1.【政策法规】关于下达4项网络安全推荐性国家标准计划的通知
近日,国家标准化管理委员会下达的推荐性国家标准计划中,包括4项由全国信息安全标准化技术委员会归口的标准项目,分别是《信息安全技术 网络弹性评价准则》、《信息安全技术 重要数据处理安全要求》、《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》、《信息安全技术 网络安全保险应用指南》。请项目所属工作组制定项目推进计划,并督促项目牵头承担单位按计划抓紧落实,在计划执行中要加强协调,广泛征求意见,确保标准质量和水平,按要求完成国家标准制修订任务。
2.【政策法规】关于征求国家标准《信息安全技术 数据安全风险评估方法》(征求意见稿)意见的通知
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 数据安全风险评估方法》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2023年10月20日24:00前反馈秘书处。
3.【政策法规】财政部印发《企业数据资源相关会计处理暂行规定》,2024年1月1日起施行
为规范企业数据资源相关会计处理,强化相关会计信息披露,近日,财政部制定印发了《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号),自2024年1月1日起施行。《暂行规定》兼顾信息需求、成本效益和商业秘密保护,创新提出自愿披露方式,并围绕各方关注对披露重点作出规范和指引。企业应当充分认识提供有关信息对帮助更好理解财务报表、揭示数据资源价值的重要意义,主动按照企业会计准则和《暂行规定》的披露要求,持续加强对数据资源的应用场景或业务模式、原始数据类型来源、加工维护和安全保护情况、涉及的重大交易事项、相关权利失效和受限等相关信息的自愿披露,以全面地反映数据资源对企业财务状况、经营成果等的影响。
4.【安全事件】日本核污水入海,这帮黑客怒了!
自2011年东日本大地震以来,日本谋划已久的福岛核电站核污水排海计划已于8月24日下午起正式施行,预计排污周期长达30年,整个海洋及其生物都有可能遭受不可逆的毁灭性打击。近期,著名黑客组织Anonymous就对日本核电相关的组织发起了网络攻击,以抗议政府将福岛核电站处理后的放射性核废水排入大海。据报道,自7月国际原子能机构认定日本的这项排海计划符合安全标准后,Anonymous 就一直在加强针对日本核电部门的攻击,日本原子能研究开发机构、日本原子能发电公司、日本原子能学会均成为攻击对象。据日本原子能研发机构称,其网站遭受了超日常流量百倍的DDoS攻击,但通过采取措施并未造成无法浏览等影响。
5.【安全事件】日本钟表制造商精工(Seiko)遭勒索软件攻击
近日,勒索软件组织“黑猫”(BlackCat/ALPHV)将日本钟表制造商精工(Seiko)添加到数据泄露站点(ALPHAV)的受害者名单中,声称对这家日本公司本月早些时候披露的网络攻击负责。精工是全球最大的制表商之一,拥有约1.2万名员工,年收入超过16亿美元。BlackCat勒索软件组织声称是精工数据泄露事件的幕后黑手,并发布了他们在攻击期间窃取的数据样本。在列表中,BlackCat嘲笑精工的IT安全状况糟糕,并泄露了(据称是)精工的生产计划、员工护照扫描、新型号产品发布计划和专门实验室测试结果的内容。最令人担忧的是,BlackCat还宣称泄露了精工的机密技术原理图和精工手表设计的样本。这表明BlackCat很可能获取了精工手表内部结构图纸,包括专利技术资料,如果泄露给包括竞争对手在内的第三方将给精工带来巨大损失。
6.【安全事件】国家总统大选遭网络攻击冲击:在线投票服务故障 选民无法访问
近日,南美洲国家厄瓜多尔举行全国大选,然而海外居民远程在线投票遇到困难。大选前,约有12万名生活在国外的厄瓜多尔人注册投票。但是,其中很多人在投票截止前无法访问投票系统。选举当天,远程选民纷纷在社交媒体上表示,他们无法通过政府创建的在线投票系统投票,感到十分沮丧。厄瓜多尔国家选举委员会主席召开新闻发布会,将远程投票的问题归咎于网络攻击,并将这些事件归因于来自印度、孟加拉国、巴基斯坦、俄罗斯、乌克兰、印度尼西亚和中国等七个不同国家的网络攻击。
7.【安全事件】网络攻击迫使英国数百家零售商业务瘫痪
近日,英国IT软件公司Swan Retail遭受网络攻击,导致超过300家英国商户无法处理付款或完成订单。截至当前,该公司服务器仍处于离线状态,尚无明确迹象表明该公司何时能重新提供服务。Swan Retail主要服务于零售和餐饮行业,提供处理在线订单、销售点(POS)交易、库存管理和会计服务的软件。该公司正在与执法机构、英国国家欺诈和网络犯罪报告中心(Action Fraud)以及英国国家网络安全中心(NCSC)合作,对此次攻击展开调查。
8.【安全技术】网络安全风险管理的10大关键要素
网络安全风险管理是指识别、评估企业网络信息系统中的缺陷和风险隐患,并采取相应的安全控制以防止网络威胁,这是一个持续的过程,会随着威胁的发展而不断优化调整。当企业组织开展网络安全风险管理时,安全团队需要全面考虑各个方面的风险因素。本文梳理了可以有效落地网络安全风险管理流程的10个关键要素,将帮助企业更好开展相关工作,包括从业务发展的角度识别风险、网络安全风险评估、定义组织的风险承受能力、制定风险化解策略、制定事件响应计划、模拟测试和演练、持续风险监控、员工安全意识培养、供应商和第三方风险管理、面对管理层的汇报与沟通。
9.【安全技术】实时检测网络钓鱼攻击的5种方法
网络钓鱼是网络攻击者们经常采用的一种社会工程学攻击手段,通过采用欺诈性操纵的策略,诱骗企业员工点击可疑链接、打开被感染的电子邮件,或暴露他们的账户信息。据思科公司研究报告显示,86%的企业都遇到过网络钓鱼攻击,而只要有一名内部员工沦为网络钓鱼攻击的受害者,就可能会危及整个组织网络系统的安全性。网络钓鱼并非严格意义上的“黑客攻击”,但受害者通常会有非常严重的损失。有很多流行的反网络钓鱼工具可以为企业提供保护,但为了最大限度地减小网络钓鱼的危害,企业应该优先考虑并部署实时化的检测技术。该文总结了5种实时检测技术,可以帮助阻止快速识别和阻止网络钓鱼事件的发生,包括用户行为分析、URL分析与过滤、邮件内容分析、威胁情报共享、利用AI技术。