· 涉案流水超千万!清河公安分局破获一起侵犯公民个人信息案· 非法抓取公民车辆即时停车位置信息获利超百万元,判刑· 400万患者信息泄露,公司:提供免费信用检测作为赔偿· 国家发改委主任会见苹果CEO,提出加强数据安全和个人隐私保护· 澳大利亚再发严重数据泄露事件,涉及800万用户个人信息
· CASPER攻击使用严加隔离的计算机内部扬声器窃取数据
· 数据安全亟需细化管理要求 专家:应从生产安全角度发力治理· 威胁检测与响应体系从流量、端点向身份拓展 ITDR价值几何· 中国水利行业网络安全现状与机会分析
· 四部门联合发布《关于开展网络安全服务认证工作的实施意见》
· 文旅部:加强游客敏感信息保护,防止超出合理经营需要收集个人信息· 最高检发布个人信息保护检察公益诉讼案例,含强采人脸信息等
· 2023年CCIA网络安全技术应用专题研讨会-数据安全和个人信息保护专题会成功召开· (ISC)²华南分会Sec-Talk安全系列讲座-数字中国下的网络安全治理与实践· 2022年度全国信息安全标准化技术委员会全体会议在京召开
2023年3月23日,上海松江法院对被告人李城(化名)涉嫌非法控制计算机信息系统罪一案公开宣判,判处其有期徒刑一年二个月,并处罚金人民币五千元。自2018年起,李城私自在他人笔记本电脑中安装远程控制软件,随即删除软件图标,悄无声息地给别人的笔记本电脑装上了“后门”。然后,他再通过远程控制启动摄像头,在电脑主人不知道的情况下,窥视他人日常生活的实时影像,如更换贴身衣物等,满足个人偷窥欲。“和一般偷窥行为相比,李某隐秘而猖獗的犯罪手段令人为之心惊。”主审法官说,数字时代个人信息的泄露带来的损害后果可能非常严重,在严惩犯罪分子的同时,普通人也要强化保护个人信息的意识,在公共场所要注意保护个人电脑及网络安全,设置电脑密码,定期检查电脑状况等。涉案流水超千万!清河公安分局破获一起侵犯公民个人信息案近日,清河公安侦破一起侵犯公民个人信息案,抓获犯罪嫌疑人9名,打掉犯罪窝点4处,查获涉案手机120部。经调查,该犯罪团伙通常选择老年人群体为目标,用送礼品的方式非法获取居民手机号、验证码等个人信息,再将个人信息在网上卖给上一层级违法人员,用于进一步实施违法犯罪活动,一部分个人信息甚至流入诈骗分子手中。非法抓取公民车辆即时停车位置信息获利超百万元,判刑
3月24日,南京市鼓楼区人民法院公开开庭审理全国首例全链条打击侵犯公民停车信息案。
经审理查明,2020年6月起,谢某应客户要求查找车辆,使用爬取停车信息的“JTC”等程序,通过技术手段绕过“捷停车”等停车平台系统安全防护机制,非法获取“捷停车”等停车平台系统保存的公民车辆即时停车位置信息。谢某将查询到的相关车辆位置信息发送给客户,或根据客户的需求给相关车辆安装定位跟踪设备,并收取费用。
法院认为,公民车辆即时位置信息、轨迹信息,系能够反映、识别特定自然人活动情况的信息,该信息与公民行动自由、人身安全等刑法保护法益紧密关联,属于公民个人信息。
(来源:安全内参)
400万患者信息泄露,公司:提供免费信用检测作为赔偿Independent Living Systems (LLS) 是一家面向老年人、残障人士和受损人士的医疗保健设施提供商。近日,这家医疗保健提供商最近遭受了大规模的网络攻击。这次攻击对公司的文件系统造成了重大破坏,并泄露了多达 400 万人的个人数据,这些人可能会面临遭受财务或信用损失的真正风险。全球知名汽车制造公司丰田(TOYOTA)遭遇了严重的用户信息泄露事件。安全研究人员发现,黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud,从而获得了海量的用户数据,且至今为止数据泄露已有一年半之久。此外,丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌,导致敏感数据泄露范围增大。攻击者可能会借此获取丰田意大利用户的手机号码和电子邮箱等,并利用这些信息发起网络钓鱼攻击。国家发改委主任会见苹果CEO,提出加强数据安全和个人隐私保护3月27日,国家发展改革委主任郑栅洁会见美国苹果公司首席执行官库克一行。郑栅洁主任表示,中国政府坚定不移实施对外开放的基本国策,国家发展改革委将一如既往支持包括苹果公司在内的外资企业在华业务。中国的产业数字化和数字产业化进程、超大规模市场、庞大的中等收入群体等都将为包括苹果在内的跨国企业带来广阔市场。希望苹果公司继续积极承担企业社会责任,加强数据安全和个人隐私保护。澳大利亚再发严重数据泄露事件,涉及800万用户个人信息三月初,澳大利亚非银行贷款机构 Latitude Financial 遭遇了一次网络攻击,最新情况表明,其后果可能比先前预估的更加严重。该公司于 3 月 16 日首次透露了这起攻击事件,称有33万客户的数据遭到泄露,而最近,该公司承认受影响的客户数量可能达到了800万之多。目前,澳大利亚由网络攻击引发的个人信息泄露危机较为严峻,仅在2022年9月至10月,短短一个月的时间就发生了电信巨头Optus泄露1000万用户敏感信息、健康保险公司Medibank泄露390万用户数据两起颇为严重的安全事件,受影响用户人数超过了澳大利亚总人口的三分之一。韩国首尔大学网络安全学院的研究人员近日介绍了一种名为CASPER的新型隐蔽通道攻击,这种攻击能以每秒20比特的速度将数据从严加隔离的计算机泄漏给附近的智能手机。CASPER攻击利用目标计算机内部的扬声器作为数据传输通道,以传输人耳听不到的高频音频,并将二进制或摩尔斯电码传送到最远1.5米开外的麦克风。接收端麦克风可以位于攻击者口袋内录制音频的智能手机中,也可以位于同一房间的笔记本电脑中。研究人员之前已经开发出了利用外部扬声器的类似攻击方法。然而,在关键环境中使用的严加隔离、使用独立网络的系统(比如政府网络、能源基础设施和武器控制系统)不太可能有外部扬声器。数据安全亟需细化管理要求 专家:应从生产安全角度发力治理
随着数字经济的高速发展和移动互联网的普及,数据成为了一种基本生产要素和国家核心战略资源,数据已无所不包,应用无处不在。数据安全和个人信息保护由此成了事关国家安全、经济社会发展和个人切身利益的重大问题。
“针对生产要素去进行保护,实际上比资产层面保护要困难得多。这是我理解为什么现在要把数据安全单独拿出来跟原来的网络安全并列,因为它产生了完全不同的视角。”全知科技CEO方兴说道,这种数据既有价值,但是对它处理不善可能带来危害,变成了生产安全的视角,这是我理解的数据安全为什么在这个时代这么重要。
详情请看:
威胁检测与响应体系从流量、端点向身份拓展 ITDR价值几何
近年来,随着IT基础设施的快速变化,企业传统的网络边界逐渐消亡,网络攻击正在变得更加隐蔽和复杂。面对愈发严峻的高级威胁,如何更高效地研判攻击事件,更快速地进行威胁响应,已成为企业安全团队的首要职责。
为了不断提升安全检测的覆盖度与应急响应的时效,在NTA流量分析、IDS入侵检测、HIDS主机入侵检测等传统设备之上,业界开始围绕检测与响应体系不断丰富检测的深度与广度,包括NDR网络威胁检测与响应、EDR终端威胁检测与响应等等都是其体系下的代表技术。
详情请看:
防范工业网络间谍活动的6个最佳实践
对于工业企业而言,信息就是力量,尤其是那些关乎企业发展战略、产品、服务、财务和销售活动的信息。通过合法途径收集竞争对手的情报信息,可以让工业企业在市场竞争时占据优势。但有时侯,一些企业或人员却想要得到更多,非法的网络间谍活动由此产生。
与合法的竞争情报不同,网络间谍活动意味着采用非法和不道德的方法收集企业数据,以获得竞争优势,它涉及商业机密的泄露和知识产权的盗窃。由于工业企业生产和经营活动的特点,网络间谍活动产生的经济损失和后果往往十分严重。
详情请看:
密码学的未来:对加密数据进行计算
第三方云服务为企业降低了复杂性,提供了灵活性。然而,组织需要能够将其数据和客户数据委托给云服务提供商(CSP),这些提供商通常被激励将这些数据货币化。与此同时,美国加利福尼亚州的《加利福尼亚消费者隐私法案(CCPA)》、《美国消费者在线隐私权法案(COPRA)》、《欧盟通用数据保护条例(GDPR)》和《中华人民共和国个人信息保护法(PIPL)》等法规旨在保护消费者的隐私,不合规的组织将受到严重罚款以及名誉损害。这导致了组织在数据隐私和实用性之间的权衡。然而,全同态加密(FHE)允许组织确保其客户的隐私,而不损害他们从数据中获取见解的能力。
详情请看:
MACOS系统中最容易被窃取的7种数据
窃取有价值的数据并以恶意的方式将其货币化,这种攻击策略在各个操作系统上都很常见。在macOS系统上,非法攻击者也同样在窃取会话cookie、Keychain(密钥串)、SSH密钥等信息,并通过广告软件或间谍软件等恶意进程违规收集数据。这些数据可以在各种地下论坛和暗网市场中销售,或者直接应用于各种网络攻击活动。
本文梳理总结了macOS系统中最容易被窃取的7种数据资产类型,以帮助安全运营人员更好地保护企业,并识别潜在的风险迹象。
详情请看:
企业数据合规:个人信息出境三种路径该如何选择
随着近期数据出境领域相关标准规范的密集发布,数据出境已经成为目前数据合规领域最炙手可热的主题之一。
数据出境的每条路径都涉及不同的程序和要求,需要准备的材料及处理周期也略有不同。值得注意的是,数据出境安全评估由于具有法定强制性,因此应优先适用,一旦触发评估要求,必须向网信部门申报数据出境安全评估。只有在未触发安全评估的情况下,才可选择“保护认证”或“标准合同”作为出境的合法依据。
详情请看:
建设银行:数据访问控制安全平台建设实践
中国建设银行是中国领先的大型国有商业银行,高度重视数据安全保护问题,已构建较为完备的数据安全防护体系。为实现更细粒度的数据安全访问控制和动态脱敏能力,建设银行搭建数据访问控制平台,以快速应对业务变化和监管合规、快速落地访问控制需求,以企业级平台的方式,为应用提供基于业务逻辑的细颗粒度隐私数据保护能力。
详情请看:
数安智库 | 浅析开放银行数据安全挑战与对策
近年来,数字化转型的浪潮滚滚而来,席卷千行百业。银行业作为数字化转型的排头兵,在数字化转型的道路上积极探索,开拓创新,正全面迈入“积厚成势”的新阶段。“开放银行”无疑是银行数字化转型的主要方向和着力点,自2018年以来,开放银行多点开花,股份行与国有大行加快了开放银行转型步伐。
从狭义角度看,开放银行是指通过应用程序编程接口,把特定服务用API的形式开放,将银行内部的信息系统与合作方的信息系统对接。API只是开放的技术手段,而开放银行的本质是数据共享,将银行原来不愿、不想、不敢共享的核心数据进行共享、交易、融合,充分释放数据要素潜能,赋能金融服务。在开放银行这种新业态下,使得银行与合作方紧密相连,增加了数据暴露面,带来了新的数据安全风险。
详情请看:
如何使用云访问安全代理来进行数据保护
云访问安全代理(CASB)是安全策略中的一个执行点,通常部署于企业云端或者本地环境中。其目标为:在访问云上资源的过程中,聚合并执行企业的安全策略。云访问安全代理类似于“安全卫士”,用来确保云服务管理员所制定的法规能够被有效遵守,不被破坏。
云访问安全代理本质上是一种安全解决方案,用来帮助企业在云环境中工作时的同时,对其数据和用户进行保护。它充当着组织IT基础设施与云服务之间的中介身份,对访问和监视等活动进行限制,以确保安全策略被有效遵循。
详情请看:
中国水利行业网络安全现状与机会分析
根据水利部信息中心推出的《2021年全国水利网信发展报告》,截止到2021年全国省级以上水利部门有536家成立了网信领导小组,2021年增加了流域管理机构和省级水利部门直属单位的领导小组。截止到2021年水利行业的网络安全防护水平相较于其他行业较为薄弱。
详情请看:
2023年3月28日,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部联合发布《关于开展网络安全服务认证工作的实施意见》(以下简称“《意见》”),以推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量。文旅部:加强游客敏感信息保护,防止超出合理经营需要收集个人信息3月27日,为进一步加强在线旅游市场管理,保障旅游者合法权益,发挥在线旅游平台经营者整合交通、住宿、餐饮、游览、娱乐等旅游要素资源的积极作用,促进各类旅游经营者共享发展红利,推动旅游业高质量发展,文化和旅游部发布《文化和旅游部关于推动在线旅游市场高质量发展的意见》(以下简称《意见》)。《意见》强调,加强旅游者个人敏感信息保护,防止超出合理经营需要收集旅游者个人信息,采取切实措施避免大数据杀熟、虚假宣传、虚假预订等侵害旅游者权益行为。3月27日,四川省通信管理局、重庆市通信管理局发布通告,点名19款侵害用户权益的APP。最高检发布个人信息保护检察公益诉讼案例,含强采人脸信息等3月30,最高人民检察院发布一批个人信息保护检察公益诉讼典型案例,要求各级检察院以党的二十大精神为指引,切实监督保障个人信息保护法统一正确实施。本次发布的典型案例包括江苏省无锡市新吴区检察院督促保护服务场所消费者个人生物信息行政公益诉讼案等8件,其中既涉及健身房、旅游景区等强制采集人脸信息,非加密传输、违法存储、未定期删除消费者敏感个人信息,也涉及行政部门在政务公开过程中未能对公民个人信息进行有效保护,造成信息泄露安全隐患等问题。2023年CCIA网络安全技术应用专题研讨会-数据安全和个人信息保护专题会成功召开2023年3月28日, 2023年CCIA网络安全技术应用专题研讨会-数据安全和个人信息保护专题会在北京召开。本次会议由CCIA数据安全工作委员会承办,全知科技、快手科技协办,中国网络安全产业联盟相关领导、10余位业内资深专家学者、150余位企业代表出席参加了会议。会议由CCIA数安委副主任何延哲主持。CCIA数安委副主任何延哲对2022年数安委工作进行总结,并汇报了2023年度工作计划,北京理工大学法学院教授洪延青以“数据二十条”为切入点,分享了数据安全与发展的新思考:全知科技CEO方兴从数据安全的概念、数据安全技术的发展等视角分享了数据安全行业建设思考;快手安全高级总监吴婧分享了快手科技在个人信息保护内部体系建设和产品实践中的经验与案例。(ISC)²华南分会Sec-Talk安全系列讲座-数字中国下的网络安全治理与实践(ISC)² 华南分会将于4月9日(周日)下午14:00~18:00 在深圳罗湖 京基100大厦34F举行2023年度第一期(ISC)²华南分会Sec-Talk安全线下讲座:“数字中国下的网络安全治理与实践”分享,诚挚邀请各位会员参加。2022年度全国信息安全标准化技术委员会全体会议在京召开2023年3月22日,全国信息安全标准化技术委员会(以下简称信安标委)全体会议在京召开。中央网信办副主任、信安标委主任委员赵泽良出席会议并讲话。信安标委副主任委员高林、杜广达、郭启全、江常青,国家市场监督管理总局标准技术管理司处长刘大山,秘书长杨建军以及各位委员出席了会议,相关国家标准化技术委员会和社会组织代表参加会议。会议由副主任委员杜广达主持。会议审议了信安标委2022年工作总结和2023年工作要点,听取了信安标委各工作组2022年工作汇报,以及秘书处关于2022年财务情况的报告。(来源:全国信安标委)
还没有评论,来说两句吧...