随着数字化建设的不断深入，网络安全被提升至新的高度，探索新形势下网络安全建设的新途径与新模式成为企业数字化安全发展的当务之急。在此背景下，第三方安全托管服务在企业网络安全建设中逐渐发挥出巨大潜力与优势，并呈现常态化应用的发展态势。对于我国政企单位用户而言，依托第三方机构托管服务来进行安全建设和运营工作，主要包括以下两个因素：外部因素，主要源于日趋严峻的网络安全发展态势。网络勒索、恶意程序、爬虫病毒等威胁此起彼伏，境外APT组织越发活跃，针对性的高级威胁网络攻击日益猖獗……以上种种，使得政府机构与企业组织的网络安全建设和运营面临巨大挑战。内在因素，主要在于政企单位自身的安全运维能力，无法满足其日趋复杂的信息系统稳定运营需求。特别是很多中小型企业组织，由于生产规模较小，安全生产基础薄弱，各项管理制度不健全，未形成完善的安全管理体制，缺乏专业的安全管理人员，造成企业的安全生产工作处于无序或失控状态，安全生产中大量存在着“无人管、不会管、管不好”等问题。从历年实网攻防演习经历看，很多企业组织对真实攻击事件的判断能力有限，一旦发生重大突发安全事件，其应急响应处置将面临极大挑战。为了帮助政企单位解决安全运维中的困难与挑战，知道创宇公司日前正式发布了“创宇铁卫网络安全一体化服务”解决方案，依托该公司多年积累的SaaS化网络安全防护能力，并结合经验丰富的安全专家能力，以产品+服务的形式，打造了“资产+流量+检测+防御+服务”的一体化安全托管服务能力，并实现了两个重要的突破：一是打破传统的产品、设备部署模式，转变为提供一体化安全保障服务，帮助客户建立可落地的防御体系。二是以“真正防得住”作为服务目标，做到对用户的安全结果负责。据知道创宇公司介绍，“创宇铁卫”网络安全一体化服务相比目前的MSS服务，更加注重实际效果，不仅融合了MSS和MDR的综合要素，还包括了云防护、测绘等超出MDR范畴的高阶能力。在联防联控方面，方案中各个产品与创宇安全智脑威胁情报生产平台可以实时联动，以更加智能化的方式，及时识别及发现风险并迅速阻断，对全网攻击进行流量监测和事后攻击溯源，为客户搭建起云端安全态势感知平台，形成全网协同联动防御能力，有效提升整体防御能力。相关阅读产业观察

虚拟化软件中部署了一种感染后植入程序，以控制受感染的虚拟机系统并逃避检测。需要强调的是，这种攻击的危害性不在于通过外部远程代码执行漏洞，而是攻击者劫持了虚拟机系统的管理员级权限。谷歌的

JTC1/SC27（以下简称“SC27”）是国际上专门负责网络安全领域标准研制工作的技术组织，具体负责开展信息安全、网络安全和隐私保护领域的国际标准研制工作。详情点击：关于征集ISO/IEC

XDR概念已提出多年，但很多企业用户对它的理解仍然一头雾水，有人认为它是端点检测和响应（EDR）技术的扩展，有人认为它是由单一安全厂商提供的威胁检测工具组件包，还有人认为它是一种开放式的威胁检测和事件响应新架构。XDR技术之所以会出现，是由于企业安全团队对威胁检测和响应技术有了更高的要求。国际IT专业媒体TechTarget旗下的企业战略研究机构ESG日前开展了一项调查，面向381名企业安全专业人员进行了XDR应用访谈。研究发现，85%的组织计划在今后12到18个月内加大在XDR应用方面的支出。很显然，组织对现在实施的方案并不满意。对于企业的安全架构师而言，是时候改进优化现有的XDR应用策略了。产品化的思维陷阱新一代XDR技术会是企业升级威胁检测和响应能力的灵丹妙药吗？ESG认为，如果企业把XDR看作一种安全产品的话，那么可能很难找到一款真正能够全面满足组织需求的XDR产品。ESG研究团队认为，企业应该将XDR应用和部署看作是一个过程，只有持续性地关注XDR技术应用过程中改进检测和响应计划的必要性，才可以满足

点击蓝字，关注我们牛聘是安全牛旗下的垂直招聘平台，为了帮助安全牛会员企业更好地解决用人需求，牛聘每周陆续发布会员企业的招聘信息，发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定，本次发布2022年度岗位招聘第34期。牛聘

01DPODPO（数据保护官）EXIN推出，是面向全球有志于从事个人信息及隐私保护领域工作的从业者量身打造的以GDPR合规为驱动、以体系化的专业知识和经验培训为保障的专业认证。DPO不是一门单独的考试，而是EXIN为已经获得相关认证的专业从业者提供的一种集成认证。即当一位从业者考取以下三门认证后（PDPF或PIPL+PDPP+ISO27001)另外获得一个证书。PDPP近期开课时间：

wangjiao@cesi.cn规范详情请点击文章下方“阅读原文”查看。相关阅读国家标准《信息安全技术

随着网络边界的消失，零信任技术成为行业普遍关注的焦点。但是，零信任安全并非一款产品级的解决方案，相比传统的网络安全防护模式，其覆盖范围更广，与信息化基础设施的耦合性也更密切。企业在开展零信任安全建设时，需要面对海量的权限梳理和资产识别工作，涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接，因此很多零信任项目建设都要面对建设周期长、运维压力大、投入产出低的挑战。为更好了解零信任技术在我国的应用建设状况，并分析零信任实践带来的行业变化，安全牛以第九版《中国网络安全行业全景图》中零信任技术领域研究数据为基础，正式发起并开展了《现代企业零信任安全落地实践应用指南》报告（以下简称“报告”）研究项目，对现阶段我国企业用户的零信任安全建设需求、态势、难点和最佳实践经验进行了调查与分析。2022年12月2日，报告正式发布。零信任安全建设成熟度模型零信任安全建设是一个持续性、体系化的过程，企业用户可以从“点、线、面”按阶段建设的方式，逐步构建完善零信任安全能力体系。在本次报告研究中，安全牛从支撑技术、防护空间和运营管理三个维度给出了零信任安全能力建设的成熟度参考模型。在支撑技术维度，通过IAM、SDP、MSG和密码等关键性支撑技术，建立覆盖端-管-云的基础安全连接能力；在防护空间维度，应通过零信任策略，将零信任安全能力覆盖到用户、终端、网络、应用和数据等多维网络空间实体，并逐步实现自动化、智能化的安全防护模式;在运营管理维度，以可视化方式，将访问控制、风险管理、事件响应处置等纳入零信任的安全运营体系中。

2022年，在日趋实战化、高动态、高强度对抗的网络安全环境中，网络安全厂商和企业用户都在重新思考和评估新的安全技术、安全战术和安全策略。2023年，将是企业数字化发展的关键年，随着企业面临越来越大的发展压力，唯有优化网络安全建设与运营工作，才能更好地适应宏观经济形势挑战，实现预期增长目标。日前，IT领域专业媒体VentureBeat采访了多家知名科技公司的CISO，就2023年企业网络安全威胁发展态势和重点工作进行了展望和预测。对短期的安全态势保持悲观——

扫描海报上方二维码，提前预约直播！合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

2022年12月1日，由中华人民共和国第十三届全国人民代表大会常务委员会第三十六次会议审议通过的《中华人民共和国反电信网络诈骗法》（以下简称《反电信网络诈骗法》）正式施行。《反电信网络诈骗法》是一部针对电信网络诈骗活动的专门法律，共分为总则、电信治理、金融治理、互联网治理、综合措施、法律责任和附则等七章，法律条文共计五十条。本法案主要通过加大宣传与惩处力度、增强防控主体的责任、落实多方位法律责任等措施要求，实现对电信诈骗的精准、严厉打击，从源头预防电信网络犯罪行为，守护人民群众的安全感和幸福感。✦关于出台的背景与意义✦近年来，随着计算机信息技术的快速发展，以电信网络诈骗为代表的新型犯罪持续高发。与传统诈骗不同，电信网络诈骗中犯罪分子并不与受骗者直接接触，而是通过电信网络手段与受骗者远程交流，具有较强的隐蔽性，从而导致电信网络诈骗案件存在侦破难、取证难、资金查控难的困境，如果无法在第一时间紧急止付或账户冻结，被害人的损失很难挽回。以往关于电信网络诈骗的立法规定较为分散，存在对电信网络诈骗犯罪行为精准打击不足的问题；另一方面，对电信网络诈骗犯罪行为不能仅立足于事后打击惩治，更应重视源头预防，实现标本兼治的效果。因此，在此背景下，《反电信网络诈骗法》应运而生。✦《反电信网络诈骗法》之立法特色✦·

JTC1国际标准提案论证报告》（见附件3）、《关于承担网络安全国际标准提案的承诺书》（见附件6），并加盖单位公章；使用中英文分别填写《新工作项目提案表格（FORM

阅读是技术人员提升专业能力的有效方式之一，特别是对于从事网络安全行业的人员，广泛的知识储备会更有利于应对各种突发的安全事件。如果您对当下流行的热点技术或不断发展的新兴技术感兴趣，本文所推荐的10本书籍非常值得您阅读，将促进您对未来信息技术发展，以及企业所面临的安全发展和风险挑战进行重新思考。01《计算与技术伦理》《Computing

日前，天际友盟宣布完成B轮亿元级融资，本轮融资由天鹰资本领投，天雅资本及老股东考拉基金跟投。天际友盟公司表示，本轮融资资金将用于持续加大公司在DRP数字风险防护体系的创新研发，构建更加完善的数字风险防护平台。据介绍，随着数字化进程的发展，企业对于DRP（Digital

信息安全技术专业机构ISACA最近推出了《身份和访问管理审计程序》以及两份白皮书《5G隐私：应对风险和威胁》和《揭秘Linux》，为审计和风险控制专业人员提供了切实可行的指南和工具。《身份和访问管理审计程序》与身份管理和访问管理（IAM）相关的安全协议解决了向正确的用户或设备提供适当级别的访问的问题。应用程序数量的增加及其向互联网环境的转移，使得IAM受到了更多的重视。ISACA推出的《身份和访问管理审计程序》为IT审计师提供了一种可确保这一关键操作的有效性的工具。该审计程序涉及以下方面：治理、身份管理、身份确认、批准访问控制、以及监测。这些领域的控制、控制目标和测试使《身份和访问管理审计程序》有助于审计师评估IAM控制环境。白皮书一：《5G隐私：应对风险和威胁》本文审视了5G网络架构，并分析了该技术的隐私特征。白皮书包括了对5G架构的高度概括，以及对现有和新出现的隐私威胁的探讨。本文介绍了新的5G隐私功能，这些功能可以减轻与4G和上一代蜂窝网络相关的现有威胁，以及5G网络本身带来的新隐私威胁。最后，它强调了现有的仍需解决的5G隐私威胁。白皮书二：《揭秘Linux》本文探讨了什么是Linux，它是如何工作的，以及从业者如何利用它来发挥自己的优势。对于那些刚刚接触Linux的人来说，本文提供了一个非常基本的概述，了解Linux是什么，它的发展进程，以及您的日常工作中如何使用它。值得一提的是，本文对Linux的介绍是非常概括性的，这是为了让从业者能够利用ISACA提供的其他的实操类培训（PBT）资源和在其他场合更深入地探索Linux。上述审计程序和白皮书均可在ISACA官网书店store.isaca.org下载。相关阅读《ISACA隐私报告》：当隐私遇上安全产业观察

点击蓝字·关注我们AQNIU上周安全热点回顾•《工业互联网密码支撑标准体系建设指南》《车联网（智能网联汽车）密码支撑标准体系建设指南》正式发布•工信部印发《石化行业智能制造标准体系建设指南（2022版）》•

数据泄露、勒索软件攻击以及新冠疫情带来的严峻挑战，使企业管理层不断提升对网络安全的重视度，并开始就风险暴露和管理方法提出了更高要求。网络安全建设不再只是企业经营的一项成本，而是未来数字化转型发展的基础。因此，CISO和安全团队需要认真思考如何顺应这种不断变化的发展趋势。为了帮助企业CISO更加高效地开展2023年度网络安全规划和建设工作，网络安全专家们给出了以下重点工作建议。1.

点击蓝字，关注我们牛聘是安全牛旗下的垂直招聘平台，为了帮助安全牛会员企业更好地解决用人需求，牛聘每周陆续发布会员企业的招聘信息，发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定，本次发布2022年度岗位招聘第33期。牛聘

为深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》《加强工业互联网安全工作的指导意见》《关于加强车联网网络安全和数据安全工作的通知》等文件要求，充分发挥标准在工业互联网和车联网（智能网联汽车）密码支撑体系中的顶层设计和基础引领作用，系统推动商用密码在工业互联网和车联网（智能网联汽车）领域的应用，加快构建统一、科学、高效的密码应用标准体系，在工业和信息化部网络安全管理局指导下，工业和信息化部商用密码应用推进标准工作组现正式发布《工业互联网密码支撑标准体系建设指南》《车联网（智能网联汽车）密码支撑标准体系建设指南》。《工业互联网密码支撑标准体系建设指南》明确了工业互联网密码支撑标准体系建设思路及目标，提出密码应用共性、设备密码应用、控制系统密码应用、网络密码应用、边缘计算密码应用、平台密码应用、数据密码应用、密码行业应用、密码应用管理与支撑等九个方面的标准建设内容，对加快指导研制工业互联网密码应用标准，强化工业互联网安全防护能力，推动工业互联网产业高质量发展具有重要支撑作用。《车联网（智能网联汽车）密码支撑标准体系建设指南》从基础共性、智能网联汽车、信息通信、服务与平台、智能交通、密码应用管理与支撑等六个方面构建车联网密码应用标准体系，进一步明确了建设思路及目标，用于指导相关标准研制，为规范车联网（智能网联汽车）密码应用，保障车联网（智能网联汽车）安全，促进车联网（智能网联汽车）产业高质量发展保驾护航。点击文末“阅读原文”，即可下载《工业互联网密码支撑标准体系建设指南》、《车联网（智能网联汽车）密码支撑标准体系建设指南》。文章来源：“中国工业互联网研究院”公众号相关阅读《商用密码产品认证目录（第二批）》发布密码技术在车联网安全中的应用与挑战合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

不管我们是否愿意接受，有一个残酷的现实必须要面对，网络安全形势正在不断恶化而非缓解，网络攻击的复杂性、多发性和危害性都在不断打破记录。在此情况下，我们应该反思：为什么之前所做的一切努力并没有显著改善当前的网络安全健康现状？长期以来，网络安全行业一直在不断强调威胁检测和响应的作用，但是种种迹象表明，各种新型的网络攻击不仅没有减少，而且似乎根本无法阻止。当企业投入大量的资源（时间、金钱和人力）来发现正在发生或已发生的网络攻击，又投入更多的资源去清除威胁时，新的攻击却随时会突破防御并导致故态复萌。在此情况下，企业安全团队该如何相信这种立足于检测和响应的安全机制会变得更好，而不是变得更糟呢？当一种防护模式已被多次证明无力应对当下的安全威胁时，何不尝试寻找一些其他的创新策略和思路呢？是改变现状时候了主动安全防御的理念已经被提出很多年，但是很多安全专家和研究人员对这个想法似乎已经不再抱有希望，原因是由于攻击在不断变化，攻击者有充分的时间和资源来设计新的攻击策略，以绕过防御、逃避检测。因此，基于拦截攻击这种思路所设计的主动网络安全模型在实践中表现的往往差强人意，也就不足为奇了。在此背景下，研究机构Gartner提出了一种基于威胁暴露面管理的主动式安全防御的落地新思路。它并不关注攻击事件本身，而是关注攻击路径，站在攻击者的角度去思考攻击可能发生在哪里，以及可能采用的攻击战术和实施手段，这个过程也叫风险搜寻。在识别和分析所有可能的威胁暴露点之后，就可以根据其脆弱程度和危害程度制定威胁暴露面管理计划，从而系统性地解决数字化业务系统的安全隐患。因此，在Gartner给出定义中，威胁暴露面管理并不是一种技术手段，而是下一代安全运营的创新模式。威胁暴露面管理流程示意

中央网信办持续深入推进“清朗·打击网络谣言和虚假信息”专项行动，针对近期疫情防控、突发案事件、社会民生等领域谣言问题，督促指导网站平台加强监测查证，全面排查整治。截至目前，微博、腾讯、抖音、快手、百度、哔哩哔哩、小红书、知乎、豆瓣等重点网站平台共处置传播网络谣言账号5400余个，第一时间溯源并关闭首发账号，有力打击造谣传谣行为。现通报第三批首发谣言典型案例如下：

日前，杭州亿格云科技有限公司（简称：亿格云）正式宣布完成A轮近亿元融资。本轮融资由元璟资本领投，天使轮投资方红杉中国跟投。亿格云CEO葛岱斌表示，本轮融资主要用于产品技术迭代、应用场景拓展、客户服务交付及团队人才建设等方面，进一步打造亿格云在办公安全领域的SASE技术竞争力，同时加速技术与业务深度融合。据介绍，亿格云成立于2021年，专注于零信任SASE服务的技术产品研发，帮助企业解决数字化转型过程中遇到的移动和远程办公安全、数据安全、终端安全等问题。目前已成功推出自主研发的零信任SASE产品—「亿格云枢」，将原本碎片化的安全能力云化，融合在一体化的网络系统里，并通过SaaS化的服务方式为不同规模的企业提供一站式办公安全防护服务。投资人观点元璟资本合伙人

Professional)数据安全认证专家CDSP，是数据安全领域普遍认可的专业认证资质，以《数据安全法》和《个人信息保护法》为指导，针对云数据安全、ICT数据安全和新兴热点业务（如AI和

在一个数据无处不在、连接日益紧密的世界，对于安全专业人员来说，保护个人和组织的隐私可以比作试图把章鱼放进网兜：变化永远存在、挑战迂回曲折。侵犯隐私不仅会给个人和组织带来风险，还会损害整个国家在全球的声誉。也是因为这个原因，加之合规和隐私法律会不断更新，所以隐私专业人员必须跟上变化。从最简单的形式来看，隐私有两个关键要素：必须收集的数据和如何保护这些数据。换言之，隐私和安全是相互依存的，每个领域的专业人员必须共同努力，以达到最佳结果。事实上，安全专业人员必须在开始实施安全和隐私治理流程前提出以下问题：“正在收集哪些数据？”“他们储存在哪里？”“它们的用途是什么？”“它们是否用于预期目的？”“如何保护这些数据？”这一过程必须与隐私专业人员一起开展，以便在两个专业领域了解所收集数据的细节。隐私是一项团队运动《2022年ISACA隐私实践报告》中，接受调查的大多数隐私团队由法律/合规从业者、风险专业人士、安全专业人士和IT技术人员组成。有趣的是，大多数组织表示，首席信息安全官（CISO）/首席安全官（CSO）（25%）或隐私官（21%）主要负责隐私工作。报告中明确的隐私问责方法包括：制定隐私战略、培训和意识、隐私治理、汇报、风险评估、事件响应、控制和流程、建立安全保障、风险管理、监控合规性和分析隐私法律法规等。从安全方面来看，除了隐私控制之外，法律层面还要求组织实施控制措施，隐私最佳实践要求采取加密技术（76%）、身份和访问管理（74%）和数据安全（71%）技术等。确保遵守隐私法律法规和最佳实践需要团队合作，特别是安全和隐私专业人员的合作至关重要。尽管隐私专业人员了解正在收集的数据以及数据的用途，但是安全专业人员在指导如何收集数据以及最终确保数据得到保护方面发挥着关键作用。员工如何确保数据隐私实践确保数据隐私并遵守隐私法律法规可能是隐私团队的责任，但重要的是要认识到，所有访问关键数据的员工都必须接受数据隐私保护的培训，并对其使用现有工具和流程负责。隐私和安全团队可以通过合作制定有意识地保护个人隐私的数据获取策略，为组织内的其他人员提供重要的指导。例如，组织的营销团队通常通过忠诚度计划和数字化活动来收集数据，他们可能会被问到：“这些数据是必要的吗？打算如何使用它们呢？”让小企业能够获得隐私解决方案也很重要。由于他们往往缺乏留住人才所需的人力资源和预算，因此更容易面临风险。此外，应为消费者提供资源让他们能够了解自己的隐私权和责任。毫无疑问，随着数字经济的增长，隐私挑战将成倍增长。因此，隐私和安全专业人员确保企业遵守隐私法律法规并保护客户、供应商和员工的个人数据显得至关重要。相关阅读利用隐私计算构建数据安全协同应用生态暗数据：云时代不为人知的安全和隐私风险合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

为何要考CCSP？云应用已经是当下互联网和金融科技的重点领域，云安全也就成了日常工作必须要掌握和知道的技能，圈子里也都有聊到ISC2对于云安全有完整的知识体系和认证证书，而且国内通过人数也不多，正巧看到有专门针对CCSP的培训课程，所以就报名了。如何学习备考？首先，云安全是一个非常特殊的安全领域，有许多新的概念和理念，但是要过CCSP的基础还是全面的网络安全知识，像我已经是CISSP持证人员，日常工作就是跟网络安全管理紧密相关，所以仅需要把重点放在云安全知识领域就可以了。如果大家直接要考CCSP的话，建议还是看下CISSP的书，培训正式上课基本都在周末，老师非常专业、讲得很认真，大家提出的问题也会随时耐心解答。建议AIO（all

在过去几个月，包括Uber、思科、Twilio和Rockstar

；如今的互联网不仅是我们日常生活的一部分，也是各类组织机构数字化转型的重要载体，有越来越多的业务应用系统被部署到互联网平台上。这也吸引了网络犯罪团伙的强烈关注。在此背景下，》任何细小的错误都可能导致组织的重要数据资料和文件被窃取，以移动互联网漏洞利用攻击为代表的新型互联网应用安全威胁开始显现。我们应密切关注了解互联网技术应用发展动态，并为可能出现的风险做好准备。威胁1：移动互联网安全风险智能手机已经成为日常生活、工作不可或缺的工具，因此，网络犯罪分子只要发现移动设备漏洞，就有机会攻击规模庞大的人群。这类漏洞主要包括了设备漏洞、移动网络漏洞、移动应用程序漏洞和内容漏洞等。防御措施：不断增加的移动漏洞将会引发大量深层次的网络攻击，从而导致灾难性的财产损失、品牌伤害和用户敏感数据丢失，因此，应谨慎地采取预防措施以确保安全：不从未经授权的应用程序商店随意下载应用程序。专业版移动杀毒软件有很多安全功能，比如Web浏览器保护、防盗、身份盗窃防护、恶意应用程序拦截和身份泄露警报等，可以安装它们来保护移动设备。及时将操作系统更新到最新版，并不断更新智能手机上的应用程序，卸载不需要的应用程序。不随意点击那些并不了解的链接，其中很有可能是危险的恶意链接。威胁2：勒索软件攻击勒索软件已经成为攻击者最青睐也是最危险的攻击方式之一。在这类攻击中，黑客会先通过网络钓鱼、社会工程伎俩和基于Web应用程序利用等方法，从受感染设备窃取或加密数据，然后要求受害者支付赎金，以便重新访问数据。勒索软件攻击流程示意图防御措施：完全预防勒索软件攻击是非常困难的任务，但可以采用一些有效的技术将风险降到最低：使用内置杀毒软件功能的防火墙和VPN技术，保护在线业务活动的隐私性。启用Web浏览器中内置的广告拦截功能。不点击从电子邮件和广告软件等途径发送到计算设备上的可疑链接。做好重要数据的备份，并采用安全措施保护存储设备的安全性。将工作和个人生活使用的计算机设备区分开。威胁3：恶意挖矿软件攻击随着加密货币的价格不断攀升，攻击者针对于加密货币的攻击次数也水涨船高。除了采用诈骗手段直接发动攻击进行货币提取外，恶意挖矿软件也是一个巨大威胁。恶意挖矿软件会非法利用被攻击计算机设备的CPU与GPU，帮助攻击者进行挖矿。这种攻击并不局限于应用恶意软件，攻击者也可以通过对网页进行注入，修改网页的运行脚本，在脚本中嵌入加密货币挖矿地址，这样就可以不需要通过漏洞，实现非法利用本地资源进行挖矿行为。如果设备已被攻击者劫持并用于挖矿，会出现一些征兆，比如设备过热、性能降低、电池续航时间持续下降（即使设备一直未使用），设备未下载或上传文件照样使用互联网等。

中央网信办印发《关于切实加强网络暴力治理的通知》；国家职业分类增设密码工程技术人员新职业合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

国开金融有限责任公司资深专家、投委会副主任罗德城景顺集团（Invesco）高级董事总经理、亚太区主管马小兰北京金融安全产业园CEO平行论坛直播收看地址↓中文直播

受新冠疫情影响，全球大部分企业开启远程办公模式，企业对电子邮件的依赖也达到了前所未有的程度。与此同时，电子邮件也成为网络犯罪分子的主要攻击目标，他们通过各种手段窃取敏感数据，并通过一系列复杂攻击手段传播危险的恶意软件。由于传统的邮件传输协议（SMTP）并没有内置安全防护元素，因此电子邮件系统需要额外的安全协议来保护系统运营安全。本文收集整理了目前常用的邮件安全协议并对其进行简单介绍。1.

点击蓝字，关注我们牛聘是安全牛旗下的垂直招聘平台，为了帮助安全牛会员企业更好地解决用人需求，牛聘每周陆续发布会员企业的招聘信息，发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定，本次发布2022年度岗位招聘第32期。牛聘

关键信息基础设施安全保护要求》国家标准发布宣贯会在京举办合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

CHSF在随后发布的公告中表示，此次网络攻击致使医院的业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。勒索软件团伙要求医院支付1000万美元以换取解密密钥。

网络攻击风险正在持续增大，企业有必要考虑，如果遭到网络攻击，公司的董事会是否需要为未采取有效防护措施，降低网络安全风险而承担责任。本文旨在为组织的董事会成员提供一些建议，理清企业在网络攻击之前、期间和之后应采取的行动。网络攻击损失不容小觑据研究数据显示，2022年数据泄露给企业造成的平均损失为435万美元；如果是勒索软件攻击，损失将增加到454万美元。当然这只是估计，在某些国家或地区平均损失更高，比如在美国，损失接近1000万美元。此外，网络攻击对组织业务运营造成的后果不仅是危及客户和员工的个人数据这一个维度。计算机系统被攻击者加密还会使业务运行陷于停顿，一方面是由于攻击通常发生在企业响应准备最不充分的时候，比如圣诞节、夏天旺季和周末，如果加密的数据无法恢复，生产线、商店、电子商务网站及所有业务运营统统陷入停顿。同时，企业还将面临惩罚和罚款的风险，因为不仅要遵守隐私和数据保护法律，还要遵守如今各种网络安全法规。董事会的义务和责任鉴于网络攻击会给企业造成极大的损失，企业董事会（尤其是上市企业）必须监督企业为防止网络攻击采取行动，并在攻击发生后能迅速采取纠正措施。但遗憾的是，只有少数企业做到。这不仅仅是建议部署安全措施的问题，因为95%的网络攻击是人为错误造成的，需要加强每个员工的安全意识教育。日常的网络风险分析也是安全培训工作和组织控制流程审查的重要组成部分。不可能完全排除网络攻击的风险，因为网络犯罪分子总是比受害者抢先一步。企业必须能够通过网络安全合规计划证明已经采取了隐私和网络安全法规要求的所有措施，这就需要具备复杂的法律和技术知识，因为举证责任将由企业承担。此外，购买网络安全保险可以在一定程度上减小安全攻击事件对企业造成的负面经济影响，并让企业可以依赖事件响应系统和保险公司提供的专家顾问服务。遭到网络攻击时董事会该如何做？根据经验，如果遭到重大网络攻击，企业的首席执行官、总经理和董事会都应该立即介入，因为网络攻击给企业带来的风险非常高。从董事会责任的角度来看，遭到网络攻击最糟糕的情况包括：上述行动已在董事会上讨论过，但尚未采取任何行动；采取了风险分析措施，也发现了信息系统的薄弱环节，但企业没有及时消除这些薄弱环节；企业意识到了这些问题，但并没有支付费用来购买涵盖网络风险的保单；为此，董事会将不得不做以下工作：分析需要采取的纠正措施，尽量降低网络攻击的负面影响；评估攻击造成的经济影响，包括可能面临的惩罚，是否需要通知股东，并留出预算；决定是否应该将事件上报主管部门，并告知数据被泄露的个人。遭到勒索软件攻击后，通常需要与网络犯罪分子进行谈判，以争取时间、降低赎金，并获得保险企业的批准。在大多数情况下，企业会设法避免支付赎金，因为：取决于所在地区以及威胁分子的身份，支付赎金可能是非法的；支付赎金并不能保证数据会被解密，这还需要分析威胁分子的声誉和以往表现；这可能会造成企业声誉受损。然而在数据备份副本都已加密并且无法恢复的情况下，如果不违反当地法规，企业可能需要考虑支付赎金，此时需要考虑如何让董事会批准支付赎金。除了满足监管报告要求外，如何向公众通报网络攻击事件也是很棘手的事情。企业不能矢口否认发生的一切。黑客通常有自己的网站，还有一些网站专门披露相关的信息。此外，威胁分子很可能在暗网上公布泄露的数据，以提供泄露的证据。因此，有必要确保公众在从媒体获悉网络攻击之前先从企业获悉，那样才能继续获得信任。参考链接：https://securityaffairs.co/wordpress/138507/security/board-directors-liability-for-cyberattack.html相关阅读常见网络安全攻击路径盘点分析与建议安全牛课堂

京东集团联合多家生态社区伙伴共同举办的2022京麒网络安全大会将于12月2日召开。本届大会以“新格局、新经济、新安全”为主题，基于党的二十大提出“加快构建新发展格局，着力推动高质量发展”、“以新安全格局保障新发展格局”、“保障公民个人隐私安全”的背景下召开，进一步探讨和分享新经济格局背景下的安全新场景、新风险，以及各行业公司的应对策略和技术创新。NO.1

据Randori与ESG联合开展的《2022年攻击面管理现状报告》数据显示，在过去一年中，随着远程办公人员数量、云解决方案和SaaS应用程序使用量的不断增加，企业组织的网络应用攻击面进一步扩大。从表面上看，攻击面扩大并不奇怪，因为世界一直朝着更为互联和分散的方向发展，连接到互联网的计算设备自然会持续性增加。但值得警惕的是，很多企业的安全团队难以跟上数字环境快速扩张和不断变化的步伐，因为缺乏对其有效管理的工具和流程，结果导致了暴露给攻击者的漏洞与安全团队已知的风险之间存在巨大差异。以下梳理总结了现代企业在数字攻击面方面最常见的7种风险和挑战：01脆弱的访问控制管理虽然现代企业都在不断完善网络应用系统访问的安全性，但攻击者仍有办法找到并利用与访问控制授权相关的漏洞。此外，很多云服务商的安全措施常常不够有效，脆弱的云授权方法也难以阻止攻击者在进入云后提升权限，扩大对敏感数据的访问权。由于如今的云服务具有易用性和简单性，这样很多非专业技术人员也可以在云端配置IT应用服务，但这将不可避免地导致安全性疏忽和错误配置。02易受攻击的域名系统域名系统（DNS）是互联网数据访问的基础性部分，但由于其在设计时并未考虑可能的安全风险，因此其天然就易受网络攻击。如今，几乎每家企业都在其数字供应链中使用各种DNS服务器，因此攻击者已将DNS服务器视为非常具有吸引力的攻击目标，通过漏洞利用就可以劫持系统，这样就可以获得类似“内部人员”等级的信任度，并以此轻松发动网络攻击。03第三方Web应用与系统几乎所有的现代企业都需要利用Web应用程序进行关键业务运营，这意味着要在其中存储和共享大量敏感数据，包括电子邮件地址、密码和信用卡号等。这些Web应用程序会与多个第三方系统和服务交互或连接，这无疑会进一步加大了访问该服务的攻击面。攻击者正在密切关注数字供应链中的攻击途径，包括通过SQL注入攻击获得的漏洞、权限配置错误以及身份验证缺陷等，获得数据访问权限。因此，现代企业不仅需要保护自己组织的应用程序，每个相关联的Web应用程序和第三方系统也都需要受到保护。04不安全的邮件服务电子邮件仍然是企业员工、客户、合作伙伴之间最流行的业务沟通方式之一。电子邮件易于访问和使用，这也让它容易受到网络攻击。每家组织使用不同的内外电子邮件服务器进行日常通信，这意味着电子邮件安全保护方面的最佳实践会因公司和服务商而不同。网络攻击者经过训练，可以识别易受攻击的电子邮件服务器，并发起企图接管的活动。一旦他们进入电子邮件服务器，就会向他们能够接触到的任何人实施基于电子邮件的钓鱼攻击。05失去控制的影子IT影子IT指组织的员工在未经IT团队批准的情况下使用的信息化技术，包括系统、软件、应用程序和设备。近年来，随着员工在家中使用个人设备登录办公，影子IT大行其道。员工经常通过云存储来迁移工作负载和数据，却不了解相关的安全标准和风险，组织的安全团队也没有给予密切关注。有时，员工在创建公服务时可能配置出错，导致漏洞被利用。与此同时，由于影子IT的性质，IT和安全部门难以对这些设备漏洞进行有效的监控和管理，因此往往不能及时了解安全事件的攻击过程。06海量的联网资产和设备目前，全球连接互联网的计算设备数量达到数十亿，增长速度惊人，这主要是因为现代企业数字化转型发展的速度之快前所未有。显然，管理这么多的网络连接需要一个大型的、复杂的、分布式的、专门构建的基础设施。而事实上，在许多企业的网络中，仍然存在大量长期未使用的服务器、系统和应用程序等，这些资产使用过时的软件，缺少甚至完全没有日常安全维护，并长期暴露在网络攻击者面前。07云计算的责任共担模式云计算（无论公有云还是私有云）为组织更新和发展数字化基础设施提供了一种快速、简单且便宜的方式。不过美国国家安全局（NSA）表示，随着组织进一步将业务和数据上云后，同时也将自己置于更大的风险环境之中。云服务提供商都使用云安全共担责任模型，比如谷歌云、亚马逊云和微软Azure云。因此，云应用的大部分安全责任仍然需要由使用这些云的企业来承担。比较复杂的是，不同的云服务商所提供的安全承诺和服务各不相同，这就给多云应用的企业带来困扰，因为需要针对不同的云上数据和应用分别制定不同的安全策略。参考链接：https://www.scmagazine.com/perspective/cloud-security/seven-deadly-sins-hiding-in-the-companys-attack-surface相关阅读从0%到3000亿

日前，国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》（以下简称新《规定》）。新《规定》自2022年12月15日起施行。新《规定》旨在加强对互联网跟帖评论服务的规范管理，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，促进互联网跟帖评论服务健康发展。《互联网跟帖评论服务管理规定》自2017年10月1日施行以来，对于规范跟帖评论环节信息秩序，维护良好网络环境发挥了积极作用。但随着互联网新技术新应用的快速发展，互联网跟帖评论服务也出现了许多新情况、新问题，需要适应形势发展变化进行修订完善。新《规定》共16条，重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。新《规定》明确，跟帖评论服务提供者应当按照用户服务协议对跟帖评论服务使用者和公众账号生产运营者进行规范管理。新《规定》要求，公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理，及时发现跟帖评论环节违法和不良信息内容并采取必要措施。新《规定》强调，公众账号生产运营者可按照用户服务协议向跟帖评论服务提供者申请跟帖评论区管理权限。跟帖评论服务提供者应当对公众账号生产运营者的跟帖评论管理情况进行信用评估后，合理设置管理权限，提供相关技术支持。互联网跟帖评论服务管理规定第一条

2022年行至尾声，这一年世界可谓发生了巨大变化。但始终不变的是，网络攻击威胁仍然在持续发展，而且丝毫没有消退的迹象。无论身处何处，世界各地的人们都应该为可能的网络安全事件做好应对准备，因此设法预见未来的趋势将会大有裨益。2022年APT预测回顾日前，卡巴斯基公司的安全研究与分析团队GReAT对2023年高级威胁（APT）攻击的发展趋势进行了展望和预测，不过在具体分享其预测观点之前，首先回顾一下去年该团队对2022年高级威胁主要预测观点的实际结果。预测1、移动设备将受到广泛攻击实际结果：未实现在2022年确实发生了一些针对移动设备的攻击事件，但目前没有发现造成重大影响和后果的移动安全事件。预测2、更多的供应链攻击实际结果：部分实现目前，利用供应链进行攻击的数量正在快速增长，尽管没有重大事件，但是我们看到了很多案例。预测3、基于远程工作模式的攻击实际结果：预测成功在2022

2022年11月12日，ISACA中国2022年度大会暨首届数字信任峰会在上海成功举行，来自各行业与ISACA和CMMI合作伙伴的一百多位与会人员参加了线下会议，本次峰会以“数字信任·共享未来”为主题，探讨数字信任领域的前沿热点技术话题以及行业实践。ISACA首席全球战略官Chris

前言为了对我国网络安全产业有更加真实、全面、客观的展现，发现其中真正有能力、可落地、引领创新的安全厂商和先进产品，同时也帮助行业用户更好地了解我国网络安全企业的能力及特点，中国计算机学会抗恶劣环境计算机专委会、信息产业信息安全测评中心、安全牛联合发起第十版《中国网络安全企业100强》（以下简称“100强”）调查和研究活动。调研活动受到行业广泛关注和支持，共有300余家安全厂商（服务商）咨询、申报。2022年11月15日，基于对申报企业2021年度发展数据的收集、整理、核验与分析研究，第十版《中国网络安全企业100强》正式发布。一、100强研究说明研究机构评审专家组研究方法为了夯实我国信息技术产业发展的基石，行业主管部门近年来一直在积极引导和推动信息技术应用创新工作，其重要意义在于，一是维护国家网络安全和数据安全；二是弥补关键核心领域的技术短板，构建以自主关键技术为核心的信创产业生态。在本次100强网络安全企业研究中，根据我国网络安全产业发展特点和用户应用需求，特别增加了信创能力评价维度（权重占比10%），基于企业自主申报和公开信息检索相结合的年度发展数据，从企业经营、技术创新、行业应用、信创能力四大维度，对我国有代表性的网络安全企业的综合竞争发展能力进行研究与评价。研究指标体系产业发展概况·

SIEM（安全信息事件管理）系统的应用已经超过20年。在此期间，SIEM由最初的边界安全事件关联工具逐渐发展成为企业网络安全治理、风险管理以及合规建设的重要支撑平台。今天，在很多企业中，SIEM已经成为安全团队日常处理威胁事件的优先选项，不仅可以从IT基础架构中的海量信息资源中收集和分析各种攻击活动，同时也是实现安全自动化、DevSecOps、态势感知等安全管理和运营技术的基础。昨天：从日志聚合到安全运营第一代的SIEM产品诞生于本世纪初，起初是被作为一种日志聚合的工具，只是在一些大型头部企业使用，用以解决数据孤岛的问题，同时还可用于历史数据保留和法律合规遵从。最早期的SIEM代表性厂商包括ArcSigh（现隶属Micro

点击蓝字·关注我们AQNIU上周安全热点回顾•国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书•关于对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》公开征求意见的通知•《关于促进网络安全保险规范健康发展的意见（征求意见稿）》•关于征求《信息安全技术

扫描海报上方二维码，提前预约直播！合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

点击蓝字，关注我们牛聘是安全牛旗下的垂直招聘平台，为了帮助安全牛会员企业更好地解决用人需求，牛聘每周陆续发布会员企业的招聘信息，发布顺序根据会员企业招聘信息提交时间和用人紧迫程度综合而定，本次发布2022年度岗位招聘第31期。牛聘

日前，2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行。中国国家互联网信息办公室副主任盛荣华，浙江省副省长高兴夫，中国法学会党组成员、学术委员会主任张文显出席论坛并致辞，北京师范大学校长马骏视频致辞。盛荣华指出，数字时代，如何统筹发展与安全、保障公平与正义，成为摆在我们面前的“互联网之问”。中国政府对网络法治建设高度重视，充分发挥法治固根本、稳预期、利长远的作用，加快网络立法进程，深入整治突出问题，在维护群众权益、服务保障互联网健康发展等方面取得积极进展和成效。围绕推动构建更加完善的网络法治保障体系，盛荣华提出四点建议，一是加快网络立法步伐，完善网络法治体系；二是加大网络执法力度，维护良好网络秩序；三是强化网络法治宣传，助力营造清朗网络；四是深化国际交流合作，共建共享法治未来。高兴夫表示，近年来，浙江率先推动构建依法治网体系，坚持以法治手段规范互联网新技术新业态、护航数字经济健康发展，重视发挥制度供给的引领性作用、互联网领域法规制度建设蹄疾步稳，重视发挥行政执法的强制性作用、互联网领域违法犯罪行为得到严惩，重视发挥司法审判的权威性作用、互联网领域典型案例彰显公平正义，重视发挥守法普法的渗透性作用、互联网领域法治教育更加入脑入心，切实以法治的力量推动形成更加开放、健康、安全的网络生态。马骏表示，近年来，北京师范大学在网络法治、数据法治等领域承担了一批重要项目，产出了一批高质量成果，汇聚了一批优秀人才，产生良好社会反响。期待本次论坛能够为社会各界搭建起数字时代法治建设的专业化交流合作平台，希望与会嘉宾能够积极建言献策，着力发挥法治在推动国际社会共迎安全挑战、共谋发展福祉、携手构建网络空间命运共同体进程中的保障作用。张文显表示，建设网络强国离不开法治的引领、规范和保障，要把网络法治作为基础性手段，加快形成中国特色网络法治体系，为数字经济营造良好法治环境，大力推进网络治理法治化，以良法善治促进网络文明，推进全球网络治理体系变革、携手构建网络空间命运共同体，推动依法管网、依法办网、依法上网，确保互联网在法治轨道上健康运行，不断开辟建设网络强国新局面。本次论坛由北京师范大学主办，设置了主旨演讲、圆桌论坛等环节，线上线下的参会嘉宾围绕“构建数字时代法治保障体系”进行了深入交流研讨。在论坛举办期间，正式发布了《反电信网络诈骗倡议》（以下简称“倡议”），为更好地建设清朗网络空间提出五点建议：积极参与，构建共建共治新格局；自律自觉，筑牢网络安全新基准；惩防并举，实现网络诚信新高度；提升素养，推进网络伦理新建设；加大宣传，培育全民反诈新意识。倡议指出，要履行主体责任，加强自我约束，促进行业自律，加快数字法治体系建设，强化数据安全和个人信息保护，共筑网络安全防线。倡议强调，要加强网络诚信体系建设，筑牢社会诚信根基，严厉打击电信网络诈骗活动，多管齐下铲除电信网络诈骗犯罪的生存土壤。在大力弘扬社会主义核心价值观方面，倡议提出，要践行家庭伦理、职业伦理、社会伦理和数字伦理，切实发挥个人道德和社会伦理建设对于遏制电信网络诈骗的基础性作用。文章来源：“网信中国”公众号相关阅读腾讯守护者计划：用科技防范新型电信网络诈骗俄罗斯首个BEC商业电子邮件诈骗犯罪网络浮出水面合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com

威胁情报是指企业组织可能面临的潜在攻击以及如何检测和阻止这些攻击行为的信息。威胁情报可以帮助企业或组织快速地了解到敌对方对自己的威胁信息，从而提前做好威胁防范，并更高效地进行攻击检测与响应。在实际应用中，研究机构Gartner将威胁情报分为了以下三类：战略威胁情报、战术威胁情报和运营威胁情报。基于这种分类，每个安全运营团队和运维人员可以根据需要选择最相关的情报信息，更有效地进行风险识别和防范，并了解攻击者的作案动机。本文将对其中的运营威胁情报相关概念、获取方式、应用价值等进行重点介绍。

wangjiao@cesi.cn全国信息安全标准化技术委员会秘书处

目前，软件开发人员在兼顾软件性能、功能、易用性、架构和可观测性等的同时，还需要重点关注系统应用的安全问题。面对复杂的工作需要，软件专业人员可以采取工具进行协助，而威胁建模正是确保系统应用安全的工具之一。本文将主要对威胁建模的定义、价值以及威胁建模的应用等进行详细介绍。

日前，全国信息安全标准化技术委员会秘书处正式发布通知，就《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》公开征求意见，如有意见或建议，可于2022年11月15日前反馈至秘书处。以下为通知全文。各有关单位：为指导个人信息处理者规范开展个人信息跨境处理活动，秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》。根据《全国信息安全标准化技术委员会管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2022年11月15日前反馈至秘书处。联系人：王秉政

关键信息基础设施保护工作思考合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com