政策趋势
一、2024年国家网络安全宣传周开幕式在广东广州举行
近日,2024年国家网络安全宣传周开幕式在广东省广州市举行,9月9日至15日,2024年国家网络安全宣传周在全国范围内统一开展。
会议强调,要深入学习贯彻党的二十届三中全会精神,坚持方方面面齐动手,突出体系建设,着力强化关键信息基础设施防护;突出重点防范,着力提高数据安全保护能力水平;突出兴利除弊,着力激发新技术新应用发展活力;突出系统思维,着力夯实国家网络安全工作基础;突出共建共享,着力增强维护网络安全社会共识,构建大网络安全工作格局,全面推进国家网络安全体系和能力现代化。
本届网安周以“网络安全为人民,网络安全靠人民”为主题,网安周期间,还将举行网络安全技术高峰论坛,校园日、电信日等六大主题日活动,网络安全人才招聘专场活动、网络安全创新创业投资专场活动、中国网络安全创新创业大赛总决赛、“羊城杯”粤港澳大湾区网络安全大赛决赛、网络安全进基层等活动。
二、工信部印发《关于推进移动物联网“万物智联”发展的通知》
为深入贯彻党的二十大和二十届二中、三中全会精神,落实《数字中国建设整体布局规划》相关部署,推进移动物联网全面发展,工业和信息化部近日印发了《关于推进移动物联网“万物智联”发展的通知》,旨在提升移动物联网行业供给水平、创新赋能能力和产业整体价值,加快推动移动物联网从“万物互联”向“万物智联”发展。
《通知》立足移动物联网产业发展节奏、各行业领域移动物联网应用现状,部署了四方面主要任务:一是夯实物联网络底座,主要包括加强网络规划建设、提升网络智联能力;二是提升产业创新能力,主要包括推进标准体系建设、增强产业供给能力;三是深化智能融合应用,主要包括推动产业数字化转型、促进社会治理智能化、助力民众生活智慧化;四是营造良好发展环境,主要包括优化价值评估方法、提高行业服务水平、完善安全保护机制。
其中,完善安全保护机制部分强调,基础电信企业要强化移动物联网安全防护能力建设,不断深化移动物联网安全风险评估。加强物联网卡安全管理,严格落实物联网卡安全管控措施,提升物联网模组、终端等设备安全性。加强数据分类分级保护,引导数据处理者加强数据安全防护和风险监测预警能力建设,定期开展数据安全风险评估,不断提升数据安全保护水平。立足国家安全,科学规划物联网网络建设和业务发展,规范落实“三同步”要求。
三、《人工智能安全治理框架》1.0版发布
近日,在2024年国家网络安全宣传周主论坛上,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《人工智能安全治理框架》1.0版,旨在贯彻落实《全球人工智能治理倡议》。
《框架》以鼓励人工智能创新发展为第一要务,以有效防范化解人工智能安全风险为出发点和落脚点,提出了包容审慎、确保安全,风险导向、敏捷治理,技管结合、协同应对,开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念,紧密结合人工智能技术特性,分析人工智能风险来源和表现形式,针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险,提出相应技术应对和综合防治措施,以及人工智能安全开发应用指引。
四、《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》正式发布
为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高质量发展,落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司关于促进粤港澳大湾区数据跨境流动的合作备忘录》,国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定本实施指引。
《备忘录》提出,通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。跨境提供个人信息的目的、范围、种类、方式,或者接收方处理个人信息的用途、方式发生变化,延长保存期限,以及发生影响或者可能影响个人信息权益其他情况的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并按照个人信息处理者属地法律法规要求履行备案手续和法定通知义务。
监管动态
一、关于发布完成个人信息收集使用合规整改App清单的公告
为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。
62款App运营方已在应用商店上架合规版本(名单及版本号附后),并承诺升级版本持续保持合规水平。
二、快手员工泄露公司核心数据获利数十万被开除
近日,有报道称,快手内贼泄露公司机密信息给外部谋取私利的举报事件有了最新官方回应。
快手道德委员会发布的公告显示,原财经线/商业分析部某员工利用职务之便,多次非法查询并下载公司核心业务数据,并在接受外部访谈时,将这些敏感信息外泄给多家咨询公司,以此谋取私利。公告显示,为严肃纪律,维护信息安全,快手决定对该员工采取一系列严厉措施,包括立即解除劳动合同、全员范围内进行实名通报批评、取消其所有长期激励及绩效奖金、将其列入阳光诚信联盟失信人员名单,并宣布永不录用。快手公司同时保留进一步追究其法律责任的权利。
三、AI公司服务器配置错误,5.3TB心理健康记录遭泄露
美国人工智能医疗公司Confidant Health的服务器配置错误,泄露了5.3TB的敏感心理健康记录,其中包括个人信息、评估和医疗信息,对患者构成严重的隐私风险。事件源于vpnMentor的资深网络安全研究员Jeremiah Fowler发现的一个未受密码保护且配置错误的服务器,其中包含来自Confidant Health的机密记录。9月6日,Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health是一家位于德克萨斯州的人工智能平台,为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。
Confidant Health提供一系列服务,包括酒精康复、在线丁丙诺啡诊所、成瘾前治疗、行为改变计划、康复教练、阿片类药物戒断管理和药物辅助治疗,并且拥有一个下载量超过10,000次的远程医疗成瘾康复应用程序。
此次事件中的数据库包含超过126,276个文件(约5.3TB)和170万条日志记录,暴露了以下敏感信息:个人身份信息 (PII):姓名、地址、联系方式、驾驶执照和保险信息。心理健康评估:对患者的心理健康状况、家族史和创伤经历进行详细评估。医疗记录:处方药清单、诊断测试结果、健康保险详情、医疗补助卡、医疗记录、治疗记录、列出处方药的护理信以及医疗记录请求或豁免。音频和视频记录:它还包括会议的音频和视频记录和文本记录,讨论深入的个人家庭话题,包括孩子、父母、伴侣和冲突。
Confidant Health已承认数据泄露并限制访问。目前尚不清楚数据库是由 Confidant Health直接管理还是由第三方管理。暴露的持续时间和对配置错误的服务器的潜在访问仍不得而知。
“数据库中的文档并非全部被公开,部分文件受到限制,无法公开查看。然而,即使这些受限制文件中的数据无法查看,也存在恶意行为者知道其他患者数据的文件路径和存储位置的潜在风险,”Fowler指出。
四、Fortinet发生大规模数据泄漏
近日,全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件,亚太地区客户受到影响。
据CyberDaily、CRN等多家报道,一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器,窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据,供其他黑客下载被盗文件。这一事件不仅再次引发了全球网络安全的关注,也为Fortinet的客户敲响了警钟。
Fortinet是仅次于Palo Alto和CrowdStrike的全球第三大网络安全公司,市值高达600亿美元。其产品包括防火墙、路由器和VPN设备等关键安全设备。此外,Fortinet还提供安全信息和事件管理(SIEM)、端点检测与响应(EDR/XDR)等解决方案。此次事件中,Fortinet证实部分客户数据被盗,黑客通过未经授权的方式访问了第三方云存储中的文件,但Fortinet并未透露具体有多少客户受到了影响。
据悉,黑客“Fortibitch”曾尝试通过勒索手段向Fortinet索取赎金,但该公司拒绝支付。目前,Fortinet已经采取措施通知受影响的客户,并正在进一步调查这一事件。然而,这次数据泄露不仅暴露了Fortinet自身的安全风险,也加剧了全球企业对于云存储和外部共享文件的安全担忧。
五、新型 PIXHELL 声音攻击能从 LCD 屏幕噪音中泄露信息
以色列内盖夫本古里安大学(Ben Gurion University of the Negev)的研究人员发现,一种被称为 “PIXHELL”的新型侧信道攻击可通过突破“音频间隙”攻击气隙系统(Air-gapped )中的计算机,并利用屏幕上像素产生的噪声来窃取敏感信息。
所谓气隙系统是一种将电脑进行完全隔离(不与互联网以及任何其他联网设备连接)以保护数据安全的系统,通常是通过断开网线、禁用无线接口和 USB 连接来实现, 被认为是最难以渗透的、最安全的计算机。
该大学软件和信息系统工程系进攻性网络研究实验室(Offensive Cyber Research Lab)负责人Mordechai Guri (莫迪凯·古里)博士在新发表的论文中称,气隙和音频气隙计算机中的恶意软件会生成精心制作的像素图案,产生频率范围在0-22千赫的噪声,恶意代码利用线圈和电容器产生的声音来控制从屏幕发出的频率,声音信号可以编码和传输敏感信息,并且这种攻击不需要任何专门的音频硬件、扬声器或被攻击计算机的内部扬声器,而是依靠LCD屏幕产生声音信号。
因此,PIXHELL攻击利用部署在被入侵主机上的恶意软件创建一个声音通道,从音频屏蔽系统中泄露信息。这是因为LCD屏幕的内部组件和电源中包含电感器和电容器,当电流通过线圈时,这些电感器和电容器会以可听到的频率振动,产生高音噪音,这种现象被称为电感啸叫。具体而言,耗电量的变化会引起电容器的机械振动或压电效应,从而产生可听到的噪音。影响耗电模式的一个关键因素是点亮的像素数量及其在屏幕上的分布,因为白色像素比深色像素需要更多的电量来显示。
当交流电(AC)通过屏幕电容器时会以特定频率振动, 声波由液晶屏的内部电气部分产生。其特性受屏幕上投射的实际位图、图案和像素强度影响。通过仔细控制屏幕上显示的像素图案,就可以从LCD屏幕上产生特定频率的声波,而攻击者可以利用这种技术,以声波信号的形式渗出数据,然后将这些信号调制并传输到附近的 Windows 或 Android 设备,然后解调数据包并提取信息。
业界之声
一、广东发起成立全国首个网络数据安全和个人信息保护协会
个人信息保护日益成为群众关心、社会关注的热点。如何筑牢个人信息安全保护屏障?近日,2024国家网络安全宣传周个人信息保护分论坛在广州南沙举行。分论坛上,政府部门、行业组织、互联网企业等相关单位展开交流,共同探讨当下个人信息保护的实践路径。
为规范APP收集使用个人信息的行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好生产环境,网络空间协会组织依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,指导62款APP运营商针对超范围个人信息收集、调用敏感权限、权限设置和账号注销不便等问题,进行合规整改和优化。62款APP主要涵盖网上购物、地图导航、浏览器、新闻资讯、在线影音、在线图书、云盘、视频、演出票务等10大类。
会议表示,下一步,中国网络空间安全协会将在有关部门指导下,会同相关技术支撑单位,对该62款APP合规版本情况进行持续监测,也呼吁全社会的APP运营方能够共同努力,提升个人信息的保护合规水平。
此外,为了进一步建立健全数据安全协同治理体系、保障个人信息安全,分论坛上,15家企事业单位正式发起成立广东省网络数据安全和个人信息保护协会。该协会是全国率先发起的专注相关领域的专业性社会组织,将汇集政府、企业、社会组织和公众等多方力量,打造协同共治、携手发展的地方样本。
二、加强网络安全体制建设 以网络安全体系和能力现代化保障中国式现代化
《中国网信》杂志2024年第8期刊发中央网信办副主任、国家网信办副主任王京涛署名文章。
文章强调,党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》明确提出了“加强网络安全体制建设,建立人工智能安全监管制度”“提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”等一系列网络安全领域相关的战略任务。这是以习近平同志为核心的党中央把握信息革命发展新趋势、着眼网络强国建设新征程作出的重大决策部署。
近年来,我国加快推进网络安全领域顶层设计,相继施行《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,制定出台《党委(党组)网络安全工作责任制实施办法》等党内法规,颁布《国家网络空间安全战略》等战略规划,制定《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定(试行)》《生成式人工智能服务管理暂行办法》等政策文件,制定发布380余项国家标准,主导和参与的国际标准项目数达50余项,基本构建起网络安全政策法规体系的“四梁八柱”,网络安全法治保障显著增强。
文章还强调,要坚持创新治理,立足开放环境提升数据安全和个人信息保护水平随着网络强国、数字中国建设的深入推进,数据作为新型生产要素,已经成为国家重要基础性资源和战略性资源,对经济发展、社会生活、国家治理产生革命性影响,数据安全已经成为事关国家安全与经济社会发展的重大问题。面对经济社会发展新要求、人民群众新期盼,要坚持以高水平安全保障高水平开放,进一步充分激发数据要素潜能。要加快探索更加便利化的数据跨境安全管理机制,促进数据安全有序流动,全面提升数据安全治理监管能力。同时,要加大数据领域违法违规行为的打击力度,强化个人信息保护,切实保障人民群众在网络空间的合法权益,让人民群众在网络空间享有更多获得感、幸福感、安全感。
关于数安行
北京数安行科技有限公司以数据运营安全为理念,以AI人工智能技术为核心驱动,聚焦数据运营安全,助力数字化转型,致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景,持续创新,合作共赢,成就用户。公司核心团队拥有十余年网络安全与数据安全经验,服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。
关于数据运营安全
数据运营安全(DataSecOps)核心是在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题,以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产,对敏感数据的扩散及滥用风险进行快速响应,将数据安全防护策略传递至参与数据运营的所有人员。
热门跟贴