x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 33周
发布时间:2023.08.19 浏览数量:634人

政策形势

1、《网络安全合规咨询服务规范》团体标准正式发布

   由北京网络空间安全协会、广东省网络空间安全协会联合批准《网络安全合规咨询服务规范》T/BJCSA 03—2023团体标准发布,该标准于2023年8月5日发布,自2023年8月5日实施,现予以公告。

   标准规定了网络安全合规咨询服务机构的咨询服务类型、咨询服务机构等级划分以及通用评价要求等内容。

   标准明确了数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务应具备的基本能力、专业能力和服务过程能力要求,对相关服务专业机构及服务行为的规范化管理,推进网络安全社会化服务体系构建,切实提升企事业单位网络安全、数据安全及个人信息保护能力具有重要意义。

https://www.ttbz.org.cn/Home/Show/59320


2、《央行业务领域数据安全管理办法》规范数据分类分级,进一步促进数据开发利用

   2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《办法》”)向社会公开征求意见,《办法》分总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、 风险监测评估审计与事件处置措施、法律责任、附则共八章、五十七条。《管理办法》全面衔接《中华人民共和国数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务。

   其中,对数据分类分级制度提出精细化要求是《管理办法》的重要特点。本文对第二章数据分类分级部分进行解读。

   “第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。”

《中国人民银行业务领域数据安全管理办法(征求意见稿)》

https://www.secrss.com/articles/57818



数据安全事件

1、南昌一高校3万余条师生敏感信息泄露,被罚80万!3人被抓

   8月16日,“南昌网警巡查执法”官方公号披露了一起高校数据泄露事件。

根据通报,南昌公安网安部门近期发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门立即开展调查,成功抓获犯罪嫌疑人3名。同时,对涉案高校不履行数据安全保护义务的违法行为开展执法检查。

   经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。

   为此,南昌公安网安部门根据相关规定,对该校作出责令改正、警告并处80万元人民币罚款的处罚,对其主要责任人作出人民币5万元罚款的处罚。

https://baijiahao.baidu.com/s?id=1774433465154165957&wfr=spider&for=pc


2、江西省通信管理局严查数据安全违法案件

   近日,根据上级部门通报,赣州某信息技术公司业务系统疑似遭受黑客攻击,存在数据泄露风险。江西省通信管理局立即依法组织开展案件调查,查明该公司在开展网络营销代理业务中未有效落实网络和数据安全保护主体责任,未依法采取相应的技术措施保障业务系统数据安全,该行为违反了《中华人民共和国数据安全法》相关规定,省通信管理局对赣州某信息技术公司给予警告、罚款15万元,对直接负责的主管人员和直接责任人各罚款1万元。

   江西省通信管理局表示,下一步将依法加大数据安全、个人信息保护执法力度,依法打击危害数据安全、侵害公民个人信息的违法行为;同时加强对数据运营者依法履行安全保护责任和义务的监督指导,做好源头防控,提高数据安全保障能力,有力维护全省网络数据安全。

http://www.jiangxi.gov.cn/art/2023/8/16/art_398_4570384.html


3、新疆公布打击侵犯公民个人信息违法犯罪8起典型案例

    随着全球数字经济时代的到来,以公民个人信息为目标的案件高发并呈现迅速增长态势。此类案件以公民个人信息为核心,覆盖医疗、教育、电商等多个行业,滋生出电信诈骗、骚扰电话、抢号抢票、网络水军等一系列人民群众深恶痛绝的黑灰产业,严重侵害公民人身权益和财产安全,破坏我国市场经济秩序和社会管理秩序。

   2020年以来,公安部每年组织“净网”专项行动,依法重拳打击侵犯公民个人信息违法犯罪活动。8月16日,新疆公安厅通报了全区公安机关打击整治侵犯公民个人信息违法犯罪行为的典型案例。下一步,新疆公安机关将结合夏季治安打击整治行动的统一部署,持续依法严厉打击侵犯公民个人信息违法犯罪,防风险、保安全、护稳定、促发展,切实提升人民群众的幸福感、获得感、安全感。

一、巴州杜某侵犯公民个人信息案

   2022年10月,库尔勒市杜某在互联网上看到高价收购、出售公民个人信息等广告,为赚取高额报酬,杜某通过“换群”的方式不停加入各类微信和QQ群,大量交换和出售公民个人信息。2023年5月,巴州公安机关将犯罪嫌疑人杜某抓获,查获非法收集公民个人信息1.2万余条。

二、和田麦某侵犯公民个人信息案

   2022年4月,和田市麦某利用从事卫生院防疫工作职务便利,非法收集公民个人信息,再将上述信息出售给墨玉县某房地产公司员工布某非法牟利,布某雇佣人员通过拨打骚扰电话进行精准营销。2023年5月,和田地区公安机关将麦某、布某抓获,查获非法收集公民个人信息1.6万余条。

三、阿克苏玉某、张某侵犯公民个人信息案

   玉某、张某等人招聘工作人员在乌什县各乡镇以免费帮助村民激活电子医保卡为由骗取手机号、验证码和公民身份证信息,批量注册各平台账号,再贩卖给电信诈骗、网络赌博、网络水军犯罪团伙用于下游犯罪。目前,阿克苏地区公安机关抓获嫌疑人5名,查获非法收集个人信息1.5万余条。

四、博州阿某侵犯公民个人信息案

   2022年6月,阿某为赚取高额报酬,在朋友圈发布收购微信、QQ账号等消息,并将收购的微信、QQ账号高价转卖给电信诈骗、网络赌博、网络水军等团伙用于下游犯罪而非法获利。2023年6月,博州公安机关将阿某抓获,查获非法收购他人微信、QQ账号90余个,涉案金额3.5万余元。

五、和田努某、栗某侵犯公民个人信息案

   2023年5月,洛浦县住房公积金办工作人员努某利用职务便利,非法获取并向和田某房地产开发有限责任公司栗某等人出售大量公民信息,栗某等人将上述信息分别转卖至建材家居、装修设计等公司,并雇佣人员向受害人进行精准营销。2023年6月,和田地区公安机关将努某和栗某抓获,查获非法收集公民个人信息1万余条。

六、伊犁张某侵犯公民个人信息案

   2023年4月,伊犁州某儿童学习机销售公司工作人员吴某,在新疆某电器销售公司张某授意下,将内部客户信息拍照出售给其他电器销售公司并指示公司话务员拨打电话进行精准营销。2023年6月,伊犁州公安机关将张某、吴某2人抓获,查获非法收集公民个人信息2000余条。

七、阿克苏阿某等人侵犯公民个人信息案

   2023年6月,阿克苏阿某与喀什、克州等地手机运营商营业厅和乡镇代办点工作人员勾连,非法获取大量手机号、验证码和公民身份证信息,批量注册各网络平台账号,再高价贩卖给电信诈骗、网络赌博、网络水军等团伙用于下游犯罪。2023年7月,喀什地区公安机关集中行动抓获犯罪嫌疑人17人(其中运营商工作人员7人),查获非法收集公民个人信息1300余条,涉案金额12万余元。

八、乌鲁木齐杨某、郝某侵犯公民个人信息案

   2023年6月,乌鲁木齐市杨某与手机运营商营业厅工作人员郝某勾连,利用郝某工作便利,通过新办、注销、挂失等方式,在客户不知情的情况下将400余张实名制的手机卡通过杨某流入“黑灰产”市场,用于上游“客户”注册抖音、微信等社交平台进行“黑灰产”营销。2023年7月,乌鲁木齐市公安机关将杨某、郝某2人抓获。

https://www.163.com/dy/article/ICCIN45G0517A385.html


4、房源数据服务商遭勒索软件攻击,美国房地产市场陷入混乱

   安全内参8月16日消息,过去五天,美国加州一家房源挂牌服务提供商遭遇网络攻击,导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公司提供一项关键在线工具,帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。

   这次攻击始于上周三(8月9日),袭击对象是位于加州的软件和服务提供商Rapottoni公司。该公司为加州乃至全美各地区房地产集团提供多重房源挂牌服务(也叫MLS),房地产经纪人可以实时获取各类房屋的销售数据,包括即将入市的房屋、购房报价以及已入市房屋的销售信息。多重房源挂牌服务在买家与卖家、经纪人和房源挂牌网站之间架起了重要桥梁。

https://www.secrss.com/articles/57835


5、微软:欧德神思软件曝出15个漏洞,可致电厂关停、数据窃取

   近日,微软安全专家透露,德国工业软件巨头欧德神思(Codesys)的系统中存在15个高危安全漏洞,可导致电厂关停或重要关基系统信息被窃取。2022年9月,微软情报威胁专家Vladimir Tokarev向Codesys报告了Codesys Control V3 3.5.19.0 之前版本存在的安全漏洞。2023年4月Codesys发布了相关漏洞的补丁。

   总部位于德国的德国工业软件巨头欧德神思(Codesys)提供工控系统的自动化软件,广泛存在于大量设备中——500 多家制造商生产的大约 1,000 种不同类型的产品。

   这15个安全漏洞的编号为CVE-2022-47379到CVE-2022-47393,均属于高危评级,其中多数评分为8.8/10,可被用于拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。其中的12个漏洞为缓存溢出漏洞,可用于对PLC实现远程代码执行。但需要攻击者可以绕开身份验证,以及绕过数据执行保护(DEP)和地址空间配置随机加载(ASLR)措施。

https://www.secrss.com/articles/57788


6、全球最大金矿和钼矿厂遭网络攻击:生产受到部分影响

   安全内参8月15日消息,美国矿业巨头自由港·麦克莫兰铜金公司(Freeport-McMoRan Inc. 简称FCX)在上周五宣布,正在调查一起影响其信息系统的网络安全事件。公司表示,正在评估事件影响,积极采取解决措施,并与“第三方专家和执法部门密切合作”。

   自由港·麦克莫兰铜金公司总部位于美国亚利桑那州凤凰城的自由港·麦克莫兰中心,通常被称为自由港公司。

   该公司在网络安全动态通报中称:“事件对生产影响有限。”正在计划和实施过渡性解决方案,以尽快保护信息系统的安全。公司将继续将安全和负责任的生产实践放在首位。

https://www.secrss.com/articles/57787


7、10万黑客被黑!大量黑客论坛账户泄露

   威胁情报公司Hudson Rock的安全研究人员近日发现12万台感染信息窃取恶意软件的计算机包含网络犯罪论坛的账户凭据,这些计算机大多属于黑客。

   尽管大量黑客也像普通用户一样感染了信息窃取恶意软件,但通过分析数据,研究人员发现,黑客论坛的登录密码通常比用于政府网站的登录密码更为安全。

https://www.secrss.com/articles/57782


8、因涉及多项个人信息安全保护问题,泉州银行被罚426.5万!

   8月11日,人民银行福州中心支行发布的行政处罚信息显示,泉州银行因存在14项违法行为,被警告,并被罚款426.5万元。同时,5人对其中1项或2项违法行为负有责任,被罚款4.4万元至9.4万元不等。

   值得一提的是,这14项违法行为中,有多项涉及个人信息安全保护问题,包括“向金融信用信息基础数据库提供个人不良信息,未事先告知信息主体本人”“违反消费者金融信息保护规定”。

图片

https://mp.weixin.qq.com/s/FPDNxvuuQNCAofH-TBYyyQ


9、交通银行湖南省分行被罚87.5万 征信异议处理超期等

   8月15日讯 中国人民银行长沙中心支行网站近日公布的行政处罚决定书(长银罚决字〔2023〕51号-58号)显示,交通银行股份有限公司湖南省分行存在13宗违法违规行为。 

   交通银行股份有限公司湖南省分行虚报、瞒报金融统计数据;违规开立单位银行结算账户;撤销企业一般存款账户、专用存款账户未及时备案;撤销企业基本存款账户未及时备案;未按规定解缴假币;办理货币收付、清分业务人员不具备判断和挑剔假币专业能力;未通过“待报解预算收入”账户划转预算收入资金;违反征信信息安全管理要求;征信异议处理超期;未按规定履行客户身份识别义务;未按照规定报送大额交易报告或者可疑交易报告;未按要求向金融消费者披露与金融产品和服务有关的重要内容;漏报投诉数据。中国人民银行长沙中心支行对其警告,并处87.5万元罚款。 

http://finance.ce.cn/bank12/scroll/202308/15/t20230815_38673542.shtml?ivk_sa=1023197a



技术、产品与市场

1、就“强化企业数据安全管理与评估” 全国政协社会和法制委员会开展重点提案督办

   人民政协报讯(记者 孙金诚)8月17日下午,全国政协社会和法制委员会就“强化企业数据安全管理与评估”开展重点提案督办走访并召开座谈会。全国政协副主席周强参加并讲话。

   《关于强化企业数据安全管理与评估的提案》是今年全国政协72个重点提案选题之一,由中央网信办承办。此外还有2件相关提案。

   委员们走访了数据安全科技企业,了解企业数据安全工作情况,并在中央网信办召开提案办理协商会,与中央网信办、工业和信息化部相关部门负责同志座谈交流。

   委员们表示,习近平总书记高度重视网络安全和信息化工作,对做好网信工作提出明确要求。应从党和国家事业发展全局的高度,充分认识加强数据安全的重要意义,充分认识加强数据保护工作的重要性和紧迫性。委员们认为,数据安全高效流动有赖于规范有序的法治护航。应依法履行数据安全监管职责,守住安全底线,推动企业数据合规专项建设;依法履行数据竞争监管职责,守住监管红线,营造公平竞争和规范有序的市场环境。

   中央网信办副主任、国家网信办副主任赵泽良,工业和信息化部总工程师赵志国介绍提案办理情况,并就委员发言作出回应。

http://www.cppcc.gov.cn/zxww/2023/08/18/ARTI1692322525892298.shtml


2、工信部稳步推动网络和数据安全保险发展,加强法规宣贯与政策创新

   近日,工业和信息化部(工信部)在对十四届全国人大一次会议第2774号建议的答复中,表明将与金融监管总局等部门紧密合作,在总结前期工作成果的基础上,吸纳代表建议,持续推动网络和数据安全保险领域的发展。

加强法规宣贯与政策标准解读

   工信部提出了一系列积极举措,旨在促进网络和数据安全保险的发展。首先,将加强对网络和数据安全法律法规和政策标准的宣贯解读,以引导企业深入理解相关规定。这有助于企业在合规建设方面做出准确和完整的努力,提升其在网络和数据安全保护方面的意识和能力,为网络和数据安全保险业务的扩展提供更广阔的市场空间。

积极推动网络和数据安全保险发展

   其次,工信部积极鼓励保险行业深入研究与网络和数据安全相关的风险。这将有助于保险行业创新并研发出更多相关的保险产品和服务,以更好地满足市场的需求。通过充分发挥国家产融合作平台的作用,工信部还将协助保险企业在融资等方面提供支持,以确保其能够更好地履行保障职责。

构建规范发展环境,支持中小企业购买保险

   综上所述,工信部在网络和数据安全保险领域的积极行动表明了政府对于网络安全的高度关注。通过加强法规宣贯、积极推动保险产品创新和政策支持,工信部致力于构建一个安全、稳定的网络和数据环境,从而保障社会的数字化发展和经济的可持续增长。这将为我国网络安全领域的未来发展奠定坚实的基础。

https://www.51report.com/fyzx/202308/578409.html


3、国家安全部:数据安全已成为事关国家安全与经济社会发展的重大问题

   8月16日,国家安全部公众号发文表示,近年来,一些境外组织机构对我国重要数据安全的觊觎屡屡见诸报端。2020年,我国某航空公司信息系统遭到境外网络攻击,部分乘客出行记录等数据被窃取;2021年,某境外咨询调查公司与境内数十名人员建立“合作”,广泛搜集我航运基础数据、特定船只载物信息;2022年,媒体公开报道了我国首例涉高铁运行数据的危害国家安全案件。我国是网络大国,也是网络攻击的主要受害国家。近年来,黑客组织、犯罪团伙和不法分子持续对我国关键信息基础设施、重要行业部门实施网络攻击,入侵重要信息系统,窃取重要数据,不仅侵害个人隐私、商业秘密,更对国家重要数据安全带来了严重危害。数据安全关乎国家安全和公共利益,是非传统安全的重要方面,已成为事关国家安全与经济社会发展的重大问题。维护数据安全就是维护国家安全,捍卫数据主权就是捍卫国家主权,保护数据安全就是在守护美好未来。

http://www.nbd.com.cn/articles/2023-08-16/2962316.html


4、AI大牛股”又迎政策监管,投资者关注数据安全和潜力竞争力|产业链情报站

   中国政府近日颁布了《生成式人工智能服务管理暂行办法》,对能够自动生成文本和图片等内容的生成式人工智能进行监管。该办法强调,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益的内容。此举旨在保护国内市场,帮助本国企业成长。百度和阿里巴巴等中国大型互联网企业积极参与生成式人工智能研发。据中国媒体报道,中国人工智能核心产业规模达5000亿元人民币,企业数量超过4300家。这些信息可能让二级市场投资者感兴趣,因为这些企业可能会受到政策的影响,同时也代表着中国在人工智能领域的发展潜力和竞争力。此外,北京还将要求企业使用“具有合法来源的数据”来训练其模型,并在需要时向监管机构披露这些数据。这意味着,数据安全和隐私保护等问题也可能成为投资者关注的焦点。

http://stock.hexun.com/2023-08-17/209726250.html


5、微软2023财年发放了超1亿元漏洞赏金:平均每个漏洞8.5万元

   近日,科技巨头微软宣布,连续第四年为漏洞赏金计划支付超过1300万美元。

   微软透露,2022年7月1日至2023年6月30日期间,向来自至少45个国家的345名研究人员共计支付了1380万美元(约合人民币1.01亿元),感谢他们提交了1100多份漏洞报告。其中,单次漏洞报告的最高奖金高达20万美元。

   根据微软之前的公告,该公司在2020年、2021年和2022年也支付了类似规模的金额,分别为1370万、1360万、1370万美元。

   微软目前共设有17个漏洞赏金计划,其中大部分针对其云服务和平台。研究人员可以通过项目资助和挑战赛获得可观的奖励。

   如果发现Hyper-V虚拟机监控程序的严重漏洞,可领取高达25万美元奖金。这是漏洞赏金计划的最高奖励项目。

https://www.sohu.com/a/657146682_121648729


6、预算超43亿元!金融之都纽约发布首个网络安全战略

   安全内参8月14日消息,美国纽约州州长Kathy Hochul推出一项广泛的网络安全战略,拨款6亿美元(约合人民币43.53亿元)用于保护该州数字和关键基础设施免受网络威胁。

   这是纽约州“有史以来首次”制定全州性网络安全战略。Kathy Hochul表示,新战略在网络安全和弹性方面设定了高目标。根据战略概要,纽约州将统一全州范围的网络安全服务,以保证关键基础设施、个人信息和数字资产免受恶意行为者攻击;同时提供框架,以协调公共部门和非营利组织的行动与资源。

https://www.secrss.com/articles/57764


7、IDC:2022年中国数据泄露防护市场规模达到1.31亿美元

   在当前数字化时代,数据的产生、传输和存储变得异常频繁和庞大,企业、政府和个人都面临着巨大的数据安全风险。2022年国内数据泄漏事件频发,涉及制造、金融、医疗、政府、教育等各个行业,数据泄露的不断发生对个人隐私、商业机密和国家安全带来严重威胁,数据泄露防护技术的发展变得至关重要。

   在此背景下,IDC于近日发布了《中国数据泄露防护市场份额,2022》报告,报告针对2022中国数据泄露防护市场的规模、增长速度、主要玩家、市场与技术的发展趋势等内容进行了详细研究。IDC数据显示,中国数据泄露防护市场在2022年实现了4.8%的同比增长,规模达到1.31亿美元。

   IDC结合当前数据泄露防护市场发展现状及未来趋势,为技术买家提供以下几点建议:

整合云计算和移动设备支持。

强化机器学习和人工智能分析。

强调法规合规性。

数据分类和标识改进。

   强化实时监控和响应能力。IDC中国网络安全研究分析师陈佳认为,受到数据泄露事件的增加和数据安全合规要求的驱动,DLP市场正处于持续增长的阶段。企业对于保护敏感数据和确保合规性的需求越来越迫切。同时,由于网络边界的模糊化加剧,企业对于数据的可见性和控制的需求也不断增加。因此,DLP技术供应商应提供更精细的数据识别和分类、实时监测和警报、访问控制等功能,以满足企业对于数据保护和合规性的日益增长的需求。

https://mp.weixin.qq.com/s/Lw_Nui_n2Zv6Zj6hQ913wA



业界观点

1、专家观点| 共建数据网络安全环境 推动数字经济可持续发展

   习近平总书记日前对网络安全和信息化工作作出重要指示,鲜明提出网信工作的使命任务,明确“十个坚持”重要原则,要求大力推动网信事业高质量发展。这一重要指示是新时代新征程引领网信事业高质量发展、建设网络强国的行动指南。随着数字经济的快速发展和信息化在各行业各领域的深入推进,数据网络安全的重要性愈发凸显,完善数据安全保护已刻不容缓,网络安全成为关乎数字经济发展最重要的问题之一。新征程加快发展数字经济,必须深入学习贯彻习近平总书记关于网络安全和信息化工作的重要指示精神,加快促进网络安全水平的整体提升,营造开放、安全的数字环境。

我国网络安全保障体系和能力持续提升

加强数据与网络安全治理,为数字经济发展保驾护航

   数字经济的发展离不开数据安全的保护,加快推动数字经济可持续发展,必须维护和保障好数据安全和网络安全,加快提升数字技术核心技术的研发和网络监管能力,共建数据安全和网络安全新态势,为数字经济的发展保驾护航。

   实现高质量数据治理。数据治理作为数据基础制度建设的一项重要内容,事关国家发展和安全大局。如果数据治理失灵、无效,数据被随意窃取滥用、任意泄漏转卖甚至不加监管地流动到境外,就会给国家安全带来巨大隐患,对个人信息权利造成严重损害。实现高质量数据治理,必须坚持改革创新、系统谋划,以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,推动各项意见建议落实落地,大力提升数据要素配置的整体性、系统性、协同性、融合性。同时,优化各相关管理部门的数据治理分工协作,全方位应对和解决好数字经济发展中遇到的数据与网络安全问题,维护公平公正的数据交易市场秩序,优化网络安全行业发展环境,全面提升数据和网络安全保护水平,为推动高质量发展、推进中国式现代化提供有力数字支撑。

   坚持数据安全与发展并重。以国家安全、公共安全以及个人隐私安全为底线,合理把握数据应用开放的界限,促进数据资源的流动和利用,更好实现数据要素价值。在大力提升数字技术与经济发展的适配度的同时,必须加强对数据全生命周期安全的维护和保障,强化对国家机密、商业秘密和个人信息等数据的保护,避免造成信息泄露和黑客入侵等网络安全问题。同时,在国家层面上也要加强对重要数据出入境安全管理,强化对网络安全和信息安全的风险评估机制,定期对相关信息材料和网络安全进行排查和防护,最终达到捍卫数据安全和网络安全的目的。

   突破数据安全领域关键核心技术。信息领域关键核心技术是网络安全和信息化工作的“命门”,关键核心技术受制于人势必失去发展主动权、削弱发展安全性,只有突破关键核心技术,才能从根本上保障网络安全、经济安全、国家安全。因此,走好自主创新道路,持之以恒突破关键核心技术,是保障数据与网络安全的关键所在,也是保障依法管网、依法办网、依法上网的关键所在,能够从根本上筑牢国家网络安全屏障,为提升网络治理体系和治理能力现代化水平提供坚实的技术支撑。

http://www.china.com.cn/opinion/theory/2023-08/17/content_103971724.shtml


2、观点| 如何构建数据安全运营指标体系,有效量化和指导数据安全运营工作?

   数据安全运营指标体系是一种用于评估和指导数据安全运营能力的方法,体系从不同维度、内容来构建和应用。根据不同数据安全运营目标和场景,可选择合适的指标体系来进行数据安全运营规划、执行、监控和改进。本体系包含风险维度、能力维度与价值维度三方面。

数据安全运营指标体系建设价值

   当前数据安全运营过程之中存在诸多问题。第一,缺乏缺乏方向和目标,缺少明确、可量化的指标体系,数据安全运营需要做到什么程度,要达到怎样目标并没有明确概念,导致数据安全运营缺乏方向和动力,无法有效地支持业务发展;第二,缺乏可见性和可度量性,无法通过数据和事实来展示和证明自己的工作成果,缺少直接有效地向上级或者利益相关方汇报和沟通的方式方法;第三,缺乏可控性和可持续性,无法通过规划和执行来驱动和改进自己的工作流程,应对复杂多变的数据安全环境能力缺失;第四,缺乏可信任性和可交付性,无法建立良好的合作关系。

具体可实现以下目的:

1.明确数据安全运营目标和范围,对齐和赋能业务价值;

2.量化数据安全运营输入和输出,提升风险管理能力;

3.优化数据安全运营流程和方法,提升技术结合能力;

4.验证数据安全运营效果和水平,满足内外部需求与要求。

数据安全运营指标体系建设内容

   数据安全运营指标体系是一种用于评估和指导数据安全运营能力的方法,体系从不同维度、内容来构建和应用。根据不同数据安全运营目标和场景,可选择合适的指标体系来进行数据安全运营规划、执行、监控和改进。本体系包含风险维度、能力维度与价值维度三方面。

   风险维度:风险识别率、风险评估准确性、风险治理效果、风险收敛;

   能力维度:技术能力、管理能力、人员能力;

   价值维度:业务可用性、业务满意度、业务增长率。

https://www.secrss.com/articles/57843


3、观点| 工业领域“数安护航”专项行动:企业如何开展数据安全风险自查评估

   为提升数据安全管理水平,规范重要数据和核心数据处理活动,有效防范数据安全风险,上海市经济和信息化委员会(以下简称“上海市经信委”)按照工业和信息化部和市委市政府的有关部署要求,依据《网络安全法》《数据安全法》《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》等法律法规的规定,在上海市工业领域组织开展2023年“数安护航”专项行动。

01 “数安护航”专项行动的工作要求

   本年度工业领域“数安护航”专项行动的适用对象为被纳入《2023年上海市工业领域数据安全风险防控重点企业名录》的重点单位(以下简称“重点单位”)。具体工作要求如下:

1.工业领域重要数据、核心数据识别备案

2.工业领域数据安全风险评估

3.常态化监测预警和应急处置

4.数据安全示范项目建设

02 如何开展数据安全风险自查评估

1.自查准备阶段

2.自查实施阶段

3.自查报告阶段

https://www.secrss.com/articles/57819


4、观点| 基于多跨协同理念的银行数据安全防护体系建设

   银行业作为数据密集型产业,生产过程中积累了大量的营销数据、个人客户信息等敏感数据,由于银行自身业务的经济属性,其数据一直是不法分子紧盯的重点对象。同时,银行业作为数字化改革的“先行军”,数据积累速度、使用场景迅速增长,业务的多样化、服务的开放化使得数据安全防护越来越复杂,数据安全风险不断攀升。此外,大数据、人工智能、物联网等技术的快速发展与广泛应用也给数据安全防护带来新威胁,数据泄露、隐私侵权等安全问题愈发突出,数据安全防护体系的建设刻不容缓。

系统发力,优化数据安全防护框架

图片


   总体框架分为管理、技术、运营三大体系,涵盖了组织、流程、人员、技术、运营等数据安全相关事务。三大体系的设计之初就考虑多部门、多业务、多产品融合联动的情况,在宏观层面贯彻了多跨协同的思路。


打破孤岛,构筑多跨协同数据安全防护技术体系

图片


力学笃行,充分发挥多跨协同理念的联动价值

   基础不牢,地动山摇。数据安全防护体系作为数据安全庞大体系中最为基础的一部分,为上层的数据确权、数据交易提供了有力支撑和保障。展望未来,随着银行业数据安全防护体系的逐渐夯实,更多的新技术如隐私计算、联邦学习等将在银行业落地生根,让数据真正发挥作为生产要素的价值。

https://www.secrss.com/articles/57748


5、观点| 浅谈企业态势感知与安全运营建设思路

   随着云计算、大数据、物联网、人工智能等基础设施的建设加快,给企业业务带来了新的发展模式,同时网络规模逐步扩大,网络结构及应用日趋复杂,网络安全问题更值得被关注。基于安全大数据和人工智能的信息安全运营与态势感知系统,可从全局上提高对安全威胁的感知、理解和处理能力,同时根据运营反馈结果,使得网络安全管理人员更加合理的调整,升级网络安全要素、网络安全设备和信息系统,能更好的加强纵深防御建设,构建主动防御体系,应对未来网络安全态势的变化。总结来说,信息安全运营与态势感知的建设分为四个层次:

秒级感知能力,实时感知变化;

实时分析能力,快速分析变化;

模型预测能力,运用模型预测变化;

自动化决策能力,自主生成最优决策并能将决策自动执行。

https://www.secrss.com/articles/57731