1.【政策法规】国家网信办公布《促进和规范数据跨境流动规定》
点击标题可查看详情链接
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》,自公布之日起施行。《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。《规定》规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,并规定设立自由贸易试验区负面清单制度。《规定》明确了应当申报数据出境安全评估的两类数据出境活动条件,同时对数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等作了规定。
自然资源部近日印发《自然资源领域数据安全管理办法》。《办法》提出,鼓励自然资源领域数据依法共享开放和开发利用,支持数据创新应用。积极构建数据开发利用和安全产业协调共进的发展模式,不断提升数据安全保障能力,维护国家安全、社会稳定、组织和个人权益。
根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第1号),全国网络安全标准化技术委员会归口的《数据安全技术 数据分类分级规则》、《信息技术 安全技术 抗抵赖 第1部分:概述》、《信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制》、《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》、《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》5项网络安全国家标准正式发布。
为规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益,金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》,主要内容包括:明确数据安全治理架构、建立数据分类分级标准、强化数据安全管理、健全数据安全技术保护体系、加强个人信息保护、完善数据安全风险监测与处置机制、明确监督管理职责等。目前,《办法》正式向社会公开征求意见。根据各界反馈意见,金融监管总局将对《办法》进一步修改完善,并适时发布。
随着人工智能技术的野蛮生长,网络安全行业正面临史上最为剧烈的一次大变革,“人的因素”超越技术,成为未来CISO安全战略的核心议题,而虚假信息则超过恶意软件,成为网络安全的新战场。Gartner近期发布的网络安全预测报告指出,随着生成式人工智能(Generative AI,以下简称GenAI)的应用,网络安全技能缺口有望消失,员工引发的网络安全事件也将大幅减少,与此同时“人的因素”将成为网络安全的核心议题。Gartner报告指出,CISO未来两年安全战略中需重点关注八大新要素,分别是网络安全招聘门槛大幅降低,选材标准转向“重能力轻专业”;GenAI彻底改变安全意识和文化;零信任清除盲区;缓解CISO职业风险;虚假信息是网络安全新战场;IAM能力越大责任越大;DLP与IAM整合控制;应用安全管理的去中心化。
近日,日本科技巨头富士通(Fujitsu)披露了一起重大网络安全事件,该公司的一些系统遭到恶意软件感染,客户的敏感信息可能已经被窃取。作为全球第六大IT服务提供商,富士通拥有12.4万名员工,年营业收入达239亿美元。其业务范围涵盖服务器、存储系统等计算产品、软件、电信设备以及云解决方案、系统集成和IT咨询等一系列服务。富士通在其公司新闻门户发布公告披露了此次网络安全事件,公告称:“我们确认公司多台计算机感染了恶意软件,经过内部调查发现,客户的个人信息和相关文件可能已被非法窃取。”“发现恶意软件后,我们迅速隔离了受影响的商务电脑,并采取了加强其他商务电脑监控等措施。”虽然该公司表示没有收到客户数据被滥用的报告,但他们已经将此事件通知了日本个人信息保护委员会,并正在为受影响的客户准备单独的通知函。
近日,三名网络安全研究人员发现,谷歌用于托管数据库、云计算和应用程序开发的平台Firebase的错误配置实例在公共互联网上暴露了近1900万个明文密码。他们扫描了500多万个域名,发现有 916个网站没有启用安全规则或安全规则设置错误。另外,他们还发现了超过1.25亿条敏感用户记录,包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单。
近日,越南第三大证券经纪公司VNDirect(越南直接投资证券股份有限公司)遭遇网络攻击,目前正全力恢复运营。尽管公司宣布部分服务已经恢复上线,但据当地媒体报道,投资者仍然无法登录平台。VNDirect计划分四个阶段逐步恢复各项在线服务,从客户账户开始,最后是金融产品。由于部分系统刚刚恢复,访问量较大,VNDirect发布声明称,用户可能会遇到登录问题,建议“请耐心等待并再次刷新页面。”河内证券交易所(HNX)宣布,“在问题得到解决之前”, 暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。据报道,事件发生以来,VNDirect的股价已经下跌了近4%。由于使用VNDirect的投资者无法交易,胡志明市证券交易所(简称HOSE或HSX)的交易量下降了10%。
卡巴斯基的安全研究团队在2021年至2023年上线的Web应用程序安全评估样本中收集数据,其中近一半的应用程序(44%)用Java编写,其次是用NodeJS(17%)和PHP(12%)编写,有三分之一以上(39%)的应用程序使用了微服务架构。测试人员遵循黑盒、灰盒和白盒方法对所获得的数据进行了评估分析,并以此总结了过去三年(2021-2023年)全球企业组织面临的最普遍、最严重的10大Web应用安全威胁,包括访问控制中断、数据泄露、服务器端请求伪造(SSRF)、SQL注入、跨站脚本(XSS)、中断的身份验证、安全配置不当、蛮力攻击防护不足、薄弱的用户密码、未修复的已知漏洞等,并针对以上10大安全威胁提出了对应的及防护建议。
