【华安星安全资讯】半月精选集（2024.9.30-10.13）

      国务院总理李强日前签署国务院令，公布《网络数据安全管理条例》，自2025年1月1日起施行。《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共9章64条，主要规定了以下内容。一是提出网络数据安全管理总体要求和一般规定。二是细化个人信息保护规定。三是完善重要数据安全制度。四是优化网络数据跨境安全管理规定。五是明确网络平台服务提供者义务。

       根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第22号），全国网络安全标准化技术委员会归口的9项国家标准日前正式发布。具体清单如下：

       近日，国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》。《建设指南》深入贯彻落实习近平总书记关于数据发展和安全的重要论述精神，以数据“供得出、流得动、用得好、保安全”为指引，从基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障等7个部分，加快构建数据标准体系，全面指导数据标准化工作开展，为制修订数据领域相关标准提供了重要指引，有利于充分发挥数据标准体系在激活数据要素潜能、建设数据产业生态、做强做优做大数字经济、培育和发展新质生产力等方面的引领和规范作用。

       近日，据《华尔街日报》报道，美国政府用于窃听本国人民的庞大窃听系统被外国黑客组织攻击并监控，“对美国国家安全造成重大威胁”。报道称一个名为“Salt Typhoon”（盐台风）的国家黑客组织成功渗透了包括Verizon、AT&T和Lumen Technologies在内的多家美国主要宽带服务提供商的网络。此次攻击的目的似乎是为了收集情报，黑客可能已进入了联邦政府用于法院授权的窃听系统中。目前，调查人员正在寻找这次攻击的初始入侵方式。

       近日，有“互联网记忆”之称的互联网档案馆（Internet Archive）发生数据泄露事件，黑客成功攻破其网站，盗取了包含3100万条用户认证记录的数据库。互联网档案馆创立于1996年，是全球最大的数字存档平台之一，保存和提供网络历史、书籍、音频、视频等多种形式的数字内。尽管此次事件引起了广泛关注，但互联网档案馆目前尚未披露具体的黑客入侵方式或其他被盗数据的详细情况。

      近日，万豪国际酒店集团因重大数据泄露事件，已同意支付3.6亿元作为和解协议的一部分。此次泄露涉及全球超过3.44亿名客户的信息。万豪总部位于马里兰州贝塞斯达，目前在全球管理着7000多家酒店，覆盖美国及130多个国家和地区。根据联邦贸易委员会（FTC）的调查，万豪在2014年至2020年期间经历了三次重大数据泄露事件，客户的个人信息，包括护照信息、支付卡号码和电子邮件地址等均被恶意行为者获取。

      近日，一名安全研究人员透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险。安全研究人员在其研究报告中指出：“除了机器学习（ML）模型本身，暴露的数据还可能包括训练数据集、超参数，甚至有时是用于构建模型的原始数据”。暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。

      近期，美国国家安全局（NSA）与澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国和英国的网络安全机构合作，发布了一份指南，概述了包括安全为先、业务知识至关重要、OT数据是需要保护的高价值数据、OT应与其他网络进行分割和隔离、必须确保供应链安全、人才对OT网络安全至关重要等六大原则。组织可以使用本指南来做出有关设计、实施和管理OT环境的决策，以确保它们既安全又可靠，同时还能为关键服务提供业务连续性。