x
在线咨询
刷新
您当前的位置: 资讯中心 > 行业新闻
全球数据安全每周热点资讯21期
发布时间:2023.05.17 浏览数量:740人

政策形势


1、《公路水路关键信息基础设施安全保护管理办法》公布,今年6月1日起施行

5月6日,交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》(简称《管理办法》),共6章33条,自今年6月1日起施行,切实保障公路水路关键信息基础设施安全,维护网络安全。

公路水路关键信息基础设施(简称关基设施)是指在公路水路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。

2021年出台的《关键信息基础设施安全保护条例》(简称《条例》)对国家关基设施安全保护予以了系统规范。为全面贯彻落实党中央、国务院关于加快建设交通强国的决策部署,细化落实《条例》制度规定,同时系统解决关基设施安全保护实践中存在的问题,需要制定《管理办法》,以全面保障关基设施的安全运行。

https://jtt.ah.gov.cn/ztzl/pfxc/pfwj/121585741.html


2、《汽车整车信息安全技术要求》等四项强制性国家标准发布

据工信部网站5日消息,按照《中华人民共和国标准化法》和《强制性国家标准管理办法》,工信部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,已形成征求意见稿,并向社会各界公开征求意见。征求意见截止日期为2023年7月5日。

目前我国智能网联汽车已经从小范围测试验证转入技术快速发展、生态加速构建的新阶段,相关标准的出台意义重大。工信部此前公布的数据显示,2022年,我国搭载辅助自动驾驶系统的智能网联乘用车新车销售达700万辆、同比增长45.6%,市场渗透率提升至34.9%、较2021年增加11.4个百分点。随着汽车智能化、网联化转型加速,汽车数据安全治理迫在眉睫。

《汽车整车信息安全技术要求》(征求意见稿)主要规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法。

对于汽车的信息安全,消费者普遍的担忧之一就是车辆被远程操控、遭受远程攻击。该文件对“车辆外部连接安全要求”提出了5方面要求。其中提到,针对第三方应用,汽车制造商应对其未授权的第三方应用的安装运行采取防护措施,如在安装时进行提示、限制其访问权限,避免非授权的第三方应用对车辆系统等的资源配置、关键参数、重要数据等进行访问。

https://mp.weixin.qq.com/s/kRUCDzQF2F8eHFa_aOSUcQ


3、全国首个自动驾驶示范区数据安全管理办法在京发布

5月12日,北京市高级别自动驾驶示范区工作办公室(以下简称“市自动驾驶办公室”)正式发布《北京市智能网联汽车政策先行区数据安全管理办法(试行)》(以下简称“办法”)。本次发布办法填补了国内自动驾驶示范区级数据安全管理的空白,明确了在市自动驾驶办公室统筹指导下,企业负数据安全主体责任,构建了示范区企业数据能力提升及共享机制。

https://baijiahao.baidu.com/s?id=1765683341508630235&wfr=spider&for=pc


4、《河南省加强数字政府建设实施方案(2023-2025年)》印发

5月9日,河南省人民政府近日印发《河南省加强数字政府建设实施方案(2023-2025年)》,致力于解决数字政府建设在顶层设计、体制机制、数据融通、应用协同、安全保障等方面存在的突出问题。方案强调要突出全面防护,筑牢数字政府安全保障体系,提出了数字政府“一道墙”建设方案,以一体化安全防护配置为基础、一体化安全防护运营为核心、一体化安全防护监管为引领,建立健全配套安全制度和统一标准规范,构建形成全省一体化安全防护体系。

https://www.henan.gov.cn/2023/05-09/2739949.html


5、《张江数据要素产业集聚区建设三年行动方案(2023-2025年)》发布

5月9日,上海市浦东新区科技和经济委员会、中国(上海)自由贸易试验区管理委员会张江管理局近日印发《张江数据要素产业集聚区建设三年行动方案(2023-2025年)》。在数据安全方面,方案提出要构建与国家级数据交易平台相匹配的数据安全保障体系,建设关键信息基础设施安全防护态势感知系统,建立分层处置、分类计算、动态评估的数据安全管理体系,增强数据安全监测预警和应急处置能力。支持市场化安全资源池及中小企业盾建设,帮助企业守牢网络与数据安全底线。

https://www.pudong.gov.cn/zwgk/14553.gkml_ywl_qyfw/2023/118/309750.html






数据安全事件

1、医院技术巨头遭到网络攻击,超过100万人的SSN泄露

5月8日,据外媒报道,医疗保健解决方案提供商 NextGen Healthcare 遭受数据泄露事件,暴露了大约 100 万人的个人信息。

根据通知,数据泄露事件于 4 月 24 日被发现。该公司立即展开调查,并确定威胁行为者在 2023 年 3 月 29 日至 4 月 14 日期间访问了公司的系统。泄露的数据中包含的个人信息包括客户姓名、出生日期、地址和社会安全号码。

http://www.hackdig.com/05/hack-982504.htm


2、朝鲜黑客侵入首尔主要医院窃取数据

5月10日,韩国国家警察局(KNPA)警告称,朝鲜黑客侵入了韩国最大的医院之一——首尔国立大学医院(SNUH)的网络,窃取敏感的医疗信息和个人信息。韩国当地媒体将这次袭击与Kimsuky黑客组织联系起来,但警方的报告没有明确提及特定的威胁组织。据悉,攻击者使用韩国和其他国家的七台服务器对医院的内部网络发起攻击。警方表示,该事件导致831000人的数据暴露,其中大多数是患者。此外,受影响的人中有17000人是现任和前任医院员工。

http://www.anquan419.com/knews/24/5064.html


3、网络安全公司 Dragos 遭受勒索软件攻击,拒绝支付赎金

5月11日,Bleeping Computer 网站披露,网络安全公司 Dragos 近期遭遇了勒索软件攻击,一个网络犯罪团伙试图突破 Dragos 的防御系统,渗透到其内部网络,以期对设备进行加密。

Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统,但并无证据表明攻击者破坏了内部网络系统和网络安全平台。

该事件起因是由于网络攻击者利用了一名 Dragos 销售员工个人信息,完成员工入职过程中的初始流程(该名员工入职前泄露了包括电子邮件在内的个人信息),以获得了访问销售部门新员工可以使用的资源的权限。

https://view.inews.qq.com/wxn/20230511A07CM300?refer=wx_hot


4、超200万车主数据,持续10年遭泄露!

近日,日本丰田汽车公司发布公告称,由于数据库配置错误,日本约215万用户的车辆相关数据近十年来持续遭到曝光,包括车载设备ID、底盘号码、车辆位置信息和时间数据、车辆“行车记录仪”录制的视频等。目前,丰田方已采取措施阻止外部访问,并通知可能受到影响的用户,同时称暂无证据表明泄露数据已被获取或恶意使用。

根据公告,丰田汽车车主的车载设备ID、底盘号码、车辆位置信息和时间数据等在2013年11月6日至2023年4月17日期间被公开,公开时间近十年;车辆“行车记录仪”拍摄的视频在2016年11月14日至2023年4月4日期间被公开,持续近七年。

https://www.thepaper.cn/newsDetail_forward_23106184


5、英国最大外包公司云泄露655GB数据,客户包括多个部委政府

5月8日消息,外媒TechCrunch获悉,英国外包巨头Capita大量数据暴露在互联网上,持续时间长达7年。此前数周前,该公司还承认发生了一起可能影响客户的数据泄露事件。

一位安全研究人员向TechCrunch提供了一个未受保护的亚马逊AWS存储桶,Capita公司已经在上周实施了保护措施。

这位研究人员表示,此AWS存储桶自2016年以来一直暴露在互联网上,其中存放着约3000个文件,总大小为655 GB。存储桶未设置任何密码,因此任何掌握了网址的人都能访问到文件内容。能够索引公开云存储信息的可搜索数据库GrayHatWarfare,也捕捉到了这个公开云存储桶的详细信息。

https://www.163.com/dy/article/I4AC3JVK0553O8PY.html



技术、产品与市场


1、2023国家安全主题论坛·数据安全分论坛在南昌举行

4月15日,由中共江西省委国安办指导、江西省大数据中心主办、云上(江西)大数据发展有限公司承办的2023年国家安全主题论坛·数据安全分论坛在江西南昌隆重举行。本次论坛以“共筑数据安全,共创数字未来”为主题,邀请了国家信息中心以及行业内知名专家分享当前最新的数据安全理论成果和实践经验,为筑牢社会各界数据安全意识、提升数据防护能力、护航数字经济发展提供宝贵经验和专业指引。

杜军龙主任在致辞中指出,数据安全是国家安全的重要组成部分。举办数据安全论坛,加强各领域思维碰撞和技术交流,对推动数据安全事业发展,加快实现以安全保发展、以发展促安全,构建全社会数据安全治理体系具有重要推动意义。江西省正在加快推动《江西省数据应用条例》立法,将以更加完备的法规保障助推全省数字经济高质量发展。

国家信息中心公共技术服务部副主任徐春学以“数字政府背景下的数据安全风险及应对措施”为主题作主旨演讲。

华东政法大学法律学院教授、数据法律研究中心主任高富平以“数据安全:数据要素化利用的基础”为主题作主旨演讲。

奇安信集团副总工程师、首席数据安全专家刘前伟以“筑牢数据安全底板,护航数字化发展”为主题作主旨演讲。

深信服科技股份有限公司大数据安全事业部副总经理王跃海以“政务大数据安全共享与防护建设思路”为主题作主旨演讲。

江西省直党政机关代表,数据安全业界代表,以及媒体代表100余人参加了本次论坛。

http://jxic.jiangxi.gov.cn/art/2023/4/16/art_57486_4428307.html


2、中国网络空间安全协会、国家计算机网络应急技术处理协调中心发布《“新闻资讯类”App个人信息收集情况测试报告》

报告发现,8款App在5种场景下调用了位置、设备信息、应用列表、剪切板4类系统权限,未发现调用相机、麦克风、通讯录等其他权限。同时,8款App上传了4种类型个人信息:①位置信息,包括经纬度、街道地址、当前连接Wi-Fi MAC地址、当前连接基站信息、周边可用Wi-Fi MAC地址;②唯一设备识别码,包括IMEI(国际移动设备识别码)、Android ID(安卓ID)、OAID(开放匿名设备标识符)、手机MAC地址;③应用列表信息,包括手机上已安装、新安装和新卸载的应用信息,自上次使用App以来的应用信息变化情况(包括更新、安装和卸载);④用户在App首页的截图信息,包括截图操作(记录有截图动作发生)、截图内容(截图产生的图片)。

http://www.cac.gov.cn/2023-04/28/c_1684329861567282.htm


3、《中国数字经济发展研究报告(2023年)》发布 

我国数字经济结构优化促进质的有效提升

4月27日-28日,由国家互联网信息办公室、国家发展和改革委员会、科学技术部、工业和信息化部、国务院国有资产监督管理委员会和福建省人民政府共同主办的“第六届数字中国建设峰会”在福建省福州市召开。在4月27日下午的主论坛上,中国信息通信研究院发布了《中国数字经济发展研究报告(2023年)》,报告分析发现,我国数字经济进一步实现量的合理增长。2022年,我国数字经济规模达到50.2万亿元,同比名义增长10.3%,已连续11年显著高于同期GDP名义增速,数字经济占GDP比重相当于第二产业占国民经济的比重,达到41.5%。

我国数据生产要素价值进一步释放。数据产权、流通交易、收益分配、安全治理等基础制度加快建设,破解数据价值释放过程中的系列难题。同时,数据要素市场建设进程加快,数据产业体系进一步健全,数据确权、定价、交易流通等市场化探索不断涌现。

http://news.sohu.com/a/671529603_121124377


4、联合国公布18个全球隐私计算技术应用典型案例

近期,联合国大数据工作组发布了新的隐私指南——《The UN Guide on Privacy Enhancing-Technologies (PETs) for Official Statistics》(联合国官方统计隐私增强技术(PETs)指南)。

该报告的前几章展示了隐私增强技术作为各种方法和途径的先驱,如何在实际应用中站稳脚跟。同态加密、安全多方计算、差分隐私、联邦学习、零知识证明和可信执行环境是针对使用敏感数据时降低隐私风险的有效隐私技术,报告对这些技术做了全面介绍。其中最大的亮点是,18个遍及全球的隐私增强技术典型使用案例,案例涉及政府部门、民营企业和多个合作组织,也涵盖了各种隐私增强技术和各类具体的使用场景。包括《联合国欧洲经济委员会:试验保护隐私的联邦机器学习方法》《美国教育部:使用保护隐私的记录链接分析学生财政援助数据》等案例。

https://mp.weixin.qq.com/s/Bn-XmXQNnBHmEHZWcOnW3Q





业界观点

1、王建冬:全国统一数据大市场下创新数据价格形成机制的政策思考

当前,在我国构建数据基础制度、加快推动形成全国统一数据大市场的大背景下,如何构建适配数据要素市场化配置需求的价格形成机制,成为当前经济社会改革的热点问题。本文重点探讨如何构建适配于全国统一数据大市场的要素价格形成机制,研究发现:数据要素价格形成机制可从三个层面分别加以论述:首先,数据资源化层面,数据价格形成以成本法为导向,其主要影响因素包括采集、整理、加工数据的成本,以及数据质量和数据隐私含量等方面;其次,数据资产化层面,数据价格形成以收益法为导向,重点是在明确数据用途和用量的基础上,通过交易场所或第三方机构释放数据模型贡献度等价格信号,由各方主体在充分竞争和博弈中形成价格共识;最后,数据资本化层面,数据价格形成以市场法为导向,重点围绕数据证券化和数据股权化两方面,参考技术市场等成熟经验逐步完善估值、入表、参股等相关制度体系。未来,应充分结合我国国情和数据要素特殊规律,逐步建立并完善可以有效反映市场供需关系的数据价格生成机制。

https://mp.weixin.qq.com/s/ArnnRUiYKXBIPqBRVITRuA


2、[专家观点] 数字经济视野下网络数据流动的法律隐患及应对

数字经济时代,网络数据作为新兴生产要素,与国家发展战略深度融合,以其为犯罪对象的案件数量亦与日俱增。我国虽通过民法典、数据安全法、刑法等初步构建起法律保护体系,但网络数据流动涉及网络数据产生、移转、利用、销毁等多个环节,鲜明的动态流动属性下,暗藏的诸多犯罪风险仅依靠当前碎片化立法难以有效规制。笔者对2018年至2023年初A市378件涉网络数据犯罪问题的案件进行剖析,并提出有针对性的应对举措。

https://www.chinacourt.org/article/detail/2023/05/id/7284901.shtml


3、周民:改革创新 数据赋能 以数字政务建设助力数字中国高质量发展

近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),这是我国数字中国建设的第一部纲领性文件,对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。《规划》提出“发展高效协同的数字政务”,明确了新时期数字政务建设路线图。数字政务作为数字中国建设的重要组成部分,是对数字政府涵盖范畴的拓展,包含了中国特色社会主义制度下各方治理主体,包括党委、人大、政府、政协、纪委监委、法院、检察院等七大体系。深入贯彻落实《规划》任务要求,以数字思维、数字技术驱动党政机关数字化发展,对于加快数字中国建设、推进国家治理体系和治理能力现代化具有十分重要的意义。

https://m.thepaper.cn/baijiahao_22859345


4、ChatGPT:是崛起的AI攻击之矛,还是万能的网络安全之盾

随着ChatGPT发布,人工智能领域热潮再次被点燃,引起工业界、学术界及各国政府的纷纷关注,不断推出新的大语言模型,一方面加大本国在人工智能的研究力度,另一方面讨论大语言模型应用的各种潜在问题。文章提出四个方面的观点,解读大语言模型时代网络安全攻防进化的机遇与挑战。

观点1:从政策和技术两方面保证类ChatGPT应用的数据边界安全。

从技术角度考虑,如果要满足大语言模型应用的数据安全合规性,需要在以下几个方面做出改进:

模型私有化部署:私有化(即本地化)部署是满足企业用户在使用大语言模型应用时数据不出网、不被滥用的主要方法之一,这个部署包括了提供可以进行模型微调(Fine-Tuning)在内的算力环境。由于大语言模型的生成效果也取决于训练时的语料数据,在专业性很强的垂直领域要达到更好的生成效果,也是需要提供语料来优化模型,因此大语言模型的私有化部署是让数据在企业内形成内部循环来持续优化模型的可行方法。

对于云端提供的大语言模型中数据的使用过程进行第三方审计:可以从数据的输入、存储和使用等环节提供第三方的系统来进行数据安全合规性的监控和审计。如通过调用大语言模型提供的API来自己提供Chat接口,并对聊天过程中输入的数据进行合法合规性审计;在线存储的用户对话数据必须进行加密存储;对被用于模型迭代更新的用户数据进行合规性审计后才可以使用。

观点2:大语言模型赋能攻击可能引发新的网络入侵潮。

大语言模型的自动化生成能力将大大提升安全入侵的效率、降低安全入侵的技术门槛、提升安全入侵自动化能力、降低高级安全入侵的实施成本,国内受到网络安全法的震慑,相关安全事件发生会受到一定制约,但来自国外的个人和小团体攻击将有可能迎来一波大幅的提升。

ChatGPT使得使用钓鱼邮件进行社会工程攻击变得更容易、更高效、更不易被发现。通过AIGC能力能够快速批量生成不同表达方式的钓鱼邮件,并且利用ChatGPT的角色扮演能力,能够轻易以不同角色的身份来撰写,这些邮件的内容和口吻更加真实,使得分辨难度大大提高。

观点3:大语言模型赋能安全防御可以帮助专家节省时间,但没有赋能安全攻击更有威力。

网络安全防御是一种需要进行精确判断和决策的技术,大语言模型快速生成的代码和方案可以帮专家节省时间,但由于大语言模型在AIGC过程中的“幻化”问题,所以由大语言模型提供的代码和方案需要经过人工验证其正确性,这对于具有验证能力的专业人员来说,大语言模型能够在一定程度低提高其对安全事件的处理效率。

同样的“幻化”问题也存在于大语言模型赋能安全入侵中,但一般认为对安全防御水平的验证难度是高于安全入侵的。安全入侵过程很容易在模拟环境中被验证,只要通过返回的信息就可知晓攻击是否成功,而安全防御则需在靶场中先模拟出各种可能的入侵,才有可能被验证,这在实战应用中防御效果的验证难度将会更高。

观点4:需要尽快推出面向AI算力平台安全、大语言模型第三方应用接入安全相关的安全标准和规范以及研发相关的安全产品和方案,为大语言模型发展护航。

基于大语言模型的全球性科技竞争由ChatGPT引爆,AI厂家纷纷抢占先机。但现有相关的法律法规和行业标准都还不能支撑大语言模型应用落地后的安全合规的发展。尽快提出有效针对大语言模型应用的数据边界问题的解决方案是大语言模型应用落地的当务之急。

同时,大语言模型技术对网络安全的影响既有正面也有负面,但总体来看负面影响大于正面影响,这为网络安全提出了很大的挑战,同时也为网络安全在AI领域开辟了一块全新的市场空间。大语言模型的基础设施安全和扩展应用安全也是不可忽略的两个方向,同时也是两个新的网络安全领域的发力点。

https://www.venustech.com.cn/new_type/sdjd/20230505/25544.html


5、Privacy vs. Security:隐私保护与数据安全的关系

数据安全是保护数据免受未授权访问或者恶意攻击,而隐私保护重点在于负责任地使用个人数据。

数据安全主要侧重于防止漏洞或泄漏事故导致未经授权访问数据。为了实现这一目标,公司使用工具和技术,如防火墙、用户身份验证、网络访问限制和内部安全措施来阻止此类访问。再比如令牌化和加密等安全技术,通过使数据不可读来进一步保护数据,在发生数据泄露的情况下阻止入侵者访问/使用数据。

隐私保护关注的是确保组织合规地收集、存储、传输和处理个人数据。隐私保护尤其需要保证透明度,在收集数据之前告知个人或者根据法律要求征得同意。这意味着提前告知个人将收集哪些类型的数据,用于什么目的,以及将与谁共享这些数据,之后公司根据其既定目的处理数据,如有新的变化,则需要另行告知或取得同意。同时,负责任的使用个人数据,也意味着需要确保数据安全措施到位,从这一点来说数据安全是保证隐私安全的重要组成部分。

总而言之,隐私保护主要关注个人数据如何被使用和控制,而数据安全则是保护这些数据的保密性、完整性和可用性。数据安全目标可以不考虑隐私问题,但实现隐私保护必须同时保证数据安全。

https://www.secrss.com/articles/54404