關鍵基礎設施安全資訊周報20211018期
目錄
技術標準規范
- 共筑網絡安全防線——我國網絡安全工作取得積極進展
- 第三屆全國信息安全標準化技術委員會第一次主任辦公會在京召開
- 工信部就“關于加快推進智能網聯新能源汽車發展的建議”進行答復
- 信安標委發布《汽車采集數據處理安全指南》
- 中國信通院魏亮:強化制度供給,積極打造工業和電信行業數據要素市場健康發展的安全基座
- 共同筑牢網絡安全防線——黨的十八大以來網絡安全發展成就綜述
行業發展動態
- 美國能源部啟動清潔能源系統的零信任網絡安全解決方案加速計劃
- 英國工程巨頭遭勒索攻擊:運營臨時中斷 至少損失4億元
- InHand Networks工業路由器漏洞可使許多工業公司遭受遠程攻擊
- 美國網絡安全高官集體呼吁:關基企業不上報黑客事件應罰款
- 東京奧運期間系統遭逾4億次網絡攻擊
- 指揮著 10 萬多臺僵尸機器人網絡的黑客被烏克蘭警方抓獲
- 微軟發現與伊朗相關的APT組織,瞄準美國和以色列國防公司
- CCSC物聯網安全測評方向認證培訓開課啦!
- 美召開30國勒索峰會:強建地緣政治新舞臺
安全威脅分析
- 零信任成功的4個關鍵問題
- 前沿 | 新時代下數據安全風險評估工作的思考
- 網絡能力與國家實力
- 披露:SolarWinds黑客竊取了美國政府的絕密數據
- 美國海軍軍艦的Facebook頁面被黑客攻擊
- 關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202109期
- 零信任應用選型的五個關鍵因素
- 新型數據勒索黑客組織SnapMC最快30分鐘即可突破受害者網絡
安全技術方案
- 歐盟人工智能立法提案的核心思想及未來影響分析
- 美國關鍵基礎設施保護概述
- 原創 | 中央網信辦攝像頭黑產集中治理工作獲媒體報道,國家互聯網應急中心專家揭露攝像頭偷窺黑色產業鏈
- 汽車數據安全合規實驗室啟動并發布權威解讀
技術標準規范
1.共筑網絡安全防線——我國網絡安全工作取得積極進展
沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。黨的十八大以來,在習近平總書記關于網絡強國的重要思想和關于網絡安全工作“四個堅持”重要指示精神指引下,我國網絡安全工作發展進入快車道,各項工作取得積極進展,形成了一系列生動實踐和寶貴經驗。
https://mp.weixin.qq.com/s/6b3LmB2EbhQR6MhsqRym4A
2.第三屆全國信息安全標準化技術委員會第一次主任辦公會在京召開
2021年9月23日,全國信息安全標準化技術委員會(以下簡稱“信安標委”)主任委員趙澤良主持召開第三屆信安標委第一次主任辦公會。副主任委員高林、杜廣達、郭啟全、江常青,國家市場監督管理總局標準技術管理司劉大山處長,秘書長楊建軍、副秘書長上官曉麗,及秘書處有關人員參加了會議。
https://mp.weixin.qq.com/s/cciS83Fko2qNLdr29kUgXg
3.工信部就“關于加快推進智能網聯新能源汽車發展的建議”進行答復
為貫徹落實習近平總書記關于堅持和完善人民代表大會制度的重要思想、關于加強和改進人民政協工作的重要思想,工業和信息化部積極做好十三屆全國人大四次會議代表建議、全國政協十三屆四次會議提案的辦理工作,特別是結合黨史學習教育,切實為民辦實事、解難題,強化組織指導,創新溝通機制,努力將代表委員提出的有價值、高質量建議轉化為破解難題的政策措施,推動工業和信息化事業高質量發展。
https://mp.weixin.qq.com/s/QKAWcFzGdwudYI9dl2VVqw
4.信安標委發布《汽車采集數據處理安全指南》
本文件規定了對汽車采集數據進行傳輸、存儲和出境等處理活動的安全要求。
https://mp.weixin.qq.com/s/gdPYFlkN9FWwiP5_nF578A
中國信通院魏亮:強化制度供給,積極打造工業和電信行業數據要素市場健康發展的安全基座
2021年9月30日,《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱“《管理辦法》”)面向社會公開征求意見。
https://mp.weixin.qq.com/s/E0_zBHmSed0VlXDSLYGK6A
5.共同筑牢網絡安全防線——黨的十八大以來網絡安全發展成就綜述
10月11日至17日,以“網絡安全為人民,網絡安全靠人民”為主題的2021年國家網絡安全宣傳周將在全國范圍內統一舉辦,大力營造全社會共筑網絡安全防線的濃厚氛圍。
https://mp.weixin.qq.com/s/WBQpNTn47WQwTGL4yo8fUg
行業發展動態
6.美國能源部啟動清潔能源系統的零信任網絡安全解決方案加速計劃
美國能源部近日啟動了新的網絡安全項目,以保護清潔能源。該項由能源部牽頭的新的公私安全伙伴合作計劃旨在加速開發用于清潔能源系統的零信任網絡安全解決方案,具體由伯克希爾哈撒韋能源公司和Xcel能源公司提供行業方面的戰略方向。
https://mp.weixin.qq.com/s/Ua-rW9Xk7ux62-dqci8aoQ
7.英國工程巨頭遭勒索攻擊:運營臨時中斷 至少損失4億元
10月7日,蘇格蘭跨國工程企業偉爾集團(Weir Group)披露了一項“勒索軟件攻擊企圖”,稱該事件導致了今年9月的“重大臨時中斷”。
https://mp.weixin.qq.com/s/NjP3MEAjZ2x0nwJH32ApiA
8.InHand Networks工業路由器漏洞可使許多工業公司遭受遠程攻擊
據《安全周刊》10月11日報道,工業網絡安全公司OTORIO的研究人員在映翰通網絡公司(InHand Networks)制造的工業路由器中發現了13個嚴重的漏洞,其中有9個的CVSS評分都地在8分以上。這批嚴重漏洞可能會使許多工業組織暴露在黑客遠程攻擊之下,而且似乎沒有可用的補丁。
https://mp.weixin.qq.com/s/Jb7tB4xifIOj3rWiaNik0w
9.美國網絡安全高官集體呼吁:關基企業不上報黑客事件應罰款
9月23日,美國高級網絡官員敦促國會加大力度,要求一切關鍵基礎設施運營商及時披露黑客事件,呼吁在違規事件發生后縮短報告時間窗口,并對拒不遵守規定的企業處以罰款。
https://mp.weixin.qq.com/s/DYSqqiMfNdDi4UoNVtyU4g
10.東京奧運期間系統遭逾4億次網絡攻擊
日共同社近期采訪東京奧組委等獲悉,在東京奧運會和殘奧會舉辦期間,針對官方網站和奧組委系統的網絡攻擊達到約4.5億次。非法訪問均被切斷,沒有對賽事運營造成影響。奧運會也存在易成為黑客集團目標并造成嚴重損失的擔憂,但本次成功防范。
https://mp.weixin.qq.com/s/bgQLCuYTWN0GuB03u06bwg
11.指揮著 10 萬多臺僵尸機器人網絡的黑客被烏克蘭警方抓獲
烏克蘭安全局(SBU)已經逮捕了一名黑客,他開發和利用了一個由超過10萬個機器人組成的僵尸網絡。該罪犯是一名居住在烏克蘭伊萬諾·弗蘭科夫斯克的普里卡爾帕蒂亞地區的居民。
https://mp.weixin.qq.com/s/sG5AQpn-uJtvh9-shlmwyw
12.微軟發現與伊朗相關的APT組織,瞄準美國和以色列國防公司
微軟報告發現了一個惡意活動組織,其目標是攻擊美國和以色列的國防技術公司的Office 365用戶。
10月11日消息,微軟威脅情報中心(MSTIC)和微軟數字安全部(DSU)的研究人員發現了一個惡意活動集群,被追蹤為DEV-0343,其目標是美國和以色列國防技術公司的Office 365用戶。
https://mp.weixin.qq.com/s/irZi_dXCSA-0yVpxM8s_Og
13.CCSC物聯網安全測評方向認證培訓開課啦!
CCSC物聯網安全測評方向認證考試是國家互聯網應急中心(CNCERT)授權,油物鼎科技運營,面向物聯網安全從業者及對物聯網感興趣的高校學生的網絡安全技能認證。
https://mp.weixin.qq.com/s/9w6uxH8C2onVtEiNxrXtSA
14.美召開30國勒索峰會:強建地緣政治新舞臺
美國白宮國家安全委員會本周啟動了國際反勒索軟件峰會,有30多個國家參加。這次聚會旨在提高全球網絡的彈性,解決非法使用加密貨幣的問題,并提升執法合作和外交努力。
https://mp.weixin.qq.com/s/pzd7KtlElmUTML66PSYuDw
安全威脅分析
15.零信任成功的4個關鍵問題
保護遠程訪問安全的傳統方法是使用VPN。然而,隨著企業開始了解零信任理念,即用戶未經身份驗證不得訪問任何數據源,VPN逐漸被證明是遠遠不夠的。
https://mp.weixin.qq.com/s/YtkNfTnfaZ95qPJwii5PkA
16.前沿 | 新時代下數據安全風險評估工作的思考
隨著《數據安全法》等一系列法律法規的頒布實施,我國網絡空間的法律法規秩序體系逐步完善,網絡安全工作邁入了新時代。在促進關鍵信息基礎設施和數字經濟發展的同時,需要進一步提升數據安全保障能力、風險發現能力,確保數據安全風險可控在控,對切實維護國家主權、國家安全和社會發展利益等方面具有重大意義。
https://mp.weixin.qq.com/s/NUyFRBXoTd0dn9WJaqOqwA
17.網絡能力與國家實力
該報告是國際戰略研究所研究人員歷經兩年時間研究的成果,為15個國家的網絡實力提供了一個重要的新的定性評估,并為理解如何對全球國家網絡能力進行排序提供了一個新的定性框架。
https://mp.weixin.qq.com/s/9kLVZedSQHNySZbj5BB_fg
18.披露:SolarWinds黑客竊取了美國政府的絕密數據
據相關人士透露,俄羅斯背景的黑客曾利用SolarWinds和Microsoft軟件中存在的漏洞,對美國聯邦政府部門發起攻擊并獲取大量信息。最新調查顯示,竊取的信息包括反情報(反間諜)調查情況、針對俄羅斯個人的制裁政策以及美國官方對新冠肺炎疫情的反應等內容。
https://mp.weixin.qq.com/s/cHs-ZmZZizeDEtdUmsMsrQ
19.美國海軍軍艦的Facebook頁面被黑客攻擊
一艘驅逐艦級的海軍戰艦基德號官方Facebook頁面被攻擊。有人接管了該頁面,并利用該頁面傳播《帝國時代》游戲。
https://mp.weixin.qq.com/s/qWxLCuAs4t_qxwc8gXo65w
20.關鍵信息基礎設施網絡安全(物聯網安全專題)監測月報202109期
根據《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施定義和范圍的闡述,關鍵信息基礎設施(Critical Information Infrastructure,CII)是指一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施,包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關鍵行業和領域。
https://mp.weixin.qq.com/s/Mq3fANap4e3RQu2tGXm_Hg
21.MyRepublic數據泄露引發眾多問題
有近79,400名MyRepublic移動用戶在此次數據泄露事件中受到了影響,目前該公司已對外證實,此次事件泄露了大量的個人信息。
https://mp.weixin.qq.com/s/dHjqH_dyRZJCbnKl_jv78w
22.零信任應用選型的五個關鍵因素
在新冠肺炎爆發期間,VPN暴露出了作為遠程訪問安全方案的不足。零信任網絡訪問方案(簡稱“ZTNA”),因其秉持“持續驗證,永不信任”的原則,默認不信任網絡內外的任何人、任何設備及系統,基于身份認證和授權,重新構建訪問控制的信任基礎等特點,受到越來越多企業的青睞。
https://mp.weixin.qq.com/s/EYWYYUyNJRAc2eCy78Uc0Q
23.新型數據勒索黑客組織SnapMC最快30分鐘即可突破受害者網絡
NCC Group 的研究人員透露,在過去幾個月中,攻擊者越來越多地攻陷企業網絡以竊取數據和勒索受害者,但并未中斷他們的運營。被稱為SnapMC 的黑客組織試圖利用網絡服務器和VPN應用程序中的多個漏洞進行初始突破,通常會在30分鐘內攻入受害者網絡。
https://mp.weixin.qq.com/s/wjTHk0F98J6RMVpNYoWGzQ
安全技術方案
24.歐盟人工智能立法提案的核心思想及未來影響分析
歐盟人工智能立法提案提出了對人工智能系統實行分級監管的思想和合規評估要求,旨在于歐盟范圍內規范人工智能的可信應用,進一步鼓勵人工智能領域的投資和創新。立法提案重點對高風險人工智能系統的全生命周期監管作出了詳細規定,并提出了3類情形的違法處罰原則。
https://mp.weixin.qq.com/s/hkshKortZYQxjaPX_BhkfA
25.美國關鍵基礎設施保護概述
近年來,世界各國紛紛出臺政策、法規,將關鍵基礎設施安全提升到國家安全的高度,并開始重視對其網絡安全的保護。目前,全球已經有數十個國家正在制定或已經實施關鍵信息基礎設施相關安全政策、法規和標準,深刻影響著國家安全、經濟發展和社會機遇。
https://mp.weixin.qq.com/s/Q5D95skNy9W1mPez58ACOA
26.原創 | 中央網信辦攝像頭黑產集中治理工作獲媒體報道,國家互聯網應急中心專家揭露攝像頭偷窺黑色產業鏈
10月11日-17日,由中央宣傳部、中央網信辦、教育部、工業和信息化部、公安部、中國人民銀行、國家廣播電視總局、全國總工會、共青團中央、全國婦聯等部門聯合舉辦的 2021年國家網絡安全宣傳周在陜西西安舉辦。
https://mp.weixin.qq.com/s/CVosZOsGoOU2jncVIYdTng
27.汽車數據安全合規實驗室啟動并發布權威解讀
10月11日,由中央宣傳部、中央網信辦等國家十部門聯合舉辦的“2021年國家網絡安全宣傳周”(簡稱“國家網安周”)隆重開幕。
