国内外最新网络安全发展动态｜第58期

网络安全形势风云变幻，网络空间形态纷繁复杂。随着全球网络安全产业竞争日趋激烈，产业环境进一步恶化，只有正视危机，把控日盛的网络空间安全局势，我国网络安全产业方能在错综复杂的博弈中占据主动，在危机中育新机，于变局中开新局。

杂志社联合三十所信息中心，实时跟踪全球网络安全最新发展动态，俯瞰领域发展新格局，并以战略统筹和产业集聚视角，前瞻的眼光洞察网络安全产业发展脉络和趋势。

国内

上海市数商协会成立

近日，上海市数商协会于2022全球数商大会开幕式上正式揭牌成立。协会受上海市经济和信息化委员会业务指导，上海市民政局管理监督，是全国首个由从事数据创造、消费、流通、交易等单位组成的专业性非营利社会团体。

协会以数据产品供需方及数据流通交易服务机构组成，旨在更好地联合政府、各企业、科研机构等多方力量，充分发挥协会的平台和枢纽作用，推动数据流通交易标准体系的建设与完善。

最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

近日，最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。记者了解到，该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护，体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。

证监会发布《证券期货业数据安全管理与保护指引》等7项金融行业标准

近日，证监会发布《证券期货业机构内部接口证券交易》《证券业登记结算核心术语》《证券期货业数据安全管理与保护指引》《证券期货业信息技术服务连续性管理指南》等7项金融行业标准，自公布之日起施行。

其中，《证券期货业数据安全管理与保护指引》金融行业标准从数据安全管理基本原则、组织架构、制度、技术等方面提供指引，规范行业机构开展数据安全管理和保护工作，提升行业数据安全管理水平，适用于证券期货业机构开展数据安全管理与保护工作的参考和指引。

《四川银行业个人信息保护公约》发布

近日，四川银保监局指导四川省银行业协会发布《四川银行业个人信息保护公约》，适用于银行业金融机构对个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节。公约共包括4个部分12条具体约定。四川省银行业协会对于违反公约致使行业形象受损的会员单位，按有关规定实施自律性处罚。对违法处理个人信息涉嫌犯罪的，及时移送公安机关依法处理。

信通院发布《2022年移动物联网发展报告》

近日，在首届移动物联网大会上，中国信通院首席专家续合元发布了《2022年移动物联网发展报告》。报告认为，移动物联网是新一代信息网络的重要组成部分，共同构建高速、智能、泛在、安全、绿色的新一代信息网络，一方面和传统基础设施融合，提升融合基础设施智能化水平，同时信息基础设施为数字经济发展提供动能。

中医药管理局：强化网络安全和数据安全

12月5日，国家中医药管理局印发《“十四五”中医药信息化发展规划》，《规划》提出，强化网络安全和数据安全，把安全治理贯穿中医药信息化建设管理应用全过程，全面提升安全保障能力。

《规划》明确，全面贯彻《网络安全法》《数据安全法》《个人信息保护法》等法律法规，落实党委(党组)网络安全与数据安全责任制，压实主体责任。在国家卫生健康委网络安全和信息化工作领导小组框架下，推进落实关键信息基础设施保护、等级保护、数据分类分级安全管理、个人隐私保护、安全审查、数据风险评估、监测预警和应急处置等各项工作，强化网络安全态势感知、事件分析和快速恢复能力，支持发展社会化网络安全服务，形成多方共建的网络安全防线，全面提升中医药行业安全保障能力。

国外

美国防部授予企业软件计划以应用零信任解决方案

12月5日消息，美国国防部授予Appgate公司企业软件计划，该计划中SDP平台旨在为任何设备提供零信任网络访问功能。Appgate SDP 简化并保护联邦机构混合基础设施的访问控制，并与软件即服务、DevSecOps、合规连接和其他框架兼容。该公司在9月份被指定为网络安全供应商（其他选定的供应商包括Forcepoint，Okta和Ping Identity），致力于根据管理和预算办公室的指令建立零信任架构。

美国防部设立战略资本办公室以加强重要安全技术的投资

12月5日消息，美国防部成立新的国防部组织——战略资本办公室(OSC)，专注于推动私营资本用于技术开发，帮助军队以更快的速度部署创新能力。先进材料、生物技术和量子科学等关键技术往往需要长期融资， OSC将在政策、采购和研究方面开展工作，把关键技术公司与资本联系起来，以扩充这些公司的资金池，帮助实现其规模化生产，从而在以科学和技术为重点的组织（如国防高级研究计划局）和以商业为导向的组织（如国防创新部）之间扩大投资。

美国太空探索技术公司正式发布“星盾”卫星项目

12月5日消息，美国太空探索技术公司正式发布了专门为政府服务的 “星盾”卫星项目。“星盾”卫星将利用“星链”卫星的技术和发射能力，为国家安全工作提供支持和保障。现阶段，“星盾”卫星项目主要关注三个领域。一是对地观测，即发射具有传感载荷的卫星，直接向用户提供数据；二是通信，即通过“星盾”用户设备向政府用户提供全球通讯保障；三是托管有效载荷，即通过卫星总线满足用户载荷的苛刻要求。

Lapsus$黑客引起美国土安全部重点关注

12月5日消息，美国国土安全部宣布，网络安全审查委员会的下一次调查将集中在Lapsus$黑客组织。Lapsus$是一个全球性的，以勒索为重点的黑客组织，对世界上一些“资源最丰富的公司”发起了攻击。例如，Lapsus$ 袭击了巴西卫生部，并紧接着对一些主要国际公司发起的攻击，包括英伟达、三星、育碧、微软、优步等。微软发表的一项分析指出，该组织以“使用纯粹的勒索和破坏模型而不部署勒索软件有效载荷”而闻名。

谷歌通过内存安全编程语言提高Android安全性

12月5日消息，谷歌宣布：随着谷歌逐渐过渡到内存安全语言，Android 中的内存安全漏洞数量从 2019 年的 223 个下降到 2022 年的 85 个。谷歌进一步介绍：使用内存安全编程语言进一步使得内存安全漏洞显着下降以及漏洞的严重性的下降。对内存安全编程语言 Rust的支持最初是在 Android 12 中引入的，作为 C/C++ 的内存安全替代方案。而目前Android 13 版本中的大部分新代码都已经使用内存安全语言Rust，涉及操作系统的不同部分。

美媒发文分析武器系统网络安全现状及改进措施

12月6日消息，美媒发表《武器系统的网络安全：确保它们在需要时战备就绪》报告，分析当前武器系统面临的网络安全现状、采购过程中嵌入网络安全的做法以及改进武器系统网络安全举措。报告建议使用安全供应链制造的网络弹性武器，最大限度减少外国零件；利用数字孪生技术查找漏洞并持续评估威胁形势的影响；利益相关者应在系统生命周期的所有阶段解决网络安全问题并对系统安全性负责，同时监控系统以检测和响应网络事件。

微软呼吁乌克兰为俄罗斯新一轮网络攻势做好准备

12月6日消息，微软数字威胁分析中心发文称近期俄罗斯加强了其多管齐下的混合技术方法，以向乌克兰军事和政治支持力量施压。可能的方法包括对乌克兰民用基础设施的破坏性导弹攻击和网络攻击，对乌克兰和现在外国供应链的网络攻击，以及旨在破坏美国、欧盟和北约对乌克兰的政治支持网络影响行动。报告重申了利用微软四个“D”（检测、颠覆、防御、遏制）的独特方法来对抗恶意网络攻击和影响力活动。

俄罗斯政府机构遭CryWiper擦除软件攻击

12月6日消息，卡巴斯基发现新型数据擦除恶意软件CryWiper，该恶意软件也是继 RURansom之后第二个针对俄罗斯机构的报复性擦除软件变种。该恶意软件专门针对Windows系统设计，使用伪随机数生成器Mersenne Vortex生成一系列数据覆盖原始文件内容，还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（'README.txt'），要求 0.5 比特币用于解密。

安全厂商Lepide发布全新数据安全平台

12月6日消息，安全厂商Lepide发布数据安全平台22.1，为企业提供对敏感数据和关键基础设施的可见性。新平台可提供按需创新报告、自定义快速查询、快速保存及访问、授权共享等功能。此外，平台还新增了若干功能，包括跨大型数据集访问和搜索、定位陈旧数据报告、权限授予状态、威胁检测工作流等功能，以改进威胁检测、合规性和一般数据安全性。

欧盟资助乌克兰武装部队成立网络实验室

12月6日消息，欧盟资助乌克兰武装部队成立网络实验室，并提供设备、安全软件和硬件等。该实验室由多个虚拟和物理组件构成，可为用户生成用于训练的虚拟真实场景，以提高军事网络防御专业人员的技能。乌克兰武装部队可以建立并进一步发展其网络防御能力，帮助军方发现识别、监控和抵御实时网络攻击，定位、探索信息系统中的各种漏洞，加强其在网络安全领域的整体能力。

美国防信息系统局批准谷歌云托管国防部敏感数据

12月7日消息，谷歌云已获得美国防信息系统局（DISA）颁发的“影响级别5”（IL5）安全授权，可获准托管军方的部分敏感（而非绝密）数据，其中包括与国家安全系统相关的工作数据。获得DISA授权的谷歌云服务包括：BigQuery、云硬件安全模块、云密钥管理服务、谷歌云存储、谷歌计算引擎、永久磁盘、身份与访问管理以及虚拟私有云。

SpaceX公司新建专注于国家安全的业务部门“星盾”

12月7日消息，SpaceX公司正在创建一个名为“星盾”（Starshield）的国家安全业务部门，该部门首先将专注于开发地球观测传感器、卫星以及具有更高安全级别的全球通信星座，而不是针对政府客户的“星链”（Starlink）。与“星链”提供的端到端用户数据加密不同，“星盾”将使用额外的高保证加密功能来安全地托管保密载荷和处理数据，以满足最苛刻的政府要求。此外“星盾”卫星将具备互操作性，能与军用卫星相集成。

GAO建议对关键基础设施领域的物联网和运营设备进行网络风险评估

12月7日消息，美国政府问责局（GAO）近日发布报告称，负责监督关键基础设施部门的联邦机构需要更好地评估物联网和运营技术设备和系统带来的网络安全风险。GAO分析了卫生与公众服务部、能源部、国土安全部和交通部等政府机构，进而指出这些系统非常复杂、技术多样、往往地理位置分散且通常与互联网等其它内外系统和网络相连，这种复杂性增加了识别、管理和保护众多操作系统、应用程序和设备的难度。

美国防部声称技术欠账阻碍网络安全

12月7日消息，美国国防部近日指出，该部使用了大量预算和资源来维护老旧技术（包括老旧的软件和基础设施），从而阻碍了网络安全创新。国防部已认识到这种“技术欠账”对网络安全及其零信任战略的影响，而为加速零信任落地，国防部必须将更多预算用于身份管理、云、人工智能、机器学习和数据分析等现代化技术，从而改善网络防御、信息共享和攻击响应。

瑞士政府希望强制要求运营商上报网络攻击事件

12月7日消息，瑞士政府近日要求议会修改《信息安全法》，以便强制要求关键基础设施运营商向国家网络安全中心上报网络攻击，从而扩大瑞士国内的网络威胁警报范围。，此举呼应了美国国土安全部关于“收集和分析威胁数据，并与主要受众共享数据”的政策，其成功与否将取决于瑞士政府能否实时收集、分析和共享有意义的数据。