- 9部门:安全合规前提下,允许跨境电商、跨境支付等应用场景数据有序自由流动
- 工信部:关于防范利用PHP远程代码执行漏洞实施网络攻击的风险提示
- 网安标委就《网络安全技术 关键信息基础设施安全保护能力指标体系(征求意见稿)》等2项国家标准征求意见
- 我国开设“密码科学与技术”本科专业的高校增加至20所
- 美CISA 与政府和行业进行人工智能驱动的网络桌面演习
- 黑客使用 F5 BIG-IP 恶意软件秘密窃取数据
- HashiCorp推出用于保护人机通信的零信任模型
9部门:安全合规前提下,允许跨境电商、跨境支付等应用场景数据有序自由流动
6月17日消息,近日,国家网信办等9部委联合发布《关于拓展跨境电商出口推进海外仓建设的意见》。《意见》要求,在符合法律法规要求、确保安全的前提下,促进和规范数据跨境流动,允许跨境电商、跨境支付等应用场景数据有序自由流动。鼓励跨境电商、海外仓企业依法依规利用数据赋能产业链上下游,增强生产企业柔性化供应能力。工信部:关于防范利用PHP远程代码执行漏洞实施网络攻击的风险提示
6月18日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,PHP在Windows操作系统上以CGI模式安装运行时存在远程代码执行漏洞,可被恶意利用实施网络攻击。PHP是一款开源的服务器端脚本语言,用于创建动态交互式网站。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码,获取敏感信息或造成服务器崩溃。IDC:2023年中国网络威胁检测与响应市场规模为23.8亿元
6月19日消息,IDC于2024年6月正式发布了针对中国网络威胁检测与响应产品的市场份额研究报告——《中国网络威胁检测与响应市场份额,2023:NDR正在向更多技术栈延伸》。IDC数据显示,2023年中国网络威胁检测与响应市场规模为23.8亿元人民币,相较于2022年实现了1.6%的同比增长。从市场份额来看,奇安信、深信服科技、安恒信息、绿盟科技、斗象科技等厂商组成了该市场的主要玩家。网安标委就《网络安全技术 关键信息基础设施安全保护能力指标体系(征求意见稿)》等2项国家标准征求意见
6月20日消息,近日,全国网络安全标准化技术委员会归口的《网络安全技术 关键信息基础设施安全保护能力指标体系》和《数据安全技术 数据安全和个人信息保护社会责任指南》国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该项标准征求意见稿面向社会公开征求意见。
我国开设“密码科学与技术”本科专业的高校增加至20所
6月20日消息,截至2024年3月,我国开设“密码科学与技术”本科专业的高校增至20所。其中,《教育部关于公布2023年度普通高等学校本科专业备案和审批结果的通知》发布。宁波工程学院、河南大学、广东技术师范大学、桂林电子科技大学、甘肃政法大学(以上排序不分先后)新增“密码科学与技术”本科专业。密码科学与技术属于计算机类,基本修业年限为4年,授予工学学士学位。美CISA 与政府和行业进行人工智能驱动的网络桌面演习
6月17日消息,美网络安全和基础设施安全局(CISA)与来自政府和行业的50多名人工智能专家进行了为期四小时的演习,以帮助理解和减轻对人工智能系统的数字威胁。桌面演习的任务是提高人们对人工智能系统如何为数字网络提供网络威胁的新载体的认识,检查当前的应对措施,并为关键基础设施运营商、安全供应商和其他利益相关者构建信息共享优先事项。在由公共和私营部门领导人组成的联合网络防御合作组织的领导下,桌面演习模拟了针对人工智能系统的网络安全事件。参与者练习了事件响应工作,以减轻假设攻击造成的损害,包括信息共享和行动协作。 6月17日消息,美国防部选中陆军网络司令部研发的“全景交汇”工具,来试行利用人工智能功能修复关键系统中的漏洞。该工具使用了现成的人工智能系统。其主要目标是通过可扩展和持续的监控来增强对异常和恶意网络活动的检测,包括离地攻击。该工具的新颖之处在于使用人工智能功能将体系任务保障支持服务(EMASS)与持续的网络安全监控工具联系起来。该工具利用了对EMASS和威胁情报的人工智能驱动程序化访问,从而可以识别特定飞地架构的风险优先级,进而利用第二组人工智能驱动的功能进行事件日志分析并识别异常或恶意活动。黑客使用 F5 BIG-IP 恶意软件秘密窃取数据
6月18日消息,一群名为Velvet Ant正在 F5 BIG-IP 设备上部署自定义恶意软件,以获得与内部网络的持续连接并窃取数据。根据 Sygnia 的一份报告, Velvet Ant 使用整个网络的各种入口点建立了多个立足点,包括用作内部命令和控制 (C2) 服务器的传统 F5 BIG-IP 设备。使用受感染的 F5 BIG-IP 设备,威胁行为者可以在三年内悄悄地从公司窃取敏感的客户和财务信息,而不会被发现。Sygnia 观察到的攻击始于破坏受害组织用于防火墙、负载均衡和本地流量管理的两台过时的 F5 BIG-IP 设备。6月19日消息,G7国家峰会上,与会国家讨论了勒索软件、网络攻击及新成立七国集团网络安全工作组等议题,并就围绕制造商和运营商的运营技术建立集体网络安全框架达成一致。七国集团领导人承诺采取关键行动,加强用于管理和运营全球电力、石油和天然气系统的关键技术全球供应链的网络安全,旨在应对针对全球能源系统的持续网络攻击。 6月19日消息,美陆军将推出更新版系统建模语言标准SysML 2.0,以实现政府和行业多个数字环境的互操作性和数据共享,优化数字工程技术在武器系统开发过程的应用。SysML 2.0将作为陆军应对数据共享挑战的一种解决方案,推行使用后将使陆军数字工程供应商在其数字环境中共享数据。新标准预计将在2024年夏季末发布,2025年向数字工程供应商推行实施,为使用数字工程技术的新项目提供支持。6月19日消息,美陆军将于7月实施生成式人工智能试行项目,将利用大语言模型(LLM)完成费力、耗时的任务,旨在降低实施人工智能算法的风险。试点项目在影响级别(IL)5的安全云环境中运行,具有最高级别的授权来存储和处理受控的非机密信息。2024年3月,陆军启动了为期100天的人工智能风险评估试点项目“防御AI”,并即将在夏季启动“500天计划”,激励工业界开发能够整合到陆军和国防部系统中的算法,以支持安全系统和分层防御网络。该试点项目即为“500天计划”的内容之一。6月20日消息,CISA发布《现代网络访问安全方法》指南。该指南敦促各种规模的企业主转向更强大的安全解决方案,例如零信任、安全服务边缘(SSE)和安全访问服务边缘(SASE)以提供更深入的网络活动可见性。此外,本指南还可帮助组织更好地了解与传统远程访问和VPN部署相关的漏洞、威胁和做法,以及远程访问错误配置对组织网络构成的固有业务风险。 HashiCorp推出用于保护人机通信的零信任模型
6月21日消息,作为 NIST 零信任模型的一部分,通常有一个强大的重点和解决方案集来保护人员实体(PE)到非人员实体(NPE)的访问(也称为人机访问)。零信任(ZT)人工访问通常通过特权访问管理(PAM)解决方案、虚拟专用网络(VPN)或身份感知代理(IAP)访问进行。但是,作为零信任模型的一部分,同样应强调保护机器对机器的访问和通信;基本假设是不信任任何内容,并对所有内容进行身份验证和授权。HashiCorp推出两种技术,即 Vault 和 Consul协同为应用程序和服务之间的通信提供安全的服务网格解决方案。6月21日消息,关键基础设施部门面临着许多潜在的破坏性威胁,例如供应链脆弱性、气候风险和对天基系统的日益依赖。但美国面临的最大网络威胁是中华人民共和国以及与人工智能和量子计算相关的新兴风险,国土安全部部长亚历杭德罗·马约卡斯近日宣布了防范这些风险的新指南。根据该指南,国土安全部计划扩大其空间系统关键基础设施工作组,以优先考虑和减轻关键基础设施的太空相关风险。
6月21日消息,美国陆军将于今年夏天启动生成式人工智能(GenAI)试点项目,一名陆军高级官员表示,她对该项目感到“兴奋”,出于安全考虑,该服务进展迅速但谨慎。GenAI试点是陆军和国防部(DoD)在各种军事战线上采用人工智能技术的努力的又一步。美国陆军最近投资了5000万美元,用于开发射频识别和语言翻译等领域的人工智能和机器学习(ML)解决方案。
还没有评论,来说两句吧...