1、《零信任安全技术参考框架》正式发布
近日,工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告,正式批准发布YD/T 4574-2023《零信任安全技术参考框架》(下面简称《参考框架》),这是由工作组成员腾讯牵头提案、多个工作组单位联合研制的首个国家部委批准发布的行业标准,意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面,都将“有标可依”。
https://www.secrss.com/articles/63266
2、2023年IT采购规模近1500亿元,服务类项目占比50%
财政部在2023年发布施行的绿色数据中心等八类IT产品政府采购需求标准,对采购人实施相关采购活动将产生重要影响。正福易找标大数据统计显示,2023年,全国包括绿色数据中心、云计算服务和通用服务器等品目在内的IT采购项目约6.5万个,采购规模逼近1500亿元,超过25000家供应商为3万个采购人提供各类货物、服务。
https://www.secrss.com/articles/630763、开年十省份数据局密集挂牌,多地接连任命首任局长
开年以来,省级数据管理机构迎来一波“挂牌潮”,首任局长也密集亮相。截至1月21日,全国有10个省市数据局挂牌成立,其中既有正厅级规格,也有的属于副厅级。从名称看,多数与国家数据局保持一致,直接以省份加上数据局命名,还有包括广东、河北等省市将“政府服务”嵌入其中,突出机构职能。
https://www.secrss.com/articles/630884、海上风电场易受网络攻击,或可致使电网震荡
康科迪亚大学和魁北克水电公司的研究人员在英国格拉斯哥举行的2023年IEEE国际智能电网通信、控制和计算技术会议 (SmartGridComm)上提出了一项关于该主题的新研究。在题为《针对VSC-HVDC连接的海上风电场的数据完整性攻击》的论文中,探讨了海上风电场面临的网络攻击风险。研究者首先根据VSC-HVDC系统和孤岛式海上交流电网的特点,识别出VSC-HVDC系统引入的新的网络物理漏洞。然后设计了两个针对海上VSC电压幅度和频率控制的攻击向量,利用VSC-HVDC的快速响应,通过耗尽系统阻尼能力来破坏OWF的稳定性。实验表明,精心调整的攻击向量可以有效地破坏OWF的稳定性,并且尽管普遍假设VSC-HVDC连接的OWF与主交流电网脱钩,但造成的振荡可能会传播到主电网。
https://industrialcyber.co/threats-attacks/new-concordia-study-shows-offshore-wind-farms-are-vulnerable-to-cyberattacks/
1、美国CISA发布水务领域网络安全实践指南
美国网络安全和基础设施安全局( CISA )、美国环境保护局( EPA )、美国联邦调查局( FBI )联合发布了一项网络安全实践指南,旨在帮助美国城市供水和污水处理领域的企业组织提高网络安全弹性和事件响应能力,防范严重网络安全事件发生。https://www.tripwire.com/state-of-security/us-agencies-issue-cybersecurity-guide-response-cybercriminals-targeting-water
03.
安全事件
1、美国威立雅水务遭遇勒索软件攻击
威立雅北美公司在其网站上发布的通知中透露,其市政供水部门上周遭到勒索软件攻击。为了应对这一事件,该公司关闭了目标后端系统和服务器,从而扰乱了在线账单支付系统。
https://www.securityweek.com/major-us-uk-water-companies-hit-by-ransomware/
2、史上最大规模数据泄漏事件
近日安全研究人员Bob Dyachenko和Cybernews团队发现了一个名为“泄漏之母”(”Mother of all Breaches,简称MOAB)的超级巨型数据泄露库,该库整合并重新索引了过去几年的泄漏数据,文件体积高达12TB,共260亿条记录,是迄今为止发现的最大规模的数据泄露事件。
https://securityaffairs.com/157933/breaking-news/largest-data-leak-ever.html
3、芬兰云服务商遭勒索攻击,导致瑞典众多公共机构系统瘫痪
安全内参1月23日消息,芬兰云托管服务提供商Tietoevry披露,旗下位于瑞典的一个数据中心在上周末“部分受到勒索软件攻击”,导致大量客户受影响,瑞典全国各地的商店纷纷关闭。
https://therecord.media/tietoevry-ransomware-attack-sweden-cloud-services-datacenter
04.
漏洞事件
1、Jenkins任意文件读取漏洞 (CVE-2024-23897)
Jenkins处理CLI命令的命令解析器中的expandAtFile功能存在任意文件读取漏洞,未经身份认证的远程攻击者利用该漏洞可以读取部分文件的有限行内容,攻击者经过身份验证或目标Jenkins更改了默认”Security”配置可以通过该漏洞读取任意文件,攻击者进一步利用该漏洞并结合其他功能可能导致任意代码执行。
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
05.
安全标准
1、近日,广州市海珠区携手清华大学起草的团体标准《数据经纪人能力成熟度评估模型》(Data Broker Capability Maturity assessment Model)(T/CITIF 009—2023)
由中国电子信息行业联合会在全国团体标准信息平台官网上正式发布实施,成为国内首份应用于数据经纪人能力的评估模型。据悉,DBCMM旨在建立一套衡量和提升数据经纪人在数据流通服务中能力和规范性的体系,培育数据要素市场生态,促进数据合规高效流通
https://download.s21i.faiusr.com/13115299/0/1/ABUIABA9GAAg7a6uqgYo6IeAoAY.pdf?f=%E6%95%B0%E6%8D%AE%E7%BB%8F%E7%BA%AA%E4%BA%BA%E8%83%BD%E5%8A%9B%E6%88%90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5%9E%8B%EF%BC%88%E5%BE%81%E6%B1%82%E6%84%8F%E8%A7%81%E7%A8%BF%EF%BC%89.pdf&v=1699452781
06.
政策发布
1、据交通运输部网站消息,《铁路关键信息基础设施安全保护管理办法》发布,自2024年2月1日起施行
交通运输部公布《铁路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第20号),自2024年2月1日起施行。为全面贯彻落实党中央、国务院关于加强关键信息基础设施安全保护的决策部署,细化落实《条例》规定,有必要制定《办法》,以全面保障铁路关键信息基础设施的安全运行。
https://xxgk.mot.gov.cn/2020/jigou/fgs/202401/
