【壹周快报】9项网络安全国家标准获批发布；互联网档案馆遭黑客攻击，泄露3100万用户数据

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：《网络安全技术 信息安全控制》等9项网络安全国家标准获批发布；互联网档案馆遭黑客攻击，泄露3100万用户数据。

【热点资讯】

1、《网络安全技术 信息安全控制》等9项网络安全国家标准获批发布

近日，由全国网络安全标准化技术委员会归口的9项网络安全国家标准获批发布。这9项国家标准分别是《网络安全技术 实体鉴别 第2部分：采用鉴别式加密的机制》《网络安全技术 消息鉴别码 第2部分：采用专门设计的杂凑函数的机制》《网络安全技术 杂凑函数 第1部分：总则》《网络安全技术 杂凑函数 第2部分：采用分组密码的杂凑函数》《网络安全技术 杂凑函数 第3部分：专门设计的杂凑函数》《网络安全技术 网络和终端离产品技术规范》《网络安全技术 信息安全控制》《网络安全技术 办公设备安全规范》《网络安全技术 智能门锁网络安全技术规范》。

• 资料链接：https://www.tc260.org.cn/front/postDetail.html?id=20241009104335

2、《网络安全标准实践指南——学术科技服务平台数据安全要求（征求意见稿）》公开征求意见

近日，全国网络安全标准化技术委员会秘书处编制的《网络安全标准实践指南——学术科技服务平台数据安全要求（征求意见稿）》发布，并发布了公开征求意见的通知。据悉，此实践标准规定了学术科技服务平台数据安全保护要求，提出了学术科技服务平台运营者应履行的安全责任和义务，适用于规范学术科技服务平台运营者数据处理活动，也可为有关主管监管部门组织开展相关检查评估提供参考。

• 资料链接：https://www.tc260.org.cn/front/postDetail.html?id=20240930151230

3、三项工业互联网企业网络安全国家标准发布

近日，由全国通信标准化技术委员会归口的《工业互联网企业网络安全 第1部分：应用工业互联网的工业企业防护要求》（GB/T 44462.1-2024）、《工业互联网企业网络安全 第2部分：平台企业防护要求》（GB/T 44462.2-2024）、《工业互联网企业网络安全 第3部分：标识解析企业防护要求》（GB/T 44462.3-2024）等三项工业互联网企业网络安全国家标准发布。据悉，这三项标准聚焦三类工业互联网企业网络安全防护需求，提出不同级别企业的网络安全防护要求，为企业实施工业互联网安全分类分级管理工作提供指导，服务行业企业网络安全体系建设和能力提升，是我国工业互联网安全领域的首批国家标准。

4、《网络数据安全管理条例》发布

近日，依据《网络安全法》《数据安全法》《个人信息保护法》等法律制定的《网络数据安全管理条例》发布，此条例旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。

• 资料链接：https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm

5、Tenable发布《2024年云风险报告》

近日，Tenable发布了Tenable Cloud Risk Report 2024《2024年云风险报告》，报告中显示，有38% 的企业组织至少有一个严重暴露的云计算工作负载——有毒云计算三要素，它们分别是公开暴露、极其脆弱、高度特权。

【安全事件】

1、互联网档案馆遭黑客攻击，泄露3100万用户数据

据cybernews消息，非营利性互联网档案馆网站（Archive.org）遭到黑客攻击，导致3100万用户数据泄露，泄露的数据包括个人身份信息（PII）、电子邮件地址、网名和 bcrypt 密码哈希值在内的用户记录等。据悉，此次攻击发生在上个月，而本周三，Internet Archive创始人Brewster Kahle在社交媒体上表示，其遭遇了DDoS攻击，正在努力使 http://archive.org 重新上线。鉴于互联网档案馆发生的多起安全事件，人们对其平台的安全性表示担忧。

2、因SSL证书过期，英格兰银行支付系统CHAPS崩溃

近日，《The Stack》报道，2024年7月，英格兰银行支付系统——CHAPS系统崩溃，而导致崩溃的原因是因为银行基础设施中的SSL证书过期。据相关消息，因SSL证书导致的中央银行系统崩溃并非首例，在2024年1月26日，实时全额结算系统RTGS就曾发生一次持续39分钟的宕机，导致CHAPS和CREST结算暂停，英格兰银行模糊地将其归因于“证书颁发机构CA问题”。

3、因配置错误，上千个内部人工智能训练数据集和工具在互联网暴露

据404media消息，一名安全研究人员向其透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司，包括MLflow、Kubeflow和TensorBoard实例等。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险，而导致暴露主要是因为配置错误使得未经授权的人员能够访问、下载，甚至运行敏感的机器学习模型和数据集。

4、APT 组织攻破欧洲多国政府系统

据bleepingcomputer消息，一个名为GoldenJackal的高级持续性威胁（APT）组织，成功攻破了欧洲政府机构的空中屏蔽网络（与互联网隔离以最大限度降低网络攻击风险的系统）。其使用了两套自定义工具集窃取了大量敏感数据，包括电子邮件、加密密钥、图像、档案以及文件等。

5、新型僵尸网络GorillaBot针对100多个国家发起DDoS 攻击

据thehackernews消息，研究人员发现，一个名为GorillaBot大猩猩的新型僵尸网络针对100多个国家发起30多万次DDoS 攻击。其中中国、美国、加拿大和德国是受攻击最多的国家，攻击领域涵盖大学、政府网站、电信、银行、游戏等。

部分图文内容来源网络，仅供传播交流