國(guó)內(nèi)外網(wǎng)絡(luò)安全十大焦點(diǎn)事件｜11月精選

17家單位聯(lián)合發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》

11月，中國(guó)鋼鐵工業(yè)協(xié)會(huì)、中國(guó)有色金屬工業(yè)協(xié)會(huì)、中國(guó)石油和化學(xué)工業(yè)聯(lián)合會(huì)等17家行業(yè)組織聯(lián)合發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》。該文件詳細(xì)規(guī)定了數(shù)據(jù)處理活動(dòng)中的基本要求、數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全事件應(yīng)急處置等內(nèi)容，并提出了加強(qiáng)數(shù)據(jù)全生命周期安全管理的具體措施。通過(guò)這些措施，旨在構(gòu)建一套適應(yīng)工業(yè)和信息化領(lǐng)域特點(diǎn)的數(shù)據(jù)安全管理體系，提高整個(gè)行業(yè)的數(shù)據(jù)安全水平。

國(guó)家數(shù)據(jù)局印發(fā)《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃（2024—2028年）》

11月，國(guó)家數(shù)據(jù)局正式印發(fā)了《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃（2024—2028年）》。該計(jì)劃明確提出，到2028年，可信數(shù)據(jù)空間在運(yùn)營(yíng)、技術(shù)、生態(tài)、標(biāo)準(zhǔn)、安全等體系方面將取得突破，建成100個(gè)以上可信數(shù)據(jù)空間，基本建成廣泛互聯(lián)、資源集聚、生態(tài)繁榮、價(jià)值共創(chuàng)、治理有序的可信數(shù)據(jù)空間網(wǎng)絡(luò)。這將顯著提升各領(lǐng)域數(shù)據(jù)開(kāi)發(fā)開(kāi)放和流通使用水平，初步形成與我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展水平相適應(yīng)的數(shù)據(jù)生態(tài)體系。

美國(guó)政府發(fā)布《聯(lián)邦零信任數(shù)據(jù)安全指南》

11月，美國(guó)政府發(fā)布《聯(lián)邦零信任數(shù)據(jù)安全指南》。該指南由聯(lián)邦首席數(shù)據(jù)官和聯(lián)邦首席信息安全官委員會(huì)牽頭制定，旨在加強(qiáng)數(shù)據(jù)安全實(shí)踐，重點(diǎn)關(guān)注數(shù)據(jù)保護(hù)本身，而數(shù)據(jù)保護(hù)則被視為有效實(shí)施零信任實(shí)施的“基礎(chǔ)支柱”。該指南綜合了來(lái)自30多個(gè)聯(lián)邦機(jī)構(gòu)和部門(mén)的數(shù)據(jù)和安全專(zhuān)家的意見(jiàn)，為系統(tǒng)所有者、管理員、網(wǎng)絡(luò)安全工程師和數(shù)據(jù)管理員等目標(biāo)受眾提供了詳細(xì)的零信任原則。該指南包含了5個(gè)階段的零信任安全路線(xiàn)圖，概述了從業(yè)人員可采取的保護(hù)數(shù)據(jù)措施，并著重說(shuō)明了如何識(shí)別、定義和分類(lèi)數(shù)據(jù)。該指南還建議了一些最佳數(shù)據(jù)做法，包括跨職能協(xié)作溝通、數(shù)據(jù)和安全團(tuán)隊(duì)之間的牢固關(guān)系、持續(xù)學(xué)習(xí)和教育、適應(yīng)性、定期評(píng)估和“全面認(rèn)同”等。

加拿大政府宣布成立人工智能安全研究所

11月，加拿大創(chuàng)新、科學(xué)和工業(yè)部部長(zhǎng)宣布成立加拿大人工智能安全研究所（CAISI），以增強(qiáng)加拿大應(yīng)對(duì)人工智能安全風(fēng)險(xiǎn)的能力，進(jìn)一步鞏固加拿大在安全、負(fù)責(zé)任地開(kāi)發(fā)和采用人工智能技術(shù)方面的領(lǐng)先地位。CAISI將設(shè)立加拿大創(chuàng)新、科學(xué)與經(jīng)濟(jì)發(fā)展部，下設(shè)專(zhuān)門(mén)辦公室負(fù)責(zé)監(jiān)督研究議程并與國(guó)際合作伙伴接洽，初始預(yù)算為五年共計(jì)5000萬(wàn)美元。CAISI將利用加拿大國(guó)家研究理事會(huì)、加拿大高級(jí)研究所以及加拿大的三個(gè)國(guó)家AI研究所—埃德蒙頓的Amii、蒙特利爾的Mila和多倫多的Vector Institute的現(xiàn)有專(zhuān)業(yè)知識(shí)，同時(shí)吸納更廣泛的加拿大研究和商業(yè)界項(xiàng)目，以評(píng)估風(fēng)險(xiǎn)、測(cè)試系統(tǒng)并開(kāi)發(fā)應(yīng)對(duì)風(fēng)險(xiǎn)的指導(dǎo)方針。

NIST 確定后量子加密標(biāo)準(zhǔn)

11月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 (NIST) 發(fā)布了首套最終加密標(biāo)準(zhǔn)，旨在抵御量子計(jì)算機(jī)帶來(lái)的潛在威脅。NIST重申了其保護(hù)數(shù)字信息免受未來(lái)威脅的承諾，確保美國(guó)在技術(shù)創(chuàng)新和安全方面繼續(xù)保持全球領(lǐng)先地位。新的后量子密碼 (PQC) 標(biāo)準(zhǔn)可保護(hù)從機(jī)密電子郵件到電子商務(wù)交易等各種電子信息免受網(wǎng)絡(luò)攻擊。這三項(xiàng)新標(biāo)準(zhǔn)ML-KEM、ML-DSA和SLH-DSA 建立在不同的數(shù)學(xué)基礎(chǔ)上，以確保對(duì)傳統(tǒng)計(jì)算機(jī)和量子計(jì)算機(jī)的抵御能力。這些標(biāo)準(zhǔn)包括詳細(xì)的實(shí)施說(shuō)明，可供計(jì)算機(jī)系統(tǒng)管理員立即使用。NIST鼓勵(lì)各組織盡快將這些算法集成到其系統(tǒng)中，以應(yīng)對(duì)未來(lái)的量子威脅。

俄羅斯擬開(kāi)發(fā)國(guó)產(chǎn)Android操作系統(tǒng)

11月，俄羅斯聯(lián)邦數(shù)字發(fā)展部正在與IT行業(yè)討論組建聯(lián)盟，以開(kāi)發(fā)基于AOSP（Android Open Source Project）的俄羅斯版Android移動(dòng)操作系統(tǒng)。新操作系統(tǒng)將安裝在教師和醫(yī)務(wù)人員使用的平板電腦上，與Aurora系統(tǒng)一同，后者用于工作任務(wù)，如維護(hù)電子期刊和處理數(shù)字材料。基于AOSP的系統(tǒng)將用于日常使用，無(wú)需適配大量移動(dòng)應(yīng)用程序。這一混合方法旨在確保處理個(gè)人數(shù)據(jù)的高安全性和生產(chǎn)應(yīng)用的可靠性，同時(shí)允許教師和醫(yī)生使用標(biāo)準(zhǔn)Android應(yīng)用程序。項(xiàng)目最終決定預(yù)計(jì)將于明年春季完成。

俄羅斯APT28黑客組織發(fā)起“近鄰攻擊”入侵美國(guó)公司

11月，俄羅斯國(guó)家黑客組織APT28（Fancy Bear）采用“近鄰攻擊”技術(shù)，通過(guò)數(shù)千英里外的企業(yè)WiFi網(wǎng)絡(luò)成功入侵了一家美國(guó)公司。APT28首先攻擊了目標(biāo)附近建筑物內(nèi)的組織，獲取了目標(biāo)企業(yè)WiFi網(wǎng)絡(luò)的憑證，并利用這些憑證連接到目標(biāo)網(wǎng)絡(luò)。攻擊者通過(guò)遠(yuǎn)程桌面連接（RDP）在目標(biāo)網(wǎng)絡(luò)上橫向移動(dòng)，竊取數(shù)據(jù)，并使用Windows工具轉(zhuǎn)儲(chǔ)注冊(cè)表配置單元。微軟的報(bào)告指出APT28可能利用了Windows Print Spooler服務(wù)中的零日漏洞CVE-2022-38028來(lái)提升權(quán)限。此次攻擊展示了即使在遠(yuǎn)程工作環(huán)境下，企業(yè)WiFi網(wǎng)絡(luò)的安全同樣重要，需要采取嚴(yán)格的保護(hù)措施。

以色列加油站和連鎖超市的支付系統(tǒng)遭網(wǎng)絡(luò)攻擊

11月，以色列近期遭受了一系列針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，特別是加油站和信用卡系統(tǒng)。最近一次攻擊導(dǎo)致數(shù)千臺(tái)信用卡讀卡器故障，被懷疑是DDoS攻擊所致。Hyp Credit Guard公司迅速響應(yīng)，排除了更大規(guī)模網(wǎng)絡(luò)攻擊的可能性，并將問(wèn)題歸咎于針對(duì)電信提供商的DDoS攻擊。此次事件凸顯了金融和零售行業(yè)面臨的網(wǎng)絡(luò)攻擊威脅，尤其是對(duì)依賴(lài)實(shí)時(shí)支付處理的加油站和商店。此外，此次攻擊是以色列與敵對(duì)團(tuán)體網(wǎng)絡(luò)敵對(duì)行為模式的一部分，伊朗支持的黑客組織被懷疑是幕后黑手。以色列網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，這些攻擊旨在破壞以色列經(jīng)濟(jì)和基礎(chǔ)設(shè)施。此次事件也顯示了網(wǎng)絡(luò)戰(zhàn)在該地區(qū)已逐漸成為一種常見(jiàn)手段。

美國(guó)水務(wù)系統(tǒng)存在大量漏洞，可致使上億人供水中斷

11月，美國(guó)環(huán)保局（EPA）監(jiān)察長(zhǎng)辦公室（OIG）日前發(fā)布報(bào)告稱(chēng)，美國(guó)有超過(guò)300個(gè)為約1.1億人提供服務(wù)的飲用水系統(tǒng)存在安全漏洞，這些漏洞可能會(huì)導(dǎo)致服務(wù)中斷，引起系統(tǒng)功能癱瘓、拒絕服務(wù)及客戶(hù)信息泄露等問(wèn)題。評(píng)估涉及五個(gè)網(wǎng)絡(luò)安全領(lǐng)域：電子郵件安全、IT衛(wèi)生、漏洞管理、對(duì)抗性威脅，以及惡意活動(dòng)。根據(jù)潛在影響，發(fā)現(xiàn)的問(wèn)題被劃分為從“嚴(yán)重”到“低級(jí)”的不同等級(jí)。OIG報(bào)告指出，截至2024年10月，在被評(píng)估的供水系統(tǒng)中，有97個(gè)存在“嚴(yán)重”或“高危”的安全問(wèn)題，這些系統(tǒng)共為約2700萬(wàn)人提供飲用水服務(wù)。此外，有211個(gè)飲用水系統(tǒng)存在“中級(jí)”或“低級(jí)”嚴(yán)重性的安全隱患，這些系統(tǒng)為約8300萬(wàn)人提供服務(wù)。

韓國(guó)ICTK公司利用全球首個(gè)物理不可克隆功能技術(shù)實(shí)現(xiàn)零信任

11月，近日，韓國(guó)ICTK公司以其創(chuàng)新的基于硬件的安全技術(shù)脫穎而出，將世界上第一個(gè)物理不可克隆功能 (PUF) 技術(shù)商業(yè)化。ICTK自主研發(fā)的VIA PUF技術(shù)已被公認(rèn)為最可靠的身份認(rèn)證解決方案，為各大企業(yè)以及全球科技巨頭提供基于該技術(shù)的安全芯片。ICTK公司建議使用基于硬件的PUF技術(shù)安全芯片，每個(gè)芯片都分配有一個(gè)在半導(dǎo)體制造過(guò)程中生成的 ID，類(lèi)似于指紋或虹膜等生物特征信息，實(shí)現(xiàn)無(wú)法篡改或克隆，這一關(guān)鍵特性可以完美實(shí)現(xiàn)基于零信任的身份驗(yàn)證。