關鍵基礎設施安全資訊周報20211011期

目錄

 技術標準規范

• 前沿 | 我國工業企業信息安全現狀及下一步工作建議
• 工信部部署推進全國互聯網信息安全管理系統升級改造 推動構建數據安全與網絡安全監管技術保障體系

 行業發展動態

• 聯合國貿發會議：《2021年數字經濟報告(數據跨境流動和發展：數據為誰而流動？)》
• 美國秘密命令谷歌、微軟和雅虎交出搜索指定關鍵詞的人員信息
• 醫療器械制造商美敦力因網絡安全風險召回可能導致傷害和死亡的部分設備

 安全威脅分析

• 美“網絡安全意識月”啟動，擬建反勒索國家聯盟
• 美國國安頭頭對勒索軟件做出預測
• 美國休斯頓港曾遭網絡攻擊 運營及系統未受影響
• 首次！美國司法部將起訴隱瞞網絡攻擊事件的政府承包商
• 美國政府強化零信任的深義：實現多層級網絡安全

 安全技術方案

• 人工智能給安全行業帶來的新思路與新隱憂

技術標準規范

1.前沿 | 我國工業企業信息安全現狀及下一步工作建議

為切實提升我國工業企業安全防護水平，工業和信息化部先后發布了《工業控制系統信息安全防護指南》(以下簡稱《防護指南》)和《工業控制系統信息安全防護能力評估方法》(以下簡稱《評估方法》)等指導性文件

https://mp.weixin.qq.com/s/b3MP1__-y6im7nn2dxJbaw

2.工信部部署推進全國互聯網信息安全管理系統升級改造 推動構建數據安全與網絡安全監管技術保障體系

9月26日，工業和信息化部網絡安全管理局組織召開全國視頻會議，督促推進全國互聯網信息安全管理系統升級改造工作，統籌開展數據安全與網絡安全技術手段建設。各省(自治區、直轄市)通信管理局、各基礎電信企業集團公司及省級公司、中國信息通信研究院近400人參會。

https://mp.weixin.qq.com/s/OkhDHNu5A46D_sQm74DmHA

行業發展動態

3.聯合國貿發會議：《2021年數字經濟報告(數據跨境流動和發展：數據為誰而流動？)》

2021年9月29日，聯合國貿易和發展會議發布《2021年數字經濟報告(數據跨境流動和發展：數據為誰而流動？)》(以下稱“《報告》”)。《報告》深入探討了數據跨境流動的發展和政策，指出國家和國際層面上的數據跨境流動政策走向不僅影響貿易、創新和經濟進步，還將影響與數字化成果分配、人權、執法和國家安全有關的一系列問題。

https://mp.weixin.qq.com/s/lLvPRo5YEqb95ZRYCrbisg

4.美國秘密命令谷歌、微軟和雅虎交出搜索指定關鍵詞的人員信息

2021年10月，福布斯發布了一篇關于美國FBI秘密命令谷歌提供任何輸入特定搜索詞的人員數據，其中提及到多份意外解封的關鍵詞搜查令的法庭文件，該文還對其中可能牽連無辜網絡用戶而發表了一些看法。

https://mp.weixin.qq.com/s/qaqthUbs6OcI7AOVctDKoA

5.醫療器械制造商美敦力因網絡安全風險召回可能導致傷害和死亡的部分設備

由于潛在的網絡安全風險，美敦力正在召回所有與MiniMed 508胰島素泵或MiniMed Paradigm系列胰島素泵使用的遠程控制器。未經授權的人(病人、病人護理人員或醫療保健提供者以外的人)可能會記錄和重放遙控器和MiniMed胰島素泵之間的無線通信。

https://mp.weixin.qq.com/s/3oki5DgkQogAzr_8wd8oFw

安全威脅分析

6.美“網絡安全意識月”啟動，擬建反勒索國家聯盟

當地時間9月30日，白宮發布了拜登簽署的總統行動《關于 2021年網絡安全意識月的公告》，稱美國正受到來自惡意網絡行為者的持續且不斷增加的威脅。在今年的網絡安全意識月中，美國政府再次承諾盡自己的一份力量保護互聯網連接設備、技術和網絡免受工作、家庭、學校和在線連接的任何其他地方的網絡威脅。

https://mp.weixin.qq.com/s/8xNnShxM5Y009R92eP5tBg

7.美國國安頭頭對勒索軟件做出預測

近期美國一系列針對焦頭爛額的勒索軟件攻擊的立法和行動都在進行。

民主黨人周二在美國眾議院和參議院提出立法，要求向黑客付款的勒索軟件受害者在付款后48小時內通知美國國土安全部。

https://mp.weixin.qq.com/s/11xQ0ms89Ru4uxYPYKYA1w

8.美國休斯頓港曾遭網絡攻擊 運營及系統未受影響

據美國主要港口之一的休斯頓港透露，該港在8月份遭遇了一次據稱由民族國家行為者策劃的網絡攻擊，但其系統沒有受到影響。

https://mp.weixin.qq.com/s/lxY1oQayVv_jkHPuLRC0Hw

9.首次！美國司法部將起訴隱瞞網絡攻擊事件的政府承包商

美國司法部宣布，將起訴未能遵循基本網絡安全標準的政府承包商，包括故意提供有缺陷的網絡產品、故意虛構內部網絡安全實踐、故意隱瞞網絡安全事件等

https://mp.weixin.qq.com/s/pJ54b1_7FG3pewfg4GNheA

10.美國政府強化零信任的深義：實現多層級網絡安全

拜登政府意圖強化其網絡防御，正為各聯邦機構實現“零信任”網絡安全策略，并要求美國國家安全局(NSA)和美國網絡司令部“嚴密關注”網絡威脅。這些變化反映出，在美國企業和基礎設施遭到一些引人注目的攻擊后，網絡安全對政府的重要性日趨凸顯。

https://mp.weixin.qq.com/s/fYCtJFu53rut0qqKu2XTFA

安全技術方案

11.人工智能給安全行業帶來的新思路與新隱憂

根據 MarketsandMarkets 公司 2018 年發布的《安全市場中人工智能》報告，全球人工智能賦能安全市場規模在 2017 年已達 39.2 億美元，預計 2025 年將達到 348.1 億美元，平均每年增長率超過 30%。

https://mp.weixin.qq.com/s/PVWDUirYBVuv5uu7O2hDAA