近期网安资讯动态盘点(2024-10下)

国内动态/事件盘点

商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单公示

依据《商用密码管理条例》、《商用密码检测机构管理办法》有关规定，国家密码管理局组织对首批商用密码检测机构（商用密码应用安全性评估业务）资质申请开展了技术评审，现对通过技术评审的机构名单进行公示。

公示期间，任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向我局实名提出书面意见（以邮寄方式提交意见的，提交时间以寄出时间为准），所提意见需以纸质形式提供，加盖机构公章或个人签字，附机构身份证明文件或个人身份证复印件，以及相关佐证材料和联系方式。公示不接受匿名反映。

公示时间：自2024年10月28日起，至11月3日止，逾期不再受理。

详见：

https://www.oscca.gov.cn/sca/xwdt/2024-10/28/content_1061207.shtml

国家密码管理局关于做好《电子政务电子认证服务管理办法》实施工作的公告

10月31日国家密码管理局发布公告：2024年9月4日，国家密码管理局公布《电子政务电子认证服务管理办法》（国家密码管理局令第4号，以下简称《办法》），自2024年11月1日起施行。为做好《办法》实施工作，现就有关事项公告如下。

一、按照《办法》第七条、第八条有关规定，现委托各省、自治区、直辖市密码管理部门，新疆生产建设兵团密码管理部门负责受理本行政区域的电子政务电子认证服务机构资质申请，对申请材料进行形式审查，出具受理通知书或者不予受理通知书。自2024年11月1日起，申请人可以向住所地省级密码管理部门提出资质申请。

二、2024年11月1日前已取得电子政务电子认证服务机构资质的单位，应当对照《办法》规定的条件和要求进行全面自查，对存在的问题及时进行整改，并按照《办法》有关规定向住所地省级密码管理部门报送有关事项的备案信息和报告。

三、《电子政务电子认证服务机构资质认定服务指南》在我局门户网站“在线服务—办事指南”栏目公开发布，电子政务电子认证服务机构资质申请、备案、报告等材料模板在我局门户网站“在线服务—下载服务”栏目公开发布。

详见：

https://www.oscca.gov.cn/sca/xwdt/2024-10/31/content_1061208.shtm

国家数据局向社会公开征求《数据领域名词解释》意见

为进一步凝聚共识，推动社会各界对数据领域术语形成统一认识，现就《数据领域名词解释》向社会公开征求意见。此次征求意见的时间是2024年10月21日至11月20日。

详见：

国家数据局发布《可信数据空间发展行动计划（2024—2028年）（征求意见稿）》

2024年10月18日，国家数据局发布了《可信数据空间发展行动计划（2024—2028年）（征求意见稿）》。《行动计划》共五条，强调实施可信数据空间能力建设行动、开展可信数据空间培育推广行动、推进可信数据空间筑基行动，并提出了相关保障措施。《行动计划》提出，要支持建设可信数据空间共性服务体系，降低可信数据空间建设和使用门槛。加快建设数据高速传输网，推动全国一体化算力网建设，支持可信数据空间多主体灵活传输数据资源的需求。引导云服务商构建数据管控能力，实现云上数据可控可管可计量。

详见：

全国数据标准化技术委员会（SAC/TC609）成立

据国家数据局消息，2024年10月28日，全国数据标准化技术委员会（以下简称“全国数标委”）成立大会暨第一次全体委员会议在京召开。

全国数标委主要负责数据资源、数据技术、数据流通、智慧城市、数字化转型等基础通用标准，支撑数据流通利用的数据基础设施标准，以及保障数据流通利用的安全标准等领域国家标准制修订工作。

据介绍，全国数标委秘书处由中国电子技术标准化研究院承担，由国家数据局负责日常管理和业务指导。本次会议审议通过了全国数标委章程、秘书处工作细则、标准制修订工作程序等制度文件，以及全国数标委2024至2025年工作要点、下设工作组组成方案。

详见：

网安标委《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文件印发

落实委员会2024年度工作要点，全国网络安全标准化技术委员会秘书处

组织对《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项委员会制度文件进行了修订，于2024年10月21日印发。

详见：

https://www.tc260.org.cn/front/postDetail.html?id=20241021144234

中国网络空间安全协会：建议系统排查英特尔产品网络安全风险

10月16日，中国网络空间安全协会在微信公号上发文称，英特尔产品漏洞频发、故障率高，建议系统排查英特尔产品网络安全风险。

文章指出：第一，英特尔产品安全漏洞问题频发，无独有偶，2023年11月谷歌研究人员，又披露英特尔CPU存在高危漏洞Reptar；第二，英特尔产品可靠性差，漠视用户投诉；第三，英特尔假借远程管理之名，行监控用户之实；此外，文章还指出，英特尔暗设后门，危害网络和信息安全。

详见：

字节跳动大模型训练被实习生攻击

10月19日，字节跳动商业化内部模型训练遭实习生攻击一事引发广泛关注。据多位知情人士透露，字节跳动商业化技术团队在今年6月遭遇了一起内部技术袭击事件，一名实习生因对团队资源分配不满，使用攻击代码破坏了团队的模型训练任务。

据悉，该事件的主要涉事者为一名田姓实习生所为，他利用了Huggingface（HF）平台的漏洞，在商业化技术内部模型写入了破坏代码，导致模型训练效果忽高忽低，无法产生预期的训练成果。

详见：

https://ishare.ifeng.com/c/s/v002FuQt8AHsc--xA40estuczEe4j5UI3R-_Ptf3Qc--bDsSvo__

国际动态/事件盘点

美国发布首份人工智能安全备忘录

2024年10月24日拜登发布了有史以来第一份关于人工智能（AI）的《国家安全备忘录》（National Security Memorandum）。这份《国家安全备忘录》的基本前提是，在不久的将来，人工智能前沿领域的进展将对国家安全和外交政策产生重大影响。《国家安全备忘录》基于总统和副总统为推动安全、可靠及可信赖的人工智能发展所采取的关键步骤，包括拜登总统发布的具有里程碑意义的行政命令，以确保美国在把握人工智能的前景和管理其风险方面处于领先地位。

《国家安全备忘录》指示美国政府实施具体而有力的措施，以（1）确保美国引领全世界安全、可靠及可信赖的人工智能发展；（2）利用尖端人工智能技术推进美国政府的国家安全使命；（3）推进围绕人工智能的国际共识和治理。

（美国驻华大使馆和领事馆）

欧盟通过网络安全规则增强关键基础设施韧

10月17日，欧盟委员会根据《关于整个欧盟高通用网络安全水平措施的指令》（NIS2指令）通过了关于关键实体和网络安全的第一批实施规则。该实施法案详细说明了网络安全风险管理措施，以及在发生重大事件时，提供数字基础设施和服务的公司应向国家当局报告的情况。该实施法案适用于提供数字服务的特定类别公司，如云计算服务提供商、数据中心服务提供商、在线市场、在线搜索引擎和社交网络平台等。欧盟所有成员国必须在2024年10月17日之前将NIS2指令转化为国家法律，并采取必要的监督和执法措施以符合规则。NIS2指令旨在确保整个欧盟的高水平网络安全，涵盖在对经济和社会至关重要的部门运营的实体，包括公共电子通信服务、数字服务、废水和废物管理、能源、运输等实体。该指令加强了对公司的安全要求，并解决了供应链和供应商关系的安全问题。规则还简化了报告义务，为国家当局引入了更严格的监管措施，并提出了更严格的执法要求，旨在协调会员国之间的制裁制度。（中国信息安全）

美国颁布史上最严数据安全规定

10月22日，美网络安全与基础设施安全局（CISA）宣布了一项极为严苛的数据安全规定，旨在阻止外国敌对势力利用所获得的美政府和公民的敏感数据（包括金融、生物识别、精确地理位置、健康、基因组等数据）来实施网络攻击或及进行监视行动。这项新规主要针对从事受限交易的科技企业，特别是那些处理美政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业，涉及人工智能、云计算、电信和国防在内的多个行业。新规要求企业定期更新与维护资产清单；及时修补并管理漏洞，在14天内修补已知漏洞；动态维护网络拓扑结构；强化身份验证，全面实施多因素认证；加密数据；限制硬件连接等措施。CISA的这一新规标志着美在数据安全领域的重大政策升级，不仅是对美企业内部安全管理的提升，也将对与美有业务关联的全球企业带来深远的影响。

（www.cisa.gov）

中方发布第三份“伏特台风”调查报告，中国报告曝光美网络攻击行动细节

国家计算机病毒应急处理中心等部门10月14日再度发布“伏特台风”调查报告，持续揭露美国政府机构实施的网络间谍和虚假信息行动。报告披露，美国的网络武器设置了“嫁祸”功能。国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室14日发布《伏特台风III——揭密美国政府机构实施的网络间谍和虚假信息行动》（以下简称“伏特台风”调查报告），进一步公开美国联邦政府、情报机构和“五眼联盟”国家针对中国和德国等其他国家及全球互联网用户联合实施网络间谍窃听窃密活动。

报告呼吁，在地缘政治冲突不断加剧的今天，国际间正常的交流恰恰是网络安全行业最需要的，网络安全需要广泛的国际协作，广大网络安全企业和研究机构也应该专注于对网络安全威胁对抗技术的研究以及如何为用户提供更高质量的产品和服务，使互联网在促进人类社会共同发展进步中行稳致远。（环球时报、cverc）

联合国再次发生重大数据泄漏事件，“全球组织”曝光

近日，安全研究员Jeremiah Fowler发现，联合国终止暴力侵害妇女信托基金的数据库在互联网上公开暴露，未设密码保护或访问控制，其中包含超过11.5万份敏感文件。该数据库涉及与联合国妇女署合作或接受其资助的全球组织的详细信息，这些组织遍布多个国家和地区，主要服务于弱势群体。

泄漏的文件包括人员信息、合同、信件，甚至详细的财务审计报告。安全专家警告，这类数据泄露不仅可能影响相关组织运作，还可能将处于高风险的妇女、儿童及LGBTQ群体暴露在更大的危险中。

对于这一问题，联合国妇女署迅速作出反应。一位发言人表示，感谢来自网络安全研究人员的协作，并在内部结合外部发现，迅速采取了控制措施，修复了问题。发言人还指出，目前正在评估如何与可能受到影响的人群沟通，以确保他们保持警惕，并从此次事件中吸取教训，防止未来发生类似事件。（GoUpSec，www.wired.com）

芬兰国家调查局调查银行网络受严重攻击

芬兰国家调查局（NBI）已对金融部门的一系列受网络攻击展开初步调查。

近几个月来，芬兰银行成为网络攻击的目标。特别是，Nordea Bank 在整个秋季遭受了数次分布式的拒绝服务 (DDoS) 攻击。

该银行的服务不断出现问题，他们将其归咎于 DDoS 攻击和技术更新。DDoS 攻击涉及故意向银行网站发送大量流量或发送信息，导致网站崩溃。NBI 正在将此案作为严重电信干扰进行调查。根据有关此事的新闻稿，执法机构表示，正在积极展开调查。

（https://yle.fi/）

日本科技巨头Nidec确认遭勒索软件攻击后数据泄露

10月18日，日本科技巨头Nidec Corporation确认其在今年早些时候遭勒索软件攻击导致数据泄露。黑客通过获取有效的VPN账户凭证访问了涉及机密信息的服务器，共窃取了50694份文件，包括内部文件、商业伙伴来信、绿色采购相关文件、劳动安全与健康政策、商业文件和合同等，并将数据泄露至暗网。遭泄露的数据可能被用于更有针对性的网络钓鱼攻击。8BASE和Everest勒索软件组织声称对此次事件负责。Nidec承认遭泄露的数据来自其系统，但表示不会对其或其承包商造成直接财务损失，也未发现信息被未经授权使用的情况，目前已加强安全措施以降低此类风险。（BleepingComputer）