17家單位聯合發布《工業和信息化領域數據安全合規指引》

11月，中國鋼鐵工業協會、中國有色金屬工業協會、中國石油和化學工業聯合會等17家行業組織聯合發布了《工業和信息化領域數據安全合規指引》。該文件詳細規定了數據處理活動中的基本要求、數據分類分級管理、數據安全風險評估、數據安全事件應急處置等內容，并提出了加強數據全生命周期安全管理的具體措施。通過這些措施，旨在構建一套適應工業和信息化領域特點的數據安全管理體系，提高整個行業的數據安全水平。

國家數據局印發《可信數據空間發展行動計劃（2024—2028年）》

11月，國家數據局正式印發了《可信數據空間發展行動計劃（2024—2028年）》。該計劃明確提出，到2028年，可信數據空間在運營、技術、生態、標準、安全等體系方面將取得突破，建成100個以上可信數據空間，基本建成廣泛互聯、資源集聚、生態繁榮、價值共創、治理有序的可信數據空間網絡。這將顯著提升各領域數據開發開放和流通使用水平，初步形成與我國經濟社會發展水平相適應的數據生態體系。

美國政府發布《聯邦零信任數據安全指南》

11月，美國政府發布《聯邦零信任數據安全指南》。該指南由聯邦首席數據官和聯邦首席信息安全官委員會牽頭制定，旨在加強數據安全實踐，重點關注數據保護本身，而數據保護則被視為有效實施零信任實施的“基礎支柱”。該指南綜合了來自30多個聯邦機構和部門的數據和安全專家的意見，為系統所有者、管理員、網絡安全工程師和數據管理員等目標受眾提供了詳細的零信任原則。該指南包含了5個階段的零信任安全路線圖，概述了從業人員可采取的保護數據措施，并著重說明了如何識別、定義和分類數據。該指南還建議了一些最佳數據做法，包括跨職能協作溝通、數據和安全團隊之間的牢固關系、持續學習和教育、適應性、定期評估和“全面認同”等。

加拿大政府宣布成立人工智能安全研究所

11月，加拿大創新、科學和工業部部長宣布成立加拿大人工智能安全研究所（CAISI），以增強加拿大應對人工智能安全風險的能力，進一步鞏固加拿大在安全、負責任地開發和采用人工智能技術方面的領先地位。CAISI將設立加拿大創新、科學與經濟發展部，下設專門辦公室負責監督研究議程并與國際合作伙伴接洽，初始預算為五年共計5000萬美元。CAISI將利用加拿大國家研究理事會、加拿大高級研究所以及加拿大的三個國家AI研究所—埃德蒙頓的Amii、蒙特利爾的Mila和多倫多的Vector Institute的現有專業知識，同時吸納更廣泛的加拿大研究和商業界項目，以評估風險、測試系統并開發應對風險的指導方針。

NIST 確定后量子加密標準

11月，美國國家標準與技術研究所 (NIST) 發布了首套最終加密標準，旨在抵御量子計算機帶來的潛在威脅。NIST重申了其保護數字信息免受未來威脅的承諾，確保美國在技術創新和安全方面繼續保持全球領先地位。新的后量子密碼 (PQC) 標準可保護從機密電子郵件到電子商務交易等各種電子信息免受網絡攻擊。這三項新標準ML-KEM、ML-DSA和SLH-DSA 建立在不同的數學基礎上，以確保對傳統計算機和量子計算機的抵御能力。這些標準包括詳細的實施說明，可供計算機系統管理員立即使用。NIST鼓勵各組織盡快將這些算法集成到其系統中，以應對未來的量子威脅。

俄羅斯擬開發國產Android操作系統

11月，俄羅斯聯邦數字發展部正在與IT行業討論組建聯盟，以開發基于AOSP（Android Open Source Project）的俄羅斯版Android移動操作系統。新操作系統將安裝在教師和醫務人員使用的平板電腦上，與Aurora系統一同，后者用于工作任務，如維護電子期刊和處理數字材料?；贏OSP的系統將用于日常使用，無需適配大量移動應用程序。這一混合方法旨在確保處理個人數據的高安全性和生產應用的可靠性，同時允許教師和醫生使用標準Android應用程序。項目最終決定預計將于明年春季完成。

俄羅斯APT28黑客組織發起“近鄰攻擊”入侵美國公司

11月，俄羅斯國家黑客組織APT28（Fancy Bear）采用“近鄰攻擊”技術，通過數千英里外的企業WiFi網絡成功入侵了一家美國公司。APT28首先攻擊了目標附近建筑物內的組織，獲取了目標企業WiFi網絡的憑證，并利用這些憑證連接到目標網絡。攻擊者通過遠程桌面連接（RDP）在目標網絡上橫向移動，竊取數據，并使用Windows工具轉儲注冊表配置單元。微軟的報告指出APT28可能利用了Windows Print Spooler服務中的零日漏洞CVE-2022-38028來提升權限。此次攻擊展示了即使在遠程工作環境下，企業WiFi網絡的安全同樣重要，需要采取嚴格的保護措施。

以色列加油站和連鎖超市的支付系統遭網絡攻擊

11月，以色列近期遭受了一系列針對關鍵基礎設施的網絡攻擊，特別是加油站和信用卡系統。最近一次攻擊導致數千臺信用卡讀卡器故障，被懷疑是DDoS攻擊所致。Hyp Credit Guard公司迅速響應，排除了更大規模網絡攻擊的可能性，并將問題歸咎于針對電信提供商的DDoS攻擊。此次事件凸顯了金融和零售行業面臨的網絡攻擊威脅，尤其是對依賴實時支付處理的加油站和商店。此外，此次攻擊是以色列與敵對團體網絡敵對行為模式的一部分，伊朗支持的黑客組織被懷疑是幕后黑手。以色列網絡安全專家認為，這些攻擊旨在破壞以色列經濟和基礎設施。此次事件也顯示了網絡戰在該地區已逐漸成為一種常見手段。

美國水務系統存在大量漏洞，可致使上億人供水中斷

11月，美國環保局（EPA）監察長辦公室（OIG）日前發布報告稱，美國有超過300個為約1.1億人提供服務的飲用水系統存在安全漏洞，這些漏洞可能會導致服務中斷，引起系統功能癱瘓、拒絕服務及客戶信息泄露等問題。評估涉及五個網絡安全領域：電子郵件安全、IT衛生、漏洞管理、對抗性威脅，以及惡意活動。根據潛在影響，發現的問題被劃分為從“嚴重”到“低級”的不同等級。OIG報告指出，截至2024年10月，在被評估的供水系統中，有97個存在“嚴重”或“高危”的安全問題，這些系統共為約2700萬人提供飲用水服務。此外，有211個飲用水系統存在“中級”或“低級”嚴重性的安全隱患，這些系統為約8300萬人提供服務。

韓國ICTK公司利用全球首個物理不可克隆功能技術實現零信任

11月，近日，韓國ICTK公司以其創新的基于硬件的安全技術脫穎而出，將世界上第一個物理不可克隆功能 (PUF) 技術商業化。ICTK自主研發的VIA PUF技術已被公認為最可靠的身份認證解決方案，為各大企業以及全球科技巨頭提供基于該技術的安全芯片。ICTK公司建議使用基于硬件的PUF技術安全芯片，每個芯片都分配有一個在半導體制造過程中生成的 ID，類似于指紋或虹膜等生物特征信息，實現無法篡改或克隆，這一關鍵特性可以完美實現基于零信任的身份驗證。