【壹周快报】3项公钥基础设施相关国家标准征求意见稿发布；网络安全巨头Fortinet遭大规模数据泄漏

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：3项公钥基础设施相关国家标准征求意见稿发布；《人工智能安全治理框架》1.0版发布；网络安全巨头Fortinet遭大规模数据泄漏。

【热点资讯】

1、3项公钥基础设施相关国家标准征求意见稿发布

近日，全国网络安全标准化技术委员会发布了3项公钥基础设施相关国家标准征求意见稿，分别是《网络安全技术 公钥基础设施 证书管理协议》《网络安全技术 公钥基础设施 PKI组件最小互操作规范》国家标准《网络安全技术 公钥基础设施 时间戳规范》，并发布了公开征求意见的通知。

2、国家标准《网络安全技术 网络身份认证公共服务 应用接入规范》征求意见稿发布

近日，全国网络安全标准化技术委员会秘书处发布了关于国家标准《网络安全技术 网络身份认证公共服务 应用接入规范》征求意见稿征求意见的通知。据此，此标准是为解决多种应用接入国家网络身份认证公共服务平台过程中非授权接入、网络安全、数据泄露问题，支撑《国家网络身份认证公共服务管理办法》的落地实施而制定的，旨在便于接入机构快速理解、指导应用高效接入，增强应用安全，达到保障公民个人信息和公共服务平台安全目的。

• 资料链接：
• https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240912163417888977&norm_id=20231220114028&recode_id=56894

3、《人工智能安全治理框架》1.0版发布

近日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。　

• 资料链接：https://www.tc260.org.cn/front/postDetail.html?id=20240906174148

4、工信部印发《关于推进移动物联网“万物智联”发展的通知》

近日，工业和信息化部办公厅发布了关于推进移动物联网“万物智联”发展的通知，旨在进一步深化移动物联网与人工智能、大数据等技术融合，提升移动物联网行业供给水平、创新赋能能力和产业整体价值，加快推动移动物联网从“万物互联”向“万物智联”发展，助力行业数字化转型和新型工业化。

• 资料链接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_f610e694cb59408784f35f3b67b830c2.html

5、WordPress要求插件开发账户使用2FA措施，将于10月1日生效

近日，WordPress.org宣布了一项新的账户安全措施，要求具有更新插件和主题功能的账户强制激活双因素身份验证（2FA），该措施预计将于2024年10月1日生效。据悉，采用2FA 措施可有效防止黑客利用窃取的证书登录账户，推送可疑或修改过的主题和插件，然后利用这些作为后门传播恶意软件或攻击供应链上的其他网络，对于防止未经授权的访问、维护 WordPress.org 社区的安全和信任至关重要。

【安全事件】

1、黑客冒充虚假招聘人员，诱使Python开发人员传播恶意软件

据thecyberexpress报道，近日，有黑客伪装成知名金融服务公司（包括 Capital One 等大型美国公司）的招聘人员，利用虚假的求职面试和编码测试诱骗开发人员下载和执行恶意软件。这些恶意软件通常隐藏在编译好的 Python 文件中或嵌入档案中，恶意软件随后从缓存的编译文件中执行，因此很难被发现。

2、教育机构安全事件频发，英国一学校因勒索攻击停课一周

近期，针对教育机构的网络安全事件频发，据therecord报道，在本周，英国首都一学校就因勒索攻击停课一周。该校校长称近三周内学校网络、邮箱和其他系统都无法使用，其会关闭学校进行网络安全清洁，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。

3、全球知名网络安全公司飞塔Fortinet遭大规模数据泄漏

据cyberdaily报道，全球知名网络安全公司飞塔Fortinet遭遇大规模数据泄露，一名威胁行为者未经授权访问了它所使用的第三方云共享文件驱动器实例上的少量文件，其中包括与少数Fortinet客户有关的大约440GB的数据。作为一家提供端点安全、防火墙等安全产品的网络安全公司，这一事件不仅再次引发了全球网络安全的关注，也为Fortinet的客户敲响了警钟。

4、英国人才派遣机构泄露数万零工护照、签证等信息

据cybernews报道，GigtoGig这个声称与希尔顿、塞恩斯伯里、万豪和 G4S 等大品牌合作的人才派遣机构，因配置错误，意外公开暴露了一个包含217,000个敏感文件的工人数据库，导致数万名临时工的护照、签证、简历、工作许可证等信息被泄露，使他们面临身份被盗和其他各种欺诈的风险。

5、DragonRank黑帽SEO活动针对亚洲和欧洲IIS服务器

据thehackernews报道，一个代号为DragonRank进行的黑帽SEO活动，以亚洲和欧洲多个国家为目标，包括泰国、印度、韩国、比利时、荷兰和中国等。其利用目标的网络应用服务来部署一个网络外壳，并利用它来收集系统信息和启动 PlugX 和 BadIIS 等恶意软件，运行各种凭证收集实用程序。这些攻击导致35台互联网信息服务（IIS）服务器被攻陷。

部分图文内容来源网络，仅供传播交流