受了一次严重的勒索软件攻击,被迫关闭该县36个法院。
洛杉矶高法是美国最大的初审法院,拥有4800多名员工,为洛杉矶县超过1000万人提供司法服务。这次攻击影响了洛杉矶高等法院的整个网络系统,包括MyJuryDuty门户和网站等外部系统,以及案件管理系统等内部系统。在发现攻击后,LASC被迫立即禁用所有网络系统、关停所有法院来遏制入侵。
据悉,目前尚无勒索软件组织宣称对此次事件负责,但洛杉矶高等法院已经协同加州州急救办公室和联邦执法机构等组织,对此次事件进行调查并评估其影响。洛杉矶高等法院的发言人表示,目前尚无证据表明入侵系统上的数据受到了损害。法院的专家团队正在全力修复并确保未来的网络稳定性和安全性。(bleepingcomputer.com)
阿里被罚近19.8亿韩元,跨境数据流通需谨慎
7月25日,韩国个人信息监管机构对阿里巴巴旗下电商平台全球速卖通(AliExpress)处以近19.8亿韩元(约合人民币1030万元)罚款,原因是该平台在未通知韩国用户的情况下向约18万海外卖家泄露了他们的个人信息。据悉,韩国个人信息保护委员会还决定在下次全体会议上处理另一起涉及Temu(拼多多海外版)的数据保护案件。(韩国时报)