2023年10月国家动态政策、安全事件及其防范
发布时间:2023-11-06
一、 国家安全动态、政策和法规
定期了解国家安全动态、政策和法规,以及相关行业规范标准,有助于完善单位自身的信息安全管理体系。以下是2023年10月份国家新发布的法规政策以及行业相关动态:
1.1 未成年人网络保护条例
发布来源:国务院发布时间:2023年10月24日
发布链接:
https://www.gov.cn/zhengce/content/202310/content_6911288.htm
内容概要:
为了营造有利于未成年人身心健康的网络环境,保障未成年人合法权益,根据《中华人民共和国未成年人保护法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律,制定该未成年人网络保护条例。自2024年1月1日起施行。
附件内容详情请看链接:
https://www.gov.cn/zhengce/content/202310/content_6911288.htm
1.2 关于征求信安标委技术文件《生成式人工智能服务安全基本要求》(征求意见稿)意见的通知
发布来源:全国信息安全标准化技术委员会发布时间:2023-10-11
发布链接:
https://mp.weixin.qq.com/s/Of1FnPaUch22lAcNlPQz1Q
内容概要:
全国信息安全标准化技术委员会组织制定的技术文件《生成式人工智能服务安全基本要求》已形成征求意见稿。根据《全国信息安全标准化技术委员会技术文件制订工作程序(试行)》,现将该技术文件面向社会公开征求意见,如有意见或建议请于2023年10月25日24:00前反馈秘书处。
联系人:张妍婷 13051589087 zhangyt1@cesi.cn
附件内容详情请看链接:
https://mp.weixin.qq.com/s/Of1FnPaUch22lAcNlPQz1Q
二、 境内安全事件
汇总本月发生的重大安全事件,分析事件的发生原因、影响和对应解决方案,可提高对相应事件的应对能力,实现“防患于未然”。2.2 上海某科技公司因数据泄漏后擅自删库被处罚
事件日期:2023-10-12事件概况:
经上海市网信办调查,上海某科技公司安装配置了一台Elasticsearch数据库服务器,用于搜集多个应用系统的业务日志,并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,因数据库存在未授权访问漏洞,造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告,未有效履行数据安全保护义务。
针对以上违法情况,上海市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚。
如何防范:
管理上:
1、制定安全制度: 制定明确的数据安全制度,包括数据分类、访问控制、报告数据泄露事件等方面的指南。
2、监督和审核: 定期审核和监督数据访问和使用,以确保员工和系统遵守数据安全政策。
3、风险评估: 定期进行风险评估,以确定潜在的数据泄露风险,并采取适当的措施来降低这些风险。
4、网络安全措施: 使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等网络安全措施,以防止未经授权的网络访问和攻击。
5、定期更新和升级: 及时升级操作系统、应用程序和安全软件,以修复已知漏洞并提高系统的整体安全性。
技术上:
1、数据加密: 所有敏感数据都应该在传输和存储时进行加密,以保护其免受未经授权的访问。
2、访问控制: 建立有效的访问控制策略,确保只有经过授权的员工可以访问特定数据。采用多层次的访问控制,包括身份验证和授权,以限制数据访问。
3、渗透测试:定期开展渗透测试和漏洞扫描,找出潜在的安全风险漏洞并进行整改。
4、身份验证和访问控制: 强化身份验证机制,确保只有授权用户可以访问关键系统和数据库。采用多因素身份验证可以增加安全性。
2.3 南昌某企业因未履行数据安全义务被处罚
事件日期:2023-10-08事件概况:
经南昌市网信办调查:1.该企业运营的mongodb数据库存在未授权访问安全漏洞;2.该企业未采取相应的技术措施和其他必要措施保障数据安全,其运营的数据库被黑客删库并勒索;3.该企业未加强风险监测,发生删库勒索事件时未采取处置措施和履行主动报告义务。
该企业的相关行为违反了《中华人民共和国数据安全法》第二十七条、二十九条的规定。南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对该企业作出警告并处罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。
如何防范:
管理上:
1、制定安全制度: 制定明确的数据安全制度,包括数据分类、访问控制、报告数据泄露事件等方面的指南。
2、监督和审核: 定期审核和监督数据访问和使用,以确保员工和系统遵守数据安全政策。
3、风险评估: 定期进行风险评估,以确定潜在的数据泄露风险,并采取适当的措施来降低这些风险。
4、网络安全措施: 使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等网络安全措施,以防止未经授权的网络访问和攻击。
5、定期更新和升级: 及时升级操作系统、应用程序和安全软件,以修复已知漏洞并提高系统的整体安全性。
技术上:
1、数据加密: 所有敏感数据都应该在传输和存储时进行加密,以保护其免受未经授权的访问。
2、访问控制: 建立有效的访问控制策略,确保只有经过授权的员工可以访问特定数据。采用多层次的访问控制,包括身份验证和授权,以限制数据访问。
3、渗透测试:定期开展渗透测试和漏洞扫描,找出潜在的安全风险漏洞并进行整改。
4、身份验证和访问控制: 强化身份验证机制,确保只有授权用户可以访问关键系统和数据库。采用多因素身份验证可以增加安全性。
上一篇:2023年9月份漏洞通告 下一篇:2023年10月漏洞通告
返回列表
