x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 (10月14日-10月20日)
发布时间:2023.10.20 浏览数量:755人

一、政策形势

1、《电子政务电子认证服务管理办法(征求意见稿)》公布

10月17日,国家密码管理局研究起草了《电子政务电子认证服务管理办法(征求意见稿)》,现向社会公开征求意见。征求意见稿包括总则、资质认定、行为规范、监督管理、法律责任和附则六章,进一步明确了国家密码管理局以及地方密码管理部门的职责分工,以充分发挥各级密码管理部门的监督管理作用。

https://www.oscca.gov.cn/sca/hdjl/2023-10/17/content_1061121.shtml

 

2、国家卫健委:严禁擅自向他人提供患者诊疗信息

2023年10月9日,为维护患者健康权益,保障患者安全,进一步提升医疗机构患者安全管理水平,国家卫生健康委制定并发布《患者安全专项行动方案(2023-2025年)》(以下简称《行动方案》)。

 

《行动方案》提出,利用3年时间,进一步健全患者安全管理体系,完善制度建设,畅通工作机制,及时消除医疗过程中以及医院环境中的各类风险,保障患者安全。
《行动方案》要求规范医务人员管理,加强医务人员规范管理,要围绕相关法律法规、医疗质量安全核心制度、年度国家医疗质量安全改进目标、质量管理工具等内容,建立患者安全培训课程,提升全员安全意识。
值得一提的是,为保障诊疗信息安全,《行动方案》明确要提高对信息安全的重视程度,按要求对医疗机构内部的信息系统采取信息安全等级保护措施,加强账号信息和权限管理,定期开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,防止数据泄露、毁损、丢失,严禁任何人擅自向他人或其他机构提供患者诊疗信息。同时,做好信息系统容灾备份,建立信息系统应急处置预案,并制定医院信息系统局部或全部瘫痪状况下临床运行处置预案。

https://mp.weixin.qq.com/s/k3fdF18ctIKtZRblZOHkyA

 

3、《北京市首席数据官制度试点工作方案》 全面推行政府首席数据官制度

2023年10月18日,为贯彻落实《北京市数字经济促进条例》《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》,有力提升数字治理领导力建设,加快推进全球数字经济标杆城市建设,市经济和信息化局制定《北京市首席数据官制度试点工作方案》(以下简称《工作方案》),经市政府同意,已正式发布,将在全市政府机关内全面推进首席数据官制度建设。

 

本次发布的《工作方案》主体分为总体要求、主要任务、保障措施三大部分,包括指导思想、工作目标、试点范围;建立工作机制、明确职责范围;加强组织实施、完善配套措施、强化总结推广等。《工作方案》选取13家市级委办局、各区级政府和北京经济技术开发区作为试点单位,自行灵活设立首席数据官,职责范围包括推进数字政府建设、加强数据资源管理、提升指导监督能力、提高数字思维素养、促进人才队伍建设等。同时,《工作方案》还鼓励各区级政府在选取有条件的下级单位开展试点工作,积极鼓励各类企业设立首席数据官。

https://baijiahao.baidu.com/s?id=1780237957821318176&wfr=spider&for=pc

 

 

二、数据安全事件

1、个人信息保护不当 宁夏6家物业公司被处罚

近年来,多起个人信息泄露案件的源头,都是物业公司。物业公司因为拥有管理权,掌握大量业主姓名、电话号码、家庭住址等个人信息。一些物业公司对业主信息疏于管理和保护,出现信息泄露等问题。

 

近日,宁夏石嘴山市6家物业公司因存在信息泄露隐患,被当地公安机关依法予以行政处罚。7月15日以来,公安机关严肃整治物业公司信息泄露乱象,开展公民个人信息保护专项检查行动。检查中发现,多个物业公司办公电脑存储大量小区业主家庭住址、身份证号码、联系方式等个人信息。更为可怕的是,物业公司的存储数据未经加密处理,办公电脑未设开机密码,对个人信息未实行分类管理、未采取加密及去标识化等技术措施,业主个人信息被泄露的风险极大。
针对相关企业存储公民个人信息和不履行网络安全义务的违法行为,石嘴山市公安机关依据《中华人民共和国个人信息保护法》第五十一条、第六十六条之规定,对6家物业公司予以行政警告处罚并责令其限期整改。https://baijiahao.baidu.com/s?id=1779870466342734313&wfr=spider&for=pc

 

2、思科路由器爆零日漏洞遭黑客滥用!全网至少4万台仍暴露

美国思科公司近日发布警告,黑客正利用一个零日漏洞(CVE-2023-20198)攻击该公司的一系列软件。

 

该漏洞十分严重,CVSS漏洞评分为最高的10分。思科表示,漏洞“授予攻击者完整的管理员权限,使他们能够有效地控制受影响路由器,开展未经授权的后续活动。” 
CVE-2023-20198漏洞来源于思科IOS XE软件的一项功能,会影响运行该软件的物理和虚拟设备。这个功能名为Web UI,旨在简化部署、管理过程,提升用户体验。
为了解决这个问题,思科敦促客户在所有面向互联网的系统关闭HTTP服务器功能。思科指出,美国网络安全与基础设施安全局(CISA)已多次发布相同的建议,以减轻与暴露于互联网的管理界面相关的风险。CISA昨天也发布了关于该漏洞的警告。
目前尚无解决此漏洞的方法,也尚无可用的补丁。https://mp.weixin.qq.com/s/TTfG3dpSUegiZppNEx_NXw

 

3、日本NTT前派遣员工泄漏900万份客户信息

2023年10月18日,据日本媒体报道,日本电信电话公司NTT西日本子公司的一名前派遣员工在10年内非法泄露了约900万份客户信息,这些信息包括姓名、地址和电话号码等。该公司对此表示“深表歉意”。

 

10月17日,日本电信电话公司西日本子公司在大阪市举行的新闻发布会上表示,公司一名负责呼叫中心系统运行和维护的前派遣员工从2013年7月左右到今年1月,在10年内非法泄露了总计约900万份客户信息,已确认泄露的客户信息来自59个组织,这些信息包括姓名、地址、电话号码等,以及81个信用卡信息。
该公司表示,这名前派遣员工有权访问存有客户信息的服务器,可以下载信息,也可以通过外部存储设备将其带走。今年7月,客户向警方报案称个人数据泄露,警方正在调查。据悉,部分非法窃取的客户信息已流向名单代理商。https://mp.weixin.qq.com/s/Bd_klJBvsi6sR7fhzuQAjg


三、技术、产品与市场

1、金睛云华宣布完成近亿元B轮融资

近日,金睛云华公司宣布完成近亿元B轮融资,本轮融资由奇安投资与永信至诚共同投资,明德资本担任融资独家财务顾问。金睛云华公司表示,本轮融资将主要用于围绕公司“人工智能+网络安全”的战略布局,推进技术创新、产品研发及市场拓展;同时,公司将加强团队建设,引进更多优秀的人才,提升公司的研发实力和创新能力;此外,公司还将进一步拓展合作伙伴关系,推动行业生态的建设,促进技术与应用的深度融合。

 

据了解,金睛云华公司自2016年创立开始便致力于推动人工智能技术在网络安全领域的落地,在本轮融资的加持下,金睛云华将进一步加大在AI技术的投入和努力。目前,金睛云华基于核心算法支持(包括程序语言大模型、自然语言大模型以及多模态、多场景迁移学习等),已经成功发布了可本地化部署商用安全大模型——金睛云华“安心大模型「CyberGPT」”,这一大模型在之前小模型的基础上进一步增强了检测能力,实现了50多个攻击检测场景的覆盖,且在漏报、误报和检测成本方面获得了从量变到质变的提升。

https://mp.weixin.qq.com/s/V2d6zXoXMvDmWqkoqzi3Sg

 

2、2023年江门市“邑网杯”网络安全大赛圆满收官

10月14日,由江门市委网信办、江门市人力资源和社会保障局、江门市政务服务数据管理局、江门市总工会联合举办,江门职业技术学院承办的2023年江门市“邑网杯”网络安全大赛决赛正式举行。

 

本届“邑网杯”采取线上CTF答题赛和线下AWD攻防综合赛两种模式,涵盖理论知识、逆向、漏洞挖掘与利用、Web渗透、密码、隐写、安全编程等类别,全面考察参赛选手的网络安全知识综合运用能力。共吸引来自本地党政机关、事业单位、高等院校、国有企业等单位的87支队伍261名选手参加比赛。

https://www.thepaper.cn/newsDetail_forward_24944745

 

3、人民网发布《智能互联网发展报告》

人民网深圳10月16日电 今日,2023(第八届)党媒网站发展论坛在深圳市龙岗区举办,主题为“奋进新时代 塑造主流舆论新格局”。论坛上,人民网研究院通过视频发布了《智能互联网发展报告》。

 

《报告》指出,智能互联网是人工智能技术与互联网、物联网、算力网络等深度融合,数据、算法和算力软硬件配套,广泛联接人、机、物,传输交换智能资源(包括模型、参数等),能够自主探索认知物理世界,提供智能决策服务的网络。它具有人工智能“强融合”、智能互联“泛终端”、 传输服务“智能化”三个基本特征。

 

《报告》认为,智能互联网是产业互联、价值互联、虚实互联的基础。当前比较突出的智能互联网应用主要体现在AIGC、智慧医疗、自动驾驶、智慧农业、智能制造、智慧教育、智慧政务、智能办公、智慧金融、智慧科研等十个方面。

 

《报告》提出智能互联网发展的六大未来展望:一是人类社会迎来“智力革命”。这场革命以人工智能应用能力为中心,将人类的智力扩展至数亿倍,将极大推动科技与生产力的进步。二是智能互联发展“走深向实”。智能互联网成为释放数据要素红利、推动传统产业升级、促进数字经济发展、构建数实融合一体最重要的推动力;三是融合应用迈向“宽广场景”。更多终端类型将不断深化智能互联,极大推动各类行业应用的落地发展;四是更新社会治理“运行体系”。社会治理理念要从“治理”向“智理”转变,推动社会治理方式从粗放型向精细化、智能化转变;五是AI治理AI实现“良好生态”。“用AI治理AI”是防范化解人工智能风险、促进智能互联网可持续发展的重要手段。六是重塑未来全球“秩序格局”。基于人工智能的创新能力、应用能力,基于数据、算力和算法等新地缘政治战略资源的掌握能力的差异,会打破国家间的力量平衡,形成全球政治经济新秩序。

https://mp.weixin.qq.com/s/XMga1AjeRYyP2e5VvYy9TA

 

4、中国网络空间安全协会人工智能安全治理专业委员会成立

2023年10月12日上午,中国网络空间安全协会人工智能安全治理专业委员会成立大会在北京召开,中央网信办副主任、国家网信办副主任赵泽良出席会议并讲话。协会秘书长李欲晓主持会议,并代表王秀军理事长对人工智能安全治理专业委员会成立表示祝贺。
赵泽良同志指出,中国网络空间安全协会要加强业务支持,让专业委员会真正成为人工智能安全治理方面的专业性、权威性机构。专业委员会工作要站在国家治理的高度,围绕中心服务大局;要始终把群众利益放在重要位置;要体现专业性,从专业和技术角度发展人工智能,做好人工智能安全治理。
中国网络空间安全协会人工智能安全治理专业委员会由国家互联网应急中心、北京智源研究院、上海人工智能实验室、阿里云、华为、金山办公等单位发起,组织人工智能领域产学研单位开展技术创新、产业协作、成果转化和行业自律,并在模型安全、内容安全、数据安全、隐私保护和知识产权保护方面不断提升人工智能安全治理能力,以行业协同方式探索人工智能安全新型综合治理新模式,为中国人工智能产业健康发展提供可持续的基础性支撑。

https://mp.weixin.qq.com/s/DvsV-RDXeFczM-MmQPtkAA

 

5、“第38次全国计算机安全学术交流会·数据安全分论坛”顺利召开

2023年10月13日,由中国计算机学会主办,中国计算机学会计算机安全专业委员会和奇安信科技集团股份有限公司共同承办的“第38次全国计算机安全学术交流会暨专委会换届大会”在湖南长沙成功举办。当天下午,奇安信集团还承办了数据安全分论坛,工程院院士、长江学者、院校专家、企业代表及安全厂商代表一起,围绕数智时代的数据安全进行了深入交流。
专委会主任、公安部第一研究所副所长于锐在致辞中表示,党和国家高度重视数据安全工作,数据安全建设已融入国家及各行业“十四五”规划中。在数字化转型发展中,要不断加强数据安全合规治理,重视数据供应链安全管理,加强数据安全新技术研发与应用,加强数据安全监测预警平台和应急保障体系建设,加强数据安全意识和人才培养,重视研究新型人工智能技术应用带来新型数据安全风险。
湖南省工业和信息化厅总经济师、党组成员熊琛在致辞中表示,近年来湖南省统筹发展与安全,深入实施“智赋万企”数字安全屏障工程,不断完善安全管理体系、持续提升安全保障能力、加快发展数据安全产业,为国家产业链、供应链安全贡献了湖南力量。希望通过此次论坛,整合各方资源,发挥各方优势,为湖南加快构建4x4现代化产业体系打造国家重要先进制造业高地,全面实现“三高四新”美好蓝图提供有力支撑和坚强保障。
中国工程院院士孔志印在主题演讲中指出,相较于传统数据安全,大数据的安全防护面临着开放性、规模性、分离性三方面的挑战,需要技术和管理方法创新才能解决。对此,他提出了三点对策:一是构建以区块链为基层架构的数据价值交换体系,二是采用面向过程的方法实施数据安全治理,三是创新适应大数据场景的安全技术。

https://mp.weixin.qq.com/s/8XOFU1j5kl78mgZoTJ5GZg

 

 

四、业界观点

1、周鸿祎:依托国家级安全能力构建首个“原生安全”大模型

近日,第38次全国计算机安全学术交流会召开,360公司创始人周鸿祎以“构建‘安全、向善、可信、可控’大模型”为题发表演讲,并透露360大模型安全解决方案细节。他表示,大模型发展已经进入第二阶段,重点是放低身段,赋能产业数字化发展,最大的障碍是如何打造真正安全可用的大模型。

 

周鸿祎指出,大模型是一把“双刃剑”,将带来前所未有的安全挑战,他将安全风险划分为短期、中期、长期三个阶段。其中,短期风险是当前最迫切要解决的问题,主要围绕大模型自身引发的安全问题,如网络安全、数据安全、生成内容安全。中期风险主要指人为的对大模型的恶意应用,如日益猖獗的AI换脸、AI换声诈骗。长期风险则是当更强大的人工智能诞生,对人类生存带来的安全挑战。

 

周鸿祎表示,基础大模型的安全问题,都会“遗传”给垂直大模型。为此,360躬身入局,在国家级安全能力基础上,打造原生安全大模型“360智脑”。周鸿祎介绍,在“安全、向善、可信、可控”这一安全四原则的基础上,360已经构建体系化的大模型安全解决方案,保证大模型在企业级场景落地。细节上,他透露,为了让大模型不作恶,360“向善”解决方案的核心是研发安全垂直“小模型”训练和监控大模型,保证大模型输出结果安全。

https://mp.weixin.qq.com/s/uAJ74xX7Y6LwzhLChTzd-w

 

2、生成式人工智能带来的数据安全挑战及应对

随着 OpenAI 发布 ChatGPT 带来的影响,人们更加关注生成式人工智能(AIGC)这个在人工智能领域的新突破。随着机器学习和大量计算能力的发展,复杂的人工智能已经成为现实,而且会不断改进。这在带来生产力变革的同时,也引起全球对其数据安全问题和挑战的极大关切,包括内容安全、算法歧视、侵犯知识产权和信息泄露等安全隐患。

 

针对 AIGC 上述数据安全问题和挑战,建议从以下六个方面积极应对。

1.安全监管AIGC 平台和服务输出的内容涉及国家安全、社会稳定、组织利益和个人隐私,应该被纳入国家安全监管的范围。

2.安全测评:需要从网络安全和内容安全两个维度对 AIGC 平台和服务进行安全测评。

3.内置安全AIGC 平台和服务必须内置安全模块守住安全底线。一是训练数据选择,二是输入控制,三是输出控制。

4.境内服务:针对使用境外 AIGC 平台服务可能带来的重要数据出境和歧视风险,用户应尽量使用国内部署的 AIGC 平台服务,且普通用户则被禁止使用境外的服务。

5.安全运营:必须建立有效的应急处置机制,以便能够对出现的数据安全问题进行快速响应和及时整改。

6.人员培训:大语言(LLM)模型本身含有基于人类反馈的强化学习(RLHF)模块,通过将人类纳入训练循环,对提问和输出内容进行审核。

https://mp.weixin.qq.com/s/OfIG0L2l83KlmWqobh2nBA

 

3、《全球人工智能治理倡议》发布

中央网信办18日发布全球人工智能治理倡议。倡议明确提出,发展人工智能应坚持相互尊重、平等互利的原则,各国无论大小、强弱,无论社会制度如何,都有平等发展和利用人工智能的权利。

 

倡议指出,人工智能是人类发展新领域。当前,全球人工智能技术快速发展,对经济社会发展和人类文明进步产生深远影响,给世界带来巨大机遇。与此同时,人工智能技术也带来难以预知的各种风险和复杂挑战。人工智能治理攸关全人类命运,是世界各国面临的共同课题。在世界和平与发展面临多元挑战的背景下,各国应秉持共同、综合、合作、可持续的安全观,坚持发展和安全并重的原则,通过对话与合作凝聚共识,构建开放、公正、有效的治理机制,促进人工智能技术造福于人类,推动构建人类命运共同体。

 

倡议提出,各国应在人工智能治理中加强信息交流和技术合作,共同做好风险防范,形成具有广泛共识的人工智能治理框架和标准规范,不断提升人工智能技术的安全性、可靠性、可控性、公平性。欢迎各国政府、国际组织、企业、科研院校、民间机构和公民个人等各主体秉持共商共建共享的理念,协力共同促进人工智能治理。

https://mp.weixin.qq.com/s/RmxIY2ZJ-9Ou628I_yvq5w

 

4、中央网信办郭涛:抓好“重中之重”,守好“神经中枢”,切实筑牢国家网络安全防线

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到攻击的重点目标。坚决贯彻落实习近平总书记关于关键信息基础设施安全保护工作的重要指示要求,坚持协同防护、抓好统筹协调、注重与时俱进,建立完善全方位、深层次的联合防御体系,扎实有力推进关键信息基础设施安全保护工作,筑牢关键信息基础设施网络安全屏障。

 

党的十八大以来,以习近平同志为核心的党中央站在全局和战略高度,准确把握世界互联网发展潮流、国内外网络安全形势和我国互联网治理实践,系统阐述了事关网信事业发展的一系列重大理论和实践问题,提出了一系列新理念新思想新观点新论断,形成了习近平总书记关于网络强国的重要思想。今年 7 月,全国网络安全和信息化工作会议在京召开,习近平总书记的重要指示,明确了“十个坚持”的重要原则。总书记强调:“坚持党管互联网,坚持网信为民,坚持走中国特色治网之道,坚持统筹发展和安全,坚持正能量是总要求、管得住是硬道理、用得好是真本事,坚持筑牢国家网络安全屏障,坚持发挥信息化驱动引领作用,坚持依法管网、依法办网、依法上网,坚持推动构建网络空间命运共同体,坚持建设忠诚干净担当的网信工作队伍”。做好关键信息基础设施保护工作,必须坚决贯彻习近平总书记“十个坚持”的重要原则,加强党中央对关键信息基础设施保护工作的集中统一领导,把关键信息基础设施保护工作摆在党和国家事业全局中来谋划,加快构建关键信息基础设施安全保障体系,提升关键信息基础设施保护水平。

https://mp.weixin.qq.com/s/WmCaeioZ_ZV3X9VYVXVbvw

 

5、齐向东:四招解决数智时代的工业互联网安全难点

10月18日,由工业和信息化部、中国科协和辽宁省政府主办的2023全球工业互联网大会在沈阳拉开帷幕。辽宁省委副书记、省长李乐成,工业和信息化部副部长徐晓兰,中国科学技术协会专职副主席、书记处书记孟庆海为开幕式致辞。

中国工程院院士周济、高金吉,中国科学院院士尹浩,中欧数字联盟创始人、主席昆特·克里格,中国科学院沈阳自动化研究所研究员、机器人学国家重点实验室主任于海滨,德国国家科学与工程院院士葛兴福,SAP全球副总裁、大中华区首席运营官骆才,华为技术有限公司董事陶景文,全国政协委员、全国工商联副主席、奇安信集团董事长齐向东等国内外顶级专家学者、企业家受邀出席主旨论坛,聚焦工业互联网前沿和趋势进行交流研讨。
齐向东在发表主旨演讲时表示,工业互联网是数字经济和实体经济深度融合的关键,要以内生为本,解决数智时代工业互联网安全难点,推动工业互联网安全实现“零事故”。

https://mp.weixin.qq.com/s/oiMigD6SUwaGHeWopQZo2g