信息安全研究 | 一周观察报告（2023.7.15-7.20） - 新鲜讯息

2023.7.15-7.21

政策发布及解读

点击↑小标题，均可跳转原文链接，阅读详细信息

国家发展改革委会同有关部门修订形成了《产业结构调整指导目录（2023年本，征求意见稿）》，向社会公开征求意见，时间为2023年7月14日至8月14日。其中，“网络安全”属于“第一类鼓励类”中的第五十项。此外，在智能车、金融科技、工业信息等分类也提及网络安全相关要求。

全国信安标委公开征求国家标准《信息安全技术网络安全产品互联互通框架》征求意见稿，相关意见需在2023年09月18日前反馈至信安标委秘书处。

工业和信息化部、国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》，提出建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新等5方面共10条具体意见。聚焦提升行业认知、完善行业规范，健全完善网络安全保险支持政策；丰富网络安全保险产品类型、创新保险服务模式，全方位加强网络安全保险产品服务创新；提升风险量化评估能力、加强全生命周期风险监测，强化网络安全技术赋能保险发展；推进网络安全保险落地应用、促进企业网络安全能力提升，撬动网络安全产业需求释放；培育网络安全保险优质企业、加强网络安全保险推广，培育网络安全保险发展生态。

工业和信息化部近日印发通知，组织开展2023年大数据产业发展试点示范项目申报工作。将围绕重点行业大数据应用、数字化治理应用、数据管理和流通、数据安全管控等4大领域13个方向，遴选一批大数据产业发展示范项目，通过树立一批创新能力突出、应用效果良好、示范作用明显的大数据领域标杆，推进大数据产业高质量发展。

为了保障铁路关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规，国家铁路局起草形成《铁路关键信息基础设施安全保护管理办法（征求意见稿）》，于2023年7月18日至8月17日期间向社会公开征求意见。

北京市人力资源和社会保障局发布《北京市数字技术技能人才培养实施方案》，着力培养数字技术技能人才，包括数字技术领军人才、数字技术人才和数字技能人才。其中，将以产业数字化与数字产业化为核心，围绕人工智能、大数据、智能制造、区块链等数字技术技能领域，培养一定数量的数字技术领军人才，预计每年培养具有良好科学素养、精于实操应用、能够解决复杂问题的数字技术技能人才1万人，不断推进专业技术人员数字素养和技能提升。

为贯彻落实《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》《中共中央、国务院构建数据基础制度更好发挥数据要素作用》等文件精神，进一步推进公共数据专区建设、完善公共数据专区运营管理机制，北京市经济和信息化局根据制定《北京市公共数据专区授权运营管理办法（征求意见稿）》，于2023年7月18日至7月25日期间向社会公开征求意见。

上海市经济信息化委组织编制了“2023年上海市网络安全产业创新攻关目录”，并就目录方向公开征集创新成果。目录征集的创新成果，主要涉及基础技术、应用技术和服务业态创新三个类别，15个方向。申报资料需在2023年8月8日前提交。

中国密码学会密评联委会组织修订了《商用密码应用安全性评估量化评估规则》，于7月17日发布，8月1日实施。本次修订主要对第1章适用范围、第3章原则、第4章框架、以及第5、6章的部分内容进行更名、调整和增补。

透视镜

近年来，Web应用层的对抗失衡问题愈演愈烈，Apache Log4j 开源组件和Spring 开源应用开发框架相继被曝出高危漏洞，其波及范围之广引发各界对开源组件0Day漏洞的担忧。WAF（Web Application Firewall, 应用程序防火墙）一直以来被认为是抵御web攻击的有效防护手段，但是WAF在0Day防护上显得束手无措，RASP（Runtime Application Self-Protection，应用运行时自我保护）出现并成为解决Web防护的新技术迅速在业内推广，RASP技术的市场关注度持续升温。

RASP和WAF都有着各自的优势，从部署的方式上就能感知到它们都具备各自擅长的领域，WAF直接在边界入口进行部署，RASP通常是以agent形态进行部署，注入到应用程序中。可以将WAF和RASP形象的比喻为一栋大楼的门厅保安和私人管家，WAF“保安”可以根据某些特征来区别是否是坏人，比如戴黑色头套、携带铁棍等，具有这些特征的一类人都会被阻止进入，但是一旦坏人换了白色头套、木棍，可能WAF“保安”就识别不出了；而RASP“私人管家”不管坏人具备什么样的特征，如何去变换特征，只要做出有危险出格的行为就会直接阻止。

（本期内容由本刊合作单位安芯网盾提供）

热点动态

2023年7月19日，“2023首届工业互联网安全创新高峰论坛”在浙江省杭州市举办。本次论坛由国家工业信息安全发展研究中心、工业和信息化部教育与考试中心指导，西安电子科技大学杭州研究院、浙江齐安信息科技有限公司联合主办，得到了浙江省网络空间安全协会的支持。论坛以“共铸安全共建未来”为主题，秉承前瞻性、引领性和专业性原则，旨在建立一个促进政产学研用交流沟通的学术平台。论坛以线上线下形式同步进行，行业领导、国内院士、高等院校专家学者以及知名安全厂商代表齐聚盛会，围绕工业互联网安全产业的前沿与发展趋势，深入探讨了安全体系规划和建议、策略、技术等问题。

2023年7月19日，2023（第二十二届）中国互联网大会——数据安全论坛在北京圆满举行。会上正式举行了 “电信和互联网行业数据安全人才强基计划”-数据安全风险共治组成员单位授牌仪式。北京明朝万达科技股份有限公司凭借在数据安全领域的深入研究和丰富的项目实践经验，受邀成为数据安全风险共治组成员单位。

由云安全联盟(CSA)大中华区、《信息安全研究》杂志社、光明网网络安全频道共同发起的“2023云上安全：十大发展趋势关键词”征集推选活动。征集期间，通过“公开征集”“定向征集”方式对外多渠道收集推选内容，初步筛选出有关云上安全技术发展的18个趋势，并概括为18个趋势关键词。投票已在7月20日结束。后续根据投票情况，结合专委会评审团队意见，最终确定“2023云上安全：十大发展趋势关键词”入围名单，并在“2023云安全高峰论坛秋季峰会”上正式发布。