政策形势
1、山东出台全国首个省级工信领域数据安全管理实施细则
为规范全省工业和信息化领域数据处理活动,维护国家安全和发展利益,根据《中华人民共和国数据安全法》及《工业和信息化领域数据安全管理办法(试行)》等规定,近日,山东省通信管理局联合省工信厅出台《山东省工业和信息化领域数据安全管理实施细则(试行)》(以下简称《实施细则》)。这是全国首个省级针对工信领域数据安全管理的实施细则。
《实施细则》共九章41条,围绕指导督促全省工信领域数据处理者落实数据安全主体责任,健全数据安全管理工作机制,建立数据分类分级及全生命周期安全管理制度,开展省市企三级网络数据监测预警和应急处置,完善重要数据和核心数据备案工作机制并推动数据安全产业高质量发展等方面作出具体规范。此外,《实施细则》还规定了行业监管部门监督检查等工作要求,明确了相关违法违规行为的法律责任和惩罚措施。
工业和信息化领域是山东数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。《实施细则》的出台,将加快全省工信领域数据安全管理工作的制度化、规范化进程,为提升工业和通信业数据安全防护保障能力、有效防范数据安全风险提供重要保障,为山东数字经济高质量发展提供坚实支撑。
http://gxt.shandong.gov.cn/module/download/downfile.jsp?classid=0&filename=31f162c8fa3542019f2ff747c61d24d4.pdf
2、《广州市数据条例(征求意见稿)》发布, 推动南沙数据服务试验区建设
21日,《广州市数据条例(征求意见稿)》(以下简称《条例》)对外发布。《条例》明确广州行政区域内的数据权益保护、数据流通应用、数据安全保障及监督管理等数据管理活动流程及要求,大力推行建立首席数据官制度。同时,创新广州公共数据运营机制,推动南沙(粤港澳)数据服务试验区建设,促进粤港澳大湾区数字化协同发展。征求意见时间至8月20日,公众可在此期间提交意见。
《条例》共分为总则、数据权益保护、公共数据、数据要素市场、数据应用、南沙深化粤港澳数据合作、数据安全、法律责任和附则九章,共五十五条。
关于数据安全规定。《条例》确立数据安全管理原则,坚持安全和发展并重,建立健全分类分级、风险防范、应急处置等数据安全管理机制,鼓励研发数据安全技术,保障数据全生命周期安全,并实行数据安全主体责任制、建立健全数据分类分级保护制度和数据安全风险评估与监管体系,加强数据要素安全监管治理,保障数据安全。
https://www.gz.gov.cn/zwfw/zxfw/gysy/content/post_9122418.html
3、弥合数十万网安人才缺口!美国发布《国家网络人才与教育战略》
安全内参8月1日消息,美国国家网络总监办公室发布《国家网络人才和教育战略》(注:人才也译为劳动力),这标志着美国开启为期数年的系统性培养网络安全技能和能力计划。
昨天发布的战略文件包括四大支柱,分别为每个美国人配备基础网络技能、转变网络教育、扩充和增强美国网络劳动力、加强联邦网络劳动力。
每个支柱都包括教育、招聘、职业发展和联邦劳动力政策等方面应落实的多条措施,旨在帮助现有网络技能人员进一步提升能力、鼓励新员工和少数族裔员工进入网络安全领域。
该战略承诺,将动用数十亿美元的联邦资金,改变政府、企业、学校和其他组织的劳动力发展方式。
Gloster说:“这一战略阐述了一个大胆的愿景。我们认识到,不论是短期还是长期,都有任务需要完成这个愿景。今天是一个起点,我们将逐步培育出所需要、所应得的强大网络安全劳动力。”
支柱一解析:“无所不及”的网络技能发展方法
支柱二解析:将数字安全准则带回学校
支柱三解析:使网安人才与多元人口相得益彰
支柱四解析:加强联邦工作人员队伍
https://mp.weixin.qq.com/s/qDt434wAUGar94j3Yo5BVw
4、国家互联网信息办公室关于《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见的通知
为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:shujuju@cac.gov.cn。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“个人信息保护合规审计管理办法征求意见”。意见反馈截止时间为2023年9月2日。
http://www.cac.gov.cn/2023-08/03/c_1692628348448092.htm
数据安全事件
1、俄罗斯:将审查iPhone等外国公司设备 保数据安全
当地时间8月2日,俄罗斯联邦通信、信息技术和大众传媒监督局发布消息表示,他们将对苹果公司和其他外国生产商的设备进行检查,以保障民众能够安全稳定地使用俄数字平台。
俄罗斯联邦通信、信息技术和大众传媒监督局称,目前俄罗斯网络平台使用的网络通信协议主要由外国开发,因此必须确保俄罗斯网络数据平台的完整、稳定和安全。
https://new.qq.com/rain/a/20230803A02M7A00
2、违反《数据安全法》! 重庆市网信办对属地一公司罚款10万元
近日,重庆市网信办依据《中华人民共和国数据安全法》对属地一科技公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚。
根据有关部门移交的线索,重庆市网信办对属地一科技公司涉网络数据安全违法行为进行立案调查。经查,该公司因业务开展,收集、存储、处理的网络数据量较大,但未按法律法规要求建立健全全流程网络数据安全管理制度,未组织开展网络数据安全教育培训,未采取相应的技术措施和其他必要措施,保障网络数据安全等数据安全保护义务,且存在数据库数据泄露的情形。重庆市网信办依据《中华人民共和国数据安全法》第二十七条、第二十九条、第四十五条之规定,对该公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚。
https://mp.weixin.qq.com/s/OVq7G9S8HKB-kZpXPGJW-w
3、国际船舶制造巨头因网络攻击损失超6.1亿元
8月3日消息,美国船舶制造巨头宾士域集团(Brunswick Corporation)的首席执行官上周向投资者透露,公司因一次网络安全事件蒙受高达8500万美元(约合人民币6.1亿元)的损失。
这家拥有数十亿美元资产的船舶制造公司在2021年创造了近60亿美元的收入,业务遍及24个国家,是海洋休闲产业的全球领导者。6月13日,宾士域集团宣布遭受了一次网络攻击,其系统和部分设施受到影响。官方并未确认这是一次勒索软件攻击,但他们表示在专家和执法部门处理该事件期间,已被迫停止部分地区的运营。在上周的财报电话会议上,首席执行官Dave Foulkes向投资者和董事会成员表示,这次攻击对公司第二季度的财务展望带来了毁灭性的影响。
https://mp.weixin.qq.com/s/Va5wyYpn03KuwbR1w_IfoA
4、热门游戏《我的世界》模组存在RCE漏洞,已被多次利用
8月29日,Minecraft安全社区MMPA的研究人员在一篇博客中提醒游戏用户,《Minecraft》游戏的部分1.7.10/1.12.2模组中存在一个已被多次利用的重大安全漏洞,该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。
据了解,微软旗下的热门游戏《Minecraft》是有史以来销量最高的视频游戏,已售出超过2.38亿份,每月活跃玩家接近1.4亿。MMPA称,BleedingPipe漏洞允许黑客在玩家设备和运行Minecraft模组的服务器上执行完整的远程代码。
https://mp.weixin.qq.com/s/nhDFkT3icbBf6tWcBXLZQQ
5、网络攻击迫使全球最大床上用品厂商运营临时中断
8月2日消息,全球最大的床垫销售商之一泰普尔丝涟(Tempur Sealy)正在应对一次网络攻击,被迫关闭部分信息技术系统。泰普尔丝涟旗下有Tempus、Cocoon、Sealy和Stearns & Foster等品牌,被认为是世界上最大的床上用品供应商。该公司上季度报告的净销售额为12亿美元。今年5月,该公司宣布收购美国最大床垫专营零售商Mattress Firm。周一早上,泰普尔首席财务官Bhaskar Rao向美国证券交易委员会报告称,7月23日公司发现一起网络攻击事件,导致运营受到影响。
https://mp.weixin.qq.com/s/aTpab1f5susWLb03kNKVRQ
6、因网络安全事件,上海一证券公司收警示函
7月25日,上海证监局向华宝证券有限责任公司(简称“华宝证券”)出具警示函,因后者在5月22日的网络安全事件中存在变更重要信息系统前未充分评估技术风险、未制定全面的测试方案等问题。
具体来看,上海证监局认为华宝证券存在以下问题:
一是变更重要信息系统前未充分评估技术风险;二是变更重要信息系统前未制定全面的测试方案;三是生产运营过程中未全面记录业务日志和系统日志以确保满足故障分析需要;四是事件调查过程中向上海证监局报送的部分数据不准确不完整。
http://www.legaldaily.com.cn/Company/content/2023-07/27/content_8880499.html
7、专业医疗厂商被黑,心脏监测服务瘫痪数天
7月31日消息,加拿大消费级和专业级心脏监测技术提供商CardioComm Solutions遭遇网络安全事件,导致服务中断。7月25日,这家总部位于多伦多的公司表示,由于“公司服务器遭遇网络安全事件”,业务运营将“受到数天甚至更长时间的影响”。截至目前,CardioComm网站仍然无法访问,仅显示一条文本消息,提醒客户该公司“正在经历服务中断”。
https://mp.weixin.qq.com/s/v9ErWOdI_W-mkICK-DNwxQ
技术、产品与市场
1、公安部:坚决维护网络安全、数据安全和公民个人信息安全
公安部8月3日召开新闻发布会,发布公安机关服务保障高质量发展26条措施。
在严格安全监管方面,努力以高水平安全保障高质量发展:精准对接产业安全发展需求,保障服务新业态、新模式规范有序发展,以区域警务协同服务区域协调发展,持续深化突出违法犯罪打击整治,加强社会治安整体防控,全面推行“双随机、一公开”监管,加强重点行业、重点领域安全监管,完善重点车辆及驾驶人道路交通安全监管,坚决维护网络安全、数据安全和公民个人信息安全,依法保护企业产权和经营者合法权益。
https://news.sina.com.cn/o/2023-08-03/doc-imzewsne0039730.shtml
2、首届贵州科技节|国家级青年人才田有亮:数据安全的“守门员”
作为贵州大山里走出来的IT领域首个国家级青年人才,今年不到41岁的田有亮是贵州大学计算机科学与技术学院副院长、公共大数据国家重点实验室学术带头人,他长期从事密码学与数据安全研究工作,带领贵州大学密码学与数据安全科研团队,将科研做在贵州大地上,用技术筑牢数据安全屏障,推动贵州数字经济高质量发展。
https://baijiahao.baidu.com/s?id=1773259637992982805&wfr=spider&for=pc
3、西藏通信管理局组织召开全区信息通信行业网络与数据安全政策宣贯培训会
2023年7月25-26日,西藏自治区通信管理局组织召开全区信息通信行业网络与数据安全政策宣贯培训会。培训会邀请中国信息通信研究院安全所相关专家进行授课。区内四家基础电信企业分管负责人,网络安全、信息安全等部门负责人及具体工作人员参加培训会。
会议强调,一是以学铸魂,增强做好网络与数据安全工作的责任感使命感。各企业要深刻领会习近平总书记对网络与数据安全工作的重要指示精神,提高政治站位,站稳人民立场,筑牢全区网络与数据安全屏障。二是以学增智,提升做好网络与数据安全工作的能力水平。各企业从业人员要强化理论知识武装,准确把握各项法律、法规及行业政策,补足自身专业上的短板,填补知识空白,提升解决实际问题的能力。三是以学促干,将培训成果转化为推动工作指导实践的举措。各企业要将此次培训学习的成果不折不扣的落实到实际工作中,深入开展调查研究,找准症结,攻坚克难,稳扎稳打向前推进各项工作。
https://www.miit.gov.cn/xwdt/gxdt/dfgz/art/2023/art_1041d9a86d4448f395704a44689e306b.html
业界观点
1、专家解析| Clop漏洞攻击、Datasite数据泄露引发深思:企业应当如何做好数据安全防控
在互联网技术高度发达的背景下,各行各业都在积极利用互联网技术助推产业转型升级,实现创新发展。然而,水可载舟亦可覆舟,互联网技术亦是如此,在促进行业发展的同时,也带来了数据泄露风险,令企业防不胜防。
在数据泄露事件频频发生的大环境下,每个企业都应当思考如何加强数据安全防控,避免数据泄露,防患于未然。显然,加强数据安全防控势在必行,企业可以采取以下措施,筑牢数据安全防线。
1. 建立适合企业的数据保护责任制度
2. 升级网络安全防火墙
3. 强化第三方数据安全管理
数据安全是企业的风险底线,只有守住数据安全底线,为数据流通提供安全可信的环境,才能实现企业稳定发展,激活数据潜能,释放数据价值。
https://baijiahao.baidu.com/s?id=1773099049207118002&wfr=spider&for=pc
2、专家解析| 王思远:从AIGC到“数据流通”,看网络安全时代的新挑战
今年以来,生成式人工智能AIGC在国内广泛落地。在产业端,不少互联网平台以“百舸争流”之势,纷纷推出AIGC大模型,涉及人们衣食住行等许多领域。
根据大数据协同安全技术国家工程研究中心发布的报告显示,目前大语言模型面临多种风险,包括提示注入攻击、对抗攻击、后门攻击、数据污染、软件漏洞、隐私滥用等。在主流AI框架中,发现200多个漏洞,影响超过40亿终端设备。
诈骗分子也盯上了AIGC的“蛋糕”,相关诈骗案件时有发生。最近,在包头警方发布的一起案件中,福州某科技公司老板郭先生,遭遇“AI换脸拟声”诈骗,10分钟内被骗转款430万元。据郭先生说,骗子通过AI换脸和声音模拟技术,用自己好朋友的身份打视频电话,说在外地竞标,让郭先生通过“公对公”账户转款——由于这位“AI朋友”逼真得足以“以假乱真”,加上自己的信任,郭先生转了款。很快他意识到受骗后报警拦截,仍然有93万元被转移。
当前,大数据安全的逻辑正在“重铸”——面临三大挑战。
第一,安全风险难看清。
第二,数据平台“内鬼”难防。
第三,外部攻击难防范。
数字智能时代,数据要素不断流动,既要保护隐私;又要防止过度“去隐私”,数据失去价值。如何实现?国内安全领域的院士、科研人员和企业家提出了三个建议和方向。
第一,数据交易模式创新,保护“元数据”,数据不动程序动。
第二,对企业员工加大安全教育。
第三,想方设法,应对安全人才缺口挑战。
https://baijiahao.baidu.com/s?id=1772561850501468701&wfr=spider&for=pc
3、专家解析| 王春晖:建议定期依法对智能网络汽车数据安全问题进行审查
王春晖在接受媒体采访时指出,2023版的《国家车联网产业标准体系建设指南(智能网联汽车)》是《国家车联网产业标准体系建设指南》的第二部分,是2018年版的继承、延伸、完善和创新,是在对第一阶段标准体系建设情况进行客观总结、对智能网联汽车产业新需求和新趋势进行深入分析后,形成的框架更加完善、内容更加全面、逻辑更加清晰的标准体系建设指南,为智能网联汽车产业高质量发展奠定了坚实基础。
在他看来,智能汽车在车联网中扮演的角色将不仅仅是一般意义上的交通工具,为实现更多的功能与场景,智能汽车正在成为深度收集、处理、传输和使用大量包含个人信息、汽车运行数据和环境数据的可移动、可交互的汽车数据枢纽。汽车数据是车联网运行的关键,其中包含的大量重要数据将涉及到个人、车辆、企业以及国家的安全,其行业监管的主要任务是如何保障汽车数据安全,并在合规前提下,促进汽车数据的充分合理利用,这是智能网联汽车行业监管的重中之重。汽车数据安全标准用于确保智能网联汽车数据处于有效保护和合法利用的状态并具备保障持续安全状态的能力,对数据提出明确的安全保护要求,对重要数据和个人信息提出重点安全保护要求,主要包括数据通用要求、数据安全要求、数据安全管理体系规范、数据安全共享模型和架构等标准。王春晖建议,设立专门的智能网联汽车数据安全审查制度,定期依法对智能网络汽车的数据安全问题进行依法审查。
展望2030年,王春晖坦言,智能网联汽车产业的发展一定是标准先行,并要进行评估和不断地动态调整,从一系列的智能网联汽车标准的迭代可以看出,智能网联汽车产业的发展两大方明应当予以关注。首先,智能网联汽车标准体系在横向层面,将以智能感知与信息通信层、决策控制与执行层、资源管理与应用层三个层次为基础。其次,在纵向层面,将以功能安全和预期功能安全、网络安全和数据安全通用规范技术为支撑,形成“三横两纵”的核心技术架构,完整呈现标准体系的技术逻辑。将来,智能网联汽车将呈现出更加成熟和智能化的趋势,市场前景也将会更加广阔。汽车行业的各个企业需要积极跟进智能网联汽车的发展趋势,抓住市场机遇,推动智能网联汽车的高质量发展。
http://www.cww.net.cn/article?from=timeline&id=5CBE4CBE968B4F0C8A98B4A4DC6EFF87&isappinstalled=0
4、专家解析| 确保网络数据安全 应对新一代人工智能治理挑战
ChatGPT 的爆火在全球社会引发了一场研发大规模语言模型的热潮。以生成式人工智能为代表的新一代人工智能不仅革命性地改变了人机交互的形式,提升了人机交互的体验效果,还对人工智能产业产生了深刻影响,加速了人工智能大模型技术的发展与进步,带来了全新的发展机遇。同时,该技术的快速发展也带来了一系列新问题与挑战,包括数据安全、内容安全、社会安全甚至国家安全。基于此,各国纷纷开始推进生成式人工智能的治理进程。鉴于数据是人工智能发展的关键基础,数据安全又是人工智能内生安全的重要组成部分,确保网络数据安全是应对新一代人工智能治理挑战的关键。第二十届中央国家安全委员会第一次会议也着重强调要提升网络数据人工智能安全治理水平,确保以新安全格局保障人工智能创新与应用带来的新发展格局。
一、生成式人工智能安全问题亟待予以高度重视
二、以网络数据安全为切入点推进人工智能治理进程
三、在构建数据安全“监管护栏”的基础上推进全球共识
https://mp.weixin.qq.com/s/9pu0Pq7omTlxNAK1YF-9gQ
5、观点 | 完善数据产权制度 促进数据保护和利用
建设数字中国是推进中国式现代化的重要引擎,是构筑国家竞争新优势的支撑力量。近年来,数据要素作为数字经济的核心生产要素,已成为国家基础性和战略性资源,对推动经济增长的作用日益凸显。完善的数据产权制度是数据流动利用和数字经济高质量发展的前提和基础。亟需进一步加快完善数据产权制度,促进数据有效保护和充分利用,提升数据要素对经济增长的贡献作用。
数据要素开发利用有待进一步提高
一是数据要素的权利属性确定缺乏明确的法律依据,数据资产保护和数据安全形势日趋严峻。
二是数据资产分类不清、交易规则不明,对数据技术创新和数据产业化造成阻碍。
三是数据要素利用不足,对经济增长的贡献作用未能有效发挥。
亟待完善我国数据基础制度体系
一是构建以数据产权为核心的制度体系,夯实数据流通交易基础和促进数字经济高质量发展。
二是完善数据确权授权机制,推动数据分类分级标准制度体系建设。
三是打通数据流通和共享的体制机制壁垒,促进数字技术和实体经济深度融合。
https://mp.weixin.qq.com/s/RwyT6elf8g1jOgxoD8DOWg
6、观点 | 基于数据安全网关的数据安全防护体系研究
伴随着网络信息安全产业集聚式发展,数据安全形势日益严峻,我国近年来相继出台多项法律、制度、规定对数据使用进行安全规范。随着政府、企业对数据安全的认知愈加完善,数据安全建设需求也更加强烈。为了进一步完善数据安全防护要素,以分析现有的数据中心数据安全建设落地困难为切入点,结合已有的数据安全治理能力,提出了一种基于数据安全网关的数据防护体系设计,为数据安全建设实践提供新的方案参考。
1 数据安全防护现状
1.1 数据安全问题分析
1.2 数据安全技术研究现状
2 数据安全防护体系设计
2.1 数据安全网关防护
2.2 数据安全综合保护
2.3 数据安全监管
2.4 数据全生命周期安全
3 基于数据安全网关的数据安全防护体系应用
数据安全作为数字时代发展的核心要素,为创新数据开发利用保驾护航,需要持续对数据安全体制、技术、标准深化研究,才能实现我国建设数字中国的宏伟目标。本文针对当前业务数据使用过程中普遍存在的问题以及数据安全治理落地困难等问题进行分析,从应用系统建设和数据安全防护建设融合出发,提出了一种结合数据安全网关应用的数据安全防护体系设计,并说明该体系中数据安全防护能力应用模式,提升数据精准管控、动态授权、全量安全治理能力,为大型数据中心实施数据安全保护提供一种可行的解决新思路。
