摘要:近日,工业和信息化部办公厅发布了关于加强互联网数据中心(IDC)客户数据安全保护的通知。通知要求IDC业务经营者根据《数据安全法》等相关法律法规,按照“权责一致、分类施策、技管结合、确保安全”的原则,加强客户数据安全保障能力建设。通知明确了IDC业务经营者在合
国内动态
工信部加强互联网数据中心客户数据安全保护
六部门联合发布数据流通安全治理方案
存在隐私不合规行为 懂球圈等16款App被通报
信通院发布《高质量大模型基础设施研究报告(2024年)》
四部门发布《涉及国家安全事项的建设项目许可管理规定》
国外动态
美国政府对人工智能模型和芯片实施出口管制
美国太空军授出网络安全项目“数字猎犬”
英国公布新的人工智能机遇行动计划
美国海岸警卫队发布法规《海事运输系统的网络安全》
美国海军陆战队计划采用现成生成式AI工具
拜登发布新网络安全行政命令
北约部署“波罗的海哨兵”系统保护海底基础设施
美国思科公司推出新的人工智能应用安全解决方案AI Defense
隧道协议缺陷导致数百万互联网主机易受攻击
新兴勒索软件组织FunkSec利用AI技术发动攻击
国内动态
01工信部加强互联网数据中心客户数据安全保护
1月14日消息,近日,工业和信息化部办公厅发布了关于加强互联网数据中心(IDC)客户数据安全保护的通知。通知要求IDC业务经营者根据《数据安全法》等相关法律法规,按照“权责一致、分类施策、技管结合、确保安全”的原则,加强客户数据安全保障能力建设。通知明确了IDC业务经营者在合同协议中需明确各方数据安全保护责任,建立健全客户数据安全管理制度,并提供差异化安全保护措施。同时,要求加强客户数据访问、操作、销毁等重点环节的安全策略和流程机制,做好数据隔离等保护措施。
02六部门联合发布数据流通安全治理方案
1月15日消息,近日,国家发展改革委、国家数据局等六部门联合印发了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》。该方案旨在建立健全数据流通安全治理机制,提升数据安全治理能力,并促进数据要素合规高效流通利用。方案提出,到2027年底,将基本构建起规则明晰、产业繁荣、多方协同的数据流通安全治理体系。为实现这一目标,方案从明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障等多个方面作出具体部署。
03存在隐私不合规行为 懂球圈等16款App被通报
1月15日消息,近日,国家计算机病毒应急处理中心通报了16款存在隐私不合规行为的移动应用,其中包括《懂球圈》等热门App。这些App主要涉及隐私政策难以访问、未声明运营者基本情况、未逐一列出收集使用个人信息的目的范围等问题。此外,部分App还存在未向用户告知个人信息接收方情况、未提供便捷的撤回同意方式等违规行为。国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规App,并认真阅读用户协议和隐私政策,避免个人隐私信息泄露。此次通报旨在加强App隐私保护,保障用户权益。
04信通院发布《高质量大模型基础设施研究报告(2024年)》
1月16日消息,近日,中国信息通信研究院发布了《高质量大模型基础设施研究报告(2024年)》。报告指出,当前大模型基础设施面临可用性低、稳定性差等问题,亟需从计算、网络、存储、软件和运维等多层面协同优化。报告还提出了围绕计算、存储、网络、开发工具链和运维等维度的评价指标体系,并通过分析Meta、蚂蚁集团等企业的典型实践案例,为行业构建高质量大模型基础设施提供参考。未来,大模型基础设施将与大模型一起迭代升级,为智能应用的规模化落地提供有力支撑。
05四部门发布《涉及国家安全事项的建设项目许可管理规定》
1月15日消息,近日,国家安全部、国家发展和改革委员会、自然资源部、住房城乡建设部联合发布了《涉及国家安全事项的建设项目许可管理规定》,该规定将于2025年3月1日起正式施行。该规定旨在规范涉及国家安全事项的建设项目许可管理工作,防范和制止间谍行为,维护国家安全。规定明确了涉及国家安全事项的建设项目范围,包括在重要国家机关、国防军工单位等周边安全控制区域内的建设项目。这些项目在新建、改建、扩建时,需取得国家安全机关许可,并接受监督管理。
国外动态
01美国政府对人工智能模型和芯片实施出口管制
近日,美国商务部工业和安全局(BIS)发布了新规,对先进计算芯片和封闭式人工智能模型实施出口管制。根据新规, 受控实体需遵守数据加密、访问控制和定期审计等特定要求。此外,美国将全球划分为三个层级,根据层级决定各国获取人工智能技术的限制程度。同时,新规对英伟达、AMD、微软、谷歌、亚马逊等公司提出了更为严格的出口限制和安全要求。此举旨在建立一个值得信赖的人工智能技术生态系统,以保护美国国家安全,并维持其技术领先地位。
02美国太空军授出网络安全项目“数字猎犬”
近日,美国太空军已将价值6.4亿美元的“数字猎犬”(Digital Bloodhound)项目合同授予现代技术解决方案公司(MTSI),该项目旨在提升太空地面系统的网络威胁检测能力。根据合同条款,MTSI公司将向太空系统司令部(SSC)提供一系列服务,包括综合项目管理、软件开发与部署、系统维持保障以及云支持等。这些服务的目的是增强美国太空军的网络防御能力,从而有效保护太空军网络免受各类未授权的非法入侵、破坏和篡改行为。
03英国公布新的人工智能机遇行动计划
近日,英国政府公布了“人工智能机遇行动计划”,旨在通过大规模扩充计算基础设施,将英国塑造为全球人工智能超级大国。该计划的具体内容包括:(1)在全国范围内设立多个人工智能发展区,建设数据中心,并简化相关审批流程。计划到2030年采购10万块GPU,以期将公共部门的人工智能算力提升20倍。(2)成立人工智能能源委员会,专注于探索利用可再生能源和核能为数据中心提供能源的可能性。(3)建立国家数据图书馆,以促进高校与私营部门之间的合作与交流。(4)与欧盟法案相比,制定更为宽松的人工智能监管框架,给予开发者更大自由度。
04美国海岸警卫队发布法规《海事运输系统的网络安全》
近日,美国海岸警卫队发布《海事运输系统的网络安全》法规,该法规要求各海事组织制定网络安全计划及采取其它网络安全措施。具体而言,各组织的网络安全计划必须概述关键的设备安全措施,包括制定和更新已批准的硬件和软件清单,禁用关键系统上的默认可执行应用程序,制定联网资产库存清单,记录网络地图和网络配置,以及采取数据安全措施(如保护日志和使用加密来保护敏感数据)。该法规还要求美国船舶、设施和外大陆架设施(通常是石油和勘探钻井设施)的所有者和运营商,必须将响应程序的概要纳入其事件响应计划,包括明确关键的职责、责任和决策者。该法规还要求各组织指定一名网络安全官员,以负责落实其组织的事件响应计划及其它网络安全计划。
05美国海军陆战队计划采用现成生成式AI工具
近日,美国海军陆战队计划将更多生成式AI工具融入部队,而非投入大量资金开发新工具。海军信息部的副司令卡特指出,这些生成式AI工具为部队带来了独特的机会,能够提高作战速度、增强决策准确性以及提升任务效率。海军陆战队司令史密斯表示,整合新AI能力无需重大组织改组,将使用现有工具,避免研发成本。他强调需有效测试评估算法输出,确保符合预期。数据隐私和安全是关键考虑,史密斯对年轻海军陆战队员接受和应用AI有信心,认为他们熟悉相关技术,只需关注通信链路安全。
06拜登发布新网络安全行政命令
近日,美国总统拜登发布最新网络安全行政命令,旨在进一步加强美国的网络安全。该命令在2021年网络安全行政命令基础上,聚焦软件安全、供应链安全、开源软件、联邦系统安全及云服务等关键领域。新命令要求联邦政府采取更严格软件采购实践,减少安全漏洞;强调联邦机构需遵循NIST指南,加强供应链风险管理;关注开源软件安全评估与修补;提升联邦机构系统安全性,强化CISA威胁搜寻能力;并推动云服务提供商制定安全基线,保护联邦数据。此外,命令还涉及量子科技,要求CISA发布支持后量子密码学产品类别列表,各机构尽快实施相关密钥建立技术。
07北约部署“波罗的海哨兵”系统保护海底基础设施
近日,北约秘书长马克·吕特等宣布启动“波罗的海哨兵”系统,旨在加强波罗的海关键海底基础设施保护。该行动由美国欧洲盟军最高指挥官指挥,将使用护卫舰、海上巡逻机、海军无人机等新技术,目标是保护关键基础设施并应对潜在威胁。吕特强调海底电缆对能源供应、互联网流量及金融交易的重要性。芬兰武装部队曾扣留损坏电缆的油轮并调查。盟国正制定保护谅解备忘录,寻求法律建议,将通过可靠供应链、网络安全、海底监视及与私营部门合作增强基础设施弹性,加强执法。
08美国思科公司推出新的人工智能应用安全解决方案AI Defense
近日,美国思科公司推出端到端解决方案AI Defense,以帮助企业确保人工智能应用程序的开发安全和使用安全。AI Defense包含四个主要组件:人工智能访问、人工智能云可视性、人工智能模型与应用程序验证,以及人工智能运行保护。该方案专注的领域则是对人工智能应用程序的访问,以及人工智能应用程序的构建和运行。在后一领域,AI Defense可帮助企业识别受批准的人工智能应用程序,提供自动化测试来验证人工智能模型的安全性,并通过运行保护功能来抵御提示语注入攻击、拒绝服务(DoS)攻击和敏感数据泄露等威胁。AI Defense解决方案预计将于2025年3月推出。
09隧道协议缺陷导致数百万互联网主机易受攻击
近日,新的研究表明,隧道协议漏洞导致互联网上超400万套系统(包括虚拟专用网络(VPN)服务器和家用路由器)容易受到攻击。隧道协议用于在不同网络之间传输数据,此类协议可让系统将一个数据包封装在另一个数据包中,从而允许网络承载其并不支持的通信流量(如在IPv4网络上运行IPv6)。此前的研究表明,IPIP/IP6IP6、GRE/GRE6、4in6和6in4等隧道协议更容易被滥用,导致IPv4主机可接受来自任何来源、未经身份验证的IPIP流量。
10新兴勒索软件组织FunkSec利用AI技术发动攻击
近日,网络安全公司Check Point发布报告,揭示了一个名为FunkSec的新兴勒索软件组织。该组织自2024年底首次出现,声称在1个月内攻击了超过80名受害者,成为12月中最活跃的网络威胁。FunkSec可能由缺乏经验的黑客组成,这些黑客试图通过攻击行为寻求曝光和认可。该组织向受害者索要的赎金金额异常低,有时仅为1万美元,其受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古。FunkSec的最新版本勒索软件FunkSecV1.5被命名为FunkSecV1.5,据推测,其创建者可能在阿尔及利亚上传了该软件。
来源:信息安全与通信保密