国内外最新网络安全发展态势

重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?杂志社联合中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。

事件概览:

1.《数据安全法》正式通过

2.工信部:开展车联网身份认证和安全信任试点工作

3.美国两党参议员提出法案以保护小企业免受网络攻击

4.G7七国集团要求俄罗斯在其境内追捕勒索团伙

5.大众遭到黑客攻击,超300万奥迪车主个人信息被窃取

6.意大利设立网络安全局以应对日益严重的网络安全形势

7.麦当劳系统被攻击,韩国和台湾地区的客户信息遭泄露

8.美国核武器承包商遭勒索打击,核安全响警钟

9.“Hack the Army”漏洞赏金活动中发现 238 个网络漏洞

10.美太空司令部要求国会拨款6700万美元以形成全面作战能力

11.美白宫成立国家人工智能研究资源工作组

12.美国防部制定了实施负责任人工智能(RAI)的六项基本原则

国内

01、《数据安全法》正式通过

历经三次审议,2021年6月10日,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。

数据安全法立足数据安全工作的实际,聚焦数据安全领域的突出问题,确立了数据分类分级管理,数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,明确相关主体的数据安全保护义务,通过建立健全各项制度措施,进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。在规范数据活动的同时,坚持安全与发展并重,对支持促进数据安全与发展的措施、推进政务数据开放利用等作出相应规定,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。

02、工信部:开展车联网身份认证和安全信任试点工作

6月10日消息,工业和信息部办公厅发布关于开展车联网身份认证和安全信任试点工作的通知。申报主体包括基础电信企业、互联网企业、汽车生产企业、电子零部件企业、网络安全企业、商用密码企业、交通运输企业、科研院所,以及网络安全创新应用先进示范区、国家级车联网先导区、国家智能网联汽车测试示范区(基地)、智慧城市基础设施与智能网联汽车协同发展试点城市等的建设运营单位等。

国外

01、美国两党参议员提出法案以保护小企业免受网络攻击

E安全6月16日讯,美国两党参议员于6月10日提出了一项法案,基于此前美国部分大中型企业遭到黑客的连续攻击,要求重新引入《小企业信用保护法》,旨在保护小企业免受网络攻击。该法案将要求美国信用局在30天内将非公开的个人数据泄露信息通知给小企业,还将禁止信用局在完成此工作的180天内向此类企业收取信用报告费用。

2018年11月首次提出该立法,在一系列严重的网络犯罪之后,该法案现在变得更加重要。《小企业信用保护法》将确保小企业在发生安全漏洞时得到保护。这项立法出台之际,国会希望在发生一系列严重的黑客攻击后加强对联邦政府和私营部门的网络保护。

02、G7七国集团要求俄罗斯在其境内追捕勒索团伙

针对美国和欧洲组织的大量勒索软件攻击之后,刚落下帷幕的G7(七国集团)峰会领导人要求俄罗斯紧急打击据信在其境内活动的勒索软件团伙。G7成员国表示还将致力于共同努力,将不断升级的勒索软件威胁作为一项全球挑战加以解决。

G7成员强调合作以提高供应链安全,声明还承认电信基础设施(包括5G和未来通信技术)在支持更广泛的数字和ICT基础设施方面发挥并将发挥的基础作用。

美国宣布与其他 G7成员国一起打击勒索软件行动,呼吁所有国家紧急识别和破坏在其境内运作的勒索软件犯罪网络,并让这些网络对其行为负责。声明特别呼吁俄罗斯紧急调查并可信地解释进行勒索软件攻击、滥用虚拟货币来洗钱和其他网络犯罪,并查明、干扰和追究其境内人员的责任。

03、大众遭到黑客攻击,超300万奥迪车主个人信息被窃取

大众汽车美国公司表示,负责为其提供销售与营销服务的第三方供应商遭遇数据泄露事件,导致超过330万客户的个人信息意外流出,其中大部分为奥迪车主。事件的起源在于该供应商的某套在线系统存在安全配置错误。

此事件只影响到特定一部分大众客户,导致其敏感信息公开。大多数奥迪车主泄露了姓名、收件地址、邮箱或电话等信息,少部分受影响较大的还泄露了购买车辆相关信息、购买凭证信息、驾照及个人身份识别信息等。

04、意大利设立网络安全局以应对日益严重的网络安全形势

6月11日,意大利总理府通过一项网络安全规定、国家网络安全架构定义和国家网络安全机构(ACN)设立的紧急法令。该措施补充了以网络边界原则为开端的国家网络弹性战略,并通过促进网络安全文化,提高了公共、私营和民间社会对网络风险和威胁的认识。

国家网络安全局将在总理和共和国安全授权当局的监督下运作,并与国家安全信息系统密切联系,将负责:

·履行国家网络安全的职责,保护国家利益,保护国家服务和基本职能免受网络威胁;

·通过意大利计算机安全事件反应小组(CSIRT)和国家评估和认证中心的运作,发展国家预防、监测、检测和减缓网络威胁的能力,以处理计算机安全事件和网络攻击;

·协助改善国家网络安全范围内人员、公共行政机构、核心服务营办商及数码服务供应商的资讯及通讯科技系统的安全;

·支持工业、技术和科学技能的发展,促进创新和发展项目,同时鼓励在网络安全领域发展强大的国家人力资源,同时考虑到国家在这一领域的战略自主权;

·在国家网络空间安全、网络和信息系统安全(NIS指令)以及电子通信网络安全领域,承担公共和私人参与者在安全措施和检查活动方面的单一国家对话者的职能。

此外,该法令设立了部际网络安全委员会(CIC),并规定了共和国议会安全委员会(COPASIR)的具体监督权力。

最后,作为对欧洲立法的及时调整,政府已将该机构确定为意大利的国家协调中心,该中心将与新成立的“欧洲工业、技术和研究网络安全能力中心”相互协同,帮助提高欧洲在这一领域的战略自主权。

05、麦当劳系统被攻击,韩国和台湾地区的客户信息遭泄露

6月11日,麦当劳披露了一起数据泄露事件,该事件影响了其美国、韩国和台湾地区的相关员工和用户。作为全球食品服务零售商,麦当劳每天在 100 多个国家/地区的 39000 多个地点为近数亿客户提供服务,仅在美国就有大约 14000 家餐厅。

麦当劳表示,根据外部安全顾问进行的调查发现攻击者攻击了其全球多个市场的系统,并窃取了美国员工和特许经销商的业务联系信息,但并不包含敏感财务数据。此外,攻击者还窃取了韩国和台湾地区的用户个人信息,包括姓名、电子邮件、电话号码和地址。

06、美国核武器承包商遭勒索打击,核安全响警钟

近日,美国核武器承包商Sol Oriens遭遇REvil/Sodinokibi勒索软件攻击,攻击者扬言不缴纳赎金就将核武器机密信息泄露给其他国家的军方。该公司正在与第三方技术取证公司合作,以确定可能涉及的潜在数据的范围。但目前没有发现迹象表明此事件涉及客户机密或与安全相关的关键信息。

安全公司Emsisoft的威胁分析师和勒索软件专家Brett Callow透露,他发现Sol Oriens的内部信息已经被发布到REvil的暗网博客上。目前来看,暗网上披露的泄漏数据似乎并不涉及高度机密的军事秘密,只包括了2020年9月的公司工资单,列出了少数员工的姓名、社会保障号码和季度工资。REvil是否得到了美国核武器更敏感、秘密的信息还有待观察。但是,黑客从核武器承包商那里拿到任何信息都足以让人深感担忧。

07、“Hack the Army”漏洞赏金活动中发现 238 个网络漏洞

华盛顿6月11日消息,美国陆军在第三届“Hack the Army”活动中发现了238个安全漏洞,其中102个被评为高危或关键漏洞。

该漏洞赏金活动于2021年1月开始,持续时间为六周,旨在陆军能够主动修复潜在的网络威胁。此次活动邀请了共40名军事及民用安全研究人员参加,符合条件的安全研究人员获得的赏金总额超过 150000 美元。本次活动范围内有 11 项资产,主要是美国陆军感兴趣的特定在线域目标,以及登录/身份验证服务和美国陆军拥有的虚拟专用网络 (VPN)。

美陆军网络企业技术司令部部门主管约翰·华莱士 (Johann R. Wallace)表示:“Hack the Army在揭露内容和编码错误方面做了大量工作,而这些都是我们基于合规性的常规扫描所忽略的。仅仅因为系统打了补丁并不意味着它是安全的”。

08、美太空司令部要求国会拨款6700万美元以形成全面作战能力

美国太空司令部近期致函美国国会,表示除美国国防部2022财年预算提案列入的经费外,还额外需要6700万美元来形成全面作战能力和完成任务所需的临时性能力。其中2680万美元将供太空司令部建立军事情报支援作战能力、开发作战与规划软件、采购并纳入建模与仿真工具、整合人工智能系统以及吸收联邦资助的发中心的专业知识,3020万美元将供太空司令部发展不间断的太空感知能力、吸纳商业界的太空能力以及提升专业工程能力,1000万美元将用于演示“联合太空快速实验与演示”试点计划,以便在加快技术演示和原型设计的同时加强与非传统供应商的合作。

09、美白宫成立国家人工智能研究资源工作组

美国下一届政府网站6月10日报道,国家人工智能研究资源工作组由来自公共、商业和学术领域的12名成员组成,由AI科技政策办公室助理主任艾琳·帕克和国家科学基金会副助理主任埃尔文·詹坎达尼共同领导。

该工作组将制定国家人工智能基础设施战略,为国内学生和研究人员提供计算资源、政府获取的数据、工具等,扩大美国人工智能优势;还将为国家人工智能资源的存续提供建议,涉及技术能力、治理、管理、评估等方面。

10、美国防部制定了实施负责任人工智能(RAI)的六项基本原则

美国国防部副部长凯瑟琳·希克斯 (Kathleen Hicks) 博士在上周发布的一份备忘录中写道: “随着国防部拥抱人工智能,我们必须采取负责任的行为、流程和结果,以反映国防部对其核心道德原则的承诺。”美国防部备忘录制定实施负责任人工智能(RAI)的基本原则 ,主要包括六项内容:

一是RAI治理。确保国防部范围内严格的治理结构和流程,以便进行监督和问责,并明确国防部关于RAI的指导方针和政策以及相关激励措施,加速国防部采用RAI。

二是作战人员信任AI。建立试验、鉴定以及验证和确认框架,确保作战人员对AI的信任。

三是产品和采办生命周期。开发工具、政策、流程、系统和指南,以在整个采办寿命周期内同步AI产品的RAI实施。

四是要求验证。将RAI纳入所有适用的AI要求中,以确保RAI包含在国防部AI能力中。

五是建立RAI生态系统。建立国家和全球RAI生态系统,以改善政府间、学术界、工业界和利益相关者的合作,并促进基于共同价值观的全球规范。

六是AI人才队伍建设。建立、训练、装备和留住RAI人才队伍,以确保强有力的人才规划、招聘和能力建设措施。

该备忘录还重申了五项“人工智能伦理原则”,即“负责、公平、可追溯、可靠和可控”,并提出一系列新的行动,包括建立一个由联合人工智能中心领导的人工智能工作委员会。

来源:信息安全与通信保密

注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。

标签: