网络安全管理局调研指导车联网卡实名登记工作

2022-04-27网络文章阅读(68)评论(0)

为指导道路机动车辆生产企业、电信企业进一步做好车联网卡实名登记工作，4月19日，工业和信息化部网络安全管理局组织召开了车联网卡实名登记工作会议，并赴汽车销售服务4S店开展了实地调研。

网络安全管理局强调，车联网卡实名登记是依法落实实名制要求、维护车联网安全、促进行业健康发展的基础性工作，各企业要进一步提高思想站位，充分认识到此项工作的重要性和紧迫性，切实履行企业责任，健全管理制度，加强渠道管理和业务培训；要进一步完善系统支撑能力，加强用户证件核验，扎实做好新用户实名登记，稳妥开展存量用户补登记；要依法加强个人信息保护，严格规范做好数据采集、存储等各项工作；要进一步加强政策宣传，通过线上、异地等多种便捷方式方便用户办理，并做好用户投诉处理工作，切实保障用户合法权益。

中国电信、中国移动、中国联通、中国信息通信研究院、中国汽车技术研究中心有限公司和北京汽车集团有限公司、大众汽车（中国）投资有限公司、北京梅赛德斯-奔驰销售服务有限公司、华晨宝马汽车有限公司、丰田汽车（中国）投资有限公司、现代汽车（中国）投资有限公司、特斯拉汽车（北京）有限公司、重庆理想汽车有限公司、中国第一汽车集团有限公司、中国重型汽车集团有限公司、东风汽车集团有限公司、广州汽车集团股份有限公司、安徽江淮汽车集团股份有限公司、比亚迪股份有限公司、吉利汽车集团、长城汽车股份有限公司、上汽通用汽车有限公司、上汽通用五菱汽车股份有限公司、重庆长安汽车股份有限公司等19家道路机动车辆生产企业相关同志参加会议。

来源：工业和信息化部网络安全管理局

中国通信企业协会增值专委会

长按二维码关注我们

本篇文章来源于微信公众号:中国通信企业协会增值专委会

中核集团召开网络安全和信息化工作会：全面推进数字核工业建设

2022-04-27网络文章阅读(67)评论(0)

4月25日，中核集团召开2022年网络安全和信息化工作会，传达上级部委网络安全和数字化转型相关工作要求，宣贯集团公司“十四五”网信规划，并对2022年网信重点工作进行部署。集团公司党组成员、副总经理曹述栋出席会议并强调，网信工作战线要深入学习贯彻习近平总书记重要指示批示精神，立足“三新一高”，科学推动网络安全和信息化工作，全面推进数字核工业建设，助力集团公司“三位一体”奋斗目标实现。集团公司总经理助理、首席网络安全官庄火林主持会议。

“没有网络安全就没有国家安全，没有信息化就没有现代化。”曹述栋强调，要把握时代脉络，深刻认识集团公司网信工作的重大意义，自觉担负起我国核工业数字化转型的历史重任。要聚焦战略目标，运用系统思维和数字信息手段全面推进数字核工业建设，推动我国核工业向形态更高级、分工更优化、结构更合理方向发展。一是要大力推进产业数字化，筑牢集团公司核心竞争力；二是要加速经营管理信息化，提升集团公司治理水平；三是要强化新型基础设施建设，夯实数字化转型基础。

曹述栋就科学推动网络安全工作提出，要认真落实上级部委要求，不断提升网络安全意识，落实网络安全主体责任；聚焦重点领域，保障关基安全，完善网络安全防护体系，推动自主可控应用。

曹述栋强调，各单位各部门要提高政治站位，坚持业务引领，加强组织落实，加强规划执行，加强集约化建设，加强人才队伍建设，确保网信工作任务高标准完成。

作为中央企业“十三五”网络安全和信息化优秀案例入选单位，秦山核电、新华发电在会上作了经验交流。会议还对获得集团公司2021年“强核杯”网络攻防实训演练活动优胜者进行了表彰。

集团公司副总经济师王德林，总部各部门负责人，京区专业化公司、直属单位主要负责人在主会场参加会议；京外专业化公司、直属单位及各三级单位主要负责人、网信工作负责人和相关人员通过视频在分会场参加会议。

本篇文章来源于微信公众号:小五聊车

2021年中国网络安全大事件

2022-02-25网络文章阅读(63)评论(0)

1、国标《信息安全技术信息系统密码应用基本要求》正式发布

2021年3月9日，《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）正式发布，并于2021年10月1日起实施。该要求从行业标准上升为国家标准，是商用密码应用与安全性评估工作的重要里程碑，对促进我国密码事业发展以及规范密码应用具有重要意义；是贯彻落实《中华人民共和国密码法》，指导商用密码应用与安全性评估工作的一项基础性标准，将进一步规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全。

2、工信部发布《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》

2021年4月2日，工信部新闻发言人表示将发布《App个人信息保护管理暂行规定》等系列行业标准。为深入贯彻落实党的十九届五中全会精神，加强移动互联网应用程序（App）个人信息保护，规范App个人信息处理活动，在国家互联网信息办公室的统筹指导下，工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，2021年4月26日公开征求对《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》的意见。

3、《中华人民共和国数据安全法》正式发布实施

2021年6月10日，《中华人民共和国数据安全法》正式发布，2021年9月1日起实施。《中华人民共和国数据安全法》是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益而制定的法律。

4、《关键信息基础设施安全保护条例》正式实施

2021年8月17日，《关键信息基础设施安全保护条例》正式发布，并于2021年9月1日起施行。该条例的出台旨在建立国家关键信息基础设施安全保护制度，明确各方责任，加强关键信息基础设施安全保护、保卫和保障，进一步提升我国网络空间安全保障的整体水平，切实维护国家网络安全和国家安全。

5、《中华人民共和国个人信息保护法》正式施行

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，并于2021年11月1日起正式施行。《个人信息保护法》从自然人个人信息的角度出发，给个人信息上了一把“法律安全锁”，成为中国第一部专门规范个人信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规都将产生直接和深远的影响。

6、工信部、国家网信办、公安部发布《网络产品安全漏洞管理规定》

2021年9月1日，《网络产品安全漏洞管理规定》（以下简称《规定》）施行。根据《规定》，中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。《规定》提出，任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。《规定》明确，利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

7、《中华人民共和国反电信网络诈骗法（草案）》公开征求意见

2021年10月19日，第十三届全国人大常委会第三十一次会议对《中华人民共和国反电信网络诈骗法（草案）》进行了初次审议，这是我国首次对打击治理电信网络诈骗进行专门立法，并已在中国人大网公布，面向社会公众征求意见。该草案规定了反电信网络诈骗工作的基本原则，规定了各部门职责、企业职责和地方政府职责，加强协同联动工作机制建设。

8、国家网信办对《网络数据安全管理条例（征求意见稿）》公开征求意见

2021年11月14日，国家网信办发布了《网络数据安全管理条例（征求意见稿）》公开征求意见。《网络数据安全管理条例（征求意见稿）》是为落实《网络安全法》《数据安全法》《个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，国家互联网信息办公室会同相关部门研究起草的征求意见稿。

9、《“十四五”国家信息化规划》高度重视网络安全建设

2021年12月，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》（以下简称《规划》），对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分，是指导各地区、各部门信息化工作的行动指南。《规划》根据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中的主要目标和重点内容，把基础能力、战略前沿、民生保障等摆在了优先位置，确定了全民数字素养与技能提升、企业数字能力提升、前沿数字技术突破、数字贸易开放合作、基层智慧治理能力提升、绿色智慧生态文明建设、数字乡村发展、数字普惠金融服务、公共卫生应急数字化建设、智慧养老服务拓展等10项优先行动。

10、公安机关“净网2021”专项行动成效卓著

2021年，公安部部署全国公安机关深入推进“净网2021”专项行动，各地公安网安部门紧密结合党史学习教育和队伍教育整顿，聚焦人民群众关切的网络违法犯罪和网络乱象，持续深化网络违法犯罪打击、网络生态治理和秩序整治。

（大事件以时间排序）

【立法动态】《网络安全审查办法（修订草案征求意见稿）》

2021-07-13网络文章阅读(63)评论(0)

　　依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，我办会同有关部门修订了《网络安全审查办法》，现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：

　　1.登录中华人民共和国司法部中国政府法制信息网（www.moj.gov.cn、www.chinalaw.gov.cn），进入首页主菜单的“立法意见征集”栏目提出意见。

　　2.通过电子邮件方式发送至：shencha@cac.gov.cn。

　　3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“网络安全审查办法征求意见”。

　　意见反馈截止日期为2021年7月25日。

　　附件：网络安全审查办法（修订草案征求意见稿）

国家互联网信息办公室

2021年7月10日

网络安全审查办法

（修订草案征求意见稿）

　　第一条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。

　　第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

　　第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

　　第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

　　网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

　　第五条 运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

　　关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

　　第六条 掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

　　第七条 对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

　　第八条 运营者申报网络安全审查，应当提交以下材料：

　　（一）申报书；

　　（二）关于影响或可能影响国家安全的分析报告；

　　（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；

　　（四）网络安全审查工作需要的其他材料。

　　第九条 网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。

　　第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

　　（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

　　（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

　　（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

　　（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

　　（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

　　（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

　　（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。

　　第十一条 网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。

　　第十二条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

　　网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。

　　第十三条 按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。

　　第十四条 特别审查程序一般应当在3个月内完成，情况复杂的可以延长。

　　第十五条 网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

　　第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

　　第十七条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。

　　第十八条 运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

　　第十九条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

　　网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

　　第二十条 运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

　　第二十一条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

　　本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

　　第二十二条 涉及国家秘密信息的，依照国家有关保密规定执行。

第二十三条 本办法自2021年月日起实施，《网络产品和服务安全审查办法（试行）》同时废止。

（内容来源：中华人民共和国国家互联网信息办公室官方网站

http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm）

关

注

我

们

/ 微信号 / 网络刑法与经济刑法 /

本篇文章来源于微信公众号:法经纵横

解读全球网安最新资讯|美指控朝鲜APT利用新型恶意软件攻击记者……

2022-04-27网络文章阅读(62)评论(0)

美指控朝鲜APT利用新型恶意软件攻击记者

当地时间4月25日，美国新闻网站NK News称，其发现朝鲜支持的APT37正利用一种新型恶意软件样本攻击在朝记者。

APT37又名Ricochet Chollima，据信是由朝鲜政府支持，它将新闻报道视为一种敌对行动，试图利用这次攻击获取机密信息，并查明记者的消息来源。

NKNews是一家美国新闻网站，致力于利用朝鲜国内的情报体系，报道朝鲜新闻并提供有关朝鲜的研究和分析。

在发现攻击后，NK News联系恶意软件专家Stairwell进行技术分析。

一个名为“Goldbackdoor”的新恶意软件样本被Stairwell发现，该样本通过网络钓鱼攻击传播，被评估为”Bluelight”的继任者。

值得注意的是，这并不是APT37第一次针对记者展开恶意软件攻击。距今最近的一次是2021年11月，其采用高度定制的”Chinotto”后门攻击记者。

南美洲金融中心里约财政系统遭勒索攻击

4月22日，巴西里约热内卢州的财政大臣披露该部门正在处理一起针对其系统的勒索软件攻击。

LockBit勒索软件团伙宣称为此次事件负责。他们入侵了接入政府办公室的系统，并窃取到约420GB数据该团伙还威胁，将在今天（25日）公布这批被盗数据。

里约热内卢州财政大臣发言人在声明中表示，在发现网络犯罪分子入侵系统并发出威胁后，他们已经联系了巴西数字犯罪执法机构。

事件发言人指出，“在上周四（21日）发出的威胁中，恶意黑客要求支付赎金，否则将披露据称窃取自Sefaz-RJ系统中的数据。这批失窃数据约占州财政部门全部数据存储量的0.05%。”

据威胁情报厂商Recorded Future维护的勒索软件追踪计划来看，LockBit在今年年内已经仅次于Conti团伙，成为活跃度第二高的勒索软件组织。数据还显示，今年他们已经至少攻击了650个目标组织。

CISA在漏洞利用列表中增加了7个新漏洞

美国网络安全和基础设施安全局(CISA)在其积极漏洞利用的安全问题列表中新添加了7个漏洞，其中包括来自Microsoft、Linux和Jenkins的漏洞。

所谓的已知被利用漏洞列表是在网络攻击中被积极利用并需要由联邦民事执行局(FCEB)机构修补的漏洞列表。

新增加的7个漏洞

“具有约束力的操作指令(BOD)22-01：为了降低已知被利用漏洞的重大风险，建立了已知被利用漏洞目录，将其作为对联邦企业具有重大风险的已知cve的动态列表”，CISA对此解释说。

BOD22-01要求FCEB机构在截止日期前修复已识别的漏洞，以保护FCEB网络免受活动威胁。

目录中列出的漏洞可能会发生威胁参与者执行各种攻击，包括窃取凭据、访问网络、远程执行命令、下载和执行恶意软件，或从设备窃取信息。

加上这七个漏洞，该目录现在包含654个漏洞，包括联邦机构必须应用相关补丁和安全更新的日期。

《网络安全标准实践指南—信息系统灾难备份实践

指引（征求意见稿）》公开征求意见

各有关单位：

为指导各组织开展信息系统灾难备份实践工作，秘书处组织编制了《网络安全标准实践指南—信息系统灾难备份实践指引（征求意见稿）》。

根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—信息系统灾难备份实践指引（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2022年5月10日前反馈至秘书处。

联系人：王秉政 010-64102746 wangbz@cesi.cn

附件：网络安全标准实践指南——信息系统灾难备份实践指引（征求意见稿）.pdf

全国信息安全标准化技术委员会秘书处

2022年4月26日

2021年美军年度网络演习动态与趋势

美军已将网络空间列为继陆、海、空、天之后的第五作战域，是确保国家安全、增强国防实力的重要领域之一，将在未来大国高端军事对抗中发挥愈发关键的作用。2021 年，美军愈发重视将网络作战能力整合到传统作战部队体制中，并通过实战化演习演练，验证联合网络作战机制和网络攻防装备，磨砺美军网络联合作战能力。

1、2021 年美军网络演习整体态势

自美国提出“重返大国竞争”以来，美国网络司令部以及各军种着眼构建联合网络作战架构，频繁举行网络空间演习演练等，意图加快提升美国网络部队网络空间进攻作战能力，强化网络防御能力，夺取网络空间作战主动权。

根据 2021 年公开数据，美军组织或参与网络专项演习、联合网络演习数量 20 余次。相较之前，2021 年，美军网络演习参演机构的规模持续创造新高，演习科目更加贴近真实作战场景，以线上网络对抗的形式检测网络作战能力已经成为美军及其盟友网络部队的主要模式。此外，美军大型综合演习融入了更多的网络空间作战场景，以增强美军及其盟友联合网络作战能力。整体来看，网络空间已经成为美军联合军事演习演练的关键领域，网络空间作战在美国联合军事行动中的重要性日益提升。

2、2021 年美军网络演习主要动态

2021 年，美军网络空间领域演习演练动作频繁。这些网络演习大致可以划分为四类：专项网络演习、跨军种联合网络演习、作战概念验证型网络演习和装备技术测试型网络演习。