1.【政策法规】《商用密码管理条例 (修订草案)》审议通过
近日,国务院总理李强主持召开国务院常务会议,会议审议通过《商用密码管理条例(修订草案)》。会议指出,近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
2.【政策法规】国家互联网信息办公室关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知
为促进生成式人工智能技术健康发展和规范应用,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《生成式人工智能服务管理办法(征求意见稿)》,现向社会公开征求意见。公众可通过电子邮件、信函等途径和方式提出反馈意见。征求意见稿对生成式人工智能服务提出了多项规制,强调生成式人工智能产品提供者的责任、突出个人信息的保护、明确向监管部门备案和申报安全评估的硬性要求,以及多次重申要从数据源开始确保“生成内容”的真实准确等,开启了中国对生成式人工智能产业的监管之路。
3.【政策法规】关于征求国家标准《信息安全技术 软件产品开源代码安全评价方法》(征求意见稿)意见的通知
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。现将该标准征求意见稿面向社会公开征求意见。该文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法,评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。
4.【政策法规】四部门联合印发《关于开展网络安全服务认证工作的实施意见》 近日,为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部近日联合印发《关于开展网络安全服务认证工作的实施意见》,就开展国家统一推行的网络安全服务认证工作提出9条意见。
5.【行业动态】成立黑客政策委员会,谷歌出台全新网络安全计划
近日,谷歌正式公布了一系列举措,专门针对目前漏洞管理生态系统的不足,出台一些更透明度的制度和措施。谷歌曾在一份公告中提到,零日漏洞作为头条新闻的“常客”,风险性确实是比较大的。即使一发现漏洞就立刻修复,它的风险仍然存在,而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面。基于上述因素,谷歌表示目前正在组建一个黑客政策委员会,该委员会将会确立新的政策和法规。同时,谷歌进一步强调,后面如果再出现某产品系列的漏洞被人利用的情况出现,掌握证据后,会直接将调查事件结果进行公开披露。
6.【行业分析】2023年DDoS攻击暴增170%:美国、中国和印度是重灾区
根据网络安全厂商StormWall近日发布的《2023年一季度全球DDoS攻击综合报告》,2023年一季度DDoS攻击与2022年同期相比增长了47%。调查结果显示DDoS攻击呈现三大趋势:僵尸网络再次兴起、针对关键基础设施,以及越来越多的DDoS攻击被用于掩盖多向量攻击的“烟雾弹”。从攻击目标的地理分布来看,美国(17.6%)、印度(14.2%)和中国(11.7%)仍然是最多遭受攻击的国家。不过2023年阿拉伯联合酋长国的攻击数量显着激增,占比(6.4%)同比增长了将近一倍。另一方面,随着黑客行动主义的消退,俄罗斯和乌克兰的DDoS活动有所下降。
7.【安全事件】网络攻击致使德国药物研发巨头生产延误
近日,德国药物研发巨头Evotec遭受网络攻击,目前正努力恢复被迫离线的IT系统。Evotec公司拥有4200多名员工,2021年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近7亿美元收入。该公司还与百时美施贵宝、拜耳、赛诺菲等其他多家制药巨头建立了长期药物发现合作关系。Evotec公司内部系统已中断多天,虽然业务连续性未受影响,但可能出现延误或响应较慢的情况。
8.【安全事件】OCR Labs数据泄露危及大量银行客户
据报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致大量银行和政府客户面临严重风险。创办于2018年的OCR Labs是数字身份验证工具的领先提供商,主要提供数字身份验证、客户信息录入、身份欺诈甄别和合规服务,其服务被宝马、沃达丰、澳大利亚政府、西太平洋银行、澳新银行、汇丰银行和维珍货币等知名企业使用。该事件起因是由于公司系统配置错误将敏感凭据暴露给公众。使用泄露的数据,黑客能够入侵OCR Labs的后端基础设施,从而渗透到其客户的基础设施。
9.【安全事件】供应商惹祸!知名律所客户敏感数据被Azure云暴露超半年
美国知名国际律师事务所普洛思(Proskauer Rose)因安全漏洞导致客户敏感数据暴露,持续时间超过六个月。一位知情人士表示,普洛思律所将并购业务数据保存在一个不安全的微软Azure云服务器上。相关单位已经获得了部分暴露数据集,其中包含约18.4万个文件。只要知晓存储位置,任何人都能通过网络浏览器访问这些文件,具体涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。这台暴露云服务器由GrayHatWarfare发现。GrayHatWarfare是一个可搜索的数据库,能够索引公开可见的云存储及文件。据了解,这些文件已在网上公开至少六个月之久。
10.【安全事件】十几个国家联合行动,大型暗网市场被查封,120名嫌疑人被捕
近日,臭名昭著的Genesis Market暗网市场已经被彻底捣毁。这是今年美国联邦调查局(FBI)查封的第二个网络犯罪论坛(此前 BreachForums 论坛被查封)。目前,Genesis Market 域名下的内容已经被替换。联邦调查局替换的网页显示:根据美国威斯康星州东区地方法院发出的扣押令,Genesis Market的域名已被联邦调查局扣押。联邦调查局将这次全球突击行动称为 "饼干怪兽行动"。Genesis Market 是黑客社区中只接受邀请的暗网论坛,自2018年3月开始活跃,用户遍布世界各地。美国司法部(DOJ)表示,该市场估计提供了超过150万台在世界各地被入侵的电脑,包含超过8000万个账户访问凭证。
11.【安全技术】不可不知的10个数据库安全最佳实践
据统计,2022年1月到12月间约有390亿条数据记录被盗。虽然这个结果令人相当吃惊,但也明确地传达出了组织需要采取有效的数据库安全措施这一讯号。数据库安全措施与网站安全实践略有不同。前者涉及物理措施、软件解决方案,甚至员工安全教育。然而,保护站点尽量减少网络犯罪分子可能利用的潜在攻击途径同样重要。该文列出了10个数据库安全最佳实践,可以帮助贵组织加强敏感数据的安全性,包括部署物理数据库安全措施、隔离数据库服务器、 搭建HTTPS代理服务器、避免使用默认网络端口、使用实时数据库监控、使用数据库防火墙和Web应用防火墙、部署数据加密协议、创建数据库的定期备份、及时更新应用程序、采用强用户身份验证等。