x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯 (4月20日-4月26日)
发布时间:2024.04.27 浏览数量:294人

一、政策形势

1、深圳《公共数据安全评估方法》5月1日实施

4月23日,由深圳市政务服务和数据管理局指导,深圳市信息安全管理中心等单位牵头编制的深圳市地方标准《公共数据安全评估方法》于近日正式发布,将于5月1日实施。《方法》规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论,适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估,也适用于处理大量个人信息的服务平台数据安全能力的评估。

https://mp.weixin.qq.com/s/a-XfDxSmAS7ycAso4tDueA

 

二、数据安全事件

1、群光电子遭黑客入侵,1.2TB内部资料泄露

4月21日,硬件厂商群光电子(Chicony Electronics)遭到黑客组织Hunters International攻击,公司被盗取约1.2TB内部资料,共计4,140,652项文件。事故发生后,群光电子立即启动了相关防御机制和恢复作业,所以这起事故并未影响公司内部的核心通讯系统网站,同时员工的个人隐私信息和机密文件数据也未遭到外泄。

https://mp.weixin.qq.com/s/wIFSSCMQl4BMcBnILBp3qQ

 

2、新加坡127所中小学平台遭入侵,教育部已报警处理

4月20日,新加坡127所中小学使用的Mobile Guardian平台遭入侵,导致数据外泄,泄露信息包括姓名、电邮、学校名称、时区,以及身份信息。新加坡本地共有300多所中小学,换言之,受事件影响的学校占了近三分之一。新加坡教育部已向Mobile Guardian公司表达关切,并报警处理。

https://mp.weixin.qq.com/s/jZX9vCKnozOCdoBixdjGBA

 

3、因遭受勒索软件攻击,医疗诊断巨头分公司暂停运营

4月23日,国际医疗诊断和试验巨头Synlab的意大利分公司因遭受勒索软件攻击,被迫关闭其IT系统。Synlab集团总部位于德国慕尼黑,在全球30个国家开展业务。其意大利分公司的网络覆盖380个实验室和医疗中心,每年进行3500万次医疗分析,年营业额达4.26亿美元。事件发生后,所有医学诊断和试验服务均已暂停,但一些敏感的医疗数据可能已被攻击者获取。

https://mp.weixin.qq.com/s/xJOXuzuw1mG5IPkf8WuVDA

 

三、技术、产品与市场

1、2023国内网络安全招投标采购市场——年度数据汇总

【整体视角】

数据显示,2023年国内网络安全招投标市场全年项目数达95153件,市场规模为404亿元(涉密和其他非公开招标不包含在内),12月为项目数最高月份,达到13833件,占全年项目数的15%。

【区域视角】

华北大区为网络安全招投标中标金额最高区,北京、上海和广东三省市中标金额全国占比超1/3。

【产品视角】

下一代防火墙、安全管理平台、存储备份与恢复是网络安全招投标的三大热点。

【供应商视角】

网络安全招投标市场TOP10供应商(金额视角)为:奇安信、深信服、中国移动、启明星辰、天融信、联通数科、中国电信、新华三、安恒信息和绿盟科技。

https://mp.weixin.qq.com/s/JFy9Y4k6QPVlKYA2A79S_g

 

2、CISA将在今年底前全面部署应用自动化漏洞预警系统

美国网络安全和基础设施安全局(CISA)将在今年年底前完成自动化漏洞预警系统的全面部署工作。该系统通过全面的漏洞扫描和监测,帮助企业及时了解潜在的安全威胁和需要及时修补的漏洞,同时提升美国关键基础设施单位的网络攻击防护能力。

https://mp.weixin.qq.com/s/kFu1E7muPQoJ8XPauNKdEQ

 

业界观点

1、国际货币基金组织警告,金融领域面临黑客攻击风险加大

4月23日,国际货币基金组织在近期发布的一份报告中称,2023年发生的几起事件表明,银行正成为黑客最喜欢攻击的目标之一,在数字化转型加速和地缘政治紧张局势加剧的背景下,网络攻击对金融银行造成系统性影响的风险正在不断增加。

https://mp.weixin.qq.com/s/lb6PeD85l_3e_fUzkPgn3w

 

2、方滨兴院士:以安全性可用性合规性为核心,构建数据安全保护框架

“安全性、可用性、合规性是数据安全保护的三个元属性,不可被其他属性替代,是数据安全的根基。”近日中国工程院院士方滨兴在公开场合表示,在他看来,上述三个元属性又涉及9个基本属性:

A)安全性包括“鉴别性、机密性、可控性”;

B)可用性涉及“持久保护、业务连续、应急响应”;

C)在合规性里讨论的是“数据治理、隐私保护、合规使用”;

以上构建了数据安全保护框架。

 

A)安全性,即采取传统网络安全手段对数据加以保护。围绕数据的安全性,可以从“可鉴别性”“机密性”“可控性”三个角度来看。

Ø 第一个属性是可鉴别性,即确保数据是被实施正确操作,不能够被篡改,也不能够伪造,不能够抵赖。方滨兴表示,身份是真实的称为真实性,不能被篡改称为完整性,不能抵赖称为防抵赖性。他举例称,从真实性来看,拦不住造假,但是可鉴别出来。

Ø 第二个属性是机密性,即确保数据不被非授权者所获得或所理解,可通过数据遮蔽、数据加密、加盐加密等解决。

Ø 第三个属性是可控性,方滨兴说:“安全要确保可控,这是我的系统,我要能决定能做什么,不能做什么,谁能做什么,谁不能做什么。”他表示,可控性可通过身份认证、访问控制、入侵检测等方法解决。

 

B)可用性,即保障数据随时可用,方滨兴强调,可用性是数据安全特别关注的事情。可用性又衍生出“持久保护”“业务连续”“应急响应”三个基本属性。首先,要确保使用者都能使用数据,如防治丢失、防治损坏等,这就要对数据进行持久保护,主要有数据冗余、数据备份、数据归档三种处理方法。其次,要确保应用过程中数据是连续的,不能够中断,对此可采取数据校正、系统容灾、降级运行三种方法来保障业务连续。最后,还需要应对数据损毁风险,解决应急响应问题,对此主要采取数据迁移、数据恢复、数据保险等应对方法。

 

C)合规性,即保障数据符合各种合规要求。在方滨兴看来,合规性是数据安全里比较特殊的属性,需要从政府监管以及数据有效使用的角度来讨论。合规性涉及“数据治理、隐私保护、合规使用”三个基本属性。

 

方滨兴表示:不是什么数据拿来都能用,做大模型需要训练,数据必须清洗,这些都属于数据治理要做的事情,数据治理主要包括数据清洗、质量管理、分类分级、资产梳理等。隐私保护属于合规性的基本要求,要解决隐私保护和数据要素流动之间的悖论问题,一般来说可采取数据脱敏、安全多方计算、数据不动模型动、数据不动程序动等四种方法。合规使用是通过基线核查、风险评估、审计监控、安全销毁等方法,确保数据符合合规使用标准。数据安全有一个生命周期管理,从数据收集创建、存储、加工处理、危机应对、传输追踪,到共享使用、归档、销毁,每个环节都涉及了多种安全要求。数据安全生命周期管理基于三个元属性和9个基本属性之间也形成对应。

https://mp.weixin.qq.com/s/4PH5ZhXgsYIymH1WDe2TpA