政策形势
1、工业和信息化部办公厅关于组织开展2023年工业和信息化领域数据安全典型案例遴选工作
工信部近日印发通知,组织开展2023年工业和信息化领域数据安全典型案例遴选工作。将面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选,按照技术先进、特点突出的原则,挖掘行业广泛认可、企业应用效果良好的案例,树立行业标杆、扩大产业影响,促进数据安全产品、应用和服务的示范推广,全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则,将案例划分为“工业领域”“电信和互联网领域”进行征集,每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括:
一、数据安全基础共性方向:数据分类分级类案例、数据脱敏类案例、数据加密类案例、数据攻击检测类案例、数据防泄露类案例;
二、数据安全监测分析方向:数据安全监测感知类案例、数据溯源类案例;
三、数据安全体系整体设计实施方向:整体设计实施类案例;
四、其他方向:电信和互联网领域隐私计算类案例、汽车数据安全保护类案例。
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_ca0366db4760460e957ad6c07d772209.html
2、《商用密码检测机构管理办法》、《商用密码应用安全性评估管理办法》11月1日起施行
2023年10月7日,国家密码管理局公布《商用密码检测机构管理办法》、《商用密码应用安全性评估管理办法》,上述两种《办法》已于2023年9月11日国家密码管理局局务会议审议通过,自2023年11月1日起施行。
《商用密码检测机构管理办法》的制定细化《密码法》、《条例》关于商用密码检测机构许可、从业、监管等方面要求,研究借鉴有关检验检测机构管理规定。
《商用密码应用安全性评估管理办法》的制定细化《密码法》、《条例》关于商用密码应用安全性评估工作主体、方式、程序、备案等方面要求,吸收继承商用密码应用安全性评估试点经验做法。
https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061108.shtml
https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content_1061109.shtml
3、工信部等六部门联合印发《算力基础设施高质量发展行动计划》
10月9日,工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委等六部门近日联合印发《算力基础设施高质量发展行动计划》,提出到2025年,计算力方面,算力规模超过300 EFLOPS,智能算力占比达到35%,东西部算力平衡协调发展。运载力方面,国家枢纽节点数据中心集群间基本实现不高于理论时延1.5倍的直连网络传输,重点应用场所光传送网(OTN)覆盖率达到80%,骨干网、城域网全面支持IPv6,SRv6等创新技术使用占比达到40%。存储力方面,存储总量超过1800EB,先进存储容量占比达到30%以上,重点行业核心数据、重要数据灾备覆盖率达到100%。应用赋能方面,打造一批算力新业务、新模式、新业态,工业、金融等领域算力渗透率显著提升,医疗、交通等领域应用实现规模化复制推广,能源、教育等领域应用范围进一步扩大。每个重点领域打造30个以上应用标杆。
https://mp.weixin.qq.com/s/87cC17cMtOwZ9V4UislQgA
4、工信部就工业和信息化领域数据安全风险评估实施细则(试行)公开征求意见
10月9日,工信部公开征求对《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》的意见。《征求意见稿》主要内容包括:界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,明确工业和信息化部、地方行业监管部门的职责分工,并确立风险评估工作原则。明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行等。
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e11152265eba4c9c9876a20c63715a1a.html
数据安全事件
1、弘业期货违反网络信息安全管理规定,被江苏证监局责令改正
10月7日,江苏证监局公告,弘业期货股份有限公司在核心交易系统的运行维护中,未按规定合理控制系统性能容量冗余,未做好信息系统风险防护,未切实履行网络和信息安全保护义务,违反了《证券期货业网络和信息安全管理办法》(证监会令第218号)第二十一条第三款规定。根据相关规定,江苏证监局决定对弘业期货采取责令改正的行政监管措施,要求其在收到监管措施决定书之日起三个月内完成整改,并向监管局提交整改情况报告。江苏证监局将在日常监管中持续关注并视情况进行检查。
http://www.csrc.gov.cn/jiangsu/c103899/c7435465/content.shtml
2、因违反数据安全法,南昌市网信办对某企业作出行政处罚
近日,接上级网信部门通报,南昌市南昌县某企业存在数据漏洞风险,疑似出现删库勒索事件。
经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:1.该企业运营的MongoDB数据库存在未授权访问安全漏洞;2.该企业未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索;3.该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。该企业的相关行为违反了《中华人民共和国数据安全法》第二十七条、二十九条的规定。
南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
https://mp.weixin.qq.com/s/BSXjQlmdKwBCusb04rrOrw
3、浙江网信办对杭州某科技公司未履行数据安全保护义务依法处罚
2023年10月10日,近日,浙江省网信办依据《数据安全法》《行政处罚法》等法律法规,对杭州某科技公司作出罚款5万元的行政处罚,对该公司直接负责人作出罚款1万元的行政处罚。
根据国家网信办移交的问题线索,浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。经查实,该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定。
https://mp.weixin.qq.com/s/6bVE1RjKW0DiZMt2Cl8tUw
4、上海某公司数据泄漏被传输境外后擅自删库!当地网信办罚款8万元
2023年10月11日,在工作中发现,上海市某科技公司相关数据库存在未授权访问漏洞,部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改,但该科技公司无视数据安全保护责任,未进行及时有效整改且擅自将涉事数据库一删了之,意图逃避处罚。上海市网信办依据《数据安全法》对该科技公司及公司直接责任人员予以行政处罚。
经调查核实,该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月,公司安装配置了一台Elasticsearch数据库服务器,用于搜集多个应用系统的业务日志,并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,因数据库存在未授权访问漏洞,造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告,未有效履行数据安全保护义务。针对以上违法情况,上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
https://mp.weixin.qq.com/s/3LKOKFVUM9EMZ_CEdoRVhw
技术、产品与市场
1、“铸网-2023”陕西省工业和信息化领域网络和数据安全攻防演练暨安全技能大赛正式启动
近日,由陕西省工业和信息化厅和陕西省通信管理局联合主办的“铸网-2023”陕西省工业和信息化领域网络和数据安全攻防演练暨安全技能大赛举行了启动仪式。
陕西省工信厅党组成员、副厅长黄新波指出,随着数字经济的快速发展和信息化在各行业各领域的深入推进,网络和数据安全的重要性愈发凸显。新征程加快发展数字经济,必须深入贯彻习近平总书记关于网络强国的重要思想,切实筑牢网络安全屏障,常态化开展网络和数据安全攻防演练,“以攻促防”、“以练促建”,不断提升工业和信息化领域网络和数据安全保障能力。
本次演练活动确定省内9家重点单位作为防守方,邀请6支省内专业技术团队作为攻击队伍。演练活动为期4天,攻防双方将围绕工业互联网平台、物联网、车联网等重要信息系统开展网络攻击渗透和防守阻断。演练结束后,将对攻防演练中发现的安全问题、安全漏洞隐患、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等进行总结,及时向防守单位下发通报,督促整改。
https://www.miit.gov.cn/xwdt/gxdt/dfgz/art/2023/art_e87ee05c047646ebba3d5063a08ad50a.html
2、“德阳数据要素应用场景实验室”正式投入使用
近日,德阳数据要素应用场景实验室(以下简称“实验室”)正式启用。实验室是在德阳市政务服务和大数据管理局的指导下,由德阳国科数字产业发展集团有限公司牵头组建成立,面向德阳数据要素市场拓展需求,以数据要素相关技术研究、产品孵化、场景应用融合创新为主要建设目标,围绕金融、卫生健康、能源、交通、社会保障等五大领域,重点开展数据安全有序流通技术、数据要素政策研究。
https://www.ddidg.com/d/subsidiary/143.html
3、安恒信息助力杭州亚运会网络安全保障
安恒信息作为杭州亚运会官方网络安全服务合作伙伴,其董事长范渊表示,国际大型体育赛事向来是创新技术的重要展示舞台之一,杭州亚运会令人惊艳的开幕式表演、激烈的比赛,让全世界观众领略到数字技术的重要应用。
其中,今年5月正式启用的MSS亚运天穹——新一代主动防御运营中心,在上线前进行了超50次模拟演练,在亚运会期间全面协助赛事场馆的各项网络安全工作,在云端实现资产的全面发现、漏洞的全面管理、威胁的实时检测响应、“7×24小时”的云端安全专家持续守护,为杭州亚运会提供全天候、全场景、全过程、全闭环的安全运营保障服务。 此外,在安恒信息部署的1184台设备中,还包括明御终端安全及防病毒系统、安恒数盾数据安全体系、安恒天池云安全管理平台、AiLPHA高级威胁检测与分析系统、安恒物联网安全产品、雷神众测等产品。
http://www.jjckb.cn/2023-10/09/c_1310744599.htm
4、微软详述攻击者通过SQL Server横向移动到云的方式
微软在10月3日称其最近发现了一次攻击活动,其中攻击者试图通过SQL Server实例横向移动到云环境。这种攻击方式在其它云服务中有发现过,但在SQL Server中却没有。攻击者最初利用目标系统的应用程序中的SQL注入漏洞,来访问部署在Azure 虚拟机(VM)中的Microsoft SQL Server实例并提升其权限。然后,攻击者利用获得的高级权限,试图通过滥用服务器的云身份横向移动到其它云资源。
https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/
业界观点
1、亚马逊云科技:构建云数据安全体系 释放数据商业价值
近日,亚马逊云科技数据分析与安全媒体沟通会在北京举行。在数字经济时代,企业如何在保证数据安全的同时,有效利用数据资产提升商业价值?这已成为企业亟待解决的难题。
埃森哲2022年的报告显示,超过90%的企业高管认为,数据已成为组织内部和跨行业竞争的关键因素。因此,企业正在积极探索在保障数据安全的前提下,如何推动数据的商业应用。
数据应用中存在诸多挑战。首先,数据事关企业价值,需确保绝对安全,同时满足合规要求。但是,数据安全与数据应用往往存在着矛盾。其次,许多企业和用户积累了大量数据,但这些数据分散在信息孤岛中,无法在公司间有效流通和共享,无法产生协同价值。
为此,亚马逊云科技将这些挑战归结为四个维度:数据的可识别性、可见性、可协作性和安全数据的可操作性。在沟通会上,陈晓建围绕这四个维度,详细阐述了亚马逊云科技在云上数据安全与商业化应用方面的理念与实践。
https://business.sohu.com/a/726562920_255153
2、Microsoft发布关于2023年数字防御的分析报告
10月5日报道称,Microsoft发布了2023年数字防御的分析报告,分析了2022年7月至2023年6月期间的安全趋势。自2022年9月以来,手动执行的勒索攻击增加了200%以上。自2022年11月以来,涉及数据泄露的攻击数量增加了一倍。大多数勒索攻击并未成功加密任何内容,只有2%的攻击成功部署了勒索软件。大多数攻击可以追溯到3个点:破坏外部远程服务、利用有效帐户和入侵面向公众的应用程序。近三分之二的攻击可追溯到4个勒索团伙:Magniber、LockBit、Hive和BlackCat。
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023
3、李强在浙江调研时强调 在加快数字化转型中塑造高质量发展新动能新优势
中共中央政治局常委、国务院总理李强10月7日至9日在浙江调研。他强调,要深入学习贯彻习近平总书记关于数字经济发展和新型工业化的重要指示精神,落实全国新型工业化推进大会部署,从战略全局高度做强做优做大数字经济,在加快数字化转型中赋能经济社会发展,塑造高质量发展新动能新优势。
调研中,李强主持召开座谈会,听取浙江有关部门和部分企业负责人发言。李强指出,数字经济的发展正深刻改变人类生产生活方式。要大力推进数字科技创新突破,打好关键核心技术攻坚战。聚焦大数据和计算产业、新一代人工智能产业等战略前沿,培育数字产业集群,努力在数字经济新赛道争先领跑。加快网络、算力、应用基础设施建设,持续提升平台经济国际竞争力,增强数字经济发展基础支撑能力。
https://www.ceweekly.cn/cewck/2023/1010/426224.html
4、国家发改委:加强与共建“一带一路”国家在数字产业等方面合作
10月10日,国新办就 《共建“一带一路”:构建人类命运共同体的重大实践》白皮书举行发布会,国家发展改革委副主任丛亮表示,将不断加强与共建国家数字经济领域交流,拓展数字经济务实合作领域,进一步推动发展红利惠及各国人民。重点有“三个深化”:
一是深化数字经济国际共识。依托双边和多边合作机制开展数字经济交流合作,主动参与多边机制和国际组织的数字经济的议题谈判,积极推进加入《数字经济伙伴关系协定》(DEPA),在世界贸易组织、《区域全面经济伙伴协定》(RCEP)等框架下推动数字经济治理规则构建,广泛凝聚发展共识。
二是深化数字产业国际合作。依托现有数字丝绸之路建设合作机制,加强与共建“一带一路”国家在网络基础设施、数字产业等方面的合作,不断拓展数字产业国际合作广度和深度。
三是深化数字经济红利共享。务实推进数字经济的交流合作,鼓励中外企业高质量开展电子商务、移动支付、智慧城市、远程医疗、数字教育、产业数字化转型等领域合作,发挥数字技术在推动经济高质量发展、改善社会民生等方面的作用,与共建国家的人民更好共享数字经济发展红利。
https://new.qq.com/rain/a/20231010A03J9600
5、院士邬江兴谈网络安全:系统环境加密使攻击者“失明”
近日,2023第二届北外滩网络安全高峰论坛在上海“世界会客厅”举行,多位院士专家与会,分别从大数据、密码技术等维度探讨网络空间安全理念与实践,为网络安全、数据安全领域谋划新思路。
中国工程院院士邬江兴发表主旨演讲《网络空间安全硬核问题与三重安全执行环境》。三重安全交织问题是网络空间安全的硬核问题。网络空间分为物理世界、信息网络和数据空间三重属性。“三重安全交织”指的是功能安全、网络安全与信息数据安全。物理失效的随机性、软件失效的不确定性、网络攻击的人为性质和受信任执行环境缺位都会导致网络安全问题。
从内生安全角度而言,网络安全问题不可能彻底消除,上补丁或者内嵌各种加密技术之后可能还会引入新的安全漏洞,当前任何数字产品技术都无法避免基于未知内生安全问题的攻击和破坏。因此,邬江兴提出要保证内生安全,其本质就是创造一种系统结构加密的方法,实现对信息本体特征功能透明,对非本征功能或暗功能加密。
https://baijiahao.baidu.com/s?id=1778178292594563013&wfr=spider&for=pc
