2023年8月30日，国家金融监督管理总局、中国人民银行、中国证券监督管理委员会 国家互联网信息办公室、国家外汇管理局五部门发布了《关于规范货币经纪公司数据服务有关事项的通知》（以下简称《通知》），规范货币经纪公司数据服务，对货币经纪公司提出“加强数据治理、确保数据安全”、“规范提供数据标准、提高数据服务质量”、“明确可接受服务的机构范围，加强合作管理”、“签订服务协议，规范数据使用”等四方面要求。 《通知》明确，要加强数据治理，确保数据安全。货币经纪公司应严格落实信息科技监管要求，加强信息科技风险管理体系建设，提升信息科技外包风险管控能力，严格控制生产系统访问权限，加强数据安全保护，确保网络和数据安全。 《通知》指出，要规范提供数据标准，提高数据服务质量。货币经纪公司应加强对交易机构、交易员资质的审核，不得接受不符合银行间市场、交易所市场准入条件的机构和个人的报价，不得将其报价纳入数据服务范围。货币经纪公司发现交易机构的报价要素错误或明显背离市场行情的，应在发布报价前向交易机构进行确认，避免对外发布错误报价，减少异常数据对市场的影响。 《通知》强调，要签订服务协议，规范数据使用。货币经纪公司应与金融基础设施、金融信息服务商等数据使用方签订协议，明确双方的权利义务，对数据安全、数据展示、加工使用、再次分发、服务费用等事项进行明确约定。对于金融信息服务商，以及将数据用于行情展示、增值服务等商业用途（不以盈利为目的、不向其服务对象收取费用的除外）的金融基础设施，货币经纪公司可按照商业化原则向其收取合理的数据服务费用，覆盖提供数据成本，促进市场公平交易。     转自Freebuf，原文链接:https://www.freebuf.com/news/377419.html 封面来源于网络，如有侵权请联系删除

国家网信办对知网 (CNKI) 依法作出网络安全审查相关行政处罚 根据网络安全审查结论及发现的问题和移送的线索，国家互联网信息办公室依法对知网（CNKI）涉嫌违法处理个人信息行为进行立案调查。经查实，知网（CNKI）主要运营主体为同方知网（北京）技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司三家公司，其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。 9月1日，国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，综合考虑知网（CNKI）违法处理个人信息行为的性质、后果、持续时间，特别是网络安全审查情况等因素，对知网（CNKI）依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处人民币5000万元罚款。 国家互联网信息办公室将继续坚持统筹发展和安全，坚持依法管网，强化网络安全、数据安全和个人信息保护等领域执法，为企业营造健康规范有序的发展环境，切实维护国家网络安全、数据安全和公民合法权益。     转自安全内参，原文链接:https://www.secrss.com/articles/58548 封面来源于网络，如有侵权请联系删除

Security Week 网站披露，美国能源部近期即将举办一项网络安全竞赛，帮助小型电力公司获得资金和技术援助，以期改善其网络安全状况。 该项名为 “先进网络安全技术（ACT）1 “的竞赛是拜登政府”农村和市政公用事业网络安全（RMUC）计划 “的一部分。据悉，RMUC 计划在五年内拨款 2.5 亿美元，用于加强市政和小型投资者拥有的电力公用事业的网络安全。 ACT 1 比赛是一系列竞赛中的第一场，总预算为 896 万美元的现金和技术援助，比赛共分为三个阶段：承诺、规划和实施。 项目第一阶段的截止日期为 2023 年 11 月 29 日，能源部指出在承诺阶段获胜的公用事业公司将根据其承诺获得现金奖励和技术援助，以通过投资网络安全技术、员工培训和改进治理流程来改善其公用事业公司的网络安全态势。 规划阶段，公用事业部门将进行系统评估，确定培训领域，了解潜在风险和解决方案，并起草实施路线图。最后阶段，参赛者将努力实施路线图。 值得一提的是，第二和第三阶段，电力公司将根据其在相应阶段完成的工作获得现金奖励和技术援助。 美国政府逐渐加大对网络安全的资源投入 近些年，美国逐渐在加大对网络安全方面的资金投入。上个月，美国国土安全部（DHS）宣布鉴于最近几个月的勒索软件不断攻击州和地方政府，将向这些政府提供近 3.75 亿美元（约合人民币 27.1 亿元）的资金，以帮助这些机构增强网络安全防御能力。 不仅仅是资金投入方面，美国近些年也逐步加强在演练防御上的资金投入。例如，上个月美国网络司令部举行“网络旗帜23-2”演习，旨在增强网络部队的战备状态和作战能力，参演团队在活动中开展了“红蓝对抗”，其中红队尝试入侵网络，而蓝队则负责识别并阻止网络攻击活动。 美国通过加大对网络安全方面的资金投入和增加网路安全攻防演习的频次，增强美国地方政府和军队人员的整体网络战备状态和能力，逐渐加强美国政府网络安全防御以及进攻能力。     转自Freebuf，原文链接:https://www.freebuf.com/news/376822.html 封面来源于网络，如有侵权请联系删除

苹果公司昨天（8月31日）正式宣布开始接受2024 年iPhone安全研究设备计划的申请，iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。 SRD设备是专门向安全研究人员提供的iPhone14Pro，该设备具有专为安全研究而设计的特殊硬件和软件，以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞，苹果方面都会考虑给予一定的安全漏洞赏金。 研究人员在拿到为期12个月（可续借）的SRD后，可以使用它进行以下操作： 安装和启动自定义内核缓存 使用任何权限运行任意代码，包括以平台和 root 身份在沙盒外运行 设置 NVRAM 变量 为 iOS 17 中新增的安全页面表监控器（SPTM）和可信执行监控器（TXM）安装和启动自定义固件 苹果方面补充称，通过 “安全研究设备计划 “提供的 iPhone 只能由授权人员使用，且不得离开安全研究机构的场所。 设备申请截止至10月31日 从即日起至10月31日，苹果邀请安全研究人员申请 2024 年 iPhone 安全研究设备计划 (SRDP)。与苹果安全团队通力合作，帮助保护用户，找出漏洞即可获得苹果安全赏金奖励。 每年苹果都会通过申请程序挑选出数量有限的安全研究人员获得 SRD，该程序主要基于他们在安全研究方面的记录，包括在 iPhone 以外的平台上的研究记录。 苹果还允许大学申请访问 2024 年 iPhone 安全研究设备计划，将其用作计算机科学课程的教学辅助工具。 所有提交的申请将在今年年底前接受全面评估，并计划在 2024 年初公布中选的参与者名单。 你可以在苹果安全研究设备计划页面上找到更多有关该计划资格的信息，并提交安全研究设备申请。 苹果安全研究计划（SRDP）最早于2019 年启动 苹果安全研究计划（SRDP）于 2019 年上线，研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示，研究人员帮助他们实施了“新颖的修补措施”，以保护 iOS 设备。 在过去的六个月里，计划参与者获得了 37 个 CVE 信用点，为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。 参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告，并表示“多个奖项”达到了 50 万美元，中位数奖金接近 1.8 万美元。     转自Freebuf，原文链接:https://www.freebuf.com/news/376697.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 周二，谷歌公布了一系列新的人工智能技术和合作关系，其中包括名为“Gemini（双子座）”的新旗舰人工智能模型、定制的人工智能芯片、用于识别人工智能艺术品的隐形水印，以及用于工作的其他大型商业驱动的AI工具。 谷歌在周二于旧金山举行的Next会议上宣布了这一消息，此举似乎是为了与OpanAI周一宣布的ChatGPT-4企业平台竞争。 这一系列公告是谷歌最近展示其人工智能计划的一部分，从去年开始，微软就推出了一项雄心勃勃的人工智能战略，让谷歌措手不及。 谷歌表示，其新版本可以将业务和人工智能整合到一个平台上。Genesis将成为GPT-4的直接竞争对手，其计算能力是GPT-4的五倍。 这款大型语言模型是在谷歌的TPUv5芯片上训练的，能够与16384个芯片同时操作。 这家Alphabet旗下的公司计划在2023年12月向公众发布 Gemini模型。 超过100个AI模型 谷歌宣布自己AI基础设施的新版本提高了性能并增加了功能。 该新工具包括“工作区中的Duet AI”，它将帮助客户在其应用程序中使用Docs写作、在Gmail中起草电子邮件，以及在幻灯片中生成自定义视觉效果等。 “我们已经发布，并将继续增强和扩展这个插件，以响应客户的强劲需求。这些工具已经接受了100多万用户的测试。”谷歌表示道。 为了支持企业云服务，谷歌在其集合中增加了20个人工智能模型，使总数达到100个。 AI基础设施包括让谷歌云客户访问Meta平台的人工智能模型LLaMa 2，以及初创公司Anthropic的Claude 2。 谷歌将以每月30美元的价格向企业客户提供其新的人工智能驱动工具。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 上周五，印度总统德鲁帕迪·穆穆批准了《数字个人数据保护法案》(DPDPB)，该法案上周在议会两院一致通过，标志着印度在保护个人信息方面迈出了重要一步。 印度政府表示:“该法案规定了数字个人数据的处理方式，既承认个人保护其个人数据的权利，也承认为合法目的以及与之相关或附带的事项处理此类个人数据的必要性。” 该立法框架适用于印度境内外在线上和离线(以及随后的数字化)收集的个人数据，要求“在个人同意的情况下，仅为合法目的”处理信息。 征求用户明确同意的要求应附有或在此之前附有通知，告知建议处理个人资料的目的。“个人资料”是指“有关个人的任何资料，而该等资料可识别该等资料或与该等资料有关。” 然而，在“某些合法用途”下，平台可以处理自愿提供的个人用户数据。例如，选择通过电子邮件发送账单，则不需要征得同意。它还放弃了对某些数据受托人(如初创公司)的合规要求。 此外，如果要处理18岁以下儿童或有合法监护人的残疾人的个人信息，就必须得到其父母或监护人的明确同意。 政府指出:“该法案不允许对儿童的健康有害的处理，也不允许涉及对儿童的跟踪、行为监控或定向广告。” 《数据保护法案》规定建立了一个数据保护委员会(DPB)，由政府任命的成员组成，负责审查投诉，调查数据泄露，并根据事件的严重性、持续时间和“重复性”征收罚款。 滥用或未能保护个人数字数据，以及未能通知DPB的黑客行为，将面临高达25亿卢比(3010万美元)的罚款。委员会的决定可以在60天内上诉到电信纠纷解决和上诉法庭进行审查。 与之前的法案草案相比，现在处理个人数据的公司可以将数据转移到任何其他国家进行处理，除非中央政府明确禁止此类转移。以前，跨境数据传输只允许在一组特定的国家进行。 尽管DPB缺乏自主权，但大部分焦点都集中在对豁免可能导致数据收集，处理和保留超出必要范围的担忧上，从而可能促进大规模监视和政府主导的隐私侵犯。 另一个同样令人担忧的问题是，为了公众的利益，政府有能力限制“在任何计算机资源中产生、传输、接收、存储或托管的任何信息”的访问，导致“对不同意见的无限制审查”。 互联网自由基金会(Internet Freedom Foundation)在一份声明中表示:“以目前的形式，DPDPB, 2023，没有充分保障隐私权，不能颁布。它未能解决许多数据保护问题，而是建立了一个促进国家和私人行为者数据处理活动的制度。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

美国国防部高级研究计划局（Defense Advanced Research Projects Agency，DARPA）计划发起一项为期两年的竞赛–人工智能网络挑战赛（AI Cyber Challenge），作为白宫正在实施的提高软件安全性计划的一部分，该竞赛将要求参赛者利用人工智能识别并修复软件漏洞。 人工智能网络挑战赛将与人工智能初创公司Anthropic和OpenAI以及微软和Google合作，让美国的参赛团队利用人工智能来确保”重要软件”（特别是关键基础设施代码）的最佳安全。Linux 基金会的开源安全基金会（OpenSSF）将担任挑战赛顾问，1850 万美元的奖金将颁发给最优秀的参赛者。 DARPA 表示，它还将为最多七家希望参赛的小型企业提供每人 100 万美元的奖金。 “我们希望创建能够自动防御任何类型软件攻击的系统，”DARPA 项目经理佩里-亚当斯（Perry Adams）在昨天的新闻发布会上对记者说，他是人工智能网络挑战赛的构想者。”最近在人工智能方面取得的成果，如果以负责任的方式加以利用，我认为在保护我们的代码安全方面具有非凡的潜力。” 亚当斯指出，关键软件中越来越多地使用开源代码。GitHub 最近的一项调查显示，高达 97% 的应用程序利用了开源代码，90% 的公司正在以某种方式应用或使用开源代码。 开放源代码的普及带来了创新的爆炸式增长。但同时也为破坏性的新漏洞和漏洞利用打开了大门。Synopsys 公司 2023 年的一项分析发现，84% 的代码库至少包含一个已知的开源漏洞，91% 的代码库拥有过时版本的开源组件。 Sonatype 的一项研究发现，2022 年，供应链攻击的数量同比增长了 633%。 去年，拜登-哈里斯政府发布了一项行政命令，以提高软件供应链的安全性，并成立了一个网络安全安全审查委员会，负责分析网络攻击，并就未来的保护措施提出建议。2022 年 5 月，白宫联合开源安全基金会和 Linux 基金会，呼吁在两年内提供 1.5 亿美元资金，以解决突出的开源安全问题。 但随着人工智能网络挑战赛的启动，拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。 亚当斯说：”人工智能网络挑战赛提供了一个机会，让我们探索当网络安全和人工智能领域的专家能够获得一套前所未有的跨公司综合资源时，会有哪些可能。如果我们取得成功，我希望看到人工智能网络挑战赛不仅能在这一领域产生下一代网络安全工具，还能展示如何通过在这里捍卫人工智能的关键基础来利用人工智能改善社会。” 虽然关于人工智能协助网络攻击的潜力–例如通过生成恶意代码–的文章已经写了很多，但一些专家认为，人工智能的进步可以使安全专业人员更高效地执行安全任务，从而有助于加强组织的网络防御。根据 Kroll 公司对全球商业领袖进行的一项调查，超过半数的商业领袖表示，他们正在最新的网络安全工作中使用人工智能。 参加人工智能网络挑战赛的团队将参加 2024 年春季的资格赛，得分最高的团队（最多 20 个）将受邀参加 2024 年年度 DEF CON 大会的半决赛。最多有 5 个团队将获得 200 万美元的奖金，并继续参加 2025 年 DEF CON 大会的决赛。最后一轮比赛的前三名将获得额外奖励，其中第一名将获得 400 万美元奖金。 所有获胜者都会被要求开源他们的人工智能系统–但不是必须。 人工智能网络挑战赛以白宫之前在今年的 EF CON 上宣布的模型评估为基础，该评估旨在确定类似 OpenAI 的 ChatGPT 的大型语言模型可被恶意利用的方式，如果运气好的话，还能找到解决这些漏洞的方法。此外，该评估还将衡量这些模型如何与拜登-哈里斯政府的”人工智能权利法案”蓝图和美国国家标准与技术研究院的人工智能风险管理框架中最近概述的原则和实践保持一致。     转自cnBeta，原文链接:https://www.toutiao.com/article/7265492925084156435/?log_from=e4d9a1a5a9705_1691647459426 封面来源于网络，如有侵权请联系删除

为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《管理办法》），现向社会公开征求意见。 《管理办法》提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 《管理办法》提出，对个人信息处理者在公共场所安装图像采集、个人身份识别设备的，应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：是否为维护公共安全所必需，是否存在为商业目的处理所采集信息的情况；是否设置了显著的提示标志；若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时，应当对独立机构的独立性、履职能力、监督作用等进行评价。 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录，每年组织开展个人信息保护合规审计专业机构评估评价，并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。     转自Freebuf，原文链接:https://www.freebuf.com/news/373750.html 封面来源于网络，如有侵权请联系删除

据国家网信办7月31日消息，2023年上半年，全国网信系统聚焦重点、综合施策，依法查处网上各类违法违规行为，累计约谈网站5518家、暂停功能或更新网站188家，下架移动应用程序120款，关停小程序87款，会同电信主管部门取消违法网站许可或备案、关闭违法网站7704家，督促相关网站平台依法依约关闭违法违规账号39100个。 据悉，各级网信部门结合开展“清朗”系列专项行动，进一步加大执法力度，依法关闭“党政理论网”等一批未取得许可资质违规开展互联网新闻信息服务、严重扰乱网络传播秩序的网站；关闭“千酷网”“乐友下载站”等为色情类移动应用程序提供下载服务的网站平台。 针对抖音、新浪微博等网站平台存在法律、法规禁止发布或者传输的信息问题，国家网信办指导属地网信办分别依法约谈相关网站负责人，责令其限期整改，处置相关账号，从严处理责任人，并分别给予罚款行政处罚。 针对快手、百度、腾讯微信、网易等网络平台履行主体责任不力，对其用户发布的信息未尽管理义务，造成淫秽色情、封建迷信、诱导充值、为劣迹艺人辩护等有害信息在网上传播问题，国家网信办指导属地网信办分别依法约谈相关网站负责人，责令其限期整改，处置相关账号，从严处理责任人，并分别给予罚款行政处罚。 此外，针对具有较强舆论属性和社会动员能力的新技术新应用未经评估上线问题，依法对“海鸥”“事密达”等移动应用程序采取下架处置措施。对完成整改的“元气骑士”“可颂”等17款移动应用程序恢复上架，并要求相关属地网信办依法加强监督管理。     转自Freebuf，原文链接:https://www.freebuf.com/news/373613.html 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）发布了一份新声明，解释了其正在通过的关于上市公司报告网络安全事件的新规则。这些规则将要求上市公司在”确定网络安全事件是重大事件”后的四个工作日内报告网络安全事件。 SEC 表示，上市公司必须在 Form 8-K 的新项目 1.05 中披露任何网络安全事件。这些公司还必须每年披露有关其网络安全风险管理、战略和治理的重要信息。 除上市公司外，美国证券交易委员会还表示，这些规则将要求外国私人发行人披露类似信息。它们必须使用 Form 6-K 表格披露重大网络安全事件，使用 Form 20-F 表格披露网络安全风险管理、战略和治理。 美国证券交易委员会（SEC）主席加里-根斯勒（Gary Gensler）在评论新规则时说：”无论一家公司在美国的一个小村庄发生火灾，还是在另一个小村庄发生火灾：无论公司是在火灾中损失了一座工厂，还是在网络安全事件中损失了数百万个文件，对投资者来说都可能是重大的。目前，许多上市公司都向投资者披露了网络安全信息。 但我认为，如果能以更一致、更可比、更有助于决策的方式披露信息，公司和投资者都将受益匪浅。通过帮助确保公司披露重要的网络安全信息，今天的规则将使投资者、公司和连接它们的市场受益。” 美国证券交易委员会列出了这些规则生效的不同日期，但总体看来，上市公司必须在 12 月中旬开始报告遭遇的任何安全事件。 随着这些新规则的实施，这可能意味着我们会比以前更早地听到账户被入侵的消息。这将使用户能够更快地应对黑客攻击，并在必要时更改他们使用的其他服务的密码，从而有可能使那些想通过出售消费者的账户信息来赚钱的黑客失去很多能力。     转自cnBeta，原文链接:https://www.toutiao.com/article/7260333598190912039/?log_from=b23ae1cd85254_1690439361906 封面来源于网络，如有侵权请联系删除