数据安全域

其他

关于召开“第三届中国石油石化网络安全应用研讨会暨北斗导航能源安全应用技术交流会”的通知

为精准把握石油石化行业积极应对数字经济中网络安全发展的新态势,有效促进网络安全技术自主自强和创新发展,全面筑牢集约、高效、敏捷的网络安全防护体系,持续提升网络安全保障体系和能力,打造石油石化行业北斗导航应用生态圈,推动国产北斗导航规模化、标准化、国际化应用,中国石油学会北斗导航与通信专业委员会定于2023年11月28-30日在广东省深圳市召开“第三届中国石油石化网络安全应用研讨会暨北斗导航能源安全应用技术交流会”。PART1会议主题石油石化网络安全,新时代、新征程PART2会议交流内容(一)网络安全专题1.网络安全发展最新态势和政策解读;2.石油石化工业互联网安全防护体系建设与应用;3.石油石化工业控制系统安全防护体系建设与应用;4.石油石化企业数据安全体系和数据安全能力建设与应用;5.石油石化企业关键信息基础设施安全防护体系建设;6.石油石化网络安全态势感知与监测技术应用;7.石油石化企业网络安全运营中心建设与应用;8.可信计算技术在石油石化企业的应用;9.数据安全关键技术发展现状与应用;10.网络安全主动防御技术发展现状与应用;11.自主可控网络安全防护新技术、新产品;12.石油化工企业云计算安全解决方案;13.石油化工企业工业互联网平台安全解决方案;14.石油化工企业网络安全综合防护体系建设与应用案例;15.网络漏洞防护技术及攻防案例分析;16.卫星网络加密技术在石油石化企业的应用。(二)北斗导航专题1.北斗卫星导航系统技术发展与应用;2.中国石油北斗应用成果及展望;3.北斗+数字孪生应用交流与探讨;4.北斗+室内定位技术应用;5.北斗智能终端设计与研究;6.北斗时空数据治理及智能赋能;7.“北斗+5G”
2023年10月16日
其他

这些网络安全“漏洞”,你堵好了吗?

对网络安全“漏洞”,每天上网的你,了解多少?知道怎样保护自己的个人信息吗?我们一起科普网络安全知识,向安全漏洞、风险隐患说“不”!01漏洞一:个人敏感信息随意泄露一张照片就能泄露全部家庭成员信息,容易给不法人员创造行骗、行窃的机会,尤其是老人、小孩的信息,更要注意保护,包括姓名、幼儿园和学校的地址等。1.“晒娃”要注意有些爱晒孩子的家长没有关掉微信中“附近的人”这个设置,骗子通过微信搜索“附近的人”,轻易就能获取孩子的信息。2.行程要保密外出时,日程安排、行踪等信息要注意保密,不要给犯罪分子行窃的机会。所以,外出期间能够显示姓名、身份证号的车票、护照、飞机票等不要“晒”。3.保护好隐私尽量不要在照片中出现特征明显的东西,例如你的家门钥匙、车牌号码,以及身份证、驾照和护照等证件。02漏洞二:密码过于简单或所有账户使用统一密码对于密码我们都不陌生,每当我们登录论坛、邮箱、网站、网上银行或在银行取款时都需要输入密码,密码的安全与否直接关系到我们的工作资料、个人隐私及财产安全。以下几点要注意:不要所有账户使用同一密码。重要的账户应使用更为安全的密码。偶尔登录的论坛可以设置简单的密码。日常使用的电子邮箱、网上银行、公司信息系统需设置复杂的密码。不要把论坛、邮箱、网上银行、信息系统账户设置成相同密码。下面几个窍门教给大家:第一式:短语拼接自己熟悉的短语,最好有数字有字母,大小写结合;如“5G时代@”转换密码“5Gshidai@”。第二式:整句化散词使用喜爱的诗词拼音首字母加上数字与特殊符号组成密码;如“天生我材必有用”
2023年10月13日
其他

突发!金融监管总局、央行通报金融机构个人信息违规案例

10月10日,金融监管总局、中国人民银行、中国证监会发布金融消费者权益保护典型案例。28个案例中,有2个主要为银行个人信息合规问题,其中一个为人民银行通报,另一个为金融监管总局通报。人民银行通报:金融机构未严格落实消费者金融信息使用管理制度导致客户信息泄露2022年,人民银行发现A银行B分行和C银行D信用卡分中心存在个别员工涉嫌非法贩卖金融消费者账户信息的情形后,迅速对涉事银行启动立案调查。调查发现,A银行B分行和C银行D信用卡分中心未严格有效落实消费者金融信息保护相关法律法规和内控制度,业务系统权限设置不合理,导致涉案员工得以利用职务便利,在未经授权审批且没有合法、正当事由的情况下,通过银行主要业务系统私自查询、记录客户个人信息,并将相关信息对外贩卖。同时,涉事银行日常消费者金融信息保护排查、风险监测、教育培训工作不到位,在发生上述重大事件时亦未及时向当地金融监管部门报告。人民银行相关分支机构依法对A银行B分行和C银行D信用卡分中心给予警告并处以罚款,对其中负有直接责任的管理人员给予个人处罚,责令相关银行积极落实整改并进行全面自查。监管提示:本案中,相关涉案员工因为贩卖客户信息而触犯刑法,并被以侵犯公民个人信息罪判刑。同时,根据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第三十三条“银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序”的规定,A银行B分行和C银行D信用卡分中心未能合理设置系统权限,严格落实信息使用授权审批程序,致使发生个别员工非法查询并贩卖消费者金融信息的情形,侵害了金融消费者信息安全权,应当依据《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)第六十条第(五)项、《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项进行处罚。值得注意的是,在人民银行通报的另一个案例中也提到,E银行F支行为扩大业务规模、冲高业绩指标,违反业务规定和内控制度,擅自使用多年前代收学费时收集到的某高等专科学校已毕业学生个人信息,在缺失客户有效身份证件以及单位证明材料等资料的情况下,通过行内系统以批量方式为1000余人开立Ⅱ类、Ⅲ类银行账户。金融监管总局通报:非法获取或使用消费者个人信息某消费金融公司利用格式合同强制授权,无差别地获取借款人关系人、通讯行为、通讯信息、互联网使用信息等个人信息。某商业银行员工通过虚构业务办理需求,查询公民个人征信报告,累计出售个人征信报告900余份,非法获利20余万元。某保险公司代理人利用客户姓名、身份证号违规查询大量客户理赔信息,涉及个人家庭住址、工作单位、手机号码等敏感信息。监管提示:《银行保险机构消费者权益保护管理办法》明确要求银行保险机构不得采取变相强制、违规购买等不正当方式收集消费者个人信息,禁止从业人员违规查询、下载、复制、存储、篡改消费者个人信息。去年以来,监管部门对违法违规处理消费者个人信息行为进行了专项整治并加大打击力度,指导和督促银行保险机构在充分发挥数据价值的同时切实保护消费者个人信息安全。今年以来,银行涉及信息保护和信用信息合规问题的罚单较多。另外,多家银行的App因侵害用户权益、违规收集个人信息等被省级通信管理局、网信办或工信部通报。来源:银行科技研究社END往期推荐
2023年10月12日
其他

网络安全应急响应典型案例(数据泄漏类)

来源:由数据安全域综合整理,转载请注明数据泄露是一种安全违规行为,其中敏感、受保护或机密数据被未经授权的个人复制、传输、查看、窃取或使用。ISO/IEC
2023年10月12日
其他

浙商银行因信用信息合规等问题被罚,今年此类违规银行已有十余家!

近日,人民银行重庆市分行发布的行政处罚信息显示,浙商银行重庆分行存在6项违法行为,被警告,并被罚款36.8万元。同时,一名相关负责人被罚。6项违法行为分别为:1、违反账户管理规定。2、违反人民币流通管理规定。3、违反国库科目设置和使用规定。4、违反信用信息采集、提供、查询及相关管理规定。5、未按规定履行客户身份识别义务。6、违反金融消费者保护内部控制及其他管理规定。其中,第4项涉及信用信息合规问题。今年以来,银行涉及信用信息合规问题的罚单较多,涵盖国有银行、股份制银行、城商行、农商行、村镇银行等。1、人民银行河南省分行9月8日发布的行政处罚信息显示,浦发银行郑州分行因“违反征信安全管理规定”等5项违法行为,被警告,并被罚款90.8万元。2、原人民银行郑州中心支行8月14日发布的行政处罚信息显示,河南卫辉农商银行因“违反信用信息采集、提供、查询及相关管理规定”等6项违法行为,被警告,并被罚款82.3万元;时任该行信用管理部经理冯某和时任该行业务部经理李某对“违反信用信息采集、提供、查询及相关管理规定”负有责任,分别被罚1万元和1.5万元。河南确山农商银行因“违反信用信息采集、提供、查询及相关管理规定”等7项违法行为,被警告,并被罚款89.55万元;时任该行行长高某对“违反信用信息采集、提供、查询及相关管理规定”等2项违法行为负有责任,被罚款5.2万元。3、原人民银行长沙中心支行8月11日发布的行政处罚信息显示,交通银行湖南省分行因“违反征信信息安全管理要求”等13项违法行为,被警告,并被罚款87.5万元。4、原人民银行长春中心支行7月10日发布的行政处罚信息显示,松原宁江惠民村镇银行因“违反信用信息采集、提供、查询及相关管理规定”,并罚款7万元;时任该行业务二部总经理助理刘某和时任该行业务三部总经理于某对此负有责任,均被罚1万元。5、原人民银行长春中心支行7月7日发布的行政处罚信息显示,吉林银行因“违反信用信息采集、提供、查询及相关管理规定”,被罚款67万元;同时,16人对此负有责任,被罚款1万至4万元不等。6、原人民银行西安分行6月5日发布的行政处罚信息显示,建设银行杨陵区支行因“违反征信管理规定”等2项违法行为,依据《个人信用信息基础数据库管理暂行办法》等规定,被警告,并被罚款7万元。7、原人民银行绍兴市中心支行4月13日发布的行政处罚信息显示,招商银行绍兴分行因“违反征信管理相关规定”等6项违法行为,被警告,并被罚款115.1万元。8、原人民银行长沙中心支行3月22日发布的行政处罚信息显示,湖南泸溪农商银行因“违反个人信用信息基础数据库安全管理要求”“未经同意查询个人信息”等3项违法行为,被罚款76.5万元;时任该行浦市支行征信查询操作员杨某和时任支行行长张某对“未经同意查询个人信息”这一违法违规行为负有责任,分别被罚4万元和8万元。湖南道县农商银行因“提供个人不良信息,未事先告知信息主体本人”等3项违法行为,被罚款67万元。9、原人民银行长沙中心支行2月24日发布的行政处罚信息显示,湖南安仁农商银行因“违反个人信用信息基础数据库安全管理要求”等9项违法行为,被警告,并被罚款515.5万元。10、原人民银行福州中心支行1月30日发布的行政处罚信息显示,厦门银行因“向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人”“因系统原因发生未经授权查询个人信用报告”“个人征信系统征信管理员用户兼任查询用户”“未准确、完整、及时报送个人信用信息”等23项违法行为,被警告,被没收违法所得767.17元,并被罚款764.6万元。莆田农商银行因“向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人”“未经同意查询企业信贷信息”“未完整报送个人信用信息”等10项违法行为,被警告,并被罚款173.8万元。来源:银行科技研究社END往期推荐
2023年10月11日
其他

赋能与挑战:人工智能时代的国家安全

ChatGPT、深度伪造等人工智能技术引发关注以来,屡次因可能增加虚假信息风险遭舆论诟病。ChatGPT
2023年10月11日
其他

招标丨上海理想1415万采购数据安全服务,拱墅区政府、中国联通上海分公司、信通院等采购项目

(北京时间,法定节假日除外)详细信息请查看中国政府采购网http://www.ccgp.gov.cn4、中国联通上海市分公司298.3万采购数据安全监测能力购置项目项目名称:
2023年10月10日
其他

存在数据漏洞风险,南昌市网信办依法对属地某企业作出行政处罚

近日,接上级网信部门通报,南昌市南昌县某企业存在数据漏洞风险,疑似出现删库勒索事件。经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:1.该企业运营的mongodb数据库存在未授权访问安全漏洞;2.该企业未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索;3.该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。该企业的相关行为违反了《中华人民共和国数据安全法》第二十七条、二十九条的规定。南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。南昌市网信办将依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。来源:网信南昌END往期推荐
2023年10月10日
其他

附全文 | 《工业和信息化领域数据安全风险评估实施细则(试行)》发布!

2023年10月9日,为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作,起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》(以下简称《实施细则》),指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作。有关情况说明如下:一、编制背景数据安全风险评估是做好重要数据和核心数据监管与保护工作的重要一环。《数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。《管理办法》提出了“工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告”的具体细化要求。为进一步细化行业数据安全风险评估规则,规范风险评估活动,有效提升重要数据和核心数据保护水平,我们研究起草了《实施细则》。二、主要内容《实施细则》共十七条,确定了部省两级数据安全风险评估工作体系,细化了重要数据和核心数据处理者的评估义务,明确了行业主管部门监督管理评估活动的机制流程。主要内容包括:(一)关于适用范围及管理职责(第一至四条)。界定《实施细则》适用于工业和信息化领域重要数据、核心数据处理者对其数据处理活动的安全风险评估,明确工业和信息化部、地方行业监管部门的职责分工,并确立风险评估工作原则。(二)关于评估对象和内容(第五条)。明确评估对象为数据处理活动中涉及的目的和场景、管理体系、人员能力、技术工具、风险来源、安全影响等要素,并按照以上要素细化了具体评估内容。(三)关于评估机制要求(第六至十条)。提出了评估期限、重新申报评估的情形、可采取的评估方式,并对委托评估、评估协作、风险控制和评估报告报送等作出要求。(四)关于审核、监督和管理制度(第十一至十五条)。明确评估报告审核、评估机构认定、评估机构义务、监督检查、机构监管等要求,并提出建立支撑行业监管工作的第三方评估机构库。(五)关于保密等其他要求(第十六至十七条)。明确行业监管部门及委托支撑机构的工作人员的保密义务,提出涉及军事、国家秘密信息等数据处理活动参照有关规定执行。以下为实施细则全文工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)第一条【目的依据】根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规、政策文件有关要求,引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,制定本细则。第二条【适用范围】本细则适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。一般数据处理者可参照本细则开展数据安全风险评估。第三条【管理机构】工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作,组织开展相关评估标准制修订及推广应用。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。工业和信息化部及地方行业监管部门统称为行业监管部门。第四条【工作原则】重要数据和核心数据处理者按照及时、客观、有效的原则开展数据安全风险评估,形成真实、完整、准确的评估报告,并对评估结果负责。第五条【评估内容】重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:(一)数据处理目的、方式、范围是否合法、正当、必要;(二)数据安全管理制度、流程策略的制定和落实情况;(三)数据安全组织架构、岗位配备和职责履行情况;(四)数据安全技术防护能力建设及应用情况;(五)数据处理活动相关人员的数据安全意识、知识技能、从业背景情况;(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;(七)涉及数据提供、委托处理、转移的,数据提供方、接收方的安全保障能力、诚信守法和责任义务约束情况;(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求落实情况;已通过国家有关部门组织的数据出境安全评估且在有效期内的,实际数据出境的规模、范围、种类、敏感程度等要素与申报事项的符合情况。第六条【评估期限】重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。在有效期内出现以下情形之一的,重要数据和核心数据处理者对发生变化及其影响的部分,重新开展数据安全风险评估,并更新评估报告:(一)拟新增跨主体提供、委托处理、转移重要数据或者核心数据的;(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的;(三)发生涉及重要数据、核心数据的安全事件的;(四)行业监管部门要求进行评估的其他情形。第七条【评估方式】重要数据和核心数据处理者可以自行或者委托具有工业和信息化数据安全工作经验的第三方评估机构开展评估。评估过程应当建立至少包括组织管理、业务运营、技术保障、安全合规等人员的专业化评估团队,制定完备的评估工作方案,配备有效的技术评测工具。第八条【委托评估】重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估的,可以通过订立合同或者其他具有法律效力的文件,明确双方的权利和责任,向第三方评估机构提供必需的材料和条件,确保相关材料的真实性和完整性,并确认评估结果。第九条【风险控制】重要数据和核心数据处理者对评估中发现的数据安全风险隐患,及时采取适当措施消除或降低风险隐患。第十条【评估报送】重要数据和核心数据处理者在评估工作完成后的10个工作日内,向本地区行业监管部门报送或更新评估报告。中央企业督促指导所属企业履行属地数据安全风险评估及评估报告报送要求,并将梳理汇总的企业集团本部、所属公司的评估报告报送工业和信息化部。根据工作需要,地方行业监管部门将本地区本领域重要数据和核心数据处理者的评估报告报送工业和信息化部备案。第十一条【报告审核】行业监管部门根据管理需要,可以自行或委托专业机构对评估报告进行审核,发现不符合国家及行业有关规定和标准的,通知重要数据和核心数据处理者改正。涉及跨境提供、转移、委托处理重要数据和核心数据的,或者跨主体提供、转移、委托处理核心数据的,地方行业监管部门对评估报告审查后,报工业和信息化部。工业和信息化部按照国家有关规定进行复核。第十二条【评估机构认定】鼓励具有工业和信息化领域数据安全工作经验的认证机构开展第三方评估机构的能力认证。相关认证机构配备相应的人员和技术保障能力,建立第三方评估机构能力评定制度,明确第三方评估机构在管理体系、人员能力、工具设施、评估领域等方面的规范要求,跟踪管理第三方评估机构的服务质量,督促第三方评估机构独立、公正、客观、科学的开展数据安全风险评估工作。第十三条【评估机构义务】第三方评估机构应当履行下列义务:(一)对评估工作中知悉的国家秘密、重要数据和核心数据的目录与内容、商业秘密、个人隐私等严格保密;(二)严格按照国家法律法规、行业监管部门有关规定以及评估标准,公正、独立地开展评估并出具评估报告,全面、准确地反映重要数据和核心数据处理者的数据安全风险状况,提供务实有效的风险整改建议措施;(三)除重要数据和核心数据处理者明确同意或者法律、行政法规另有规定外,不得向其他组织或个人提供其收集掌握的技术保护措施、关键岗位人员和安全风险等相关信息。第十四条【监督检查】工业和信息化部根据技术能力、人员配备、信誉资质等情况,择优遴选通过能力评定的第三方评估机构,建立工业和信息化领域数据安全风险评估支撑机构库。地方行业监管部门可以参照建立本地区数据安全风险评估支撑机构库。行业监管部门根据工作需要,可以自行或委托数据安全风险评估支撑机构库中的机构,对重要数据和核心数据处理者的数据处理活动开展专项风险评估,或对重要数据和核心数据处理者的风险评估工作落实情况进行监督检查。重要数据和核心数据处理者对行业监管部门开展的专项风险评估及监督检查予以配合,并对评估发现的相关问题及时进行改正。第十五条【机构监管】行业监管部门对于违反国家认证认可相关规定的认证机构,将相关线索移交市场监督管理部门处理。行业监管部门对第三方评估机构的评估活动进行监督管理,对违反法律法规、未按行业规定和标准开展评估活动、未履行保密义务的第三方评估机构,视情按照规定权限和程序进行约谈、通报或指导相关认证机构撤销认证。第十六条【保密要求】行业监管部门及委托支撑机构的工作人员对在履行职责中知悉的国家秘密、商业秘密、个人信息、评估工作信息等,负有保密义务。第十七条【其他规定参照】涉及军事、国家秘密信息等数据处理活动,按照国家有关规定执行。点击“阅读全文”查看官方内容来源:工业和信息化部网络安全管理局
2023年10月9日
其他

全球网络安全专家联名抗议欧盟“24小时”漏洞披露规定

近日,来自Google、电子前沿基金会、CyberPeace
2023年10月8日
其他

10种新兴网络安全威胁和攻击手法

专业网络媒体CRN访谈了Huntress、CrowdStrike、Zscaler、Mandiant、Microsoft和Cisco等多家公司的专业安全研究人员,并整理出当前值得关注的10种新兴威胁趋势和黑客攻击手法。2023年,网络威胁领域呈现出一些新的发展趋势,攻击类型趋于多样化,例如:从MOVEit攻击可以看出勒索攻击者开始抛弃基于加密的勒索软件,转向窃取数据进行勒索;同时,攻击者们还减少了对传统恶意软件的依赖,转向利用远程监控和管理(RMM)等合法工具;此外,为了绕过端点检测和响应(EDR)的防护,基于身份的攻击还在继续激增。日前,专业网络媒体CRN访谈了Huntress、CrowdStrike、Zscaler、Mandiant、Microsoft和Cisco等多家公司的专业安全研究人员,并整理出当前值得关注的10种新兴威胁趋势和黑客攻击手法,涉及了网络钓鱼和社会工程、数据窃取和勒索以及软件供应链攻击等多个方面。01最小破坏性攻击安全研究人员发现,今天的攻击者更加关注窃取数据和获取利益,因此他们在实施网络攻击时,会尽量避免给受害者带来严重的破坏,因此不再使用大范围加密数据的攻击模式,而是选择最小破坏性的攻击手法。研究人员甚至发现,一些攻击者在进行攻击的同时,还会将自己重新塑造成一种“安全顾问”的角色。一些勒索软件攻击者在完成勒索攻击后,甚至还推出了“安全顾问服务”,他们会为被攻击的企业提供付费版安全性审计报告,概述如何更有效地保护企业网络系统环境。通过这些方式,攻击者似乎在向受害者表明,他们其实是在“帮助”企业,而不是在搞破坏。02新型勒索软件攻击2023年网络威胁领域的一个新动向是,由于获得了访问泄露源代码和应用构建工具的权限,各大勒索攻击团伙开始不断改进攻击手法和模式,使得新一代勒索软件攻击变得更加复杂和更有针对性。在面对新型勒索软件攻击时,大多数企业组织会处于极度弱势,根本难以招架。美国联邦调查局(FBI)在9月份发出警告,提醒企业组织关注勒索软件威胁出现了两个新趋势,第一个新趋势是威胁组织对同一受害者接连进行多次勒索软件攻击,并且攻击时间挨得很近。这类攻击通常会部署多种不同的勒索软件变体;第二个新趋势是,勒索软件威胁分子在攻击过程中采用新的手法来破坏数据,部署擦除器工具,试图向受害者施压。03向受害者更大施压攻击者们普遍认为,只有向受害企业实施更大的压力,他们才会更好满足自己提出的赎金要求。以勒索犯罪组织Clop为例,该组织实施了今年最大规模勒索攻击之一的MOVEitluo活动。在攻击活动中,Clop一直在尝试不同的方法来发布和推送这些信息。最传统的方式是在开放的互联网上搭建泄密网站,但这类网站很容易被识别和阻止,因此攻击者们开始提供被盗数据种子文件,并采用去中心化的分发系统,这些种子文件更难被删除,而且下载起来更快。04为了利益的结盟合作在最近针对赌场运营商米高梅(MGM)和凯撒娱乐的攻击活动中,研究人员发现了许多令人担忧的因素,攻击者不仅利用社会工程伎俩欺骗了IT服务台,成功获取到非法的访问权限,同时,另一个更加令人不安的动向是,两起攻击事件的背后都有多个攻击组织的合作,包括讲英语的Scattered
2023年10月8日
其他

3.14GB数据被盗!索尼证实今年两次重大数据泄露

2023年10月5日,据外媒报道,索尼证实今年早些时候遭遇了两次重大数据泄露,可能导致大量个人信息泄露。据介绍,第一次数据泄露发生在今年5月28日,由Clop勒索软件集团通过MOVE
2023年10月7日
其他

工信部:2023年工业和信息化领域数据安全典型案例遴选工作正式启动

工业和信息化部近日印发通知,组织开展2023年工业和信息化领域数据安全典型案例遴选工作。将面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选,按照技术先进、特点突出的原则,挖掘行业广泛认可、企业应用效果良好的案例,树立行业标杆、扩大产业影响,促进数据安全产品、应用和服务的示范推广,全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则,将案例划分为“工业领域”“电信和互联网领域”进行征集,每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括:数据安全基础共性方向、数据安全监测分析方向、数据安全体系整体设计实施方向以及其他方向。关于组织开展2023年工业和信息化领域数据安全典型案例遴选工作的通知为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,充分发挥典型案例在数据安全产业发展中的示范引领作用,切实增强工业和信息化领域数据安全保障水平,现组织开展2023年工业和信息化领域数据安全典型案例遴选工作。有关事项通知如下:PART1工作目标面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选,按照技术先进、特点突出的原则,挖掘行业广泛认可、企业应用效果良好的案例,树立行业标杆、扩大产业影响,促进数据安全产品、应用和服务的示范推广,全面推动数据安全能力建设和创新发展。PART2工作组织工业和信息化部统筹推进案例遴选工作,组织开展形式审查、专业初审和专家评审,并协调解决案例遴选过程中的重点难点问题。各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,以及有关中央企业(以下统称推荐单位)负责本地区、本企业数据安全典型案例的推荐及上报等工作。PART3申报要求1
2023年10月7日
自由知乎 自由微博
其他

国家网信办发布《规范和促进数据跨境流动》征求意见稿

9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知,进一步规范和促进了数据的依法有序自由流动。《规定》中提到:第五条、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。第六条、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。规范和促进数据跨境流动规定(全文)(征求意见稿)
2023年9月28日
其他

麦克风窃取用户隐私的背后技术是什么?

Nearby也把超声波技术融入到现有的无线标准中。除了Android上的应用(如,美国联合航空公司和药品零售商CVS的娱乐和照片服务),Google
2023年9月28日
其他

​盘点|2023年上半年全球重大网络攻击事件回顾

全球重大网络安全事件频发,勒索软件攻击、关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络犯罪威胁持续上升。同时,随着网络攻击的敏捷化和产业化,网络攻击成本在不断降低,攻击方式也更加先进,对国家安全造成严重威胁。本文按行业进行分类整理了7种类别对网络攻击事件进行回顾,其中2023年上半年攻击事件主要集中在医疗、交通、企业三方面。来源:由数据安全域综合整理,转载请注明01教育01、5月31日,希腊教育部遭受了该国历史上最严重的网络攻击,攻击旨在瘫痪希腊高中考试平台。希腊教育部表示,这次分布式拒绝服务(DDoS)攻击已经进入第二天,试图超过考试平台的运转负荷。来自114个国家的计算机共同发起攻击,导致高中考试中断和延迟,但未能使系统瘫痪。02、6月13日,德国知名大学卡尔斯鲁厄应用技术大学(HS
2023年9月27日
其他

IBM安全团队:82%数据泄露来自云 云漏洞一年增加194%

IBM最近发布了2023版本《云威胁形势报告》,报告由IBM
2023年9月26日
其他

央行发布《金融信息系统网络安全风险评估规范》,12月1日实施

中国人民银行发布《金融信息系统网络安全风险评估规范》(GB/T
2023年9月26日
其他

“两高一部”联合印发《关于依法惩治网络暴力违法犯罪的指导意见》

人民法院、人民检察院、公安机关要充分认识网络暴力的社会危害,坚持严惩立场,依法能动履职,为受害人提供有效法律救济,维护公民合法权益,维护公众安全感,维护网络秩序。《指导意见》中提到:依法惩治侵犯公民个人信息行为。组织“人肉搜索”,违法收集并向不特定多数人发布公民个人信息,情节严重,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪定罪处罚;依照刑法和司法解释规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。依法惩治拒不履行信息网络安全管理义务行为。网络服务提供者对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播或者有其他严重情节,符合刑法第二百八十六条之一规定的,以拒不履行信息网络安全管理义务罪定罪处罚;依照刑法和司法解释规定,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。指导意见全文最高人民法院
2023年9月25日
其他

全国学生清算中心数据泄露影响到大约900所美国学校

全国学生清算中心(NSC)是一家总部位于美国的非营利组织,为教育机构、雇主和其他组织提供教育验证和报告服务。该组织披露了一起数据泄露事件,影响了大约900所使用其服务的美国学校。此安全漏洞是由于对MOVEit托管文件传输(MFT)中的漏洞进行网络攻击所导致的。该攻击是在五月底针对全球组织的大规模MOVEit黑客攻击活动的结果。根据与加州总检察长办公室分享的数据泄露通知信中所述:“2023年5月31日,我们的第三方软件供应商Progress
2023年9月25日
其他

两家银行小程序涉违规收集个人信息被点名!

近日,广东省通信管理局公开通报25款未按要求完成整改App。其中包含2家银行的应用,分别为珠海农商银行悦农e付商户助手、广东揭阳农村商业银行榕江e贷,均为微信小程序,且所涉问题均为“违规收集个人信息”。其中,广东揭阳农村商业银行榕江e贷微信小程序于2021年5月27日注册。据介绍,“榕江e贷”智能零售信贷平台,是满足客户合法消费或生产经营的个人贷款平台项目。而珠海农商银行悦农e付商户助手微信小程序则未能搜索到结果。据悉,依据《个人信息保护法》《网络安全法》等法律法规,按照工信部《关于进一步提升移动互联网应用服务能力的通知》等工作部署,广东省通信管理局持续开展App隐私合规和数据安全专项整治行动,近期共监测发现114款App存在侵害用户权益和安全隐患问题,发出《违法违规App处置通知》责令App运营者限期整改,并通知相关应用商店协助督促App运营者整改。截至通报之时,尚有25款App未完成整改,因此予以通报。被通报的App应在9月21日前完成整改并反馈工作。逾期不整改的,该管理局将依法依规采取下一步处置措施。今年以来有多家银行旗下App因侵害用户权益,被省级通信管理局通报。相关案例:7月,深圳南山宝生村镇银行旗下宝生创客贷微信小程序被广东省通信管理局通报。5月26日,山西银行App、晋商银行App、山西省农信社旗下的晋享生活App被山西省通信管理局通报。4月20日,兰州银行旗下2款App,兰州银行企业版App、兰州银行App被甘肃省通信管理局通报。3月31日,宁波鄞州农商行旗下的鄞州银行手机银行被浙江省通信管理局通报。另外,吉林银行App等应用则曾被工信部通报。来源:安知迅END往期推荐
2023年9月24日
其他

交通运输部:推进公路数字化转型,加快智慧公路建设

全球新一轮科技革命和产业变革深入发展,数字经济、人工智能等新技术、新业态已经成为促进经济社会发展的新动能。推进人工智能、物联网、大数据等新一代信息技术与交通运输深度融合发展,是推动交通运输质量变革、效率变革、动力变革的新机遇,也是加快建设交通强国的重要任务。习近平总书记高度重视发展数字经济、智慧交通。李强总理在国务院第三次集体学习时强调“协同推进数字产业化和产业数字化,促进数字技术和实体经济深度融合”。交通运输部党组多次进行研究部署,李小鹏部长最近发表署名文章,强调“大力发展智慧交通,为交通当好中国式现代化的开路先锋持续注入新动能”。《意见》共八个部分、30项内容,主要包括总体要求2项、主要任务六方面22项、保障措施6项。主要任务即“六提升、五推动、一筑牢”,包括提升设计施工、养护业务、路网服务、政务服务、技术标准、基础支撑的数字化水平,推动智慧建造、智慧养护、智慧出行、智慧治理、标准升级,筑牢数字底座。PART1数据治理与数据安全《意见》提出构建农村公路数字化综合监管体系。应用建设期资料和相关数据资源,结合日常巡检和路况检测、数字扫描和快速建模等技术,逐步推进农村公路数字化,完善基础设施数据库、高质量发展评价体系和养护管理数字化系统,构建部省两级农村公路数字化综合监管体系,实现农村公路“一张图”管理。构建公路安全应急数字管控体系。利用公路数字模型,完善公路基础设施安全监测预警体系。加强自然灾害综合风险公路承灾体数据库动态更新,提升地质灾害易发路段安全预警保障能力。推动应急管理多元数据汇聚融合,构建“公路综合风险一张图”,强化风险辨识和智能感知能力,逐步实现重要通道灾害事故仿真推演、灾情研判、应急预案、辅助决策智能化。推动应急信息共享。构建智慧路网监测调度体系。探索路网运行大数据、人工智能、机器视觉及区块链、北斗、5G等技术深度融合应用,建立实时交通流数字模型和重点区域路网信息智能处理系统,为出行规划和路网调度提供精准服务。在优化完善部省站三级监测调度体系的基础上,构建现代公路交通物流保障网络,实现会商调度、快速协同,人享其行、物畅其流,为公众安全出行提供有力支撑。《意见》提出要提升公路政务服务数字化水平,推动智慧治理。建立健全市场主体数据库。优化公路从业单位和从业人员信息库,规范信用录入审核机制,推动资质、业绩、信用、人员等信息联动管理,促进数据互联互通共享,不断提升业务协同能力。提升“一网通管”监管能力。完善“互联网+监管”模式和部省两级公路市场监管系统,加强对市场主体市场行为的数字化监管,强化招投标及合同履约、转包、违法分包等市场分析、自动研判、智能预警能力,推动招投标及监管数字化。构建农民工实名制系统。加快数字治超、非现场执法站点规划部署及联网。提升“一网通办”的政务服务水平。完善“互联网+政务服务”模式,在国家综合交通运输信息平台框架下强化部省两级公路政务服务联动,完善公路相关许可网上办理流程,推进跨省大件运输并联许可“掌上办”。不断改进涉企服务和个人服务,及时发布涉企政策。以数字化推动审批监管制度重塑。以公路行业全链条数字化推动公路建设、养护、运行管理以及服务等流程再造、规则重塑、政策机制完善,促进公路审查、审批、监管制度变革,逐步构建适应数字公路的规则与政策体系。《意见》提出夯实智慧公路高质量发展基础,加快构建行业大数据应用和网络数据安全保障体系与生态。建设完善公路基础数据库。依托国家综合交通运输信息平台部省联动建设,整合公路领域各类既有重点业务信息系统,依托建设与养护数字化,逐步完善公路基础数据库,支撑国家综合交通运输信息平台调度指挥、运行监测、政务服务等功能,全面提升公路服务和管理数字化水平。全面推广公路大数据技术应用。强化公路大数据共建共享、深度融合应用,加快构建与完善相关应用模型和专业算法,发挥数据潜能,强化数据分析、信息提炼、智能深度学习、智慧交互等功能,有力支撑公路数字化转型和产业化升级,壮大公路数字经济。强化公路数字化安全防护体系。按照“谁主管、谁负责”的原则,完善公路数据安全管理制度,强化数据安全分级分类管理、监测预警与应急响应能力,加强商用密码等基础技术应用,构建智慧公路安全防护体系。PART2意见图解来源:交通运输部END往期推荐
2023年9月22日
其他

国常会审议通过未成年人网络保护条例,儿童上网受哪些保护?

9月20日播出的《新闻联播》节目,国务院总理李强主持召开国务院常务会议,审议通过《未成年人网络保护条例(草案)》。会议指出,要筑牢未成年人网络保护的法治支撑,推动各有关方面严格落实未成年人网络保护责任,引导支持相关企业积极落实条例,做到合规经营,促进未成年人健康成长。国家网信办发布的《未成年人网络保护条例(征求意见稿)》于去年3月公开征求意见,其对加强未成年人网络素养促进、网络信息内容规范、未成年人个人信息网络保护、未成年人网络沉迷防治等方面作出规定。有专家表示,征求意见稿细化了《未成年人保护法》中有关“网络保护”相关内容,明晰了不同情形的法律责任,便于社会各方关于未成年人网络保护的推进。去年3月公开征求意见,细化未保法相关内容2022年3月,国家网信办发布《未成年人网络保护条例(征求意见稿)》,时隔五年再次向社会公开征求意见。南都记者注意到,征求意见稿对社会普遍关切的未成年人网游沉迷、天价充值打赏、网络欺凌、应援集资等热点问题予以规制。征求意见稿明确了未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者应当履行的义务。具体而言,包括提供青少年模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务;成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督等。同时,重要互联网平台服务提供者在互联网平台服务的设计、研发、运营等阶段,应充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估;每年发布专门未成年人网络保护社会责任报告,并通过公众评议等方式接受社会监督。由于心智尚未发育健全、自我保护意识和能力不足,青少年更容易成为网络暴力、网络欺凌问题的受害者。对此,征求意见稿规定,遭受网络欺凌的未成年人及其监护人有权通知网络产品和服务提供者采取删除、屏蔽、断开链接、限制账号功能、关闭账号等必要措施。网络产品和服务提供者接到通知后,应当及时采取必要措施予以制止,防止信息扩散。针对近年来屡见不鲜的未成年人打赏纠纷、非理智追星现象等,明确网络服务提供者应当采取措施,合理限制未成年人在使用网络产品和服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务;不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动等。北京青少年法律援助与研究中心主任佟丽华曾评价,征求意见稿不但细化了《未成年人保护法》中有关“网络保护”相关内容,还明晰了不同情形的法律责任,便于社会各方关于未成年人网络保护的推进。“从立法角度来说,规定得越具体明确,越便于企业、学校、家长、政府、社会等相关方去实施。”直播、游戏、青少年模式……近年监管动作不断随着移动互联网的普及和发展,未成年人拥有一台自己的手机、深度参与网络生活的情况已十分常见,如何打造对未成年人友好的网络环境成为各方关注重点。今年6至7月,南都记者随机选取头部、中部、尾部共12款网络社交类App,对平台内容生态治理情况等进行实测。结果显示,大多数被测App设置的适用年龄门槛形同虚设,用户任意填写18周岁及以上年龄,即可绕过App年龄验证环节。在“青少年模式”逐渐成为App“标配”的当下,仍有4款App没有建立这一模式,其中还包括头部App。在8款设有青少年模式的App中,部分App在开启该模式后,被禁用一切功能,用户无法进行任何操作,只能关闭“青少年模式”或者退出App;有App的青少年内容池仅有少量创作内容,且在测评开展的一周内几乎没有更新。为了解决“青少年模式”内容单一、覆盖程度不够等问题,8月2日,国家互联网信息办公室发布关于《移动互联网未成年人模式建设指南(征求意见稿)》。该征求意见稿的一大亮点在于“分龄原则”,分别以3周岁、8周岁、12周岁、16周岁和18周岁为界划定范围。同时将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由App扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。除此以外,监管方面近年来频频出手,在易对未成年人造成不良影响的重点领域,不断加大未成年人网络保护力度。更早之前,2020年11月,国家广播电视总局网站发布通知,明确网络秀场直播平台要对网络主播和“打赏”用户实行实名制管理。未实名制注册的用户、未成年用户不能打赏。2021年8月,国家新闻出版署下发《关于进一步严格管理
2023年9月22日
其他

个人信息是如何泄露并被利用的?揭开贷款中介背后的黑灰产业链

个人信息被泄露以及由此带来的麻烦甚至骚扰是非常常见的事情了,但是我们的信息究竟是怎样泄露的,又是怎样到了不法分子手里的呢?上海市市场监督管理局查处的一系列贷款中介黑色链条案,比较完整地揭开了个人信息从被泄露到被利用的过程。上海市市场监管局执法总队十四支队副支队长
2023年9月21日
其他

《敏感个人信息处理安全要求(征)》促使数据安全治理效能提升

数据安全治理落地难题人脸识别和健康码在疫情防控中提供了高效的手段,同时也引发了人们对收集和处理人脸信息等生物识别信息边界的关注。《个人信息保护法》规定所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。国家高度重视个人隐私保护,密集颁布系列法律、法规、标准保障个人信息安全。对个人信息处理过程进行有效治理,促进个人信息合理利用与保护隐私并重,成为企业(组织)进行数据安全治理的又一关键目标。首先不同行业使用个人信息的情况不同,应对趋势也不同。一是金融、运营商行业,作为个人信息存储与处理的大户,在个人信息处理合规的落地上将一如既往走在市场前列,更为迅速和彻底。二是医疗与教育行业,作为个人信息密集处理和存储场所,在个人信息保护上的监管与落地动作必然更为精准。三是互联网企业把个人信息保护作为企业发展的重要风控管理对象的趋势将更为明显。四是外企与出海企业,跨境数据流动中涉及个人信息和敏感个人信息的合规落地将成为其迫在眉睫的重要事务,应采取个人信息标准合同备案或跨境数据安全评估。由于敏感个人信息与自然人的人格尊严等基本权利、重大人身利益和财产利益具有极为密切的联系,对此类个人信息的处理会对自然人的基本权利和人身财产安全产生重大风险,《个人信息保护法》对敏感个人信息的处理进行了专门规定。敏感个人信息的保护是我国《个人信息保护法》的重要内容之一,企业在处理敏感信息时会面临如下难题:1.
2023年9月21日
其他

浦发银行因违反征信安全管理规定等 被罚90万

近日,根据人民银行河南省分行发布的行政处罚信息显示,浦发银行郑州分行因存在5项违法行为,被警告,并被罚款90.8万元。同时,2名相关负责人均被罚款。5项违法行为分别为:1、未按规定履行客户身份识别义务;2、与身份不明的客户进行交易;3、违反人民币流通管理规定;4、违反征信安全管理规定;5、违反金融产品和服务信息披露管理规定。今年以来人民银行针对商业银行涉及违反征信相关管理规定开出的多张罚单:1、原人民银行福州中心支行1月30日发布的行政处罚信息显示,厦门银行因“向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人”“因系统原因发生未经授权查询个人信用报告”“个人征信系统征信管理员用户兼任查询用户”“未准确、完整、及时报送个人信用信息”等23项违法行为,被警告,被没收违法所得767.17元,并被罚款764.6万元。2、人民银行福州中心支行1月30日发布的行政处罚信息显示,莆田农商银行因“向金融信用信息基础数据库提供个人不良信息未事先告知信息主体本人”“未经同意查询企业信贷信息”“未完整报送个人信用信息”等10项违法行为,被警告,并被罚款173.8万元。3、人民银行长沙中心支行2月24日发布的行政处罚信息显示,湖南安仁农商银行因“违反个人信用信息基础数据库安全管理要求”等9项违法行为,被警告,并被罚款515.5万元。4、人民银行绍兴市中心支行4月13日发布的行政处罚信息显示,招商银行绍兴分行因“违反征信管理相关规定”等6项违法行为,被警告,并被罚款115.1万元。5、人民银行西安分行6月5日发布的行政处罚信息显示,建设银行杨陵区支行因“违反征信管理规定”等2项违法行为,依据《个人信用信息基础数据库管理暂行办法》等规定,被警告,并被罚款7万元。6、人民银行长春中心支行7月7日发布的行政处罚信息显示,吉林银行因“违反信用信息采集、提供、查询及相关管理规定”,被罚款67万元。同时,16人对此负有责任,被罚款1万至4万元不等。来源:安知迅END往期推荐
2023年9月20日
其他

盘点 | 国内地方数据安全相关条例专章

《数据安全法》实施两年来,我国数据安全领域立法进程突飞猛进,逐渐深入且更加细化,行业性数据安全政策文件、法律法规等陆续出台,并且一些地方性法规在落实国家上位法基础上,结合当地实际,有针对性地建立更具体的数据安全保护制度。来源:由数据安全域综合整理自各地相关政策文件,转载请注明各地数据安全相关条例专章NO.1天津市促进大数据发展应用条例-第六章数据安全第四十六条
2023年9月20日
其他

附下载 |《中国网络安全产业分析报告 (2023年)》

2023年9月16日,2023年国家网络安全宣传周“网络安全服务产业发展分论坛”在福州召开。论坛上,中国电子技术标准化研究院副院长刘贤刚介绍《中国网络安全产业分析报告(2023年)》。中国网络安全产业联盟(CCIA)依托行业力量,连续六年联合国内知名网络安全研究机构数说安全,调研国内近300家网络安全企业,追踪产业热点,刻画产业图景、研判发展趋势,完成《中国网络安全产业分析报告(2023年)》(以下简称“《报告》”)。《报告》坚持发展思维,尊重产业发展客观规律,以科学、严谨、中立的视角,深入剖析我国网络安全产业面临的国内外形势,以数据为基础,以企业为核心,从政策、技术、服务、资本、市场等多个方面,对网络安全法律法规、政策标准、产业现状、竞争格局、资本市场和发展热点等进行了全面详实的分析。在此基础上,对我国网络安全产业未来数年的发展进行了展望,希望能够为网络安全政策制定部门、监管机构、从业人员、行业组织、研究机构等提供参考。后台回复“0919”,获得完整报告!核心发现2022年,我国网络安全市场规模约为633亿元,同比增长3.1%,增长态势延续,增长率稳中趋缓。随着疫情平稳转段、网络安全相关政策法规和标准规范相继落地、网络安全治理日臻完善、网络安全技术加快迭代升级等正向激励效能显现,网络安全企业数量有所增长,网络安全市场需求持续扩大。预计未来三年产业增速将保持在10%以上,到2025年市场规模预计将超过800亿元。当前,全球经济进入下行通道,政府财力和企业利润空间进一步压缩,导致其对网络安全投入减少,网络安全市场需求萎靡,这削弱了网络安全企业盈利能力。国内主要网络安全企业迎难而上,以积极心态迎接市场挑战,不断加大研发和销售投入,新技术、新应用、新业务不断涌现。同时,数字经济发展进入快车道,开辟了更多网络安全产业“新赛道”,应用场景安全需求、新基建安全需求、新技术安全需求释放,为网络安全产业加速发展注入了新动力。国内对网络安全的重视程度、项目投入和客户分布呈现出一致性,经济发展状况与网络安全市场分布具有高度相关性。华北、华东和华南仍是网络安全投入高、客户分布相对集中的区域。2022年,网络安全企业在以上三个区域的合计收入占比达到71%。同时,网络安全企业积极响应共建“一带一路”倡议,加快探索海外市场。领军企业海外业务发展良好,创新型企业积极尝试突破,并取得一定成绩,海外市场占比小幅提升,预计未来海外市场将成为我国网络安全企业新的业务增长点。2022年以来,三未信安、亚信安全、浩瀚深度、永信至诚、盛邦安全相继登录科创板。2022年,网络安全行业投融并事件共有124起,融资额为67.8亿元,同比有所回落。投资机构对于成长期和中后期网络安全项目的投资更趋谨慎,早期项目获投数量增长较快。随着注册制改革加速及北交所开市,网络安全投资退出通道进一步丰富,将对网络安全投资产生正向激励。2023年,网络安全产业涌现10个发展热点,分别是生成式人工智能、人工智能对抗攻防技术、量子安全技术、云原生安全、网络安全保险服务、安全审计和合规性服务、网络安全防护有效性验证服务、云密码服务、数据安全治理,以及软件供应链安全治理。网络安全产业服务化发展趋势更加凸显。2023年上半年,服务型企业数量同比增长32.5%,成为网络安全市场扩容的主要力量。行业领军企业正在向“产品+服务”综合解决方案提供商转变,用户企业愈发看重网络安全服务的有效性、持续性和体系化,网络安全运营、安全审计和合规性服务、云密码服务等网络安全服务的重要性更加凸显。后台回复“0919”,获得完整报告!后台回复“0919”,获得完整报告!来源:中国网络安全产业联盟(CCIA)END往期推荐
2023年9月19日
其他

微软特大泄漏事件!AI研究人员意外泄露38TB内部数据,包括私钥、密码!

也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。Wiz
2023年9月19日
其他

两单位违反《数据安全法》,北京网安依法给予行政处罚!

2021年9月1日《中华人民共和国数据安全法》施行以来,北京市公安局网安部门按照“依法管网、依法治网”的思路,加大对《中华人民共和国数据安全法》的宣传力度,教育首都广大互联网企业积极学习贯彻《中华人民共和国数据安全法》,推进依法治企,同时依据《中华人民共和国数据安全法》加大行政处罚力度。近期,北京昌平、朝阳网安部门充分运用《中华人民共和国数据安全法》,对未制定数据安全管理制度、未充分落实网络安全管理等级保护制度的相关违法企业依法给予行政处罚,起到了良好的警示教育效果。2023年6月7日,昌平网安部门工作中发现,辖区内某软件有限公司研发的“某数据分析系统”存在数据泄露隐患。经查,该公司研发的“数据分析系统”内存有用户姓名、基因数据等数据信息。通过进一步核实,该系统内数据信息未采用加密措施,系统服务器未采取任何网络防护和技术防护措施,造成19.1GB公民隐私数据暴露在互联网。北京市公安局昌平分局根据《中华人民共和国数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元人民币,责令限期改正。2023年6月13日,北京朝阳网安部门接市公安局网安总队通报,辖区某科技公司存在数据泄露隐患,分局迅速组织相关力量前往该科技公司进行现场网络安全检查。经工作发现,该科技公司一款APP产品后台存储的客户姓名、手机号、微信账号、邮箱等信息46万余条数据被暴露在互联网上,该数据一旦被不法分子获取,将导致大量公民个人信息泄露,给广大人民群众个人合法权益造成重大影响。北京市公安局朝阳分局根据《中华人民共和国数据安全法》第二十七条、第四十五条第一款之规定,给予该科技公司警告的行政处罚。下一步,北京公安机关网安部门将持续贯彻《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规,全方位加强网络安全监督检查,严厉打击整治涉数据安全领域违法犯罪活动,指导监督网络运营者依法履行网络安全防护主体责任,做好源头防控,坚决维护国家网络安全和数据安全。相关案例:安全域盘点
2023年9月18日
其他

致歉!马自达服务器遭入侵,超10万条信息泄露!

近日,据媒体报道,马自达发文称,公司内部系统服务器遭到外部入侵,或超10万个人信息被泄露。据了解,这些信息都源自公司员工及合作方人员的姓名及电话号码,共计约104732条信息。官方表示:截至目前没有发现个人信息遭到滥用的情况,被泄露的信息中不包含顾客信息。可能泄漏的个人信息包括本公司及集团公司员工、分包商员工、业务合作伙伴部分信息,涉及姓名、电子邮件地址、部门及职务、电话号码等。马自达称:此次的信息遭入侵一事,主要是因为贵公司安装的应用服务器中的一个漏洞引起的。同时,提醒员工和合作方注意个人信息安全,加强密码保护,并建议使用多重身份验证等安全措施。针对此事马自达方面也进行了道歉且表示已就此事报案,并向个人信息保护委员会进行了必要的报告,后续将采取一切可能的措施防止事件再次发生。值得注意的是,关于信息泄露的问题不单单只有马自达遭遇到。早在去年丰田汽车就发布声明称:从2017年12月到今年9月15日,开发
2023年9月18日
其他

上海某政府系统承包商因公民个人信息泄漏遭境外兜售被处罚!

前期,据有关部门在跟踪调查中发现,上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口,2022年7月,相关公民个人信息在境外黑客论坛被披露兜售。针对问题线索,上海市网信办联合有关部门对涉事公司未严格履行数据安全保护义务的违法行为,开展现场网络安全检查。经查,该公司主要从事政务信息系统技术支撑工作。2022年,该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。现场检查发现,该公司在开展数据处理活动中未能有效履行数据安全和个人信息保护义务,没有建立全流程数据安全管理制度,未采取技术防护措施保障数据安全和公民个人信息安全,导致平台频繁遭受境外远程访问和数据泄露风险。日前,上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。近期,上海市网信办会同相关部门正在推进“亮剑浦江·消费领域个人信息权益保护专项执法行动”,聚焦8个社会关注高、个人信息被过度索取的消费场景开展专项整治。上海市网信办再次强调,各类企业要合法合规收集、储存、使用公民个人信息,采取必要管理措施和技术手段,防止未经授权的访问以及公民个人信息泄露、篡改、丢失。下一步,上海市网信办将会同有关部门,持续贯彻落实《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规要求,加强网络安全、数据安全和个人信息保护工作和监督检查,做好源头防控,督促企业切实履行主体责任,坚决打击危害网络安全、数据安全乃至对国家安全构成威胁的违法行为。来源:网信上海END往期推荐
2023年9月16日
其他

近两万条学员信息泄露!一培训机构被罚

2023年9月14日,据福建日报报道:今年2月底,厦门市某教育培训机构的多名学员和员工接到诈骗电话,存在公民个人信息泄露的情况。厦门市公安局网安支队牵头思明公安分局,迅速介入调查,快速锁定并抓获涉嫌侵犯公民个人信息的犯罪嫌疑人朱某某;同时启动“一案双查”,对不履行数据安全保护义务的教育培训机构及其主管人员处以行政处罚。8月11日,犯罪嫌疑人朱某某被思明区人民法院依法判处有期徒刑并处罚金,没收全部非法所得。培训机构学员频繁接到诈骗电话
2023年9月15日
其他

为保障医保基金数据安全,国家医保局发文!

医保基金是人民群众的“看病钱”“救命钱”。国家医保局近日发布关于进一步深入推进医疗保障基金智能审核和监控工作的通知,明确将实施大数据实时动态智能监控,实现医保基金支付智能审核全覆盖,构建事前、事中、事后全环节监管的基金安全防控机制。通知明确,到2023年底前全部统筹地区上线智能监管子系统,智能审核和监控数据准确上传国家医保信息平台,全面开展经办智能审核,初步实现全国智能监控“一张网”;到2025年底,基本建立规范化、科学化、常态化的智能审核和监控体系,形成经办日常审核与现场核查、大数据分析、全场景智能监控等多种方式的常态化监管体系。通知要求,医保基金智能审核和监控工作与协议管理工作相结合,采取有效措施,激励定点医药机构主动对接智能监管子系统,系统对接情况与定点医药机构年度考核等挂钩。同时,探索对于主动加强智能监管系统应用、开展自查自纠的医药机构,给予减少现场检查频次等政策。国家医保局有关负责人介绍,总体上看,医疗机构可以通过智能监控,对医务人员明显违规的行为进行自动提醒和拦截,对可疑违规行为进行实时提醒。目前,越来越多定点医院主动借助智能监控实现自查自纠,减少违规行为发生。该负责人介绍,智能化监管手段加强医保基金监管不会对参保人的正常看病就医行为产生影响。对于明确的违法违规,要加强监管和干预,逐步实现对可刚性约束的违法违规问题自动拦截;对于涉及医疗合理类的问题,在系统检出疑点问题后,要及时反馈至定点医药机构,由其进行申诉,充分听取医药机构申诉意见并经必要的复审、合议、终审等程序后确定是否支付。国家医保局发文,加强医保基金智能审核和监管的力度,表明国家正在重视和强化医保基金的管理和监督工作。这举措将对以下几个问题保障:1、改进医保基金使用:国家医保局可能意识到有必要提高医保基金的使用效率,确保资金更多地用于覆盖医疗费用,减少浪费和滥用的可能性。2、防止欺诈行为:强化智能审核和监管可以帮助防止医保欺诈行为,包括虚假报销、虚构疾病和医疗服务的不正当索赔等问题。3、提高监管效能:国家医保局可能希望通过智能审核和监管,提高监管工作的效率和精确度,减轻了人工审核的工作负担。4、保障医保基金安全:确保医保基金的安全和稳定,防范资金的滥用或不当支出,以维护医疗保障体系的可持续性。5、推动信息技术应用:国家医保局可能鼓励医疗行业采用先进的信息技术,以提高审核和监管的水平,确保医保数据的准确性和透明度。这一举措旨在提高医保基金的管理效能,保障公众的医疗保障权益,同时减少医保系统中的不正当行为。以下为通知全文来源:国家医保局END往期推荐
2023年9月15日
其他

附下载 | 2022-2023年度全球数据合规与隐私科技发展报告

个国家和地区已制定数据保护相关法律,数据安全、算法应用有关立法进程加快,合规本地化的全球性趋势将进一步加强。全球数据合规领域执法力度加强,截至
2023年9月14日
其他

未按规定传输运营数据,高德等网约车平台被要求整改

2023年9月13日,据厦门市交通管理局公告,近日,厦门市运输事业发展中心发布关于高德、胖哒、神州、妥妥、搭顺、携华等平台未按规定传输运营数据问题的通报。通报显示,厦门市运输事业发展中心对接入高德聚合平台日活接单车辆比例存在异常情况的五家网约车平台企业开展暗访抽查,通过高德打车共抽查25单,其中有18单未按规定向行业监管系统传输运营数据,漏传比例达72%,严重违反了“网约车聚合平台及合作网约车平台公司按照有关规定,向网约车监管信息交互系统实时传输有关网约车运营信息数据,确保数据传输质量”以及“严格数据安全保护和管理,采取有效措施防止驾驶员、约车人和乘客等个人信息泄露、损毁、丢失”等要求。01通报内容显示为落实《交通运输部办公厅
2023年9月14日
其他

电信巨头同意支付400万美元以解决网络安全指控

近日,美国司法部表示,威瑞森商业网络服务有限责任公司(Verizon
2023年9月13日
其他

斯里兰卡国家政务云被黑,近4个月数据丢失

9月12日消息,斯里兰卡政府云系统“兰卡政府云”(LGC)遭受一次大规模勒索软件攻击。该国已经启动调查程序。这次调查由斯里兰卡计算机网络应急技术处理协调中心(CERT|CC)负责。斯里兰卡信息与通信技术局(ICTA)于9月11日向多家本地新闻媒体确认了这次攻击。这次攻击很可能从8月26日开始,当时,一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接,有人可能点击了其中一条链接。“兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh
2023年9月13日
其他

安全域盘点 | 因违反《国家网络安全法》而被处罚的十大典型案例

《中华人民共和国网络安全法》于2017年6月1日正式实施,是我国首部网络空间管辖基本法,对于建设国家网络安全体系、维护网络空间主权、发展网络强国战略、贯彻依法治国基本方针具有重大意义。本周是网络安全宣传周,数据安全域盘点了近几年违反《网络安全安全法》的典型案例,供大家学习!本文由数据安全域综合整理,转载请注明END往期推荐
2023年9月13日
其他

因重要信息系统突发事件未报告,北京中关村银行被罚20万!

国家金融监督管理总局9月8日发布的行政处罚信息显示,北京中关村银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,依据《中华人民共和国银行业监督管理法》第四十六条,被北京监管局罚款20万元。相关案件原银保监会2023年4月27日罚单显示,大华银行(中国)因“重要信息系统访问控制管理存在不足”,被责令整改,并被罚款35万元。原银保监会2022年9月9日罚单显示,广西北部湾银行因“迟报重要信息系统突发事件”,被罚款20万元,相关负责人被警告。原银保监会2021年11月29日罚单显示,北京银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚款40万元。原银保监会2021年1月29日罚单显示,农业银行因“发生重要信息系统突发事件未报告”“网络信息系统存在较多漏洞”等多项主要违法违规事实,被罚款420万元。原银保监会2020年6月5日罚单显示,焦作中旅银行因“业务连续性及运维管理不到位引发重要信息系统中断”,被罚款30万元。《银行业金融机构重要信息系统投产及变更管理办法》中对重要信息系统的定义是,指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。原银监会发布的《银行业重要信息系统突发事件应急管理规范(试行)》(以下简称“《规范》”)提到,突发事件是指银行业金融机构重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。《规范》要求,银行业金融机构应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构,直至应急结束。I级突发事件发生后,银行业金融机构应每2小时将应急处置进展情况上报,直至应急结束。上报银监会或其派出机构的书面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施、后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容,并在报告中重点明确需要银监会协调的事项。来源:数据法盟END往期推荐
2023年9月12日
其他

适合初学者的十个网络安全产品开发项目

在当今高度数字化竞争的时代,网络安全已成为重中之重。保护敏感信息和防御网络威胁对于个人和企业都至关重要。与此同时,随着传统网络安全边界的消失,以数据和身份为中心,以“人的因素”为支点的纵深防御安全方法正在得到企业界的普遍认可。对于刚刚进入网络安全行业的开发者来说,快速入门的捷径就是通过开发一款“小”产品,快速熟悉现代网络安全技术堆栈和方法,点亮网络安全职业道路的科技树。以下,我们从web安全、物联网、安全意识(密码管理、社会工程、网络钓鱼)、恶意软件(勒索软件)、数据安全(文件加密、流量分析)等热点领域挑选了十个“难度低、见效快”的,适合刚入行的开发者热身的网络安全产品:01密码管理器开发一个安全的密码管理器应用程序,为各种帐户存储和生成高强度密码,用于实施加密技术来保护密码,并鼓励用户采取更好的密码卫生措施。该项目旨在降低密码泄露的风险并增强整体帐户安全性。02网络钓鱼意识游戏创建一个交互式游戏,向用户传授网络钓鱼技术并帮助他们识别和避免网络钓鱼尝试。通过模拟场景,用户可以学习识别可疑电子邮件、网站和消息,从而最大限度地降低成为网络犯罪分子的风险。03loT设备安全扫描器构建一个工具来扫描连接到网络的物联网(IoT)设备并识别潜在的漏洞。扫描仪应该提供保护这些设备的建议,保护用户免受潜在的黑客攻击和未经授权的访问其智能家居设备。04恶意软件监测应用程序开发一个使用机器学习算法来检测和隔离计算机和移动设备上的恶意软件的应用程序。该项目用于保护用户免受病毒、勒索软件和其他可能窃取数据和隐私的恶意软件的侵害。05网络流量分析器设计一个监控网络流量并能分析数据包以识别可疑模式和异常流量的工具。该分析器能帮助用户检测并防止未授权访问和数据泄露,提供有关潜在网络威胁的宝贵见解。06安全文件加密开发一个文件加密工具,使用户能够加密和解密敏感文件。该产品可用于实施强大的加密算法和安全密钥管理实践,确保数据在传输和存储过程中免受未经授权的访问。07网络安全知识和意识测试应用程序开发一个吸引人的测验应用程序,其中包含有关网络安全概念、最佳实践和常见威胁的问题。该应用程序应帮助用户测试安全知识并提高对基本网络安全原则的认识。08Web应用程序防火墙开发一个Web应用程序防火墙,用于过滤和阻止针对Web应用程序的恶意流量。防火墙应能防范常见的基于Web的攻击,例如SQL注入和跨站点脚本编写,保护用户数据并维护Web服务的完整性。09双因素身份验证(2FA)实施创建一个库,开发人员可以轻松地将其集成到他们的应用程序中,从而在传统密码之外添加额外的安全层。2FA实施应支持各种身份验证方法,例如短信代码、身份验证器应用程序或硬件令牌,以增强用户帐户保护。10社会工程防御模拟器设计一个模拟器,向用户呈现各种社会工程场景,例如网络钓鱼电话/邮件或骗局剧本。该模拟器应该向用户介绍常见的社会工程策略,并帮助他们制定策略来识别和抵制网络攻击者的操纵和攻击。上述项目复杂程度相对较低,同时又具备较高的适用性和实用性,且都是企业网络安全的关键功能。更重要的是,开发者还能在开发过程中不断拓展和提高自己的网络安全技术、知识、经验和意识,为将来开发更加复杂的网络安全工具或防御高级安全威胁打下良好的基础。来源:GoUpSecEND往期推荐
2023年9月12日
其他

广州2名护工因贩卖“死者”信息被判刑!

近日,广州市荔湾区人民法院公布了一起侵犯公民个人信息罪案件,两名医院护工利用工作便利出售死亡患者个人信息获利10万余元,最终被依法判刑。易某和唐某是广州某医院护工,两人利用工作便利,在跟随医院救护车急救过程中,未经同意擅自将包括急救病人及丧者家属的居住住址、联系方式等公民个人信息,分别按照每条1000元、2000元的价格非法出售给某殡葬服务公司实际控制人劳某(另案处理)。经统计,2019年9月至2022年3月,易某因非法出售公民个人信息违法获利87000元,而唐某则在短短4个月内便收取劳某合作费5000元、信息费20000元,违法获利合计25000元。公诉机关以侵犯公民个人信息罪对易某和唐某提起公诉。荔湾法院经审理认为,易某、唐某违反国家有关规定,向他人出售公民个人信息,其行为已构成侵犯公民个人信息罪。考虑到易某、唐某分别主动全额退出违法所得,认罪认罚,法院依法判处易某、唐某犯侵犯公民个人信息罪,判处有期徒刑三年至一年,缓刑四年至一年六个月,并处罚金。法官提示死亡自然人个人信息仍受法律保护,非法出售可追究刑事责任广州市荔湾区人民法院法官赵丹表示,本案系因非法出售涉及死者的个人信息引发的刑事案件,争议焦点在于死亡自然人的个人信息是否属于刑法所保护的公民个人信息。实践中,公民个人信息的认定,并不以相关自然人的生存状态为判断依据,即使自然人已经死亡,其个人信息依然受到法律保护,不得以非法获取、出售、提供等手段实施侵犯。《中华人民共和国民法典》《个人信息保护法》的有关规定均为死亡自然人的个人信息的保护提供了法律依据。因此,死亡自然人的个人信息同样属于刑法保护的公民个人信息,出售死者的个人信息达到法定程度的,构成侵犯公民个人信息罪。在本案中,被告人并非被出售个人信息的死亡患者的近亲属,故其不具有处理死者个人信息的主体资格。其出售信息是为非法牟利,并非为了自身的合法正当利益,故其动机、目的不合法;其对信息的处理形式为非法出售,故其手段不合法。同时,两被告人出售个人信息的违法所得分别达到五千元以上和五万元以上,均已达到构成犯罪、应当追究刑事责任的程度,故法院依法追究刑事责任。法官提醒广大读者,应谨慎对待他人个人信息,不能随意使用或者泄露,更加不能用以牟利。来源:南都报道END往期推荐
2023年9月11日
其他

安全域周报|知网被罚千万、数据安全与治理论坛举办(9.4-9.10)

各位周一好,以下是第二周的【安全域周报】,我们总结推荐了政策法规、热点资讯、安全事件和数据泄漏共十条,供大家参考。NO.1CISA发布关于采用DDoS缓解措施的指南美国网络安全和基础设施安全局(CISA)发布了新指南,帮助联邦机构采用分布式拒绝服务(DDoS)缓解措施。DDoS攻击是一种网络攻击,其中威胁行为者用互联网流量淹没服务器或网络,耗尽其资源并使目标无法访问。资料链接:🔗NO.2关于加强电力可靠性数据治理深化可靠性数据应用发展的通知近日,国家能源局发布通知,强调电力可靠性数据治理与应用发展的重要性。通知要求建立基于实时数据的电力可靠性管理体系。同时,通知提出优化电力可靠性评价体系,引导电力行业科学评估和提升可靠性管理水平。此外,通知鼓励电力企业和设备制造企业应用可靠性数据,推动产品设计、检测、生产控制等领域的提质增效。在数据安全方面,通知强调确保信息安全前提下的数据采集与管理。资料链接:🔗NO.32023外滩大会·数据安全与隐私保护未来趋势及产业融合实践论坛9月8日上午,由中国软件评测中心(工业和信息化部软件与集成电路促进中心)、上海交通大学、蚂蚁集团联合主办的外滩大会数据安全与隐私保护未来趋势及产业融合实践论坛在上海·黄埔世博园成功举办。资料链接:🔗NO.4数据安全与治理论坛9月5日,作为2023中国国际数字经济博览会系列活动之一,数据安全与治理论坛在石家庄(正定)国际会展中心举办。论坛以“加强数据安全体系建设,构筑工业互联网安全底座”为主题,邀请业内专家学者共同探讨数字安全的高质量发展之路。资料链接:🔗NO.5涉嫌违法处理个人信息,知网被罚5000万元9月6日消息,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
2023年9月11日
其他

湖南:多家未履行网络安全保护义务单位被依法处罚

为进一步加强网络安全管理压紧压实网络安全主体责任湖南公安网安部门主动出击排查辖区网络风险对不履行网络安全保护义务的公司依法给予行政处罚。衡阳依法处罚一家企业7月13日,衡阳市衡阳县公安局网安大队对属地一企业依法予以行政处罚。经核查,该企业网站因未落实网络安全保护责任,导致该企业网站发布资讯中的下载链接被篡改跳转至涉黄网页,同时,该公司网站未落实公安备案,违反了《中华人民共和国网络安全法》《计算机信息网络国际联网安全保护管理办法》等法律法规。针对上述违法违规行为,衡阳县公安局网安大队对该企业作出行政处罚,并责令该网站负责人进行整改,严格落实主体责任。该企业网站负责人表示存在涉黄链接的资讯已被其删除,下一步,将依法依规注销企业网站。长沙依法处罚十五家企业近日,长沙市高新区公安分局网安科积极上门走访辖区互联网企业单位,对网络安全管理制度、网络应急预案制定落实、网络安全责任人等情况逐一核查。深入机房查看网络安全防护技术措施等情况,督促重点单位落实网络安全等级保护制度,并对检查中发现的网络安全隐患问题提出整改建议。其中,有十五家企业不履行网络安全保护义务,长沙高新公安根据《中华人民共和国网络安全法》《计算机信息网络国际联网安全保护管理办法》等相关法律法规,依法作出行政处罚。益阳依法处罚四家单位8月以来,益阳市公安局大通湖分局网安大队联合河坝派出所持续开展网络安全专项检查,对不履行网络安全保护义务的单位依法予以处罚。检查中,民警通过实地查看、现场询问、查阅台账、安全检测等方式,重点就内部安全管理、日志留存、技术防护措施、网络安全责任制落实等情况进行了细致检查,对检查中发现的问题隐患现场反馈,并要求相关单位限期整改到位,常态化做好网络安全防护工作。检查发现,全区四家单位存在未制定内部安全管理制度和操作流程、未落实网络安全保护责任、未部署技术防护措施等问题,根据《中华人民共和国网络安全法》等相关法律法规,大通湖公安分局对四家不履行网络安全保护义务的单位予以行政处罚。通过专项检查,增强了企业网站对信息网络安全的重要性认识,有效防范信息安全案件、事件(事故)的发生,进一步提高了各单位网络安全防范意识和责任意识,及时排查消除了网络安全风险隐患,筑牢了网络安全坚实防线。网警普法《中华人民共和国网络安全法》第二十一条
2023年9月8日
其他

安全域盘点|2023上半年数据安全报告汇总

数据安全关乎国家安全,“数据安全”连续三年被写入政府工作报告。随着相关法律法规出台,我国数据安全法制化建设已初具规模,对于各领域各部门的规制作用和影响力将进一步深化。本文搜集了2023年上半年数据安全相关行业报告,以供大家参考。1、《数据安全治理实践指南2.0》发布时间:2023年1月5日报告来源:数据安全推进计划概述:本指南依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。2、《大数据白皮书》发布时间:2023年1月5日报告来源:中国信通院概述:本白皮书聚焦过去一年来大数据领域不断涌现的新技术、新模式、新业态,分析总结全球和我国大数据发展的总体态势,并重点针对数据存储与计算、数据管理、数据应用、数据流通、数据安全五大核心领域,逐一分析、探讨其发展现状、特征、问题和趋势,最后对我国大数据未来发展进行展望与研判。3、《2023-2023数据安全体系数据绿洲建设指南》发布时间:2023-01-07报告来源:启明星辰概述:本报告以国家法律法规和政策要求为基础,全面分析了当前数据安全领域发展特点,落实数据安全建设体系,
2023年9月8日
其他

央视新闻:扫码消费要便捷,更要守护个人信息安全的边界!

一杯奶茶也许不贵,但订单里却包含着消费者的个人信息和消费轨迹。对商家来说,成千上万笔订单背后的用户数据堪称一笔重要的“财富”。扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集?采集的数据商家有没有进行妥善保管呢?大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用”相比直接窃取个人信息的案件,人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下,被商家索取姓名、位置、手机号码等个人信息,然后由于各种原因导致信息泄露。互联网安全专家表示,个人信息泄露主要的危害有两类:一类是黑灰产对个人信息的利用;另一类是企业滥用用户信息,获取更多非正常的商业报酬、商业利益。除此以外,还会通过个人信息建立情报体系、树立行业壁垒。尽管消费者抱怨声不断,为什么企业仍热衷于收集消费者个人信息呢?专家表示,在数字经济时代,数据就像石油。尤其是大量数据,具有非常大的价值。把这些数据全部整合在一起,形成每个人的画像,就是最具有商业价值的事。一句话概括:数据就是打开财富大门的钥匙。因此,不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。针对这些乱象,从6月中旬起,上海市网信办会同市场监管局开展了为期半年的专项执法行动,重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。强制索取信息、信息保管、隐私权政策为执法焦点通过对上海29家知名度较高的奶茶店、快餐店明察暗访中,执法小组发现了几个比较突出的问题。首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所,仍被告知要通过App或者小程序扫码点餐,而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求,否则就无法完成点餐。专家表示,这种做法既违反了最小必要原则,也剥夺了消费者的自主选择权,违反了消费者权益保护法。门店越多,产生的数据也越多,有时甚至达到惊人的地步。比如,某知名连锁奶茶品牌每收到一笔订单,就会产生87条数据,目前已累计产生超过100亿条。其中,涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。专家表示,在数字经济时代,数据通常被用于经营管理,这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用,但在采集信息的过程中,必须遵循“合法、正当、必要”三原则。据了解,要搭建一个收集消费者个人信息的技术平台,门槛很低,费用也不高。网络安全专家表示,扫码点餐存在一定的风险性,尤其是在小商家扫描那些来路不明的二维码。那么,这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢?调查发现,不少企业在保管用户信息时,存在一定的隐患。比如,采集数据量巨大的某知名奶茶店,根据网络安全法和数据保护法,应该按照三级标准进行等级保护,但是这家企业却没有做这些工作。此外,隐私权政策也是本次检查的重点内容之一。所谓隐私权政策,就是信息收集方就如何收集个人信息所发布的声明。简单讲,就是告诉用户采集个人信息的目的、用途以及如何保管等。执法人员发现,不少企业要么没有隐私权政策,要么不完善。还有些企业虽然制定了隐私权政策,但过于冗长,用户体验非常不友好。有的隐私权政策洋洋洒洒近万字,与其说是为了告知用户,倒不如说是为了保护企业自己。多地出台合规指引加强个人信息保护为了加强个人信息保护,上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景,分别出台了合规指引、自律承诺和合规清单。未来,还将针对房产中介、商超购物等主要消费场景作出相应指引。近日,北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引,整理出六类违规行为并作出相应规定。国家网信办8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》重磅!国家网信办发布《个人信息保护合规审计管理办法》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。数据被称为信息时代的“石油”,而包含个人信息的数据更是优质“石油”,是商家争夺的焦点。商家采集用户个人信息不是不可以,但应该采之有界,用之有度,护之有责。如何规范各种消费场景下商家的信息采集、使用行为,如何监督引导商家做好对消费者个人信息的保护,应该引起我们足够的重视。来源:央视新闻END往期推荐
2023年9月7日
其他

国际风向标:将网络安全纳入公司管理层薪酬考核指标

9月5日消息,一些公司开始将首席执行官和其他高层领导的奖金与网络安全指标挂钩。治理专家表示,这一举措可能使公司更安全地抵御黑客攻击。这一做法在美国大公司中逐渐普及。会计和咨询公司安永的最新研究显示,2022年财富100强公司中,有9家将特定高管的部分短期奖金与网络安全目标相关联。安永表示,2018年还没有公司采取上述措施。美国知名代理咨询公司机构股东服务(ISS)的数据部门ISS
2023年9月7日
其他

两单位因违反《网络安全法》,被重庆网信办做出罚款行政处罚!

2023年9月6月,据网信重庆报道:重庆网信办依法对属地2家单位做出罚款行政处罚。一、江津区网信办依法对属地一高校网站的违法违规行为作出行政处罚近日,江津区网信办对区内某职业学院相关负责人开展执法约谈,并依法对该学院作出行政警告处罚。经查,该学院未严格落实信息发布“三审三校”制度,未履行好网站管理主体责任,导致学院官网上存在法律法规禁止传播的信息,违反《网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等互联网法律法规。江津区网信办责令其全面清理存量有害信息,并举一反三开展深入排查,完善相关管理制度。该学院相关负责人表示,已认识到问题严重性和危害性,将严格按照网信部门要求即刻整改,建立健全内部管理机制,强化日常信息发布审核,维护好清朗有序的网络环境。下一步,江津区网信办将持续深入推进依法管网治网,严厉打击属地各类网络违法违规行为,营造风清气正的网络生态空间。二、万州区网信办依法对属地某互联网企业做出罚款行政处罚近日,万州区网信办依法对属地某互联网企业涉嫌违法行为进行立案查处。经查实,该企业运营的网站平台存在法律法规禁止传播的信息,未履行好网站平台主体责任,违反了《中华人民共和国网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等互联网法律法规。万州区网信办依法责令该企业限期整改,举一反三全面清理有害信息,完善相关管理制度,并处罚款1万元的行政处罚。下一步,万州区网信办将持续加强属地互联网企业监督管理,加大网络执法力度,严厉打击互联网违法违规行为,全力维护清朗网络生态。来源:网信重庆END往期推荐
2023年9月7日
其他

涉嫌违法处理个人信息,知网被罚5000万元!

据网信中国微信公众号9月6日消息,根据网络安全审查结论及发现的问题和移送的线索,国家互联网信息办公室依法对知网(CNKI)涉嫌违法处理个人信息行为进行立案调查。经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
2023年9月6日
其他

Fortinet全球2023年OT网络安全态势报告!

年全球运营技术与网络安全态势研究报告》(以下简称报告)发布。这项基于第三方权威研究机构针对全球570
2023年9月6日