關鍵基礎設施安全資訊周報20220104期

目錄

技術標準規范

1.中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》

近日，中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》（以下簡稱《規劃》），對我國“十四五”時期信息化發展作出部署安排。《規劃》是“十四五”國家規劃體系的重要組成部分，是指導各地區、各部門信息化工作的行動指南。

https://mp.weixin.qq.com/s/85GBTCPNkDApT7mL7DRRXw

2.貫徹落實《數據安全法》 強化工業領域數據安全保障

今年 9 月 1 日，《數據安全法》正式施行，數據安全事業開啟了新階段，依法開展數據安全工作踏上了新征程。

https://mp.weixin.qq.com/s/cWC8ephct3bgpdjuENX8Bw

3.《“十四五”國家信息化規劃》-網絡安全新看點

中央網絡安全和信息化委員會近日印發《“十四五”國家信息化規劃》(以下簡稱《規劃》)，對我國“十四五”時期信息化發展作出部署安排。《規劃》是“十四五”國家規劃體系的重要組成部分，是指導各地區、各部門信息化工作的行動指南。

https://mp.weixin.qq.com/s/7SFYxHETf6WNnWLyyXo6tA

行業發展動態

4.Log4Shell漏洞驚動白宮國安委--擬議中的開源軟件網絡安全會議將在明年元月召開

據彭博社(Bloomberg)報道，白宮國家安全顧問杰克·沙利文(Jake Sullivan)已邀請主要科技公司討論如何改進開源軟件的網絡安全。這些科技公司包括“主要的軟件公司和開發者”。

https://mp.weixin.qq.com/s/w-OI---wBxu5WZpZNlOZtw

5.施耐德電氣EVlink電動汽車充電樁相關產品暴7個嚴重漏洞

施耐德電氣近日發布公告稱已經修補了幾個有關電動汽車充電站的新漏洞，這些漏洞使其EVlink電動汽車充電站容易受到遠程黑客攻擊。

https://mp.weixin.qq.com/s/idJoOQXXfz7_IL7zfMPByA

6.國內外最新網絡安全發展動態

2021年12月23日，中國信息通信研究院(以下簡稱“中國信通院”)主辦的2022中國信通院ICT＋深度觀察報告會-主論壇在京舉辦，中國信通院副院長王志勤發布了信息通信業(ICT)十大趨勢。

https://mp.weixin.qq.com/s/bnQRs6Hh5yP_Bkm2peJgzQ

7.北美天然氣巨頭也遭勒索 關鍵基設再敲警鐘

來自北美天然氣巨頭供應商Superior Plus證實，他們在12月12日發現了勒索軟件攻擊，破壞了其計算機系統。

https://mp.weixin.qq.com/s/inuDr-qBR8NejkhdDptwNg

8.還有下一個嗎？Log4j第5個漏洞CVE-2021-44832來襲，Apache再發2.17.1版修復

Apache 發布了最新的 Log4j 版本2.17.1，修復了 2.17.0 中新發現的遠程代碼執行(RCE)漏洞，編號為 CVE-2021-44832。

https://mp.weixin.qq.com/s/Q-SScGABfg5glJpwZEczlQ

9.惡意的joker應用程序在GooglePlay進行傳播

joker惡意軟件再次出現在了Google Play上，這次是在一個名為Color Message的移動應用程序中發現的。該應用程序在被應用商店刪除之前已經被下載了50多萬次。

https://mp.weixin.qq.com/s/iXZbGDrBP4SOc_VkPSLdeQ

10.西部數據、索尼等主要供應商的存儲設備中使用的第三方加密軟件存在漏洞，可導致未經授權的用戶數據訪問

據《安全周刊》報道，安全研究人員在ENC安全公司開發的DataVault加密軟件中發現了兩個嚴重漏洞，從而可能導致使用該加密軟件的幾家主要供應商的存儲設備受到影響。這兩個漏洞已被分配CVE標識，分別是CVE-2021-36750和CVE-2021-36751。

https://mp.weixin.qq.com/s/fQ7IC5g4SpjCfeRuWirDuQ

11.物流巨頭DW Morgan暴露了100 GB 客戶數據

Hack Read網站披露，Website Planet安全團隊發現了一個配置錯誤的亞馬遜S3“存儲池”，池中包含約250萬個文件，大小超過100GB。研究表明，該數據池屬于應鏈管理和物流巨頭D.W.Morgan公司，該公司總部位于加利福尼亞州，業務遍及全球。

https://mp.weixin.qq.com/s/wQ9teOJKl0BFvYd7mOBe_Q

12.把握發展新機遇 共同推動全聯網創新發展——全聯網發展與應用高峰論壇（互聯網基礎資源創新發展論壇）在京舉辦

12月28日，由中國互聯網絡信息中心主辦，中國科學院計算機網絡信息中心、互聯網域名管理技術國家工程實驗室、互聯網域名系統國家地方聯合工程研究中心、中科全聯科技（北京）有限公司共同協辦的全聯網發展與應用高峰論壇（互聯網基礎資源創新發展論壇）在京召開。

https://mp.weixin.qq.com/s/5zciuonGcRREA1KSzOyzlg

13.2021年國內網絡安全風險評估與總體態勢

2021年，新冠肺炎疫情持續席卷全球，加劇了國際關系和國際格局的大裂變，世界加速步入動蕩變革期。

https://mp.weixin.qq.com/s/KedY2nHJGb92df-nMWFylg

14.Windows 10中的 RCE漏洞：通過惡意鏈接發起

研究人員通過 IE11/Edge Legacy 和 MS Teams 在 Windows 10 上發現了一個驅動代碼執行漏洞，該漏洞由 Windows 10/11 默認處理程序ms-officecmd: URI中的參數注入觸發。

https://mp.weixin.qq.com/s/sr2zAG-XOza1KTnuAGwIuw

安全威脅分析

15.網絡產品安全漏洞披露冷知識--美國NSA主導的VEP-《漏洞公平裁決政策和程序》的是是非非

2017年11月15日，美國白宮發布《漏洞公平裁決政策和程序》，其旨在為漏洞公平裁決程序(Vulnerabilities Equities Process，VEP)勾勒更多規則性和透明度。

https://mp.weixin.qq.com/s/LwXRiXF9SARByRKW5Gz9dw

16.工業網絡靶場建設的主要挑戰

數字化轉型發展背景下，IT/CT/OT新技術浪潮加速，系統連接性復雜性激增，復合風險因素增多，網絡攻擊成本降低，網絡安全形勢空前復雜，工業網絡已成為網絡空間攻防對抗的主戰場。

https://mp.weixin.qq.com/s/MfGIuYVjuMC_eg-GG5_5hA

17.惡意App利用華為Android手機觸屏事件統計日志還原用戶的觸屏輸入

由于該研究是在一年前完成的，所以截止本文發布時，華為不僅解決了本文提到的漏洞(CVE-2021-22337)，而且現在已經將他們的許多設備從 Android 升級到了鴻蒙操作系統。

https://mp.weixin.qq.com/s/pjZbaldME1_sIy1RrqJ5qQ

18.透視全球 2021 網絡安全演習

2021 年，雖持續受新冠疫情影響，美歐等國仍通過各種方式開展網絡演習訓練和競賽活動，在實戰中評估網絡部隊戰備水平，檢驗和提升部隊的網絡作戰能力。

https://mp.weixin.qq.com/s/ySU1MsHrAUW4a6MX1daOKw

19.隱瞞數據泄露，前優步CSO面臨重罪指控

近日，美國聯邦大陪審團指控優步(Uber)的前首席安全官(CSO)約瑟夫·沙利文(Joseph Sullivan)犯有三項電匯欺詐罪，此前沙利文因隱瞞2016年的大規模數據泄露事件而被起訴。

https://mp.weixin.qq.com/s/fag1ezbqrp_fOKA5eIOHXA

20.九款國外視頻會議軟件安全性簡析

全球疫情持續肆虐，數以千萬計的員工被迫開啟遠程辦公模式。據 Statista 數據顯示，疫情爆發前，美國只有 17% 的人在進行遠程辦公；爆發之后，每天有多達 44% 的人全職遠程辦公。

https://mp.weixin.qq.com/s/V1byQFdkHLtAmWN9bh7XzQ

21.Handover漏洞影響2-5g網絡

研究人員發現運營商網絡handover機制存在安全問題，影響2\3\4\5G網絡安全。

https://mp.weixin.qq.com/s/YVWCBB-3gPk0cfFbmhxHeA

22.疑似密碼管理器LastPass主密碼大面積泄露

Lastpass是一個全球流行的在線密碼管理器和頁面過濾器，采用了強大的加密算法，自動登錄/云同步/跨平臺/支持多款瀏覽器。

https://mp.weixin.qq.com/s/z_oT3xrzQbgAlZ7t7AuQFg

23.惡意軟件變異：改變行為以實現隱蔽性和持久性

近年來，企業組織為了應對惡意軟件威脅采取了大量工作，但是，似乎每天都有新的惡意軟件樣本能夠繞過各種防護措施。這些層出不窮的惡意軟件從何而來？答案是惡意軟件變異。

https://mp.weixin.qq.com/s/tpwI0pB35J5-GItQx-iCmA

24.圖片分享企業 Shutterfly 遭受 Conti 勒索軟件攻擊

近日，美國圖片分享服務商 Shutterfly 遭受了 Conti 勒索軟件攻擊，根據 Bleeping Computer 的報道，雙方的贖金談判正在進行中，勒索軟件團伙要求數百萬美元作為贖金。

https://mp.weixin.qq.com/s/6VB2AZydGeqwm0rg6VUZrw

25.國家網絡能力的研究進展

2021 年 6 月 28 日，英國智庫國際戰略研究所(IISS)發布了一份研究報告《網絡能力與國家力量：凈評估》，這份報告以相關國家的政府文件、開源材料及對相關領域專家的訪談作為研究素材，指出網絡空間領域正不可避免地成為 21世紀國家間展現力量及開展競爭的關鍵而充滿風險的一個新環境。

https://mp.weixin.qq.com/s/UvC_Be4owRGvdS_c6dJRVA

安全技術方案

26.工業互聯網安全產業發展態勢及路徑研究

工業互聯網安全是實現我國工業互聯網產業高質量發展的重要前提和保障，也是建設網絡強國和制造強國戰略的重要支撐。

https://mp.weixin.qq.com/s/cRlmYQz5XKyXIFek41FxrQ

27.面向智能社會的信息與電子工程顛覆性技術

顛覆性技術通常指一種另辟蹊徑的、對已有傳統或主流技術途徑產生顛覆性效果的技術，可能是基于新概念、新原理的創新技術，也可能是現有技術的重大創新應用。

https://mp.weixin.qq.com/s/Bq5TtyDsZqKJh2FZeVA0mQ

28.IoT SAFE ——強化物聯網生態系統的安全性

據the hacker news消息，到2021 年底，聯網的物聯網設備將達到 120 億臺，到2025 年，這一數字將增至270 億臺。

https://mp.weixin.qq.com/s/RfgF3sigGN-ue_InZ87sgQ

29.國外 ICT 供應鏈安全管理研究及建議

鑒于國家關鍵基礎設施和關鍵資源(CIKR)對信息通信技術(ICT)的依賴，識別和控制 ICT 供應鏈風險已成為保障國家安全的重要手段。

https://mp.weixin.qq.com/s/pULWvlpaTOSmfBWLVQ6jFQ