x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 (10月21日-10月27日)
发布时间:2023.10.27 浏览数量:693人

一、政策形势

1、工业和信息化部就《工业互联网安全分类分级管理办法(公开征求意见稿)》征求意见

据工信部网站10月24日消息,工业和信息化部就《工业互联网安全分类分级管理办法(公开征求意见稿)》公开征求意见。征求意见稿提出,工业互联网安全分类分级管理以工业互联网企业为对象,企业类型主要包括三类:(一)应用工业互联网的工业企业;(二)工业互联网平台企业;(三)工业互联网标识解析企业

 

工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。

 

根据征求意见稿,工业互联网企业承担本企业网络安全主体责任,企业主要负责人为本企业网络安全第一责任人,要建立健全企业内部网络安全管理制度,积极将网络安全纳入企业发展规划和工作考核,加大网络安全投入,加强网络安全防护能力建设,有效防范化解网络安全风险。企业应当配合工业和信息化部、地方主管部门的监督管理。

https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_cce18e45a43f4cf6818f0b98ee39c2b4.html

 

2、保守国家秘密法(修订草案)提请审议

2023年10月20日至24日,十四届全国人大常委会第六次会议在北京召开,会议审议了《中华人民共和国保守国家秘密法(修订草案)》。

 

当前,互联网、大数据、云计算、人工智能、区块链等新技术、新应用层出不穷,对保密科技自立自强提出更高要求。这次修订,在总则中明确国家鼓励和支持保密科学技术研究和应用,提升自主创新能力,掌握核心关键技术,培育保密技术产业,依法保护保密领域的知识产权总体要求;规定涉密信息系统规划、建设、运行、维护全流程应当符合国家保密规定和标准,明确涉密信息系统风险评估要求,避免涉密信息系统“带病运行”;同时规定,国家建立安全保密产品和保密技术装备抽检、复检制度。

https://baijiahao.baidu.com/s?id=1780260039867408078&wfr=spider&for=pc

 

3、川渝实施网络安全产业高质量协同发展行动计划 三年内产值规模超2000亿元

10月23日,市经信委消息称,日前川渝两地经信、发改等12个部门联合印发《成渝地区双城经济圈网络安全产业高质量协同发展行动计划(2023—2025年)》(以下简称《行动计划》),提出2025年,推动川渝网络安全全产业链产值规模超2000亿元,两地将引育5家网络安全产业链主企业,30家细分领域“专精特新”企业,100家科技型中小企业,共建网络安全产业高地。

 

市经信委介绍,《行动计划》从聚焦创新驱动战略,共同开展技术创新提升行动;聚焦新型基础设施,共同开展安全防护筑基行动;聚焦产业链现代化,共同开展产业生态优化行动;聚焦安全治理服务,共同开展网络安全护航行动”4个方面,形成了多项目标任务和行动指南。

 

按照《行动计划》,川渝将围绕“联合攻克关键核心技术、协同建设科技创新载体、聚力推动成果转化应用”三方面发力,共同开展技术创新提升行动,重点突破人工智能安全、区块链安全、云安全等领域关键技术,布局组织运行开放、治理结构多元的创新平台,完善成果转化服务链条。

 

《行动计划》还提出,川渝需着力从壮大企业创新发展矩阵、强化产业集群协同联动、推动双链深度融合发展、建立互通安全保障体系、搭建互信安全服务体系等方面发力,共同开展产业生态优化行动。包括强化网络安全产融合作,建立多领域、分阶段、递进式的企业培育体系,加大川渝网络安全特色优势领域技术产品应用推广,强化产业链供应链资源协同等。

https://www.cq.gov.cn/ywdt/jrcq/202310/t20231024_12460689.html

 

4、上海数据交易所发布《上海数据交易所数据交易安全合规指引》

为进一步加强数据交易主体关于数据交易合规与安全的理解和认知,引导交易主体合规、安全开展数据交易,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《上海市数据条例》等法律法规,上海数据交易所发布《上海数据交易所数据交易安全合规指引》。

 

指引整体结构分为六部分二十五条,由总则、主体合规要求、数据安全管理体系、数据来源合法、数据产品的可交易性、附则组成,根据指引制定清单,进一步明确数据产品的合规要求并提供合规证明材料示例供进场企业参考
该指引系内化数据交易相关法律法规要求并结合数据交易实践经验形成,完善了数据交易合规安全标准、明确数据交易的合规操作路径,能够帮助企业有效识别合规风险,提升企业合规自证与评估效率。同时,就数据来源合法性要求、数据产品的可交易性要求等关键问题作出重点回应,为数据产品的上架与交易提供制度支撑,力求压降与防范进场数据交易合规与安全风险。

https://baijiahao.baidu.com/s?id=1780235757522941958&wfr=spider&for=pc

 

 

二、数据安全事件

1、D-Link确认发生数据泄露 大部分属于低敏感度和半公开信息

2023年10月22日,本月初,有黑客在BreachForums上打包出售一份宣称是中国台湾厂商友讯科技(D-Link)的内部数据,要价500美元(约3660元人民币)。攻击者声称其中包括D-View网络管理软件的源码,以及三百万条涉及客户和员工个人信息的数据,其中甚至包括许多中国台湾地区政府官员和该公司CEO的详细信息。

不过与攻击者的说法相反,D-Link称其被感染的系统中只包含大约700条记录,而且这些记录至少已经闲置了七年。这些记录源自于2015年到期的产品注册系统。此外,大部分数据由低敏感度和半公开信息组成。

 

据介绍,此次数据泄露起因在于一名D-Link员工遭遇了网络钓鱼攻击,从而使攻击者能够访问公司网络。为了应对数据泄露事件,D-Link立即关闭了可能受影响的服务器,并禁用了调查期间使用的两个账户之外的其他所有用户账户。D-Link还指出,黑客访问的是“实验室测试环境”内的产品注册系统,该系统运行在2015年淘汰的D-View6旧系统上。

https://baijiahao.baidu.com/s?id=1780444220492321460&wfr=spider&for=pc

2、公民个人信息不容侵犯!张家界慈利4家企业被责令限期整改

近期,慈利县公安局聚焦信息数据泄露、滥用等行业领域问题乱象,加大监督检查和行政执法力度,开展网络安全现场检查和公民个人信息保护专项检查行动,推动企业落实网络安全主体责任,加强网络数据安全保护。

 

检查中,民警发现2个物业公司收集的大量小区业主人脸等生理信息没有进行专项保护,未建立数据安全管理制度,未按要求定期对员工、相关人员开展数据安全培训,业主个人信息被泄露的风险极大;2家影视有限公司未按照《中华人民共和国网络安全法》要求制定内部安全管理制度和操作规程、未确定网络安全负责人、未制定网络安全事件应急预案,未落实网络安全保护义务,一旦系统被侵入或发生数据泄漏,不仅会给企业的正常经营造成严重影响,还有可能发生会员资料被窃取,公民信息流入黑灰产业链的后果。

 

针对相关企业存储公民个人信息和不履行网络安全义务的违法行为,慈利县公安局依据《中华人民共和国个人信息保护法》、《数据安全法》、《网络安全法》之相关规定,对这4家企业予以行政警告处罚并责令其限期整改。

https://baijiahao.baidu.com/s?id=1780532337466056665&wfr=spider&for=pc

 

3、交管12123信息系统遭“黄牛党”入侵,非法操作数百次

近日,无锡江阴市检察院办理了一起破坏计算机信息系统案。10名犯罪嫌疑人均为二手车“黄牛”,他们通过非法手段,侵入交管“12123”系统,为不能正常过户的二手车,非法办理改绑手机号、补办行驶证、补办车牌等业务。

 

据统计,杨某婷涉及的非法操作超过300次,从下线“黄牛”那里积累了高达118210元的“手续费”。目前,杨某婷等10名二手车“黄牛”,因犯破坏计算机信息系统罪被判刑,其中主犯杨某婷被判3年6个月,其他9人被判缓刑,上线张某的案件另案办理。

 

此外,交管部门也对系统进行了技术升级,以此从根本上消除了隐患。这起案件引起了广泛关注,不仅因为涉案人员利用非法手段侵犯他人权益,还因为案件背后反映出二手车市场的乱象和监管漏洞。这也提醒我们,在互联网时代,网络安全和数据保护至关重要。

https://law.cnr.cn/jwbd/20231020/t20231020_526458166.shtml

 

4、Okta透露其支持管理系统遭到入侵部分信息泄露

据媒体10月20日报道,攻击者利用窃取的凭据入侵了Okta的支持管理系统,导致cookie和会话令牌等数据泄露。该公司尚未提供哪些客户信息受到影响的详情,但攻击者可能访问了用于复制浏览器活动来排除问题的HTTP存档(HAR)文件,以及Okta客户上传的部分文件。BeyondTrust表示它是受影响的客户之一,于10月2日发现并阻止了使用从Okta系统窃取的cookie登录内部Okta管理员账户的尝试。Cloudflare于10月18日在其服务器上发现了与Okta漏洞相关的恶意活动。

https://baijiahao.baidu.com/s?id=1780606447245005809&wfr=spider&for=pc

 

 

三、技术、产品与市场

1、国家数据局正式揭牌

筹建7个多月后,10月25日上午10时许,国家数据局正式揭牌。目前,刘烈宏担任国家数据局局长,沈竹林为国家数据局副局长。据了解,国家数据局初期的组织架构按照综合、数据要素、数字经济、基础设施和公共数据等工作划分为五个组,目前在岗人员有数十人,未来将随着正式挂牌运营不断扩充队伍。

 

今年3月,国务院印发《国务院机构改革方案》进行机构改革,组建了国家数据局。作为新一轮机构改革的亮点之一,国家数据局自组建以来就备受关注。新组建的国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理

https://baijiahao.baidu.com/s?id=1780693362793963189&wfr=spider&for=pc

 

2、2023(第十届)江苏互联网大会数智安全产业发展平行会议在南京举行

10月23日,2023(第十届)江苏互联网大会数智安全产业发展平行会议在江苏南京举行。会议以“筑牢网络安全基石 加速数智产业发展”为主题,邀请来自政产学研用等领域嘉宾出席,共同探讨如何以“数”为路,推进数字经济发展。

 

江苏省委网信办副主任陈智在致辞时表示,近年来,江苏省一直积极鼓励省内企业和科研机构加强核心技术攻关,创新网络安全产品和服务,不断夯实我省网络和数据安全产业基础。为更好推动全省数智安全产业发展,还需要全力筑牢可信可控网络安全基础、聚力打造数智安全技术创新体系、着力优化数智安全产业发展环境。

 

为进一步强化数据安全体系建设,为数字经济高质量发展提供坚实保障,会上,江苏省互联网协会在江苏省委网信办和省通信管理局指导下,发起了数据安全倡议,呼吁各级政府、企业、技术社群等重视并参与数据安全建设,提出了推动数据要素化安全发展、提升数据安全治理水平、推动数据安全技术创新和产业发展、推动数据跨境安全流动、加快数据安全人才培养、强化全员数据安全意识”六点倡议。

https://js.ifeng.com/c/8U8ajooNwjV

 

3、全国数字安全行业产教融合共同体在杭成立

10月21日,全国数字安全行业产教融合共同体在杭成立。该共同体由安恒信息、杭州职业技术学院和西安电子科技大学共同发起,联合行业协会、院校、科研院所、上下游企业等成立。

 

中国工程院院士沈昌祥在主旨报告中指出,网络空间安全人才需求呈金字塔型,除需要基础研究型人才外,更需要大量的工程应用型人才和推广实用型人才。同时,他强调了全民普及数字安全教育的重要性,呼吁重视对中小学生进行数字安全科普教育。

 

据悉,全国数字安全行业产教融合共同体首批成员单位共252家,其中70家企业和科研机构、182家院校。共同体秘书处设在杭州职业技术学院,旨在通过政府、行业、企业、学校四方协同,破解制约产教深度融合过程中的机制性障碍,实现资源共享、信息共享、人才共享,提高数字安全领域技术技能人才培养的针对性,提升学校与行业、企业之间对接的紧密度,拓宽毕业生的就业渠道,提高就业质量。

 

下一步,全国数字安全行业产教融合共同体将搭建沟通交流机制,将职业教育专业、课程、师资、实践、教材5大根本要素打造成为“金专、金课、金师、金地、金教材”,联合共同体内单位打造国家级、省级产教融合实训基地,联合培养卓越工程师,配合推动共同体内院校与企业共建产业学院以及地方和行业急需、优势突出、特色鲜明的应用型专业建设工作等,提高数字安全领域技术人才培养质量。

https://edu.zjol.com.cn/jyjsb/gx/202310/t20231023_26378758.shtml

 

4、汽车行业数据安全闭门研讨会成功召开

2023年10月20日,汽车行业数据安全闭门研讨会在杭州成功召开。本次活动由中国信息通信研究院联合吉利控股集团、吉利汽车研究院主办,中国通信标准化协会大数据技术标准推进委员会、数据安全推进计划协办,来自吉利控股集团、吉利汽车研究院、长城汽车、重庆长安汽车、泛亚汽车技术中心、广汽研究院、中国汽车工程研究院、Sapar cybersecurity等单位领导专家参会,分享最新的实践成果和经验,共同探讨数据安全落地新思路。

 

中国汽车工程研究院、Sapar cybersecurity的专家分别就汽车数据安全合规建设、GDPR合规遵从等方面进行了主题演讲。吉利控股集团、吉利汽车研究院、长城汽车、重庆长安汽车、泛亚汽车技术中心、广汽研究院等与会单位领导专家分享了车联网数据安全落地经验,并围绕重点关注问题进行热烈讨论。

https://mp.weixin.qq.com/s/TsMTz6p9axjfLg2XNqhVdQ

 

 

四、业界观点

1、 ChatGPT 带来网络安全利弊的分析

在新一轮科技竞争中,人们需要在防御性人工智能与攻击性人工智能竞争中,更有效地学习并利用智能化技术快速提高企业和个人的安全意识和能力。在网络安全攻防对抗模式下,以智能对抗智能是未来发展的方向。

 

一是客观看待 ChatGPT 在网络安全的应用价值ChatGPT 可以有效提高安全人员的工作效率。一些基础和简单的工作,例如基本的框架性代码、简单的语言翻译、内容摘要等,可以利用 ChatGPT 提高效率。但是,不能完全依赖 ChatGPT 解决所有问题。对于复杂代码生成、敏感信息的处理,则应慎重使用类似 ChatGPT 的应用,以免带来黑客入侵、敏感信息泄露等风险。

 

二是安全意识仍是使用 ChatGPT 等工具的前提条件。研究人员或者使用者,由于并不具备网络安全相关知识和技能,很容易将包含安全漏洞的代码作为训练样本输入模型,使模型输出包含安全漏洞的代码。因此,使用者需要加强自身的安全意识,在使用 ChatGPT 生成的代码时要更加谨慎,防止数据泄露或生成的代码中包含可利用的已知漏洞。若数据中包含密钥、数据库账号和密码等登录用的敏感信息,则可能造成入侵事件,甚至引发大规模数据泄露。

 

三是注重数据在 ChatGPT 应用过程中的安全合规。数据已经成为核心资产,因此,对数据的保护和使用将变得更加重要。在使用 ChatGPT 时,需要避免把敏感信息、重要工作文档或者数据库中带表名、字段的数据发给 ChatGPT 进行数据分析,因为这些数据有可能会被收集并作为训练数据,存在泄密风险。例如,三星公司曾在使用 ChatGPT 的过程中发生内部会议、数据等敏感信息泄露事件。

四是构建 ChatGPT 的安全可信体系。需要进一步加强 ChatGPT 的可解释性、鲁棒性等,确保模型输出的内容不带偏见,并且具备更大的容错空间。同时,需要探索 ChatGPT 背后大模型的安全评估机制,从典型安全场景、指令攻击等多个角度不断提升 ChatGPT 的安全能力和可靠性。

https://mp.weixin.qq.com/s/wVfNHhTNHrC-Lrgb8bZmlw

 

2、邬贺铨院士:金融大模型数据安全不容忽视

“金融大模型改变了金融科技的范式,重塑金融行业的工作方式,改变了金融服务生态”。10月17日下午,中国工程院院士邬贺铨在度小满金融大模型前沿发展论坛上表示。

 

目前各行各业都在开发对应的垂直领域大模型,金融行业的大模型也已经出现。邬贺铨认为,金融大模型的发展需要全行业共同参与,合作开发,“基础大模型多数从通用语料训练生成,通识能力强,可作聊天对话,但缺少行业专业知识,需要大模型提供方与垂直行业合作开发行业大模型”。

 

对于金融大模型的落地应用途径,邬贺铨建议,一方面,可以从可控入手开发应用,例如智能客服、智能运营、写文章、写邮件等安全的领域出发。另一方面,可以从人机混合智能切入,例如在初期阶段先让金融大模型与传统模型共存,经应用考验后再将金融大模型逐步替代传统模型。同时还可以通过变换场景,丰富大模型的场景迁移学习能力,或加入反事实的数据来测试,改进AI的学习本质,提高模型的泛化能力。也可以在金融大模型训练或微调时通过有监督学习思维链的模式,通过专家介入诱导它一步一步地进行思维推理。

 

邬贺铨以度小满为例,称其选择金融大模型切入是一个很好的基础,是大模型跟行业大模型相结合的好机会,“当然,这里边有很大的创新要求,在金融上对可信度、精准度要求是很高的。”据悉,未来五年,生成式AI在金融领域的应用,将成为度小满最重要的战略方向。2023年5月份,该公司开源了国内首个金融行业大模型,已经有上百家金融机构申请试用,目前正在与百度云共建基于文心一言的金融行业解决方案。

 

不过,邬贺铨认为,金融大模型的发展目前仍面临着三方面挑战。第一,金融行业对数据安全性、隐私合规性都有着严格的要求。尤其是在风控方面,对时效性与精准性要求严格,而一般的基础大模型透明性、可信性、专业性不足,很难直接迁移为金融大模型。第二,金融大数据在成本与质量上的平衡问题。由于金融行业内的数据难以共享,因此金融大模型的数据规模远远不及通用语料,导致金融大模型难以产生“智能涌现”的效果。第三,本地私有部署需要自建算力设施,对软硬件产品有严格的信创要求,而且参数规模大则算力成本高

 

“此外,还需要建立专门的监控系统,例如微软专门构建内容管理系统,它与语言模型协同工作,并使用特定算法检测和监控可能发生的服务滥用或有害内容生成情况。”邬贺铨说。

https://mp.weixin.qq.com/s/3a81qouG5RB4KfUkre0TfA