關鍵基礎設施安全資訊周報20211227期

目錄

 技術標準規范

• 尊重各國網絡主權是維護網絡空間和平與發展的基石
• 個人信息保護法解讀：常見合規場景與應對
• 深入理解網絡主權的重要意義和作用
• 中央網信辦方新平：正在抓緊制定數安法、個保法配套法規規章

 行業發展動態

• 中國電機工程學會電力信息化專委會安全學組"聚焦電力行業關基保護護航新型電力系統安全"工作會在京召開
• 國外工業互聯網安全產業布局情況及對我國的啟示
• 美以兩國網絡戰部隊舉行確保“網絡優勢”的“Cyberdome”神秘聯合演習
• 比利時國防部被用Log4j漏洞攻破，又出新洞
• 發現嚴重漏洞未及時報告，阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月
• 關于國家區塊鏈創新應用試點入選名單的公示
• 工業光網助力工業企業數字化轉型發展
• 研究團隊發現Eltima SDK 嚴重漏洞，影響多款云廠商產品
• 工業自動化公司MyPRO的HMI/SCADA產品中發現多個關鍵漏洞

 安全威脅分析

• Owowa：將OWA 變成憑證竊取器和遠程訪問面板的附加組件
• 不斷惡化的網絡威脅態勢給工業、制造企業帶來了諸多挑戰
• 人工智能改變網絡安全的五種方式
• 德國耳機巨頭森海塞爾泄露55GB客戶數據
• 關鍵信息基礎設施網絡安全（物聯網安全專題）監測月報202111期
• 黑客利用Microsoft 0 day漏洞欺騙用戶打開惡意軟件
• 深入理解網絡主權的重要意義和作用
• 卷土重來的Log4j 漏洞攻擊
• Clop勒索軟件團伙正在泄露英國警方機密數據
• 新的Log4Shell攻擊載體將會威脅本地主機的安全
• 阿里云挨罰冷思考：網絡產品安全漏洞披露的博弈論
• DDoS攻擊花樣百出，第三季度多個行業被暴擊
• 基于網絡主權的三維國際協作框架分析
• 工業互聯時代的工業安全
• 解讀《構建可信信息通信技術供應鏈》
• 5G核心網網元服務異常檢測
• 2021網絡安全領域六大發展特點
• 基于大數據技術的攻擊溯源研究
• 罕見！“五眼”聯盟聯合發布Log4Shell警報

 安全技術方案

• 原創 | 工業控制系統面臨的十大安全問題
• 從系統調用實例看數據安全治理
• 淺析工控主機安全軟件自動化測試
• 工業控制信息系統中的商用密碼應用思考
• 工業互聯網安全標準體系（2021年）正式發布

技術標準規范

1.尊重各國網絡主權是維護網絡空間和平與發展的基石

信息時代是一個消融時間與空間概念的時代。成果文件《網絡主權：理念與實踐》已經從 2019年的 1.0 版發展到 2021 年的 3.0 版。該文件是由多家智庫組成的專家小組共同完成的研究成果，見證了三年來各方努力的歷程。

https://mp.weixin.qq.com/s/2aJNU6nzo4_i00GgnU-hTg

2.個人信息保護法解讀：常見合規場景與應對

《中華人民共和國個人信息保護法》的實行，將對企業日常運營中的各類個人信息處理活動帶來新的影響與挑戰。通過選取三個較常見的業務場景，探討企業在新合規背景下的應對策略。

https://mp.weixin.qq.com/s/91eHW49rZcK5kI05P1hjZA

3.深入理解網絡主權的重要意義和作用

成果文件《網絡主權：理論與實踐》(3.0 版)在 2021 年世界互聯網大會烏鎮峰會上發布。這是自 2019 年首次發布以來成果文件的連續第二年更新。

https://mp.weixin.qq.com/s/EMsafmMNCGjMJlZJ6VqU-Q

4.中央網信辦方新平：正在抓緊制定數安法、個保法配套法規規章

12月17日，由南都個人信息保護研究中心舉辦的“2021啄木鳥數據治理論壇”在北京召開。聚焦中央網信辦會同有關部門開展的App違法違規收集使用個人信息專項治理等工作，南都個人信息保護研究中心在論壇上發布了個人信息保護相關的研究報告并展開探討。

https://mp.weixin.qq.com/s/aFatVajbz7YcWz11d7KyzQ

行業發展動態

5.中國電機工程學會電力信息化專委會安全學組"聚焦電力行業關基保護護航新型電力系統安全"工作會在京召開

2021年12月11日，中國電機工程學會電力信息化專委會在北京召開安全學組工作會議，會議由中國電機工程學會電力信息化專業委員會主辦，電力信息化專業委員會安全學組、路云天網絡安全研究院承辦。

https://mp.weixin.qq.com/s/Uy8Zo8i2bkVp5AKIF6lGMw

6.國外工業互聯網安全產業布局情況及對我國的啟示

工業互聯網安全產業是工業互聯網健康發展的重要基礎支撐，國外發達國家和地區在這一產業的布局已相對完善，我國在建設制造強國、網絡強國、數字中國的戰略需求下，亟需科學優化工業互聯網安全產業布局。

https://mp.weixin.qq.com/s/-AFrXA2_naaCQldD2wQYCw

7.美以兩國網絡戰部隊舉行確保“網絡優勢”的“Cyberdome”神秘聯合演習

以色列國防軍IDF當地時間12月18日表示，其聯合網絡防御部(JCDD)和美國網絡司令部在過去一周舉行了聯合演習。

https://mp.weixin.qq.com/s/RMIGXWKMhwFxaF2vMvXOQQ

8.比利時國防部被用Log4j漏洞攻破，又出新洞

比利時政府官員表示，自上周五發生網絡事件后，比利時國防部的部分計算機網絡一直處于癱瘓狀態，攻擊者利用了Apache Log4j漏洞。

https://mp.weixin.qq.com/s/iOFsCzsZC60oGO5fmzcBrg

9.發現嚴重漏洞未及時報告，阿里云被暫停工信部網絡安全威脅信息共享平臺合作單位6個月

12月22日，據21世紀經濟報道消息，近期，工信部網絡安全管理局通報稱，阿里云計算有限公司(下稱：阿里云)發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。

https://mp.weixin.qq.com/s/PAysKqC1-juCh-dmrGRWsg

10.關于國家區塊鏈創新應用試點入選名單的公示

根據《關于組織申報區塊鏈創新應用試點的通知》(中網辦秘字〔2021〕1482號)，中央網信辦、中央宣傳部、國務院辦公廳[電子政務辦公室]、最高人民法院、最高人民檢察院、教育部、工業和信息化部、民政部、司法部、人力資源社會保障部、國家衛生健康委、中國人民銀行、國家稅務總局、中國銀保監會、中國證監會、國家能源局、國家外匯管理局等17個部門和單位對各地、各單位的申報材料組織了專家評審。

https://mp.weixin.qq.com/s/vLNFhiPmKQuMCLqcS8Qdzw

11.工業光網助力工業企業數字化轉型發展

在工業互聯網的眾多網絡技術類型中，工業光網憑借高帶寬、低時延、抗干擾的特點使其作為有線網絡的一種部署形式涌現出來，很適合作為工業網絡升級改造的技術選擇。

https://mp.weixin.qq.com/s/f2oxei1qjSftuXZfmC5MBw

12.研究團隊發現Eltima SDK 嚴重漏洞，影響多款云廠商產品

Sentinelabs研究團隊在驅動軟件中發現了許多嚴重的漏洞，影響了許多云服務。

https://mp.weixin.qq.com/s/5kihnQVkJSbzONEsHeJmbA

13.工業自動化公司MyPRO的HMI/SCADA產品中發現多個關鍵漏洞

一名研究人員邁克爾·海因茨爾(Michael Heinzl)在捷克工業自動化公司mySCADA的myPRO產品中發現了十幾個漏洞，其中幾個漏洞被評為嚴重級別。

https://mp.weixin.qq.com/s/0VItKBlZfLkJXRV7PYJV4Q

安全威脅分析

14.Owowa：將OWA 變成憑證竊取器和遠程訪問面板的附加組件

在尋找針對 Microsoft Exchange 服務器的潛在惡意植入程序時，研究人員發現了一個可疑的二進制文件，該二進制文件已在 2020 年末提交給多掃描器服務。

https://mp.weixin.qq.com/s/ZSzZ1mG8aL89bCYkBVXU0g

15.德國耳機巨頭森海塞爾泄露55GB客戶數據

德國專業話筒和耳機制造巨頭森海塞爾(Sennheiser)將超過28000名客戶的個人數據暴露在配置錯誤的Amazon Web Services(AWS)服務器上。

https://mp.weixin.qq.com/s/waXmMq7YdJHEIAT7uQfukA

16.關鍵信息基礎設施網絡安全（物聯網安全專題）監測月報202111期

根據《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述，關鍵信息基礎設施(CriticalInformationInfrastructure，CII)是指一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施，包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關鍵行業和領域。

https://mp.weixin.qq.com/s/SN3X8S-HobnF0ALItB93TA

17.不斷惡化的網絡威脅態勢給工業、制造企業帶來了諸多挑戰

2021年發生了多起影響工業和制造企業的網絡安全事件。攻擊者使用多種技術利用這些組織，包括直接或間接發起勒索軟件和惡意軟件攻擊、破壞硬件漏洞以及瞄準其他安全漏洞。

https://mp.weixin.qq.com/s/F4pgFJopCukApWKkcZlGaw

18.人工智能改變網絡安全的五種方式

人工智能是中性技術，在網絡安全攻防兩端都將發揮重要作用，隨著越來越多的人工智能技術被用于網絡攻擊和獲得未經授權的數據訪問，防御端對人工智能技術的依賴度也將進一步提高。

https://mp.weixin.qq.com/s/Utm3-hv38JI_r6nfmP5Eqw

19.黑客利用Microsoft 0 day漏洞欺騙用戶打開惡意軟件

微軟已經解決了一個0day漏洞，該漏洞被廣泛利用，以虛假應用程序的形式提供Emotet、Trickbot等。

https://mp.weixin.qq.com/s/-PSi5b6WPlVUn4MdETz-Ug

20.深入理解網絡主權的重要意義和作用

警惕偽基站攻擊！移動通信切換過程中的新漏洞影響2G以來的所有移動網絡

研究人員在 2G、3G、4G 和 5G 移動通信網絡的“切換程序”(handover)中發現了新漏洞，攻擊者可以利用這些漏洞強制目標手機連接到偽基站并通信竊聽。

https://mp.weixin.qq.com/s/6Wdb2PLXHffGwp78Ez6RNg

21.卷土重來的Log4j 漏洞攻擊

近日，比利時國防部已確認其遭受到了涉及 Log4j 漏洞的網絡攻擊。國防部在一份聲明中表示，周四發現其可訪問互聯網的計算機網絡并遭到攻擊。

https://mp.weixin.qq.com/s/Xr2xg9Ocxzuqq6dU3V0Tcw

22.Clop勒索軟件團伙正在泄露英國警方機密數據

根據Security Affairs網站消息，Clop勒索軟件團伙成功竊取了英國警方的機密數據，并在暗網上泄露。

https://mp.weixin.qq.com/s/29gD51esd053kHLK6CNouw

23.新的Log4Shell攻擊載體將會威脅本地主機的安全

在本周末，很多企業的網絡安全人員正忙得不可開交。Log4j漏洞出現了另外一種攻擊載體，它通過使用底層的Javascript WebSocket連接，通過驅動式的破壞，在本地服務器上觸發遠程代碼執行(RCE)漏洞進行攻擊。

https://mp.weixin.qq.com/s/7X7b5eaPFNmNPRfUAeJK1A

24.阿里云挨罰冷思考：網絡產品安全漏洞披露的博弈論

阿里云因發現嚴重漏洞未及時報告國家主管部門，被暫停工信部網絡安全威脅信息共享平臺合作單位6個月。通報中稱阿里云發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。

https://mp.weixin.qq.com/s/3_WPXuLbWAAcRuLJPJJAcw

25.DDoS攻擊花樣百出，第三季度多個行業被暴擊

Lumen和卡巴斯基實驗室最新發布的第三季度 DDoS 報告，都顯示本季度DDoS攻擊暴增，Lumen發現本季度比上一季度多 35%。安全專家警告說，且攻擊技術也越來越復雜。

https://mp.weixin.qq.com/s/bBRA7CyFXCUC6fBblt98ww

26.基于網絡主權的三維國際協作框架分析

尊重網絡主權是在網絡空間尊重《聯合國憲章》所確立宗旨與原則的表現。網絡主權原則是建立全球網絡空間秩序的重要基礎 , 也是解決網絡空間國際問題的突破口。

https://mp.weixin.qq.com/s/Yn9NKzNTxasJ7OG1MejLxw

27.工業互聯時代的工業安全

隨著工業4.0、《中國制造2025》、工業互聯網的提出，工控系統正逐漸由封閉、孤立的系統轉化為開放互聯的系統。

https://mp.weixin.qq.com/s/K8KsJmXTvVd6zNhxzGtneA

28.解讀《構建可信信息通信技術供應鏈》

網絡空間日光浴委員會(CSC)于2020 年 10 月 20 日發布《國家可信信息通信技術供應鏈》報告，提出了如何保護信息和通信技術供應鏈安全的建議。

https://mp.weixin.qq.com/s/BtFclb4BjgWveQALvdxxQw

29.5G核心網網元服務異常檢測

5G作為最新一代的移動通信技術，其核心網采用服務化架構，把原來具有多個功能的整體分拆為多個具有獨自功能的個體，使網絡更加靈活。

https://mp.weixin.qq.com/s/xAuc0wHG1D4BA2laHi_Diw

30.2021網絡安全領域六大發展特點

2021 年是網絡安全行業瘋狂的一年。從SolarWinds等供應鏈攻擊到 NSO集團的飛馬間諜軟件丑聞，再到Colonial Pipeline輸油管道的勒索軟件攻擊，各國政府和企業每天都面臨著新的攻擊。

https://mp.weixin.qq.com/s/lwihzvwMt32LV8oMNS6I3Q

31.基于大數據技術的攻擊溯源研究

大數據、云計算等信息技術的發展，加速了信息化發展速度，同樣刺激了網絡攻擊的普遍化、持久化、武器化，也給攻擊溯源帶來了新挑戰。

https://mp.weixin.qq.com/s/ZWGILJv7HO-9NHI1FeMZaQ

32.罕見！“五眼”聯盟聯合發布Log4Shell警報

組成“五眼”情報聯盟的美國、英國、澳大利亞、加拿大和新西蘭的政府網絡安全機構昨日發布了一份聯合網絡安全警報，提供有關解決Apache Log4j軟件漏洞(CVE-2021-44228(稱為“Log4Shell”)、CVE-2021-45046和CVE-2021-45105)的緩解指南庫,根據公開報告，Log4Shell和CVE-2021-45046正在被積極利用。

https://mp.weixin.qq.com/s/_dYT4St3gHWq-i5wuAiRVQ

安全技術方案

33.原創 | 工業控制系統面臨的十大安全問題

隨著德國工業4.0、美國工業互聯網、中國制造2025等戰略的不斷推進下，再加上物聯網、云計算、大數據、5G等新一代信息技術的融合發展，工業生產網絡逐漸與辦公網、互聯網以及第三方網絡進行互聯互通，使得原本封閉可信的工業生產環境被打破，面臨了病毒、木馬、黑客、敵對勢力等威脅。

https://mp.weixin.qq.com/s/g-fRCFRCoMu2vnuAMEb6Og

34.從系統調用實例看數據安全治理

《中華人民共和國數據安全法》于2021年9月1日正式實施，在國家強化數據安全監管的大形勢下，所有企事業單位將面臨著數據安全如何合規合法這一問題。本文試圖站在操作系統角度初步提出數據安全中基于元數據重構的數據標簽解決途徑。

https://mp.weixin.qq.com/s/Nkx4ZrJ4X5dEnU-CVOscKA

35.淺析工控主機安全軟件自動化測試

工業控制設備廣泛應用于石油化工、電力水利、軌道交通等國家關鍵基礎設施領域，其正常運行直接關系到工業生產的安全、經濟安全甚至是國家安全。工控安全軟件的作用是保護工控設備穩定運行，因此工控安全軟件產品質量尤為重要，然而工控主機安全軟件的測試工作要做充分卻并非易事。

https://mp.weixin.qq.com/s/ADePusfGycK0hCx057uE4g

36.工業控制信息系統中的商用密碼應用思考

自2019年10月《密碼法》頒布以來，商用密碼應用安全性評估逐步引起各政府部門、各行業的重視。

https://mp.weixin.qq.com/s/5upA7j8XUSFg0KYGxhnsqg

37.工業互聯網安全標準體系（2021年）正式發布

近日，在工業和信息化部網絡安全管理局指導下，工業互聯網產業聯盟、工業信息安全產業發展聯盟、工業和信息化部商用密碼應用推進標準工作組共同發布《工業互聯網安全標準體系(2021年)》。

https://mp.weixin.qq.com/s/9UVK0_X2WWMCZJVubPVCsQ