一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2024年02月份国家新发布的法规政策以及行业相关动态：

1.1 国家互联网信息办公室关于发布第四批深度合成服务算法备案信息的公告

发布来源：中国网信网
发布时间：2024-02-18
发布链接：
http://www.cac.gov.cn/2024-02/18/c_1709925427424332.htm
内容概要：
网信办根据《互联网信息服务深度合成管理规定》，公开发布第四批境内深度合成服务算法备案信息，具体信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。任何单位或个人如有疑议，请发送邮件至pingguchu@cac.gov.cn，提出疑议应以事实为依据，并提供相关证据材料。
《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。
附件内容详情请看链接：
http://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=ekdHFflbXTKqZLE43DV~be7YUsAX9ZW0WNZTK3SwSPnarqnpxbmUOk~twh8JsAcJUaEhsX0NXJ6eAgQO69AikZ3MoQYVYfXaOeBYjB154YQ=&fText=%E5%A2%83%E5%86%85%E6%B7%B1%E5%BA%A6%E5%90%88%E6%88%90%E6%9C%8D%E5%8A%A1%E7%AE%97%E6%B3%95%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%882024%E5%B9%B42%E6%9C%88%EF%BC%89
 

1.2 《中国区块链创新应用发展报告（2023）》《中国区块链创新应用案例集（2023）》发布

发布来源：中国网信网
发布时间：2024-02-22
发布链接：
http://www.cac.gov.cn/2024-02/22/c_1710016970183267.htm
内容概要：
由中央网信办信息化发展局指导，中央网信办数据与技术保障中心牵头编制的《中国区块链创新应用发展报告（2023）》（以下简称《报告》）在国家区块链创新应用试点总结交流会上正式发布。《报告》从顶层设计、技术应用、标准研制、生态建设等方面梳理了2023年我国区块链创新应用发展的总体情况，总结了重点领域和代表地区推进区块链创新应用的主要做法成效，分析了当前面临的形势挑战，并对未来发展进行展望。
同时，中央网信办数据与技术保障中心面向全国开展2023年区块链创新应用案例征集工作，经初审、复审、公示等环节后评选出66个区块链创新应用案例（包括10个优秀案例，56个典型案例），汇编形成了《中国区块链创新应用案例集（2023）》，为各地区、各行业深入推进区块链创新发展提供借鉴参考。
附件内容详情请看链接：
http://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=ekdHFflbXTKqZLE43DV~bUqiRxXuWCF7wNzng1YqxvCZH0vG89~uO70DKJDxgP3URlOKpx8aFigQdEpU~so2rTEjTcORl73kmCTdYOvdSjs=&fText=%E3%80%8A%E4%B8%AD%E5%9B%BD%E5%8C%BA%E5%9D%97%E9%93%BE%E5%88%9B%E6%96%B0%E5%BA%94%E7%94%A8%E5%8F%91%E5%B1%95%E6%8A%A5%E5%91%8A%EF%BC%882023%EF%BC%89%E3%80%8B
http://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=ekdHFflbXTKqZLE43DV~ba1o9O5vkkK~roq9xfLUzO~ZH0vG89~uO70DKJDxgP3UfEQamRRtCM~3GC6pe1deqjEjTcORl73kmCTdYOvdSjs=&fText=%E3%80%8A%E4%B8%AD%E5%9B%BD%E5%8C%BA%E5%9D%97%E9%93%BE%E5%88%9B%E6%96%B0%E5%BA%94%E7%94%A8%E6%A1%88%E4%BE%8B%E9%9B%86%EF%BC%882023%EF%BC%89%E3%80%8B
 

1.3 网络关键设备和网络安全专用产品安全认证和安全检测结果发布

发布来源：中国网信网
发布时间：2024-02-05
发布链接：
http://www.cac.gov.cn/2024-02/05/c_1708716825969959.htm
内容概要：
由中央网络安全和信息化委员会办公室公布最新的（2024年02月05日更新）关于网络关键设备和网络安全专用产品安全认证和安全检测结果，其中通过安全认证的设备含442台网络关键设备和1217台网络安全专用产品。
详细结果请看链接：
http://www.cac.gov.cn/2024-02/05/c_1708716825969959.htm
 

1.4  16所高校入选新一期一流网络安全学院建设示范项目

发布来源：中国网信网
发布时间：2024-02-04
发布链接：
http://www.cac.gov.cn/2024-02/04/c_1708281056653069.htm
内容概要：
贯彻落实习近平总书记关于加强一流网络安全学院建设和坚持网络安全教育技术产业融合发展的重要指示精神，经高校申报、专家评审等环节，2024年1月，中央网信办、教育部评选产生新一期一流网络安全学院建设示范项目高校，名单如下：华中科技大学、西安电子科技大学、北京航空航天大学、上海交通大学、山东大学、北京邮电大学、中国科学技术大学、东南大学、暨南大学、武汉大学、北京理工大学、湖南大学、哈尔滨工业大学、西北工业大学、天津大学、战略支援部队信息工程大学。
中央网信办网络安全协调局负责人表示，为深化实施一流网络安全学院建设示范项目，本次评选扩大了示范项目高校数量，并采取“有进、有出”的动态调整机制，每5年一个建设周期，建设周期结束后重新评选。新一期示范项目建设更加突出培养学生科技自立自强的意识和技能，建立健全网络安全创新人才培养的课程、教材、实训环境体系，鼓励和支持教师学生参与开源生态建设，创新网络安全教育技术产业融合发展模式，深入开展网络安全学院学生创新资助计划，创新网络安全人才评价机制，不将发表学术论文作为学生毕业、教师晋升的必要条件，将教师学生参与重要课题、重大工程建设、企业和科研单位技术研发过程中的优秀成果，视同高水平学术论文。
2017年以来，中央网信办、教育部组织实施一流网络安全学院建设示范项目，网络安全人才培养规模大幅增长，人才培养模式不断创新，极大促进了网络安全人才培养工作。截至目前，全国范围内已有90余所高校设立网络安全学院，200余所高校设置网络安全相关专业。
 

1.5 关于征求国家标准《信息安全技术 云计算服务安全能力评估方法》（征求意见稿）意见的通知

发布来源：全国网安标委
发布时间：2024-02-04
发布链接：
https://mp.weixin.qq.com/s/xCantzhyC1KXomdqN51VYw
内容概要：
全国网络安全标准化技术委员会归口的国家标准《信息安全技术 云计算服务安全能力评估方法》现已形成标准征求意见稿。
根据委员会标准制修订工作程序要求，现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站，如有意见或建议请于2024年4月4日24:00前反馈秘书处。
联系人：
王丹丹 010-64102731/18811126578                   
wangdd@cesi.cn
附件内容详情请看链接：
https://mp.weixin.qq.com/s/xCantzhyC1KXomdqN51VYw
 

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 女子被好友改名文件传输助手骗5年

事件日期：2024-02-27
事件概况：
微博博主@布鲁克林奶王 发帖描述，一个网友把名字和头像改成了文件传输助手，自己整整被骗用了5年。期间，自己向这个号发送了自己的身份证，照片，视频等等各种私人信息。
该博主最新透露去报案和向微信平台投诉后，对方号已经被封掉，事情目前就到此结束。
如何防范：
1、教育和培训：提高个人和组织的安全意识。定期进行安全教育培训，教育用户识别各种社会工程学攻击，如钓鱼邮件、伪装成信任的个人或服务的欺骗行为等。
2、验证身份：在透露任何敏感信息或执行任何重要操作之前，通过多个渠道验证请求者的身份。例如，如果收到一封要求提供信息的电子邮件，可以通过电话或当面与对方确认。
3、谨慎处理信息：不要轻易分享个人或公司的敏感信息，特别是在社交媒体上。攻击者可能会利用这些。
 

2.2 系统漏洞致华莱士储值套餐券免费领取

事件日期：2024-02-18
事件概况：
华莱士发布公告称（公告如下），由于暂未知原因（尚在警方调查中），导致原本属于储值用户专享的免费套餐券被非法领取，免费发放给了广大非储值用户，随后网络平台陆续出现非法倒卖华莱士套餐券的现象。
华莱士表示，此次利用漏洞领取的套餐券是非法的，将被作废处理。对于偷盗及倒卖套餐券的非法行为，公司已向有关部门报案。

 
如何防范：
管理上：
1、政策和流程：制定或更新信息安全政策，确保员工了解并遵守相关规定。明确安全事件的报告和响应流程。
2、员工培训和意识提升：对员工进行网络安全培训，提高安全意识。
3、供应链安全：审查供应商的安全措施，确保第三方服务的安全性。与供应商建立安全协议，确保他们符合企业的安全要求。
4、持续监测和改进：建立持续的安全监测机制，定期评估安全措施的有效性。基于监测结果和安全趋势，不断改进安全策略和技术。
技术上：
1、立即补丁和更新：修复已知的系统漏洞，确保所有系统和软件都是最新版本并应用了最新的安全补丁。
2、安全审计和日志记录：开启详细的日志记录功能，记录所有敏感操作。定期进行安全审计，检查系统是否存在潜在风险。
3、应急响应计划：准备应急响应计划，以便在安全事件发生时快速响应。定期进行模拟演练，确保应急响应团队的反应速度和效率。
4、加强认证机制：对敏感操作加强认证流程，如使用优惠券、修改账户信息等。
 

2.3 “半天妖烤鱼”借扫码点餐违规收集手机号

事件日期：2024-02-02
事件概况：
根据网民举报并经核实，餐饮连锁企业“半天妖烤鱼”在消费者扫码点餐过程中，微信小程序存在误导消费者认为必须先注册会员才能点餐、索取非必要的手机号且首次使用未主动弹窗告知消费者收集使用个人信息规则等违法违规行为。
2月2日下午，上海市网信办依法约谈“半天妖烤鱼”运营企业上海半天妖餐饮管理有限公司负责人，要求企业立即整改，对照问题举一反三自查自纠，切实把个人信息保护置于企业运营的重要位置。企业负责人表示，将认真落实网信部门要求，开展全面自查整改，以实际行动维护消费者个人信息权益。
如何防范：
管理上：
1、合规性审查：确保所有业务流程符合当地《个人信息保护法》法律和规定。
2、政策制定：制定严格的数据收集、处理和存储政策，明确什么数据可以收集，收集后如何使用，以及如何保护用户隐私。
3、内部培训：对员工进行定期的数据保护和隐私法规培训，强化他们对用户隐私的尊重和保护意识。
4、审计与监控：定期进行内部和外部的合规性审计，保证政策的执行和数据处理的透明度。
5、风险评估：定期进行数据保护影响评估，了解数据处理活动可能带来的风险，并采取措施降低这些风险。
技术上：
1、数据加密：对存储和传输的个人数据进行加密处理，确保数据的安全。
2、访问控制：实施严格的访问控制措施，确保只有授权人员才能访问用户数据。
3、数据最小化：仅收集实现业务目的所必需的最少数据，减少被滥用的风险。
4、安全审计：定期进行系统和网络的安全审计，及时发现和修复安全漏洞。
5、数据匿名化：在可能的情况下，对数据进行匿名化处理，使得数据在不影响业务的前提下，无法追溯到个人。