1.【政策法规】《关于开展网络安全服务认证工作的实施意见(征求意见稿)》公布
近日,市场监管总局公布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》。《实施意见》提出,将确定并适时调整网络安全服务认证目录,组建网络安全服务认证技术委员会,从事网络安全服务认证活动的认证机构应当依法设立,具备从事网络安全服务认证活动的专业能力,并经市场监管总局征求中央网信办、公安部意见后批准取得资质等9项意见。公众可通过电子邮件及信函的方式提出意见,征求意见的截止日期为8月21日。
2.【政策法规】《密码技术应用员国家职业技能标准 (2022年版)》正式发布
为规范从业者的从业行为,引导职业教育培训方向,为职业技能鉴定提供依据, 依据《中华人民共和国劳动法》,适应经济社会发展和科技进步的客观需要,立足培育工匠精神和精益求精的敬业风气,人力资源社会保障部联合国家密码管理局组织有关专家,制定的《密码技术应用员国家职业技能标准 (2022 年版)》于2022年7月正式发布。
3.【政策法规】国家标准《公有云中个人信息保护实践指南》发布
近日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第8号),全国信息安全标准化技术委员会归口的国家标准GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》正式发布,实施日期为2023年2月1日。
4.【行业动态】美国网络安全审查委员会首份报告:Log4j漏洞要十余年才能修完
美国网络安全审查委员会发布首份报告指出,去年年底曝光的Log4j漏洞已成为“流行病”,将在未来十年甚至更长时间持续引发风险;这份报告耗时约五个月,调研了约80个组织,并与行业、外国政府及安全专家开展交流,还包括漏洞发现者所在国家中国政府;该委员会提出了19条建议,以供各实体在Log4j漏洞威胁下采用。
5.【安全事件】知名GPS出现漏洞,可使黑客获得管理权限
近日,漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。考虑到该设备的许多用户存在军政背景,黑客的攻击很有可能会影响国家安全。
6.【安全事件】因遭遇大规模网络攻击,这个国家政务网络被迫关闭
近日,欧洲东南部国家阿尔巴尼亚政府披露,该国遭遇了大规模网络攻击,来自国外的大规模犯罪行动袭击了国家信息社会局(AKSHI)的服务器,该局负责处理大量政府服务。阿尔巴尼亚国家信息社会局在一份声明中表示:“为了抵御这些前所未有的危险攻击,我们被迫关闭了政府系统,直至对方的攻击被解除。”网络攻击发生之后,大部分面向民众的服务项目被中断,只有部分重要服务(例如线上报税)仍在运行,原因是运行它们的服务器并未受到攻击覆盖。
7月26日至7月27日,在12个小时的时间里,苹果(Apple)的互联网流量诡异绕道俄罗斯网络设备。在为互联网路由公益组织MANRS(路由安全共同协定规范)撰写的一篇文章中,Internet Society高级互联网技术经理表示,7月26日,俄罗斯电信(Rostelecom)开始发布苹果部分网络的路由——这种操作通常被称为BGP(边界网关协议)劫持。BGP就是将多个网络粘到一起形成互联网的粘合剂。但是,这么重要的协议,却很容易遭遇欺骗。当自治系统(由单个实体管理的一组网络,AS)发布不属于自身的IP地址组(IP前缀)的路由时,如果没有过滤掉这些恶意路由声明,互联网流量通常就会适应这些路由。有些不良路由声明是偶发的,是配置错误之类无心之失的结果,但有些就纯属恶意了。
8.【安全技术】打击网络犯罪的新武器:隔离和清零
近日,Critical Stack的CTO和联合创始人Dustin Webber在《福布斯》撰文指出,网络安全出现了一个似曾相识的新概念——隔离(isolation)有望将网络犯罪预防提升到一个新的水平。该方法类似于将可能包含炸弹(恶意软件、勒索软件、间谍软件等)的包裹(有效载荷)带到一个安全隔离的区域,无论该包裹有多大的杀伤力,都可安全引爆。“隔离”之所以被业界(重新)重视,是因为当下的网络安全措施难以应对当前发生的大量勒索软件和恶意软件攻击,业界需要一种更好的预防(而不是过分依赖检测和响应)方法。隔离是一种高度谨慎的方法,只有确保安全的活动才能继续进行。对于大多数场景来说,默认拒绝策略应该是通用的。