x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 (10月28日-11月03日)
发布时间:2023.11.03 浏览数量:812人

一、政策形势

1、全国信安标委公开征求《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》意见

为促进粤港澳大湾区个人信息跨境安全有序流动,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》。

 

根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于20231115日前反馈至秘书处。


联系人:王秉政  010-64102746  wangbz@cesi.cn
https://www.tc260.org.cn/front/postDetail.html?id=20231101123231

 

2国家密码管理局发布做好《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》实施工作的公告

2023926日,国家密码管理局公布《商用密码检测机构管理办法》(国家密码管理局令第2号)和《商用密码应用安全性评估管理办法》(国家密码管理局令第3号),自2023111日起施行。为做好相关工作衔接,现就有关事项公告如下。

 

一、按照《商用密码检测机构管理办法》第七条有关规定,现委托各省、自治区、直辖市密码管理部门,新疆生产建设兵团密码管理部门负责受理本行政区域的商用密码检测机构资质申请,负责对申请材料进行形式审查,出具受理通知书或者不予受理通知书。自2023111日起,有关申请机构可以参照《商用密码检测机构资质申请表(模板)》(见附件)向所在地省级密码管理部门提交书面申请材料。

 

二、按照《商用密码检测机构管理办法》第三条有关规定,有意愿继续从事商用密码应用安全性评估业务的商用密码应用安全性评估试点机构,应当于20231130日前提交商用密码检测机构资质申请。对提交申请的商用密码应用安全性评估试点机构依法实施资质认定后,商用密码应用安全性评估试点工作将正式结束。未经认定,任何单位不得面向社会开展商用密码应用安全性评估业务。
  https://www.oscca.gov.cn/sca/xwdt/2023-10/31/content_1061139.shtml

 

 

二、数据安全事件

1、国家安全部:有境外组织人员正通过SDK搜集我用户数据和个人信息

据国家安全部官微,近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过SDK搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。

 

应用程序开发企业应尽量选择接入经过备案认证的SDK,引入境外SDK前应做好安全检测和风险评估,深入了解SDK的隐私政策,并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对,并持续监测SDK是否有异常行为。

 

个人用户在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。

https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg

 

2、中国民航局回应“旅客信息泄露”

近日,有网友呼吁严查旅客航班信息泄露及利用其诈骗问题,该网友通过人民网领导留言板反映:最近其和朋友们在某某地图App搜索航班信息并预订了机票,有三人接到诈骗电话,对方以航空公司客服的名义,以机械故障航班取消为由,让我们提供支付宝账号给予补偿,且能报出我们的姓名电话身份证航班信息等。

 

该网友认为,一来假报航班取消信息干扰旅客行程,二来这种信息泄露问题极其严重,如有不明真相的旅客那将会造成严重的财产损失。希望民航局协调公安部门严查第三方网络渠道代理公司的旅客信息泄露和利用航班信息诈骗问题。

 

中国民用航空局回应称:民航局高度重视数据治理工作,认真贯彻《网络安全法》《数据安全法》《个人信息保护法》等相关规定,先后出台“7+1”智慧民航数据治理系列规范(7部行业标准、1部信息通告),指导规范行业单位开展数据共享、数据服务、数据安全等工作。

 

目前,为落实民航领域数据分类分级保护有关要求,民航局正在编制相关文件,进一步加强对重要数据的保护。同时,对于第三方网络渠道代理公司的旅客信息泄露等问题,民航局将积极协调公安机关开展有关严查打击工作。

https://www.zgjtb.com/2023-10/29/content_382092.html

 

3、北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

20231030日,近日,根据国家网信办移交的问题线索,北京市网信办依据《中华人民共和国数据安全法》对属地三家企业涉嫌存在网络数据安全违法行为进行立案调查并作出行政处罚。

 

经查实,三家企业违反《中华人民共和国数据安全法》第二十七条规定,未履行数据安全保护义务,部署的ElasticSearch数据库存在未授权访问漏洞,造成部分数据泄露。北京市网信办依据《中华人民共和国数据安全法》第四十五条第一款规定,对三家企业分别作出责令改正,给予警告,并处5万元罚款的行政处罚,对直接主管人员和其他责任人员处以1万元罚款处罚。

https://m.bjnews.com.cn/detail/1698663328129142.html

 

4、网信部门依法查处“夸克”、“网易CC”破坏网络生态违法案件

20231030日,近日,针对“夸克”平台和“网易CC”直播平台破坏网络生态问题,国家网信办指导广东省网信办依法约谈相关平台负责人,对“夸克”平台实施50万元罚款处罚,责令“网易CC”暂停“舞蹈”版块信息更新7日,同时责令2家平台立即全面深入整改,严肃处理相关责任人。

 

经查,“夸克”平台未遵守相关管理要求,搜索结果呈现大量淫秽色情信息,并向用户推荐色情低俗关键词,违反《网络安全法》《网络信息内容生态治理规定》《互联网信息搜索服务管理规定》等有关规定,在平台信息内容安全审核管理方面存在严重漏洞,破坏网络生态,情节特别严重。

 

“网易CC”直播平台多个账号主播在直播过程中存在言行低俗、打色情擦边球等问题。“网易CC”直播平台未对上述低俗直播进行有效整治,并在首屏“娱乐”频道“舞蹈”版块等重点环节呈现,反映其在网络信息内容安全管理责任上存在严重缺失,违反《网络安全法》《网络信息内容生态治理规定》等有关规定,破坏网络生态,性质恶劣,情节严重。

https://mp.weixin.qq.com/s/o772xVw92BNHubBgblE0Xg

 

 

三、技术、产品与市场

1、工信部发布《2023年前三季度软件业经济运行情况》

近日,工信部发布《2023年前三季度软件业经济运行情况》,软件业务收入两位数增长。前三季度,我国软件业务收入87610亿元,同比增长13.5%。利润总额保持较快增长。前三季度,软件业利润总额10090亿元,同比增长18.3%。软件业务出口降幅收窄。前三季度,软件业务出口364亿美元,同比下降4.4%

 

其中信息安全收入增速稳步增长。前三季度,信息安全产品和服务收入1421亿元,同比增长9.3%

https://www.miit.gov.cn/jgsj/yxj/xxfb/art/2023/art_a252b2ca4c704ae7b3c79c73899f1b76.html

 

22023年工业信息安全大会在北京举行

112日,以“智改数转 安全筑基”为主题的2023年工业信息安全大会在北京举行。大会由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办,主要围绕工业互联网安全、工业控制系统网络安全、工业领域数据安全、关键信息基础设施保护等前沿热点内容,邀请相关政府领导、院士专家、高校和科研机构代表、行业领袖等全面剖析行业现状,深入研讨发展趋势。

https://finance.cnr.cn/jjgd/20231102/t20231102_526472918.shtml

 

32023“天府杯”国际网络安全大赛暨天府国际网络安全论坛开幕

1031日,2023“天府杯”国际网络安全大赛暨天府国际网络安全论坛(以下简称天府杯)在成都正式拉开帷幕。

 

公安部第三研究所副所长张巍在致辞中指出,网安工作要全面落实总体国家安全观,坚持正确的网络安全观,统筹发展和安全,大力推进数字安全保障体系和能力建设,健全网络数据监测预警和应急处置工作体系,加快形成数字安全协同共治的新格局,切实增强数字安全保障能力。

 

建设陆海空天一体化信息网络,是应对国内外复杂形势的重要信息基础保障。中国工程院院士陈鲸在《陆海空天一体化信息网络发展浅析与思考》主题演讲中表示,当前我国相关产业及基础存在“地强天弱” “内强外弱”等问题。未来发展可以着手强化网络架构、技术体制、应用服务支撑体系的深度融合,推进通信、导航、遥感等系统融合,建立综合化服务的空间信息网络,推动天基网络技术自主可控和高端产业升级,加强系统安全防护能力建设。

 

随着高级黑客技术工具和人工智能技术不断取得冲突性进展,针对重点行业重点领域的APT攻击数量正快速增长。中关村实验室首席科学家云晓春在《APT防御关键技术探讨》的主题演讲中表示,APT 攻击呈现出数量多、技术能力强、高对抗、高隐蔽的特点,亟需打通数据壁垒,构建国家权威的威胁情报库和国家级 APT 防御平台。通过“APT 冰山防御技术架构”,快速检测并防御已知攻击和未知攻击。

https://mp.weixin.qq.com/s/bF5EDkUz69O5P1mzEsmXgw

 

4、全国信息安全标准化技术委员会2023年第二次“标准周”全体会议在武汉召开

2023111日,全国信息安全标准化技术委员会(以下简称“信安标委”)2023年第二次“标准周”全体会议在武汉国家网络安全人才与创新基地成功召开。信安标委主任委员赵泽良,中央网信办网络安全协调局局长、信安标委副主任委员高林,湖北省委宣传部副部长、省委网信办主任谢双林出席会议。会议由中国电子技术标准化研究院党委书记、信安标委秘书长杨建军主持。

 

赵泽良主任委员在讲话中指出,网络安全标准化工作要把握好习近平新时代中国特色社会主义思想的世界观和方法论,坚持好、运用好贯穿其中的立场观点方法,把习近平总书记关于网络强国的重要思想和关于网络安全和信息化工作的重要指示精神作为根本遵循。一是要围绕国家网络安全重点工作做标准,充分发挥标准的基础性支撑作用;二是要聚焦典型业务场景和突出问题做标准,充分发挥标准的规范引领作用;三是要拓展全球视野,积极参与网络安全国际标准规则制定。

 

赵泽良主任委员强调,人工智能安全标准化工作要统筹发展和安全,加强对人工智能、大语言模型、生成式人工智能等相关理论基础、训练机制、应用模式的研究,提出相关标准规范,针对使用人工智能生成的代码安全问题,加快开展安全评价和标准规范的研究。

https://mp.weixin.qq.com/s/fxq8E8meH4Xy1P7CpWWIdA

 

 

四、业界观点

1、工业信息安全领域如何防风险

由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办的2023年工业信息安全大会112日在京开幕,相关专家回答工业信息安全领域风险防范问题。

 

相关数据显示,今年以来,工信部数据安全风险信息报送与共享平台累计报告3700多起风险,其中80%以上的风险涉及工业领域。中国工程院院士邬江兴认为,为漏洞打补丁这种“叠罗汉”式的安全防御体系,很难从源头上解决信息安全问题。

 

邬江兴提到:“在这种打补丁的过程中,我们可以看到,不管是封门补漏还是内嵌内置、各种附加认证和附加安全的检测技术,都无法保证补丁内或者打补丁后,不会导入新的内生安全问题。所以因为存在基因缺陷,无论对你堆砌多少附加或类似的安全技术,有量变,但不会有质变。”

 

邬江兴还表示,通过持续打补丁的方式维护信息安全,可能会导致网络安全责任失衡。具体来说,就是信息安全保护的责任集中在了用户侧,他们购买硬件或服务后,需要持续打补丁,防风险。而向他们提供硬件或服务的主体,很多时候都不需要关注信息安全。邬江兴建议,用一种新的思维模式,应对信息安全风险。

 

邬江兴说:“需要一种消费者可以信任他们每天使用的技术的安全性和完整性的模式。别跟我来谈要加什么东西,你卖给我的手机,拿出来就应该是开箱即用,默认安全,而不是说你让我添这个加那个。所以,平衡网络安全风险与责任要从数字产业的源头,也就是底层驱动技术抓起,无论是数字产业化还是产业数字化,都必须以网络安全为第一要务。”

https://finance.cnr.cn/jjgd/20231102/t20231102_526472918.shtml

 

2 国家数据局揭牌,对数据产业影响几何?

日前,国家数据局在京正式揭牌,引起社会广泛关注。国家数据局的成立有哪些重要意义?将对我国数据产业和数字经济的发展产生哪些重要影响?

 

我国数据管理驶上快车道

 

“当前,全球数字经济的发展如火如荼。建设数字中国、发展数字经济是推进中国式现代化的重要引擎,而数据则是数字经济时代的基础性资源和关键生产要素,因此组建国家数据局具有十分重大的意义。”工业和信息化部信息通信科技委员会委员、北京理工大学网络与对抗研究所所长闫怀志认为,国家数据局正式揭牌,标志着我国数据管理领域的发展已经驶上快车道。

 

今年3月,中共中央、国务院印发了《党和国家机构改革方案》。该方案明确,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。

 

闫怀志分析,国家数据局的组建,是我国根据国内外数字经济发展形势,从顶层设计出发,聚焦数据要素的基础性作用,围绕数字中国建设政府职能的相对集中以及数据管理机构和职责体系的优化,在国家层面开展的一次重大改革。

 

“国家数据局将为我国提高数据要素治理效能、提升数据资源价值创造力提供宏观政策引导,将有力推动并加速我国国家治理体系和治理能力现代化的进程。”闫怀志说。

 

破解数据领域多头管理难题

 

专家指出,此前我国不少省份和城市已相继设立大数据管理机构,但因缺乏国家层面的统一部署,跨部门、跨行业、跨系统、跨区域统筹协调困难,制约了我国数据产业管理及应用领域的健康发展。

 

“新成立的国家数据局有望在数据产业管理领域发挥综合、协调、统筹的作用,从而促进我国数据资源的保护、开发和利用,并推动数据产业相关制度和治理体系的完善。”中国科学院科技战略咨询研究院产业科技创新研究部部长王晓明分析。

 

据统计,2022年我国数据产量高达8.1ZB,居全球第二位。国家发展和改革委员会价格监测中心主任卢延纯此前发文指出,据初步测算,全国企业数据要素支出规模约为3.3万亿元。如果考虑数据资产评估、质押、融资等衍生市场,整体规模可能超过30万亿元。

 

“我国在国际上率先将数据列为生产要素,如此海量的数据要素要想更好地发挥生产力作用,就需要破除数据产业在资产权属、流通交易以及安全隐私等方面存在的诸多障碍,这些都离不开未来国家数据局职能的发挥。”闫怀志说。

 

闫怀志认为,国家数据局的职能定位和作用的发挥,有利于打通数据链路,解决我国数据管理领域多头管理、交叉分散等问题,开创我国构建数据基础制度、统筹数据资源整合共享和开发利用、推进数字中国建设的全新局面。

 

促进数据产业健康发展

 

从产业发展的角度来看,国家数据局的成立,对我国数据产业乃至数字经济的发展,将产生哪些具体而深刻的影响?

 

“国家数据局的成立可以更好地发挥数据在推动传统要素快捷流动、助力创新主体加速融合方面的作用,对各行各业的发展将起到放大、叠加、倍增作用,有望为进一步促进实体经济的智能化转型打下坚实基础。”中国信息通信研究院云计算与大数据研究所副总工程师王蕴韬分析。

 

王蕴韬还提到,国家数据局的成立能够推动数据资源的高质量整合共享和开发利用,通过解决数据确权、定价、交易、流通等要素化问题,攻破中小企业数字化、智能化升级难点,畅通全产业数字化升级链条,以助力产业升级。

 

在闫怀志看来,国家数据局的成立,有望推动数字经济与实体经济的深度融合,提高经济发展的质量和效益;有利于提升数据产业监管水平,规范行业行为,打击数据领域违法违规行为,促进数据产业健康发展;有助于加强数据安全和隐私保护管理,降低数据泄露、数据滥用等风险。

 

王晓明则指出,国家数据局的成立,有助于对数据进行确权,推动数据的跨部门流通、开放和共享,充分释放数据的价值;将显著推动数字产业化和产业数字化,助力数字中国建设。

https://mp.weixin.qq.com/s/WRBicCjQBDu7rAj6hA21jw