数据安全早知道｜2023年第一批27项网络安全国家标准项目立项启动；国标《重要数据处理安全要求》发布征求意见稿

本期看点

热点资讯

· 某高校疑似被黑客远程控制对外发起网络攻击，网信办出手处罚

· 计算机系统突发故障，致日本境内丰田汽车14厂全线停工

· 报名系统突然奔溃，个人信息遭泄露！杭州马拉松官网：已解决

· 利用多地农村信用社联合社网银的漏洞非法获取数据，2人被判刑

· 英国警察局数据泄露，至少1230人受到影响

· 三大加密货币公司遭Kroll SIM卡交换攻击，导致敏感数据外泄

安全研究

· 数据库战争 2.0：为什么每个人都在开发数据库

· 企业警惕：浏览器插件风险高达51%，或引发敏感数据被窃

· 数据隐私治理所面临的四大挑战

· “内鬼”作祟，你的征信信息竟成牟利工具

· 从美国国防部看内部威胁的五大关键指标

· 让你很容易被黑客盯上的九个错误

· 一种基于多维度模型的关键信息基础设施认定方法

· 近两年《数据安全法》行政处罚案例分析

· CNNIC发布第52次《中国互联网络发展状况统计报告》

监管动态

· 国标《重要数据处理安全要求》发布征求意见稿

· 2023年第一批27项网络安全国家标准项目立项启动

会议活动

· 技术为源，链动无限——XCon2023安全焦点信息安全技术峰会在京成功举办

· “黄鹤杯”网络安全人才创新大赛—创新成果擂台赛暨“2023年网络安全优秀创新成果大赛—武汉分站赛”成功举办

某高校疑似被黑客远程控制对外发起网络攻击，网信办出手处罚

近日，接上级网信部门通报，南昌属地某高校所属IP疑似被黑客远程控制，并频繁对外发起网络攻击。

经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：1.该高校未履行网络安全保护义务，未对运营的网络及信息系统开展网络安全等级保护测评等相关工作；2.该高校的防火墙配置策略存在缺陷，办公区域与服务器区域之间未作划分隔离，导致设备在感染了新型计算机病毒后横向传播，致使多台服务器和终端中毒；3.该高校未及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，所属网络持续对内对外发起大规模网络攻击，导致产生危害网络安全的后果。

8月21日，南昌市网信办依据《中华人民共和国网络安全法》第五十九条的规定，对该高校作出罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。

（来源：安全圈）

计算机系统突发故障，致日本境内丰田汽车14厂全线停工

8月29日当地时间周二，日本丰田汽车表示，由于发生计算机生产系统故障，公司在日本的所有14家车辆装配厂全部暂停运营。丰田汽车表示，日本国内12家装配厂的25条生产线将于周三第一个轮班开始恢复生产。

据了解，本次停工一度涉及丰田在日本的14家工厂和28条生产线，公司方面没有说明受影响的车型和数量。根据媒体的计算结果，这些停工的工厂加起来约占公司全球产量的三分之一。

（来源：安全圈）

报名系统突然奔溃，个人信息遭泄露！杭州马拉松官网：已解决

杭州马拉松官网报名页面崩溃，显示大量报名者的个人信息，包括真实姓名、手机号码、身份证号等等。8月28日，杭州马拉松官网已紧急关闭报名入口，暂停报名。

报名杭州马拉松的冯先生表示，他在官网登录自己的账号报名，却跳出来另一位参赛者刘先生的个人信息，包括姓名、身份证号、性别、出生日期、服装尺码等等。8月29日，杭州马拉松工作人员表示网站现已重新开放。

（来源：安全圈）

利用多地农村信用社联合社网银的漏洞非法获取数据，2人被判刑

近日，重庆市綦江区人民法院审结一起非法获取计算机信息系统数据案件，被告人封某、陆某利用多地农村信用社联合社网银的漏洞，非法窃取储户资料，企图盗刷银行卡内资金未遂。两名被告人均被判处有期徒刑3年6个月，并处罚金人民币20000元，同时删除非法获取并存储的公民个人信息并在全国性媒体上公开道歉。

经公安机关对封某、陆某等人使用的共享协作平台进行在线提取、统计，其中包含银行卡号类公民个人信息140万余条，身份证号码类公民个人信息24万余条，公民身份证号和银行卡号能形成一对一关联数据22万余组。

（来源：安全圈）

英国警察局数据泄露，至少1230人受到影响

近期，英国北爱尔兰警察局（PSNI）公布了两起数据泄露事件声明。第一起事件是应公众的要求，在披露在职警官和平民的信息时，PSNI因一时疏忽导致共享了一个大型Excel表格，其中包括在职员工的姓氏、首字母缩写以及工作的地点和部门。第二起事件是在北爱尔兰纽敦阿比地区发生了一起盗窃案，犯罪分子窃取了存放在一辆“私家车”上的一份文件，其中包含200多名在职警察和工作人员姓名的电子表格。

这些数据包括受害者、证人和嫌疑人的个人身份信息，以及犯罪描述。它涉及一系列犯罪，包括家庭事件、性犯罪、袭击、盗窃和仇恨犯罪。

（来源：安在）

三大加密货币公司遭Kroll SIM卡交换攻击，导致敏感数据外泄

近日，Kroll被告知，一名黑客通过精心执行的SIM卡交换攻击，利用了其一名员工拥有的T-Mobile账户。

在这种类型的攻击中，未经授权的个人操纵移动运营商将受害者的电话号码转移到他们控制下的新SIM卡上，成功访问了存储在Kroll系统上的敏感信息，特别是在涉及FTX、BlockFi和Genesis的案件中包含破产索赔人个人数据的文件。

这次违规行为的影响是巨大的。FTX和BlockFi都很快通知了他们的客户。FTX透露，泄露的信息包括客户姓名、地址、电子邮件地址和账户余额，但账户密码和数字资产不会受到影响。BlockFi提醒用户，由于此次入侵，网络钓鱼和垃圾邮件电话可能会增加。

（来源：E安全）

数据库战争 2.0：为什么每个人都在开发数据库

在数据库大战结束几十年后，当科技媒体不再报道微软和 Oracle 数据库的每一项新功能时，数据库又成了很酷的新软件。微软和 Google 最近都推出了新的数据库应用；SaaS 公司 Zapier 在其自动化工具中内置了数据库；协同办公独角兽 Monday.com 从一个项目管理工具变成了一个管理公司所有数据的数据库；Notion、Coda 和 Airtable（掀起新数据库大战的应用程序）都是现代工作流程的核心部分。

详情请看：

企业警惕：浏览器插件风险高达51%，或引发敏感数据被窃

一项新的研究发现，组织允许员工在使用软件即服务（SaaS）应用程序（如Google Workspace和Microsoft 365）时使用的许多浏览器扩展可以访问高级别的内容，并存在数据盗窃和合规性问题等风险。

详情请看：

数据隐私治理所面临的四大挑战

近年来，隐私功能越来越受到重视，在重大立法改革和加强监管审查的支持下，各组织通过部署和扩展专门的隐私计划和职能来做出回应。隐私不再是信息安全、法律或道德的一个子集，而是一门专业学科，需要全球专门的隐私专业人士投入时间和精力。

然而，隐私专家仍然面临着一些挑战，越来越多的新法律、政策和指导方针让我们保持警惕。新兴技术通过新颖的个人数据处理引入了新的风险。与此同时，经济逆风继续带来挑战，个人隐私权意识的提高凸显了隐私专业人士保持灵活性的必要性。

因此，良好的隐私治理在支持隐私专家应对这些挑战方面可以发挥重要作用，是不能忽视的。接下来回顾过去调查的关于隐私专业人士需要注意的潜在挑战。

详情请看：

“内鬼”作祟，你的征信信息竟成牟利工具

个人征信信息这类高度敏感信息，正因犯罪技术升级和金融机构“内鬼”而频频遭遇泄露。近日，北京市高级人民法院（下称“北京高院”）通报了一起侵犯高度敏感信息——公民征信信息的案例。

沈某利用任职便利，采取“撞库” 等方式获取某银行个人征信系统用户名和密码，通过其所属某大型国际信托有限公司与该银行之间进行专线互联的终端机，数次非法登陆该银行个人征信系统，查询并下载保存他人征信报告共计100份。此前，沈某曾采取同样作案手段，查询并下载保存他人征信报告共计1000余份。

财经E法通过采访案件当事人，并梳理相关司法文书，试图还原多个依赖海量公民个人征信信息“喂养”的黑色产业链。

详情请看：

从美国国防部看内部威胁的五大关键指标

五角大楼机密情报在社交媒体平台Discord上泄露，一番审查之后，美国国防部（DoD）拟成立内部威胁办公室监控雇员。6月30日，美国国防部长签发备忘录，要求成立内部威胁与网络能力联合管理办公室以“监督用户活动监测（UAM）”。

尽管阻止内部人员泄露数据的任何举措都可带来潜在收益，但正如2014年美国国家安全系统委员会第504号指令所言，与UAM要求相关的问题才是重点。简而言之，当前的UAM数据要求不足以主动阻止内部风险演变为可致数据泄露事件的威胁。

详情请看：

让你很容易被黑客盯上的九个错误

我们都不想沦为黑客的受害者，但有时我们不知不觉中做出的决定却又增加了沦为受害者的可能性。有时候，一个小小的错误就可能为黑客打开便利之门，所以知道应该避免什么显得很重要。以下是让你更容易受到黑客攻击的九个错误。

详情请看：

一种基于多维度模型的关键信息基础设施认定方法

对关键信息基础设施实施保护是国家网络空间安全战略的重要组成，而关键信息基础设施认定识别是整个保护工作的第一步。各个行业领域的关键信息基础设施种类繁多，一线运营者在进行认定识别工作时不容易掌握尺度，造成漏报或多报。在总结了大量国内外认定识别的经验的基础上，通过对各行业领域的信息基础设施的本质特征进行抽取和聚类，形成多维度模型，为保护工作部门制定本行业领域的关键信息基础设施认定规则提供了一套方法论。

详情请看：

近两年《数据安全法》行政处罚案例分析

随着数字经济成为世界经济发展的新动力，推动数据量的高速增长，数据安全风险也在同步激增。同时传统的犯罪类型也借助新型技术不断形成新的变种，在侵犯数据权益的同时，对社会公共利益乃至国家安全也造成严重威胁。同时，随着《中华人民共和国数据安全法》（下文简称为《数据安全法》）的生效，不仅极大地保护了国家、社会和公民的数据安全，也表明了国家治理数据安全的决心。本文基于数安法实施近两年来，被公开作出行政处罚的典型案例32起，从不同维度对案例进行了分析总结。

详情请看：

CNNIC发布第52次《中国互联网络发展状况统计报告》

8月28日，中国互联网络信息中心（CNNIC）在京发布第52次《中国互联网络发展状况统计报告》（以下简称《报告》）。《报告》显示，截至2023年6月，我国网民规模达10.79亿人，较2022年12月增长1109万人，互联网普及率达76.4%。

详情请看：

国标《重要数据处理安全要求》发布征求意见稿

近日，国家标准《信息安全技术重要数据处理安全要求》（下称《要求》）首次公开征求意见。据悉，《要求》是第二部重要数据安全国标，规定了数据处理者处理重要数据的安全要求，主要涉及设施安全、数据处理活动的安全、运行与管理安全三大方面。

受访专家认为，重要数据保护制度是我国数据安全工作中一项基础性、全局性的重大制度。随着国标《要求》公开征求意见，关于重要数据的两部国家标准都已揭开面纱。了解重要数据的识别规则和安全要求，对于企业有效开展数据治理工作、数据资产梳理工作具有重要意义。

详情请看：

2023年第一批27项网络安全国家标准项目立项启动

8月25日，按照《全国信息安全标准化技术委员会标准制修订工作程序》的有关规定，全国信息安全标准委员会发布了2023年第一批网络安全国家标准的立项工作清单。

详情请看：

技术为源，链动无限——XCon2023安全焦点信息安全技术峰会在京成功举办