政策形势
1、《山西省政务数据安全管理办法》自2023年7月1日起正式实施
7月1日,山西省发布的《山西省政务数据安全管理办法》(以下简称《办法》)正式实施。
据了解,出台该《办法》主要是为了加强全省政务数据的安全管理,并规范政务数据处理活动。
《办法》明确了政务数据和政务数据安全的概念,为确保政务数据安全,在制度、管理、保障及责任四个方面做出明确规定。
《办法》重点解决了政务数据安全“谁来管、管什么、怎么管”的问题。落实了政务数据的安全管理责任,明确了主管部门、政务部门及政务信息系统建设、运维运营等单位的三方责任,确保政务数据安全管理边界清晰、职责明确、责任落实;建立健全政务数据全生命周期安全管理机制,遵循“谁提供、谁负责,谁流转、谁负责,谁使用、谁负责”的原则,围绕政务数据全生命周期收集、存储、使用、加工、传输、提供、公开、销毁等八个环节,提出相应安全管理和保护要求;提高政务数据安全保障能力,通过开展政务数据安全风险评估、风险监测、应急演练、安全审计,提高政务数据安全风险发现、监测、处置、预警能力。
此外,《办法》还明确了政务信息系统的建设模式、部署方式、运维形式发生调整变化后,政务部门的数据安全主体责任不变。并对政务数据分类分级管理、政务数据出境、监督检查制度以及政务部门和工作人员的安全责任等提出了相应要求。
http://www.shanxi.gov.cn/ywdt/zcjd/tpjd/202306/t20230602_8664672.shtml
2、人民数据研究院发布《我国未成年人数据保护蓝皮书(2023)》
“发展和安全并重,推动未成年人数据保护安全高质量发展。”近日,人民数据研究院发布《我国未成年人数据保护蓝皮书(2023)》。该报告以我国未成年人数据为切口,梳理我国未成年人数据保护相关立法现状、监管体系等,全景展现我国未成年人数据保护发展现状,并从监管体系完善到技术层面优化再到行业层面倡议提出建议,报告旨在促进未成年人身、心、智健康发展,保障未成年人群体数据权益等。
报告从未成年人的个人信息、隐私数据、网络内容安全等三方面展现当前我国未成年人数据保护面临的突出问题以及行业实践探索。
http://ex.chinadaily.com.cn/exchange/partners/82/rss/channel/cn/columns/snl9a7/stories/WS64a4d788a310ba94c5614e85.html
3、《无锡市数字化转型促进条例》7月1日正式施行
7月1日,《无锡市数字化转型促进条例》将正式施行,作为全国首部数字化转型的地方性法规,《条例》总结、提升、固化“数字无锡”建设成功经验,进一步推动形成制度体系,为全面激发数字经济发展活力按下“加速键”。
兴于技术,成于制度,数字立法本身就是数字生态建设的核心要义。此次出台的《条例》,将数字生态单列一章,从数据资源治理、数据伦理、网络安全保障等方面制定配套制度,着力构建良好数字生态发展格局。
近日,数字生态建设工作组举办了数字生态工作发布会,全面落实全市数字经济提速和数字化转型决策部署,印发了《数字生态工作组2023年度工作要点》,明确本年度17项重点任务,发布科技、人才、金融、安全,数字素养等建设成果和下步举措,扎实推进数字生态建设工作。
1、创新融合——强化数据生态支撑
2、挖掘价值——激发数字生态活力
3、筑牢防线——严守数据安全底线
4、提升数感——塑造全民数字素养
http://www.js.xinhuanet.com/20230630/149dd33a094d40aaa8595f89e6ce3e9f/c.html
4、湖南省互联网信息办公室开通数据出境安全评估及个人信息出境标准合同备案申报通道
近年来,随着数字经济的快速发展,大规模数据跨境流动需求越来越多,伴随而来的数据跨境流动安全风险问题日益凸显,企事业单位一旦出现数据违规出境,将会面临严重处罚。为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规要求,规范我省数据出境活动,服务数据处理者和个人信息处理者安全合规有序地开展数据跨境流动,充分激发数据要素潜能,服务数字经济高质量发展,湖南省互联网信息办公室于2023年6月19日起正式开通数据出境安全评估及个人信息出境标准合同备案申报通道。
联 系 人 :张琦毓
咨询电话:0731-81121089
传真地址:0731-81121045
邮箱地址:zhangqiyu@cert.org.cn
通信地址:湖南省长沙市韶山北路1号省委八办公楼
https://baijiahao.baidu.com/s?id=1769121935646617018&wfr=spider&for=pc
5、《贵州省政务数据资源管理办法》发布
6月21日,贵州省人民政府办公厅发布《省人民政府办公厅关于印发贵州省政务数据资源管理办法的通知(黔府办发[2023]13号)》。共十一章五十三条,为总则、数据目录、数据采集、数据存储、数据共享、数据开放、数据授权运营、数据调度、数据安全管理、监督检查和附则。
其中,第四十五条 省大数据主管部门会同省级网信、公安、保密等有关单位依法制定全省政务数据资源管理的安全保障、风险防范等制度规范,建立数据安全评估制度、安全责任认定机制和重大安全事件及时处置机制,完善政务数据资源共享开放全周期安全保障措施,统筹构建政务云平台整体安全体系,强化对参与政务信息化项目建设和服务企业的监管配合国家安全、保密、密码管理等部门对政务数据资源开展国家安全、保密等事项检查。
https://www.guizhou.gov.cn/zwgk/zcfg/szfwj/qfbf/202306/t20230621_80414504.html
6、金融监管总局发布《关于加强第三方合作中网络和数据安全管理的通知》
近日,国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“《通知》”)。
《通知》提到,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
《通知》要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实《通知》要求,严肃处置因管理不当引发的重大风险事件。
《通知》强调,涉及本通知通报安全事件的有关银行保险机构,要制定风险整改方案和计划,并按照监管隶属关系向总局或派出机构报告,各级派出机构要加强评估,严格督促,确保落实,不留问题死角。对整改不力的机构,要及时采取监管措施。
《通知》主要通报2类风险。
一是企业微信服务风险情况。二是科技外包风险情况。
https://news.cnstock.com/news,bwkx-202307-5086243.htm
数据安全事件
1、罚款5万元!中山警方开出该市首张违反《数据安全法》罚单
近日,中山三乡警方查处了中山市首起违反《中华人民共和国数据安全法》的行政案件,对涉案公司依法处以行政警告,并处罚款5万元,对公司负责人处罚款1万元。
近日,三乡公安分局鹤湾派出所在对辖区内的公司进行数据安全检查过程中,发现一家信息科技公司疑似存在网络数据泄露隐患。鹤湾派出所联合中山公安网安部门,约谈该公司负责人并开展现场检查,排查出该公司开发的系统存储大量公民敏感信息。
鹤湾派出所通过询问相关责任人、调取网络设备日志信息、开展技术检测等方式,发现该公司在没有依法建立数据安全管理制度和操作规程等数据保护措施的前提下,对存储的公民敏感信息数据未采取去标识化和加密保护。通过现场检查,发现该公司用于存储公民敏感信息的服务器也存在未授权访问的漏洞,用户隐私数据存在泄露风险。
https://www.sohu.com/a/695060062_100116740
2、台积电遭遇天价数据勒索:硬件供应商被黑,泄露少数内部数据
安全内参7月3日消息,全球最大芯片代工企业台积电在上周五表示,由于硬件供应商Kinmax Technology发生一起“安全事件”,攻击者获取了台积电企业网络中一些服务器的配置和设置信息。
此消息公布前一天,LockBit勒索软件犯罪团伙在其敲诈网站上“点名”台积电,并威胁道:如不支付7000万美元赎金,将公开所窃数据。
https://mp.weixin.qq.com/s/04mxabaOX5z3oyMx00Oseg
3、全国超2500家企业遭“木马”攻击:企业营销号被控制 用户信息全泄漏
近日杭州网警开了个新闻发布会,宣布抓获全国各地给企业投放木马病毒的一系列犯罪团伙,消除了全国2500余家企业面临的网络与数据安全风险。这也是全国警方第一次破获此类案件,杭州警方的成功经验将对各地同行打击处理同类案件提供非常有价值的经验。
5月12日,在公安部网安局、浙江省公安厅网安总队指导下,杭州市公安局网警分局会同萧山、临平、钱塘、上城等区公安分局,前往湖南、河北、河南、广东、安徽五省开展集中收网行动。截至目前,共抓获7个团伙39名犯罪嫌疑人,其中35人因涉嫌非法控制计算机信息系统罪被采取刑事拘留强制措施。
https://mp.weixin.qq.com/s/bkXo5oCkSnbHUHQknvdOcQ
4、日本最大港口因勒索攻击被迫停止运营
安全内参7月6日消息,日本最大、最繁忙的港口名古屋港遭受勒索软件攻击,集装箱码头运营受到影响。名古屋港口占日本总贸易量的10%,拥有21个码头和290个泊位,每年处理超过200万只集装箱和1.65亿吨货物。全球最大的汽车制造商之一,丰田汽车公司主要通过该港口出口汽车。
https://mp.weixin.qq.com/s/Jf5F1hTVm9unfM3LnXbMMw
技术、产品与市场
1、公安部召开维护国家网络和数据安全工作新闻发布会
公安部7月6日在京召开新闻发布会,通报公安部党委部署全国公安机关认真履行网络安全监管职责,严厉打击网络违法犯罪活动,切实维护国家网络和数据安全的举措成效情况。
公安机关作为网络安全监管的重要职能部门之一,切实履职,主动作为,深入推进网络和数据安全工作,全力服务新发展格局,全力构建网络空间命运共同体。主要做法是:
一是持续深化网络安全等级保护制度,筑牢网络安全基石。
二是深入推进关键信息基础设施安全保护工作,全力保障经济社会正常运转。
三是强化落实数据安全保护工作,为数字经济发展保驾护航。
四是全面加强网络安全监测预警和通报处置,构建完善通报预警体系。
五是持续开展网络安全监督检查和行政执法工作,筑牢网络安全防线。
六是严厉打击危害网络和数据安全违法犯罪活动,切实维护网络秩序和群众网络权益。
https://baijiahao.baidu.com/s?id=1770713718946724253&wfr=spider&for=pc2、中国通信学会数据安全委员会揭牌成立
以“数智安全,内生为本”为主题的2023全球数字经济大会数字安全高峰论坛暨BCS2023北京网络安全大会7月6日在北京国家会议中心开幕。
开幕式上,中国通信学会数据安全委员会揭牌成立。据悉,该组织未来将从搭建产学研用交流平台、建立高端智库、推动数据安全相关技术标准的建立和健全、推动科技成果与企业需求有效对接、网络安全人才培养等五个方面,引领推动数据安全技术与产业快速发展。
此外,奇安信集团与60家企业共同发起的《加强数字安全建设与保障》倡议也在开幕式上宣读,彰显全国工商联大数据运维(网络安全)委员会的行业凝聚力与积极作为。
北京市委常委、副市长靳伟表示,数字化、信息化浪潮风起云涌,席卷全球,随之而来的安全威胁和风险也日益突出。深刻把握数字安全的风险,有力维护网络空间的安全,已经成为全社会必须面对和解决的重大难题。
中央网信办网络安全协调局副局长、一级巡视员郭涛表示,我国已建立国家关键信息基础设施保护的三层责任:一是运营者全面落实安全保护的主体责任,二是保护工作部门要落实好监督管理责任,三是国家网信部门、国家有关职能部门的协调、监督、指导以及安全保卫责任。
https://news.cnstock.com/news,bwkx-202307-5086836.htm
3、数据空间技术与系统全国重点实验室及安全可信数据空间科创融合基地揭牌仪式在深圳举行
近日,数据空间技术与系统全国重点实验室及安全可信数据空间科创融合基地揭牌仪式在深圳举行。
中国电子党组书记、董事长、数据空间技术与系统全国重点实验室管理委员会主任曾毅表示,由中国电子设立的全国重点实验室,是践行中央企业使命担当、支撑国家战略的重要实践,将为中国电子加快实现网信领域高水平科技自立自强注入强大动能。中国电子将进一步优化资源配置、创新体制机制,支持实验室与基地围绕数据要素、数据治理、新一代信息系统建设等重点领域开展体系化研究,力争在关键技术上取得战略性创新和突破,为国家网信事业高质量发展贡献力量。
中国计算机学会理事长、数据空间技术与系统全国重点实验室学术委员会主任梅宏表示,数据空间技术与系统全国重点实验室是全国重点实验室体系重组以后首批挂牌的实验室之一,是目前大数据领域唯一以数据命名的全国重点实验室。实验室获批由中国电子设立,高度体现了党和国家对中国电子在大数据领域国家队地位和作用的认可。希望中国电子以实验室和基地建设为抓手,充分发挥企业创新主体责任担当,加快打造数联网和数据空间技术体系的中国电子方案,推动我国数字经济高质量发展,为数字中国建设贡献更多智慧和力量。
http://www.gd.xinhuanet.com/20230702/d6e3841fb3ba4dae91965a59fad7525f/c.html
4、广东首批三家企业通过数据出境安全评估
近日,我省绿点科技(深圳)有限公司、安利(中国)日用品有限公司、捷普电子(广州)有限公司等企业通过数据出境安全评估。此次广东省首批三家企业通过评估,对于我省数据处理者开展评估申报工作具有重要参考意义。
2022年9月1日《数据出境安全评估办法》施行以来,广东网信办及时设立申报受理咨询专线并开通申报通道,指导我省数据处理者规范、有序申报数据出境安全评估。截至目前,共解答咨询电话1300余通,组织召开现场座谈指导30余场次,服务咨询企业250余家,受理我省65家企业220余份数据出境安全评估申报材料(主要涉及IT、金融、零售、汽车等重点领域),22家企业44份申报材料通过完备性查验并上报国家网信办。
https://www.cagd.gov.cn/v/2023/06/3379.html
业界观点
1、专家观点| 齐向东:数智时代,数据安全出现三大难题
2023全球数字经济大会数字安全高峰论坛暨2023BCS北京网络安全大会开幕式7月6日举行。全国政协委员、全国工商联副主席、北京网络安全大会主席、奇安信集团董事长齐向东表示,数智时代,数据发生了三大变化,数据安全面临三大难题。
他说,数智时代,数据发生了三大变化。第一个变化是数据从“死”到“活”,在复杂流动中产生更大风险。第二个变化是数据从虚到实,攻击暴露面越来越大。过去,数据主要存在于网络空间。数智时代,数据和实体经济深度结合,最典型的代表就是物联网设备,比如原来手表只是一个计时工具,现在的智能手表不仅托管着人们的健康数据,还能操控其他的物联网设备。第三个变化是数据从贱到贵,价值越来越高,损失也更难承受。数智时代,数据包含了企业的领域知识、行业经验、科研成果、生产技术等,是驱动企业、社会、国家发展的核心资产。
“只有深刻理解这三大变化,我们才能做好数智时代的网络安全工作。”他说,数智时代,数据安全出现了三大难题。
第一个难题是数据操作行为真假难辨。数据在流转过程中,包含大量复杂的操作行为,很难分辨是正常业务操作还是网络攻击。黑客还会篡改、删除、伪造数据。比如,黑客利用AI工具仅需30秒音频,就能精准捕捉声音特征并进行深度伪造。
第二个难题是“三员”违规行为难控。威瑞森的统计显示,数据泄露事件有82%和内部有关。内部人员的风险主要是“三员”,也就是管理员、技术员和操作员。他们往往有较高的数据访问权限,很可能被黑客钓鱼利用。
第三个难题是软件供应链漏洞、后门难防。据奇安信统计,仅国内外应用最广泛的JAVA编程语言,就有近1500万个版本的JAVA开源组件,它们当中很多存在漏洞、后门等安全风险。
他认为,解决数智时代的安全问题,必须内生为本,做好三件事。一是从关注IT转变成关注业务。二是从关注设备转变成关注“人”,采用零信任架构,通过身份分析、环境感知持续对“人”的行为进行监测分析和控制,确保身份可信、环境可靠、权限可控、行为合规。三从关注建设转变成关注运营。数智时代的安全运营要关注资产的变化、数据的变化、策略的变化。“原来的策略是由网络安全部门制定的,现在的安全策略更多服务于业务,需要业务部门发起,安全部门实现。”
他认为,数智安全要以“零事故”为目标。“零事故”的标准包括业务不中断、数据不出事、合规不踩线。
https://www.bjnews.com.cn/detail/1688633103129600.html
2、专家观点| 筑牢数字安全屏障
数据显示,2022年,我国数字经济规模达到50.2万亿元,总量稳居世界第二。数字经济蓬勃发展的同时,数字安全问题不容小觑。非法获取个人信息、网络诈骗等违法犯罪活动,侵害个人财产和隐私安全;网络攻击、网络窃密等行为,给社会治理、国家安全带来挑战。
专家介绍,数字安全是指保护计算机系统、网络及其数据的机密性、完整性和可用性,以及防止未经授权的访问、窃取、破坏、篡改和泄露。数字安全涵盖了多个方面,包括计算机安全、网络安全、移动设备安全、数据安全等等。科学平衡数据安全保护和数据有序流动之间的关系,是发展数字经济的重要前提。
中国发展研究基金会副理事长刘世锦认为,把握好数字经济发展和数字安全的关系,应坚持“用”字当头。“既要重视数据产权保护不力、数据不安全等问题,也要坚持用足用好各类数据资源,在数据产权保护和安全上守住底线。”刘世锦说。
数据是一种新型生产要素,具有非竞争性、无限供给、易复制、边际成本极低等属性。在中国工程院院士方滨兴看来,当前,数据使用权和所有权分离、数据可用不可见、数据不动程序动、分享价值不分享数据等新的数据安全理念,有助于破解数据要素流动与隐私保护之间的矛盾。
方滨兴说,以可信计算为例,“数据不动程序动”指的是把数据集中在固定的可信计算平台上,在对数据进行价值“挖掘”时,在可信计算平台上运行程序,最终只能将结果带走,个人数据等仍存留在平台上。数据使用权交易时则强调“可用不可见”——数据共享汇聚到可信计算平台后再进行数据交易,平台交易的是数据使用权,而不是所有权。
人工智能的发展,激发数字安全应用潜力。国家信息中心党委专职副书记吴文化表示,从发展机遇看,人工智能给数字安全带来了三个转变:一是网络安全防御由被动变主动,有助于提升网络安全防御能力;二是网络安全运维从高成本变高效率,有助于提高网络安全运维的整体保障水平;三是网络安全人才由长周期培养变短时间胜任,有助于缓解人才短缺问题。
http://finance.people.com.cn/n1/2023/0619/c1004-40016542.html
3、专家观点| 左晓栋:数据安全具有“牵一发而动全身”的影响——维护数据安全责任重大
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。在党中央的高度重视和周密部署下,当前我国数据安全工作进入战略规划和顶层设计的关键阶段,不但直接关系国家发展利益,更在相当大程度上决定了今后国家实力和国际竞争力。将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。
1、数据安全已处于国与国对抗斗争的前沿阵地
2、数据流动重塑国际政治经济格局
3、国家安全体系中,任何一个安全都离不开数据安全
4、数据已经成为新生产要素,数据安全决定其要素作用能否发挥
当前,我国已初步完成数据安全顶层设计,基本建立政策法规体系。要通过探索党管数据体制机制,引领平台监管正确方向,创新数据安全执法手段,将数据要素开发利用工作与数据安全基本制度紧密结合等方式,进一步加强数据安全相关工作。
https://mp.weixin.qq.com/s/--ddBE7SQrnTstNdzjmAtg
4、专题·人工智能安全 | 浅析人工智能技术在网络安全领域中的应用
一、人工智能在网络攻击中的应用
(一)攻击准备
第一,口令破解。
第二,文本验证码破解。
第三,钓鱼攻击和垃圾邮件生成。
第四,网络资产自动探测。
第五,漏洞挖掘。
(二)攻击实施
第一,恶意软件生成。
第二,漏洞利用。
第三,自动渗透测试工具。
(三)攻击善后
第一,流量模仿。
第二,攻击意图混淆和掩盖。
二、人工智能技术在网络安全防御中的应用
(一)攻击检测
第一,网络入侵检测。
第二,垃圾邮件检测。
第三,恶意软件识别。
第四,加密流量检测。
(二)攻击防范
第一,漏洞修复。
第二,攻击预测与拦截。
(三)安全运营
三、大语言模型在网络安全中的应用
(一)大语言模型应用攻击和防御
第一,LLMs 被应用于网络攻击。
第二,LLMs 被应用于网络防御。
第三,LLMs 被应用于网络安全运营。
(二)大语言模型自身风险与防御
1. 可解释性不足导致的风险。
2. 内在脆弱性导致人工智能易受风险威胁。
3. 隐私泄露风险进一步增大。
4. 算法框架和开源基础库存在漏洞。
随着人工智能技术与网络安全攻防的融合,网络安全领域正在全面、深刻地改变。恶意攻击者不断地向着规模化、组织化、军事化,攻击技术的自动化、智能化、武器化的方向发展。如何基于人工智能技术与攻击者进行安全对抗,保障网络安全,愈发成为网络空间中攻防双方角力的重点。大语言模型技术将进一步推动网络安全攻防的变革。虽然目前相关大语言模型技术在网络安全领域的应用尚未成熟,存在诸多挑战。但是谁能抢先找到相关技术与网络安全攻防的最佳结合点,就会掌握在网络安全攻防博弈的主动权。因此,推动人工智能技术在网络安全攻防场景中不断走向实际应用,提升网络防御能力,对于网络安全智能不断走向成熟具有重大意义。
https://mp.weixin.qq.com/s/_hgRLwqnrUcB9GjRJTbBYg
