网络安全 – 沃通CA官网 https://wd.wosign.com Mon, 15 Apr 2024 08:00:01 +0000 zh-CN hourly 1 https://wordpress.org/?v=6.5.2 网络关键设备和网络安全专用产品安全认证和安全检测结果发布 /article/zixun/2552.html /article/zixun/2552.html#respond Mon, 15 Apr 2024 08:00:01 +0000 /?p=2552

声明:本文来自一起聊安全,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/zixun/2552.html/feed 0
2024年一季度国内网络安全领域重要政策及标准速览 /article/policy/2531.html /article/policy/2531.html#respond Fri, 12 Apr 2024 03:09:05 +0000 /?p=2531 随着我国网络安全政策法规不断健全,网络安全工作机制也日渐成熟,各项工作已稳步步入法治化的轨道,与此同时,网络安全标准体系逐步清晰,安全防线日益坚固,为国家的网络安全建设提供了坚实的基础。小编为大家整理了2024年第一季度国内网络安全相关重要政策文件和标准,供大家参考。

第一部分:政策

1. 2024年1月3日,交通运输部发布《铁路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第20号)

《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求,其中,规定运营者应建立铁路关键信息基础设施全过程保护制度,要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,并明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、密码应用等方面的责任和义务。

2. 2024年1月4日,国家数据局、中央网信办、科技部、工信部、中国人民银行等十七部门联合发布《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号)

《行动计划》提出到2026年底,数据要素应用广度和深度大幅拓展,在经济发展领域数据要素乘数效应得到显现,打造300个以上示范性强、显示度高、带动性广的典型应用场景,数据产业年均增速超过20%,场内交易与场外交易协调发展,数据交易规模倍增,并从应用场景出发,明确提出了12项“数据要素×”重点行动。

3. 2024年1月11日,财政部发布《关于加强数据资产管理的指导意见》(财资〔2023〕141号)

《指导意见》要求数据资产各权利主体均应落实数据资产安全管理责任,按照分类分级原则,在网络安全等级保护制度的基础上,落实数据安全保护制度,把安全贯彻数据资产开发、流通、使用全过程,提升数据资产安全保障能力。

4. 2024年1月12日,工信部、中央网信办、国标委联合发布《区块链和分布式记账技术标准体系建设指南》(工信部联科〔2023〕260号)

《建设指南》提出到2025年,初步形成支撑区块链发展的标准体系,制定30项以上区块链相关标准,基本满足我国区块链标准化需求,并明确区块链和分布式记账技术标准体系结构包括“A基础”、“B技术和平台”、“C应用和服务”、“D开发运营”、“E安全保障”五个部分。其中,“E安全保障”标准包括EA应用服务安全、EB系统设计安全、EC基础组件安全,用于提升区块链的安全防护能力。

5. 2024年1月30日,工信部发布《工业控制系统网络安全防护指南》(工信部网安〔2024〕14号)

《防护指南》围绕安全管理、技术防护、安全运营、责任落实四方面提出安全防护要求,一是聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力;二是聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力;三是聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力;四是聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。

6. 2024年2月1日,国家邮政局就《寄递服务用户个人信息安全管理办法(征求意见稿)》公开征求意见

《管理办法》规定寄递企业应当根据用户个人信息的处理目的、处理方式、个人信息的种类,以及对用户个人权益的影响、可能存在的安全风险等,制定内部安全管理制度,采取必要的技术措施,确保用户个人信息处理活动合法合规,防止未经授权的访问以及用户个人信息泄露、丢失等风险发生。

7. 2024年2月19日,国家数据局、中央网信办、工业和信息化部、公安部联合发布《关于开展全国数据资源调查的通知》(国数综资源〔2024〕5号)

《通知》明确了数据资源调查的对象包括省级数据管理机构、工业和信息化主管部门、公安厅(局);各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位;中央企业;行业协会商会和国家信息中心,并明确了调查内容和方式,给出了相应的调查表。

8. 2024年2月26日,工业和信息化部发布《工业领域数据安全能力提升实施方案(2024-2026年)》(工信部网安〔2024〕34号)

《实施方案》一是明确了指导思想、基本原则和总体目标,在总体目标中细化了各项关键任务指标;二是围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务;三是围绕《实施方案》落地实施的保障需求,提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。

9. 2024年2月27日,中华人民共和国第十四届全国人民代表大会常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》(中华人民共和国主席令第20号)

《保密法》是我国保密领域的基础性、综合性法律,1988年制定、2010年第一次修订、2024年第二次修订。本次保密法的修订从法律制度上明确了进一步加强党对保密工作的领导,高度重视保密科技创新和科技防护,并完善了网络信息、数据保密管理,此外,还加强了与《数据安全法》的协同衔接,新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。

10. 2024年3月11日,中国民航局就《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》公开征求意见

《民航数据管理办法》给出了民航数据管理工作的职责与分工、数据资源目录管理方式,并提出了数据采集与治理、数据共享、数据应用、数据安全等方面要求。其中,明确民航数据处理主体对数据处理活动负安全主体责任,应建立覆盖数据采集、传输、存储、使用、共享以及销毁等数据全生命周期的安全保护机制,并鼓励通过加密、脱敏、隐私计算、溯源认证等技术手段加强数据安全保护。

《民航数据共享管理办法》明确了民航数据共享类型、目录管理、数据归集、数据获取与使用等方面的要求。其中,规定数据平台方应建立和完善数据安全管理制度,采取数据安全保护、安全服务和安全监测等技术措施,确保平台运行正常和数据安全。

11. 2024年3月22日,国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》公开征求意见

《管理办法》包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。其中,明确银行保险机构应建立数据安全责任制,制定数据分类分级保护制度,按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,并建立数据安全技术架构,明确数据保护策略方法,采取技术手段保障数据安全。

12. 2024年3月22日,国家网信办发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》

两项指南分别对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化,指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。

13. 2024年3月22日,国家网信办发布《促进和规范数据跨境流动规定》(国家互联网信息办公室令 第16号)

《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出了优化调整,其中,明确了重要数据出境安全评估申报标准,规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,同时,还明确了应当申报数据出境安全评估的两类数据出境活动条件。

14. 2024年3月22日,自然资源部发布《自然资源领域数据安全管理办法》(自然资发〔2024〕57号)

《管理办法》分别从数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理等方面提出明确要求。其中,规定了数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,并且在数据全生命周期处理过程中,应记录数据处理、权限管理、人员操作等日志,采用商用密码技术保护日志的完整性。

第二部分:标准

一、国家标准

1. 2024年3月15日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》发布

本标准规定了数据分类分级的基本原则、框架、方法和流程。在数据分类部分,提出先按行业领域再按业务属性进行数据分类的思路,并给出了具体的分类方法;在数据分级部分,提出了确定分级对象、分级要素识别、数据影响分析、综合确定级别的分级方法,并对各环节进行了详细阐述;在分类分级流程部分,分别给出行业领域数据和处理者数据的分类分级流程;标准还在规范性附录中给出了重要数据的识别指南。

2. 2024年3月15日,国家标准GB/T 15843.4-2024《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》发布

本标准修改采用国际标准ISO/IEC 9798-4:1999(Information technology – Security techniques – Entity authentication – Part 4: Mechanisms using a cryptographic check function),规定了采用密码校验函数的实体鉴别机制,包括单向鉴别和双向鉴别两种鉴别机制。

3. 2024年3月15日,国家标准GB/T 17903.1-2024《信息技术 安全技术 抗抵赖 第1部分:概述》发布

本标准修改采用国际标准ISO/IEC 13888-1:2020(Information security – Non-repudiation – Part 1: General),给出了抗抵赖机制的一般模型,作为GB/T 17903的其它部分中规定的使用密码技术的抗抵赖机制的一般模型。

4. 2024年3月15日,国家标准GB/T 17903.3-2024《信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制》发布

本标准修改采用国际标准SO/IEC 13888-3:2020(Information security – Non-repudiation – Part 3: Mechanisms using asymmetric techniques),确立了若干特定的抗抵赖机制,用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖和提交抗抵赖。

5. 2024年3月15日,国家标准GB/T 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》发布

本标准等同采用国际标准ISO/IEC 27004:2016(Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation),规定了信息安全绩效的监视和测量、ISMS(包括其过程和控制措施)有效性的监视和测量、以及监视和测量结果的分析和评价。

二、行业标准

1. 2024年1月15日,金融行业标准JR/T 0285-2024《基于数字证书的移动终端金融安全身份认证规范》发布

本标准规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。

2. 2024年1月15日,3项金融行业标准JR/T 0289-2024《金融业开源技术 术语》、JR/T 0290-2024《金融业开源软件应用 管理指南》、JR/T 0291-2024《金融业开源软件应用 评估规范》发布

《术语》统一了金融机构对开源技术相同名词的表述;《管理指南》提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供了配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导;《评估规范》规定了金融机构在应用开源软件时的评估要求,对开源软件的引入、维护和退出提出了实现要求、评估方法和判定准则。

3. 2024年1月15日,金融行业标准JR/T 0299-2024《个人征信电子授权安全技术指南》发布

本标准提供了个人征信电子授权安全技术指南,包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。

声明:本文来自信息安全研究,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/policy/2531.html/feed 0
《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》正式发布 /article/policy/2433.html /article/policy/2433.html#respond Fri, 29 Mar 2024 07:17:00 +0000 /?p=2433 关于发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》的通知

网安秘字〔2024〕21号

各有关单位:

为促进网络安全产品互联互通资产信息有效互通和整合,秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。

本《实践指南》给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

附件:《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》

全国网络安全标准化技术委员会

秘书处

2024年3月13日

声明:本文来自商密君,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/policy/2433.html/feed 0
网络安全周报(2024年3月18日-3月24日) /article/zixun/2386.html /article/zixun/2386.html#respond Mon, 25 Mar 2024 08:48:27 +0000 /?p=2386 一、政府之声

1、国家互联网信息办公室公布《促进和规范数据跨境流动规定》

2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》。《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。

全文链接:https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm

2、国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》

2024的3月22日,国家金融监管总局发布《银行保险机构数据安全管理办法(征求意见稿)》。《办法》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。

全文链接:https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951&generaltype=2

3、李强签署国务院令公布《中华人民共和国消费者权益保护法实施条例》

2024年3月19日,国务院总理李强签署国务院令,公布《中华人民共和国消费者权益保护法实施条例》,自2024年7月1日起施行。《条例》共7章53条,完善网络消费相关规定。规定经营者不得利用技术手段,强制或者变相强制消费者购买商品或者接受服务。

全文链接:https://www.gov.cn/zhengce/content/202403/content_6940158.htm

4、第53次《中国互联网络发展状况统计报告》发布

2024的3月22日,中国互联网络信息中心(CNNIC)发布第53次《中国互联网络发展状况统计报告》。《报告》显示,截至2023年12月,我国网民规模达10.92亿人,较2022年12月新增网民2480万人,互联网普及率达77.5%。

全文链接:https://www.cnnic.cn/n4/2024/0321/c208-10962.html

5、GB/T43697-2024《数据安全技术数据分类分级规则》发布

2024年3月21日,全国信息安全标准化技术委员会秘书处发布GB/T43697-2024《数据安全技术数据分类分级规则》。该国标将于2024年10月1日起实施,规定了数据分类分级的通用规则;定义了数据分类分级的原则、框架、方法和流程;对重要数据给出了识别指南。

全文链接:https://www.tc260.org.cn/upload/2024-03-21/1711023239820042113.pdf

6、国家计算机病毒应急处理中心发现14款违规移动应用

2024年3月21日,国家计算机病毒应急处理中心通过互联网监测发现14款移动App存在隐私不合规行为。并提醒广大手机用户谨慎下载使用以上移动App,同时认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

全文链接:https://www.cverc.org.cn/zxdt/report20240321.htm

7、《中华人民共和国人工智能法(学者建议稿)》发布

2024年3月16日,AI善治论坛人工智能法律治理前瞻专题研讨会在北京举办,会议发布了《中华人民共和国人工智能法(学者建议稿)》。建议稿中设立“促进与发展”专章,也在监督管理、责任设置等方面予以充分考虑,减轻人工智能产品和服务提供者义务。

全文链接:https://mp.weixin.qq.com/s/RmiYS2-ahKU6aiJzpwFa4g

8、上海开展2024年车联网网络和数据安全专项行动

2024年3月18日,上海市通信管理局为提升本市车联网行业网络和数据安全防护水平,筑牢车联网网络和数据安全防线,护航智能网联汽车产业高质量发展,结合本市车联网安全和发展实际,决定开展“铸盾车联”—2024年车联网网络和数据安全专项行动。

全文链接:https://shca.miit.gov.cn/zwgk/zcwj/wjfb/index.html

二、行业动态与安全事件

1、富士通遭黑客攻击 多个系统被感染客户敏感数据泄露

2024年3月19日,日本科技巨头富士通(Fujitsu)发布新闻稿,报告遭到网络攻击,旗下的多个系统感染恶意软件,而且部分客户数据已经被窃取。富士通表示:将继续调查恶意软件是如何进入业务系统的,以及流出了哪些数据。

全文链接:https://mp.weixin.qq.com/s/tmnnqAb8jv5LHyCuiofsYA

2、人保财险回应“偷拍门”:成立专项工作组立即开展全面深入核查

2024年3月18日,中国人民财产保险股份有限公司发布消息称:相关媒体发布人保财险河北省石家庄市分公司有关个人信息保护的报道后,我公司高度重视,第一时间成立专项工作组,立即开展全面深入核查,采取有力措施,坚决保护消费者合法权益。

全文链接:https://mp.weixin.qq.com/s/IGG-6Wftu3Na9YHx1IDKDw

3、香港南华体育会计算机服务器遭黑客入侵 已报警

2024年3月18日,香港南华体育会深夜发出网络安全事件通告,指计算机服务器于 2024年3月17日遭受未经授权的第三方入侵,该会马上关闭受影响的计算机设备,未发现有会员个人资料泄露。该会已报警处理,并向香港个人资料私隐专员公署通报上述事件。

全文链接:https://mp.weixin.qq.com/s/sRYo2Tw2iOp8FbzYiVD_4A

4、数百家网站错误配置Google Firebase暴露1.25亿条用户记录

2024年3月20日,数百家网站错误配置了Google Firebase泄露了超过1.25亿条用户记录,其中包括明文密码。三位使用mrbruh、xyzeva和logykk等网络昵称的安全研究人员解释说,这一切都源于对Chattr的黑客攻击,Chattr是一个人工智能招聘系统,为美国多家机构提供服务,其中包括Applebee’s、Chick-fil-A、KFC、Subway、Taco Bell和Wendy’s等快餐连锁店。

全文链接:https://mp.weixin.qq.com/s/0l5Kj6myceBx76KqFgmDeg

5、山西警方破获特大侵犯公民个人信息案 冻结3000余万元

2024年3月19日,山西省长治市公安局屯留分局成功破获一起特大侵犯公民个人信息案,铲除一个在境外某平台买卖公民信息的特大新型网络犯罪团伙。调查结果显示,犯罪嫌疑人通过非法手段获取公民姓名、QQ号、手机号、抖音号、淘宝号等个人信息数据后,进行清洗加工,利用境外某平台作为日常联系、传输数据的媒介,并通过虚拟货币进行交易并从中获取巨额利润。

全文链接:https://mp.weixin.qq.com/s/MMNEuopsG6Bqd6rFrhdhrg

6、国际货币基金组织邮箱账户遭黑客攻击

2024年3月15日,国际货币基金组织(IMF)在上周五披露了今年早些时候其11个电子邮件账户被未知攻击者入侵的网络安全事件。IMF表示:受影响的电子邮件账户已重新保安。我们目前没有迹象表明除这些电子邮件账户之外还有更多的泄露。对这一事件的调查仍在继续。

全文链接:https://mp.weixin.qq.com/s/mlK9eD4e178_NyTFOpmsQg

7、麦当劳全球系统宕机 影响数千家门店

2024年3月15日,麦当劳在中国内地、中国香港、日本、澳大利亚和新西兰等亚太地区多地遭遇系统故障,导致顾客无法通过自助终端和线上渠道点单。麦当劳在一份更新的声明中重申,系统中断不是由 “网络安全事件 “造成的,系统中断是 “第三方供应商在更改配置时造成的”。

全文链接:https://mp.weixin.qq.com/s/Dcgx2iBkcvDylT0Z4u822Q

]]>
/article/zixun/2386.html/feed 0
《2023广东省数字政府网络安全指数评估报告》 /article/report/2352.html /article/report/2352.html#respond Thu, 21 Mar 2024 06:14:11 +0000 /?p=2352 近期,《2023广东省数字政府网络安全指数评估报告》发布。报告显示,2023年全省数字政府网络安全指数为73.63,比2022年的64.19提高了14.71%,比2020年的53.81提高了36.83%。网络安全能力等级达到受控级(C)及以上的地市从2020年的6个增加至20个,全省各地市基本建立了数字政府安全制度规范及配套技术措施。

连续4年的评估发现,深圳市保持排头兵位置,初步具备网络安全综合防御能力。中山市进步明显,从启动级(D)跃升至完善级(A),网络安全综合防御能力达到第一梯队水平。广州、珠海、佛山、江门、茂名、惠州、东莞等7个地市排名靠前,初步具备网络安全主动防御能力。茂名、惠州、揭阳、梅州、湛江等5个地市进步明显。

2023年广东省数字政府网络安全指数评估,历时8个多月采集6.8万项网络安全相关数据,客观评价全省各地市数字政府网络安全整体防护能力水平。

声明:本文来自NIS研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/report/2352.html/feed 0
IDC:2027年中国网络安全市场规模将超200亿美元 /article/zixun/2346.html /article/zixun/2346.html#respond Wed, 20 Mar 2024 07:55:06 +0000 /?p=2346 IDC于近日发布了2024年V1版IDC《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。IDC数据显示,2022年全球网络安全IT总投资规模为1890.1亿美元,并有望在2027年增至3288.8亿美元,五年复合增长率(CAGR)为11.7%。受地缘政治、宏观经济与疫情影响,全球网络安全支出和上期预测相比小幅降低。

在本次预测中,《全球网络安全支出指南》的所有客户将获得IDC的新行业分类系统的访问权限。本次更新增强了对7个行业领域、15个行业以及27个行业细分的洞察,将行业细分的总数从20个增加到27个。

中国网络安全市场洞察

随着网络安全“三法一条例”的稳步推进和实施,IDC预测,中国网络安全市场规模从2022年的123.5亿美元快速增长至2027年的233.2亿美元,期间年复合增长率为13.5%,高于全球平均水平。未来中国网络安全市场将更加成熟,在整体技术市场组成中,安全防御硬件设备逐步云化,网络安全软件和服务市场持续增长,五年复合增长率分别为16.7%和16.3%。

聚焦网络安全硬件市场,随着企业和个人对网络安全的重视程度不断增强,合规政策成为一项重要的推动力。与此同时,频发的威胁攻击也推动了网络安全硬件投资的增长。IDC预测,面对更加复杂的网络威胁环境和不断提高的合规要求,统一威胁管理(Unified Threat Management) 市场份额将持续上升,以7.5%的五年复合增长率成为硬件最大子市场。而硬件防火墙(Firewall)市场逐年缩小,份额或将所剩无几。

此外,在网络安全软件市场中,数据安全软件(Data Security Software)以20.4%的五年复合增长率成为软件最大子市场。纵观网络安全软件市场,一方面,企业和组织对数据保护的重视程度不断提高,企业越来越注重确保数据的机密性、完整性和可用性,意识的提升促进企业在数据安全软件的投资不断提高;另一方面,受疫情影响,远程办公场景增加,移动设备接入、远程系统接入现象更加普及,终端设备安全需求的增加也将促进该市场的迅速发展。

在网络安全服务市场中, IDC定义下的安全服务由管理安全服务(Managed Security Services),项目类服务(Project Oriented)和支持类服务(Support Services)组成。在安全细分市场中,受安全条例颁布和数据安全咨询增长趋势的推动,安全咨询服务市场(Consulting Services)占比最高,预计2027年市场规模达26亿美元。

行业洞察

从终端用户的投资来看,政府(Government)、金融服务(Financial Services)、电信(Telecommunications)仍是网络安全支出前三的行业,2023年支出占比分别为24.8%、18.6%和15.3%。受《关键信息基础设施安全保护条例》政策推动,政府、金融服务与电信等行业的技术设施对网络安全需求更高,对于数据保护意识更敏感,对网络攻防更有前瞻性。因此,近六成网络安全支出来自于这些终端用户。此外,制造行业的网络安全支出也在飞速增长。保护知识产权、数据安全需求、供应链安全和法规合规要求都是驱动中国制造业在网络安全投资方面的重要因素。这些因素促使制造业企业加大网络安全投资,提升网络安全防护水平,保障企业的可持续发展。IDC预测,高科技与电子产品(High Tech and Electronics)将以16.8%的五年复合增长率成为网络安全投资增长最快的行业,消费品(Consumer Goods)与汽车(Automotive)分别以16.3%和15.7%的增速紧随其后。

企业规模洞察

在网络安全市场中,终端用户还是以超大型企业为主,占市场总投资规模近七成。近年来,随着网络安全意识的普及与威胁攻击的频发,中小型企业在网络安全投资也逐步增强, IDC预测中型企业五年复合增长率将达到14.8%。

IDC中国企业级分析师钱静表示,疫情结束后的经济复苏需要一定的时间,政府和企业在网络安全方面的预算增幅普遍降低或者延后,需求侧表现不佳,加之市场竞争日趋激烈,中国网络安全市场增长有所放缓。但随着数字化转型、人工智能与大模型的的不断进步,新兴技术的发展与落地将利好网络安全市场。一方面,人工智能的引入帮助终端用户降低了安全运营成本;另一方面,利用多模态模型和自动化操作加强了网络安全威胁检测和响应,帮助企业减少网络攻击和威胁。这些趋势将促进网络安全人才的培养力度,为未来的网络安全市场创造了广阔的发展空间和丰富的机遇。

备注:

IDC定义下的企业规模分为超大型企业(Very Large Business (1000+))、大型企业(Large Business (500-999))、中型企业(Medium Business (100-499))、小型企业(Small Business (10-99))、小型办公室(Small Office (1-9))和消费者(Consumer)。

IDC《支出指南》致力于为IT厂商、行业用户和投资/金融机构在战略规划、产品研发、IT支出及投资规划等方面提供数据支撑。《支出指南》系列产品聚焦IT热门领域,从多个维度预测市场规模和增速,助力厂商发掘市场潜力;引导行业用户根据热点技术及应用场景进行IT规划;通过分析特定市场的发展前景,帮助投资和金融机构更好的做出决策。IDC《全球ICT支出指南:行业与企业规模》以精准和高质量的预测为用户提供了未来五年全球ICT市场发展动态预测。本次预测细化行业标准,从20个标准行业增至28个行业细分,并对行业定义进行优化。

声明:本文来自IDC咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/zixun/2346.html/feed 0
2024网络安全发展趋势预测发布 /article/zixun/2330.html /article/zixun/2330.html#respond Mon, 18 Mar 2024 09:10:05 +0000 /?p=2330 由中国计算机学会主办、计算机安全专业委员会承办的2024年网络安全十大发展趋势预测于上月在京发布,来自国家网络安全主管部门、高校、科研院所、相关部委、大型央企、民营企业等不同团体的专委委员进行投票,最终确定2024年网络安全十大发展趋势预测。

趋势1 人工智能安全技术成为研究焦点

人工智能(AI)技术是当前科学与工程研究的一大热点,以ChatGPT为代表的生成式人工智能技术带来了通用人工智能(AGI)的曙光。随着人工智能技术在众多领域的深入应用,网络安全和数据安全的问题也日益突出。网络攻击的方式和手段,在人工智能技术的推动下也在不断演变,呈现出分布式、智能化和自动化的特点;与此同时,人工智能训练和应用过程中,会遇到数据非法获取、数据滥用、算法偏见与歧视以及敏感数据泄露等安全问题。2023年11月,包括中国、美国与欧盟在内的28个国家代表,在全球首届AI安全峰会中签署了《布莱切利宣言》,一致同意加强国际合作,建立面向人工智能的监管框架。在这种背景下,人工智能安全技术正在被全球监管机构、行业参与者和工业界持续关注和积极参与。

趋势2 网络安全基础设施和公共安全服务属性将得到加强

国内外学界已经不断就网络安全的公共服务属性进行深入讨论,并逐步扩大了将网络安全视为社会公共服务观点的影响力。在数字技术不断重塑经济和社会的背景下,网络安全的公共安全属性、非排他性和外部性不断凸显。面对迅速蔓延的网络安全威胁,单靠传统的网络安全责任机制加市场化供应模式,已逐渐难以有效应对网络安全治理问题。因此,借鉴公共安全治理模式以推进网络安全公共安全服务机制的形成变得极为重要。展望2024年,网络安全基础设施作为国家安全体系的基础组成部分,其协同运作的模式预计将得到进一步加强,而网络安全的公共服务化也将成为网络空间治理的新趋势和新模式。

趋势3 生成式人工智能在网络安全领域应用效果初显

2023年3月,微软公司宣布推出Microsoft Security Copilot,作为生成式人工智能在网络安全领域的一个典型代表,它能够利用大型语言模型的强大表达能力和专用安全模型的专业知识,实现对复杂多变的网络安全环境的深度理解和智能决策,生成适合的防御措施和修复方案,并自动执行或辅助专业人员完成相关任务。随着大语言模型与多模态技术的日益融合加速,预计生成式人工智能将在威胁检测与响应、自动化安全防护与修复、实时威胁情报与预测,以及自适应安全策略与防御、人机协同防御等多个方面发挥更大的作用。2024年,预计生成式人工智能技术将在网络安全领域得到广泛应用并初步展现其显著效能。

趋势4 供应链安全管理的重要性日益凸显

随着经济全球化和信息技术的快速发展,网络产品和服务的供应链已演变为全球性的复杂网络结构。供应链安全问题已不仅限于产品范畴,而是波及到整个供应链的各个环节。统计显示,2023年,受供应链安全威胁和风险攻击的比例高达所有网络攻击的一半,同比增长78%,而专业人士中有高达80%的人预计,在未来三年内,供应链攻击将成为企业面临的最大网络威胁之一。随着关键信息基础设施安全保护条例、网络安全审查办法等相关法律法规的制定和施行,对供应链安全提出了更高标准的规定与要求。在数字化转型的大背景下,供应链安全不仅关系到企业的正常运营和发展,也是国家的网络空间安全和社会稳定的基石。可以预见,随着安全技术的不断完善和发展,供应链安全管理的战略地位将日渐上升,其重要性也将更加凸显。

趋势5 隐私计算成为学术和产业界共同关注的焦点

随着网络安全法、个人信息保护法、密码法、数据安全法、民法典等多部与数据安全相关的法律法规落地实施,我国形成了较为完备的数据安全法律体系。在此体系基础上,隐私计算得到了政策和市场需求的双重推动,产业正处于快速增长阶段。尤其在数据要素加速开放共享的新形势下,隐私计算正成为支撑数据要素流通的核心技术基础设施。该领域的技术,如联邦学习、多方安全计算、可信执行环境等,在确保数据不泄漏、限定数据处理目的方面具有原生的优势。据预测,隐私计算将在2024年获得学术界与产业界更广泛的关注,并在相关技术研究中占据重要地位。

趋势6 勒索软件攻击依然是最普遍的网络威胁形式

在全球经济发展不景气和地缘政治动荡的双重影响下,网络犯罪团伙持续涌入勒索软件攻击领域以掠取丰厚的非法利润。勒索软件攻击不仅危害个人用户的隐私和财产,还可能影响政府、医疗、教育等机构和企业的正常运行,甚至威胁到国家安全和社会稳定。随着勒索软件即服务(RaaS) 运营模式不断成熟和勒索软件构件(IABs)的兴起,勒索软件的门槛和成本显著下降,勒索攻击活动更为猖獗。据2023年数据显示,全球共发生了4832起勒索软件攻击事件,较前一年增加了83%,且呈现出全球迅速扩散的趋势。展望2024年,网络安全将面临着严峻的挑战,随着黑客组织不断更新和改进攻击策略和技术,如智能化、多重勒索常态化等,新一代的勒索软件攻击会变得更加难以预防和处置。

趋势7 高级持续性威胁(APT)攻击成为网络空间突出风险源

在全球网络空间博弈日益激烈和国际局势不稳定的背景下,组织化程度高、策划及执行效率出众、目标针对性明确的网络攻击活动更为频繁。作为一种针对特定目标的复杂、隐蔽和持久的网络攻击手段,高级持续性威胁(APT)攻击近年来已演化为集各种社会工程学攻击与零日漏洞利用的综合体,成为了最严峻的网络空间安全威胁之一。据统计,2023年上半年, MITRE跟踪的138个APT组织中约有41个(约 30%)处于活跃状态,全年全球安全厂商共披露了30余个APT组织,表明APT活动呈现持续上升趋势。未来,APT攻防较量更趋复杂,同时APT事件的调查与应对趋向政治化,这无疑将在网络空间与现实地缘政治交融中构成新的风险点。

趋势8 国产密码技术广泛应用

密码技术作为我国网络与数据安全的战略性核心技术,是国家安全的基础支撑。得益于国家政策的有力支持,我国的密码技术始终保持持续发展势头,无论是在密码算法、密码芯片、密码产品还是密码服务等方面,均取得了重大的技术进展,逐步构建了一套相对完善的商用密码体系,并赢得了国际认可。近年来,在网络安全法、密码法、关键信息基础设施安全保护条例等政策法规的驱动下,我国密码行业正向着成熟与规范化方向稳步迈进。随着国家“十四五”规划及其他一系列促进数字化发展战略的深入实施,我们预计国产密码技术将在基础信息网络、关乎国计民生的重要信息系统、重要工业控制系统以及面向社会服务的政务信息系统中实现更为广泛的推广与应用。

趋势9 关键信息基础设施保护成为行业新的增长点

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。各行各业正逐渐意识到保护关键信息基础设施的重要性。随着相关国家政策和标准的实施推行,我国对于关键信息基础设施的保护工作将迎来新的发展格局。这些法规为相关产业带来了发展的新空间和商机。据预测,到2024年,我国对关键信息基础设施保护的需求将保持增长趋势,尤其在网络安全建设方面,国家重要行业及关键领域的资金投入预计将显著提升。

趋势10 个人信息保护力度将持续加强

随着网络技术的发展和普及,个人信息的收集、使用乃至滥用问题日益突出,个人信息保护不只关乎个人隐私权益,也事关国家安全层面,成为全球普遍关注的议题。自个人信息保护法、数据出境安全评估办法、个人信息出境标准合同办法等个人信息保护相关法律法规发布施行,我国构建起较为完善的个人信息保护体系。2023年8月,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,进一步凸显出持续加强个人信息保护立法与监管的趋势。同时,加密技术、匿名化处理、人工智能和区块链等创新技术的应用,在识别和防范数据泄露和隐私侵犯方面也发挥着越来越重要的作用。未来,随着法律法规的逐步完善、公众意识的提高和技术的发展,个人信息保护的力度预计将持续加强。

信息来源于中国计算机学会计算机安全专业委员会

]]>
/article/zixun/2330.html/feed 0
网络安全周报(2024年3月11日-3月17日) /article/zixun/2328.html /article/zixun/2328.html#respond Mon, 18 Mar 2024 09:06:34 +0000 /?p=2328 一、政府之声

1、中央网信办部署开展2024年“清朗”系列专项行动

2024年3月15日,中央网信办部署开展2024年“清朗”系列专项行动。行动将紧紧围绕人民群众的新期待新要求,全面覆盖网上重点领域环节,着力研究破解网络生态新问题新风险,重点开展10项整治任务。

全文链接:https://www.cac.gov.cn/2024-03/15/c_1712088026696264.htm

2、3·15晚会曝光:操控网络、逃避监管制造水军的黑手段

2024年3月15日,中央广播电视总台晚会曝光云机侠(深圳)科技有限公司、云承未来科技有限公司等公司,利用大量的报废手机主板制造“主板机”,二十个手机主板组成一部“主板机”,使用者相当于同时操控二十部手机。这类主板机控制多部手机,可在网上实施话题操控,制造大量虚假流量。不仅如此,主板机还可以肆意修改用户IP地址,逃避监管。

全文链接:https://mp.weixin.qq.com/s/OUH9NA3cTPRSdp0d1FeIqw

3、证监会集中发布四项政策文件,释放鲜明信号

2024年3月15日,证监会连发4项政策文件,分别从严把发行上市准入关、加强上市公司监管、加强证券公司和公募基金监管、全面加强证监会系统自身建设等方面入手,部署资本市场监管工作。

全文链接:http://www.csrc.gov.cn/

4、2024年2月全国受理网络违法和不良信息举报1846.1万件

2024年3月15日,2024年2月,中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理网民举报色情、赌博、侵权、谣言等违法和不良信息1846.1万件,环比下降0.4%、同比增长26.5%。

全文链接:https://www.12377.cn/tzgg/2024/7f79fd65_web.html

5、民航数据管理办法(征求意见稿)民航数据共享管理办法(征求意见稿)公布

2024年3月11日,中国民用航空局为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全,促进数据共享,激发数据价值。发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》。

全文链接:http://www.caac.gov.cn/HDJL/YJZJ/202403/t20240312_223180.html

6、欧盟《人工智能法案》正式通过

2024年3月13日,欧洲议会正式通过《人工智能法案》。法案要求人工智能公司对“高风险”应用进行风险评估;同时要求人工智能模型开发者详细说明他们使用了哪些内容来训练自身研发的系统,并遵守欧盟版权法;法案还禁止某些威胁公民隐私权的人工智能应用,包括基于敏感特征的识别分类系统等。

全文链接:https://www.europarl.europa.eu/doceo/document/TA-9-2024-03-13_EN.html

7、北京今年将制定数据跨域管控地方标准

2024年3月12日,北京国际大数据交易所组织召开了2024年标准工作启动会。会上透露,2024年将重点聚焦《数据资产登记指南》《数据资产质量评估指南》《数据匿名化处理实施指南》《数据资产合规入表指南》《数据可信流通跨域管控技术规范》5项标准开展编制工作。

全文链接:http://www.bjidex.com/

8、上海召开2024年全市网信办主任会议

2024年3月14日,上海召开全市网信办主任会议,会议指出要坚持举旗铸魂,加强网上正面宣传和舆论引导。坚持敢于斗争,坚决防范化解网络意识形态风险。坚持系统观念,提升网络综合治理效能。坚持创新驱动,以数字化信息化赋能现代化建设。坚持底线思维,筑牢网络安全屏障。坚持示范引领,深化长三角网信协同发展。

全文链接:https://mp.weixin.qq.com/s/SoWrNu97V_Depkts-zIIJg

二、行业动态与安全事件

1、西安网警成功打掉一出售公民个人信息团伙

2024年3月11日,近日,西安未央网警成功打掉一个非法出售公民个人信息团伙,抓获犯罪嫌疑人124人,依法刑事拘留19人。警方初步查明该公司老板为李某,其上线为刘某,下线为4部12组运营管理体系,该公司通过抖音、快手等网络社交平台发布广告引流,身披法律咨询业务外衣,以为客户提供诉讼代理为由,行“有偿查询、提供公民个人敏感信息”之实。

全文链接:https://mp.weixin.qq.com/s/6gUa8Gjae1O2jtMuexbpZQ

2、存在严重失泄密风险隐患 一央企子公司被军方取消资格

2024年3月12日,中央军委装备发展部科研订购局发布公告取消中国远东国际招标有限公司装备采购招标代理资格。经查实,中国远东国际招标有限公司在承担战略支援部队某单位招标代理任务时,存在违规通过微信、互联网邮箱等转发传递大量采购公告资料、在非涉密电脑存储大量涉密文件资料等情形,保密管理处于失管失控状态,存在严重失泄密风险隐患。

全文链接:https://mp.weixin.qq.com/s/x8_-OrlJKrOig2VJ9CsZww

3、亿联银行因违反防范电信网络新型违法犯罪等被罚758万

2024年3月12日,人民银行吉林省分行发布的行政处罚信息显示,吉林亿联银行股份有限公司因“违反防范电信网络新型违法犯罪有关事项规定”等3项违法行为,被罚758.34万元。时任亿联银行财富创新部专家孙琦对上述3项违法行为均负有责任,被罚25.53万元。

全文链接:https://mp.weixin.qq.com/s/bDnZ0Vrr4XHCRRQg1ofzRA

4、上海公布一批个人信息保护、盲盒销售违法典型案例

2024年3月15日,上海市市场监督管理局介绍,2023年坚持以人民为中心,聚焦民生热点问题,加强新领域、新模式的消费者权益保护监管执法,开展了个人信息保护、盲盒销售等专项执法行动。坚持执法+服务,强化约谈指导,深挖违法线索,攻坚行业痼疾,着力规范行业,打造放心满意的消费环境。现集中公布一批典型案例。

全文链接:https://mp.weixin.qq.com/s/Fu7XDwtY-twUUTtsUd3Btw

5、法国两大就业机构遭网络攻击逾4300万用户数据遭泄露

2024年3月15日,法国负责失业救济和残疾人就业促进的两家官方机构France Travail和Cap emploi不幸遭遇网络攻击,导致大量用户数据面临泄露风险。据法国数据保护部门CNIL透露,此次攻击可能影响到过去20年内在France Travail或其前身Pôle emploi登记过的求职者,涉及人数高达4300万,相当于法国总人口的63%。

全文链接:https://mp.weixin.qq.com/s/ec8XA8eqfRsV4tX1htwxww

6、重庆梁平区网信办依法约谈属地某国有企业主要负责人

2024年3月12日,重庆梁平区网信办在日常网络安全巡查中发现,属地某国有企业所属的信息系统存在多起弱口令问题和其他高危漏洞,存在一定数据泄露风险。梁平区网信办依据《中华人民共和国网络安全法》《党委(党组)网络安全工作责任制实施办法》等法律法规,针对存在的问题约谈该国有企业主要负责人。

全文链接:https://mp.weixin.qq.com/s/ol6-LRs-4l7y_a4iRtkHWA

7、约10万名客户信息泄露 日产澳大利亚发布致歉声明

2024年3月7日,日产澳大利亚分公司发布安全公告,在确认并报告系统遭到黑客入侵3个月之后,目前已经开始联系约10万名客户。在受影响的人中,预估有1万人的“身份证”信息曝光,此外预估约有7500人的驾驶执照、4000人的医疗保险卡、1300人的税务档案号和220人的护照信息泄露。

全文链接:https://mp.weixin.qq.com/s/52YnVz5t2NpARErJLEC9Rw

]]>
/article/zixun/2328.html/feed 0
2023年中国网络安全行业全景册(第六版) /article/zixun/2180.html /article/zixun/2180.html#respond Tue, 12 Mar 2024 08:08:47 +0000 /?p=2180

声明:本文来自FREEBUF咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/zixun/2180.html/feed 0
2024全国两会开幕,来看近年两会上网络安全“关键词” /article/zixun/2134.html /article/zixun/2134.html#respond Wed, 06 Mar 2024 02:52:35 +0000 /?p=2134

东风浩荡,万物生长,又是一年两会时。

2024年,是新中国成立75周年,也是我国实施“十四五”规划的关键之年,亦是我们面对异常复杂的国际国内环境和改革发展重任,进一步巩固和增强经济回升向好态势,高水平培育新质生产力,高质量促进经济发展之年。

2024两会热词

2024年2月5日至25日,人民网连续第23次开展全国两会调查,广纳民情民意。本次调查通过人民网全媒体通道推出,吸引约615万人次参与。

调查围绕10个领域设置49个候选热词。投票结果显示,“依法治国”“就业”“乡村振兴”“医疗”“高质量发展”“养老”“教育强国”“社区治理”“中华优秀传统文化”“国家安全教育”最受网友关注,入选十大热词。

“十大热词”背后是公众热切的期待,说到“国家安全教育”,肯定离不开“国家安全”话题。

“没有网络安全就没有国家安全”,历届两会中,网络安全都成为备受关注的热点话题,专家、学者、企业大咖纷纷建言献策,受到业界的高度关注。

让我们来回顾下这些“两会”提案中的网络安全“关键词”吧!

2018

主题:生态安全

关键词:人才、政企单位、漏洞、用户隐私、工业互联网、军工行业

2019

主题:立体化安全

关键词:物联网、工业互联网、个人信息、安全治理

2020

主题:新基建安全

关键词:网络安全、数据安全、个人信息保护物联网安全、智慧城市安全

2021

主题: 需求侧安全

关键词:个人信息保护、人脸识别、工业物联网安全、物联网安全、网络安全人才与学科建设

2022

主题:加强网络安全,数据安全和个人信息保护

关键词:勒索攻击、元宇宙技术与安全、汽车信息安全、数据保护等

2023

关键词:网络安全顶层制度设计,保障具体数字化场景安全的具体措施,如何加强社会安全意识提升安全能力等

2024

今年也有多位全国政协委员、全国人大代表携网络安全相关提案、议案上会,内容聚焦网络安全教育、网络安全体系建设、个人信息安全、智慧城市安全建设、医疗数据安全等方面。

来源:国家统计局河南调查队、21世纪经济报道、人民网

]]>
/article/zixun/2134.html/feed 0