●《联合国打击网络犯罪公约》将提交联大表决,我国发挥关键作用
近日,联合国打击网络犯罪公约特委会顺利通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》(简称《联合国打击网络犯罪公约》)。该条约接下来将于秋季提交联合国大会进行投票。由于投票国家与之前相同,预计该条约将在联合国大会顺利通过。我国一贯倡导并支持在联合国谈判制定关于打击网络犯罪的全球性公约,并于2019年共同提出关于启动公约谈判的联大第74/247号决议。2022年以来,中国作为特委会副主席国,以网络空间命运共同体理念为引领,旗帜鲜明倡导加强打击网络犯罪国际合作,支持强化发展中国家能力建设,并在谈判中与各方开展建设性对话,引导各方展现灵活,为最终谈成公约发挥关键作用。据了解,该公约是网络领域首个由联合国主持制定的普遍性国际公约,将在全球范围内为打击网络犯罪国际合作提供法律框架,对网络空间国际法发展有重大意义。
●日本拟升级重组国家网络安全战略总部
●澳大利亚矿业巨头遭受勒索软件攻击
●美国参议院提案推动联邦网络安全措施并实施强制性漏洞披露政策
美国参议院推出了一项两党支持的新法案,旨在通过确保联邦承包商遵守国家标准与技术研究院(NIST)的准则来加强联邦网络安全。该法案名为《2024年联邦承包商网络安全漏洞减少法案》,要求管理和预算办公室(OMB)监督更新联邦采购条例(FAR),以确保联邦承包商实施与联邦机构一致的漏洞披露政策。法案还规定国防部负责更新国防联邦采购条例补充(DFARS),以确保国防承包商同样执行这些政策。漏洞披露政策(VDP)是一个重要工具,可以让组织在漏洞被恶意利用前修补漏洞。此法案将推动联邦承包商与联邦机构遵循相同的国家准则,从而更好地保护关键基础设施和敏感数据免受潜在攻击。该提案得到了多方支持,进一步填补了联邦承包商网络安全保护中的关键空白。
●英国NCSC建立全国网络欺骗证据库以增强网络防御
●阿联酋沙迦网络安全中心:培养人才与技术革新并重
沙迦网络安全中心的成立标志着该地区在网络安全领域迈出了重要一步。该中心不仅承担着国防事务的重任,还兼具教育和培训中心的功能。谢赫·拉希德强调了中心在培养国家网络安全人才方面的关键作用,专注于提升个人和机构对网络安全重要性的认识,并提供保护数据免受网络威胁的专业指导。SFD信息安全办公室主任SaqarAlAli指出,面对全球组织日益增多的网络攻击事件,更新网络安全策略迫在眉睫,这需要快速适应数字化转型和对数字系统的依赖性增加所引发的新威胁。沙迦网络安全中心通过提供网络监控、威胁检测、技术咨询和专业培训等服务,利用尖端威胁情报技术和先进的大数据分析及人工智能平台,致力于及早发现并有效减轻网络攻击的影响,从而在保护数字基础设施和提升网络弹性方面发挥关键作用。
●美国发布全球首批后量子安全加密标准
美国国家标准与技术研究院(NIST)正式敲定三项用于应对未来量子计算威胁的加密算法,并在此基础上发布了三项后量子加密标准。这标志着全球首批后量子(post-quantum)安全加密标准的诞生。据NIST介绍,这些标准不仅考虑了底层数学的安全性,还评估了它们的实际应用效果。标准涵盖了一般加密和数字签名两大关键领域,为保障从机密电子邮件到电子商务交易等广泛应用提供了坚实的安全基础。一:FIPS203(ML-KEM):基于CRYSTALS-Kyber算法,主要用于一般加密。其特点是加密密钥较小,交换便捷,运算速度快。二:FIPS204(ML-DSA):源自CRYSTALS-Dilithium算法,作为保护数字签名的主要标准。三:FIPS205(SLH-DSA):基于Sphincs+算法,同样用于数字签名,采用不同的数学方法作为ML-DSA的备选方案。NIST同时表示:计划于2024年底发布第四个标准FIPS206(FN-DSA),基于FALCON算法,将为数字签名提供另一种选择。NIST强烈建议计算机系统管理员尽快开始向这些新标准过渡,以确保信息系统在量子计算时代来临时仍能保持安全。
●ISAGCA发布报告探讨零信任模型在OT网络安全中的应用
国际自动化学会全球网络安全联盟(ISAGCA)发布了一份白皮书,探讨了零信任模型在操作技术(OT)和工业控制系统(ICS)中的应用成果。该报告名为《使用ISA/IEC62443标准的零信任成果》,分析了如何将ISA/IEC62443系列标准应用于OT中的零信任策略。零信任已成为广泛接受的网络安全策略,其核心理念是风险无处不在,包括内部和外部。ISAGCA的白皮书指出,在OT环境中,零信任模型应与ISA/IEC62443标准相结合,以增强网络安全。报告建议,在实施零信任时,应避免干扰或覆盖关键的安全功能,特别是涉及容错系统设计的安全功能。虽然实施零信任模型可能会带来额外的初期和维护成本,但它能显著提升安全战略的组织和理解。如果在某些OT网络中无法完全实现零信任原则,建议采用混合方法来增强检测和响应能力。该白皮书现已在ISAGCA官网提供下载。
●韩国多项重要军事技术机密被窃取
据BleepingComputer报道,韩国执政党人民力量党近日披露,黑客通过网络间谍行动成功窃取了韩国K2战斗坦克,以及白头和金刚间谍飞机的关键技术信息。这一事件暴露了韩国国防领域的网络安全漏洞,引发了对韩国国家安全的严重担忧。据悉,黑客利用一名从事K2坦克项目的工程师离职时机,获取了其外部存储设备中的敏感数据。这些数据包括K2坦克的开发报告、设计蓝图和过压系统设计信息等核心技术资料。此外,另一家韩国防务承包商也遭到攻击,导致间谍飞机的能力、技术升级和维护细节等机密信息泄露。此次事件凸显了军事领域网络安全的重要性。