关键基础设施安全资讯周报20211227期 - 网安 - 专业的网络安全产业、社区、知识平台

技术标准规范

尊重各国网络主权是维护网络空间和平与发展的基石
个人信息保护法解读：常见合规场景与应对
深入理解网络主权的重要意义和作用
中央网信办方新平：正在抓紧制定数安法、个保法配套法规规章

行业发展动态

中国电机工程学会电力信息化专委会安全学组"聚焦电力行业关基保护护航新型电力系统安全"工作会在京召开
国外工业互联网安全产业布局情况及对我国的启示
美以两国网络战部队举行确保“网络优势”的“Cyberdome”神秘联合演习
比利时国防部被用Log4j漏洞攻破，又出新洞
发现严重漏洞未及时报告，阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月
关于国家区块链创新应用试点入选名单的公示
工业光网助力工业企业数字化转型发展
研究团队发现Eltima SDK 严重漏洞，影响多款云厂商产品
工业自动化公司MyPRO的HMI/SCADA产品中发现多个关键漏洞

安全威胁分析

Owowa：将OWA 变成凭证窃取器和远程访问面板的附加组件
不断恶化的网络威胁态势给工业、制造企业带来了诸多挑战
人工智能改变网络安全的五种方式
德国耳机巨头森海塞尔泄露55GB客户数据
关键信息基础设施网络安全（物联网安全专题）监测月报202111期
黑客利用Microsoft 0 day漏洞欺骗用户打开恶意软件
深入理解网络主权的重要意义和作用
卷土重来的Log4j 漏洞攻击
Clop勒索软件团伙正在泄露英国警方机密数据
新的Log4Shell攻击载体将会威胁本地主机的安全
阿里云挨罚冷思考：网络产品安全漏洞披露的博弈论
DDoS攻击花样百出，第三季度多个行业被暴击
基于网络主权的三维国际协作框架分析
工业互联时代的工业安全
解读《构建可信信息通信技术供应链》
5G核心网网元服务异常检测
2021网络安全领域六大发展特点
基于大数据技术的攻击溯源研究
罕见！“五眼”联盟联合发布Log4Shell警报

安全技术方案

原创 | 工业控制系统面临的十大安全问题
从系统调用实例看数据安全治理
浅析工控主机安全软件自动化测试
工业控制信息系统中的商用密码应用思考
工业互联网安全标准体系（2021年）正式发布

技术标准规范

1.尊重各国网络主权是维护网络空间和平与发展的基石

信息时代是一个消融时间与空间概念的时代。成果文件《网络主权：理念与实践》已经从 2019年的 1.0 版发展到 2021 年的 3.0 版。该文件是由多家智库组成的专家小组共同完成的研究成果，见证了三年来各方努力的历程。

https://mp.weixin.qq.com/s/2aJNU6nzo4_i00GgnU-hTg

2.个人信息保护法解读：常见合规场景与应对

《中华人民共和国个人信息保护法》的实行，将对企业日常运营中的各类个人信息处理活动带来新的影响与挑战。通过选取三个较常见的业务场景，探讨企业在新合规背景下的应对策略。

https://mp.weixin.qq.com/s/91eHW49rZcK5kI05P1hjZA

3.深入理解网络主权的重要意义和作用

成果文件《网络主权：理论与实践》(3.0 版)在 2021 年世界互联网大会乌镇峰会上发布。这是自 2019 年首次发布以来成果文件的连续第二年更新。

https://mp.weixin.qq.com/s/EMsafmMNCGjMJlZJ6VqU-Q

4.中央网信办方新平：正在抓紧制定数安法、个保法配套法规规章

12月17日，由南都个人信息保护研究中心举办的“2021啄木鸟数据治理论坛”在北京召开。聚焦中央网信办会同有关部门开展的App违法违规收集使用个人信息专项治理等工作，南都个人信息保护研究中心在论坛上发布了个人信息保护相关的研究报告并展开探讨。

https://mp.weixin.qq.com/s/aFatVajbz7YcWz11d7KyzQ

行业发展动态

5.中国电机工程学会电力信息化专委会安全学组"聚焦电力行业关基保护护航新型电力系统安全"工作会在京召开

2021年12月11日，中国电机工程学会电力信息化专委会在北京召开安全学组工作会议，会议由中国电机工程学会电力信息化专业委员会主办，电力信息化专业委员会安全学组、路云天网络安全研究院承办。

https://mp.weixin.qq.com/s/Uy8Zo8i2bkVp5AKIF6lGMw

6.国外工业互联网安全产业布局情况及对我国的启示

工业互联网安全产业是工业互联网健康发展的重要基础支撑，国外发达国家和地区在这一产业的布局已相对完善，我国在建设制造强国、网络强国、数字中国的战略需求下，亟需科学优化工业互联网安全产业布局。

https://mp.weixin.qq.com/s/-AFrXA2_naaCQldD2wQYCw

7.美以两国网络战部队举行确保“网络优势”的“Cyberdome”神秘联合演习

以色列国防军IDF当地时间12月18日表示，其联合网络防御部(JCDD)和美国网络司令部在过去一周举行了联合演习。

https://mp.weixin.qq.com/s/RMIGXWKMhwFxaF2vMvXOQQ

8.比利时国防部被用Log4j漏洞攻破，又出新洞

比利时政府官员表示，自上周五发生网络事件后，比利时国防部的部分计算机网络一直处于瘫痪状态，攻击者利用了Apache Log4j漏洞。

https://mp.weixin.qq.com/s/iOFsCzsZC60oGO5fmzcBrg

9.发现严重漏洞未及时报告，阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月

12月22日，据21世纪经济报道消息，近期，工信部网络安全管理局通报称，阿里云计算有限公司(下称：阿里云)发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

https://mp.weixin.qq.com/s/PAysKqC1-juCh-dmrGRWsg

10.关于国家区块链创新应用试点入选名单的公示

根据《关于组织申报区块链创新应用试点的通知》(中网办秘字〔2021〕1482号)，中央网信办、中央宣传部、国务院办公厅[电子政务办公室]、最高人民法院、最高人民检察院、教育部、工业和信息化部、民政部、司法部、人力资源社会保障部、国家卫生健康委、中国人民银行、国家税务总局、中国银保监会、中国证监会、国家能源局、国家外汇管理局等17个部门和单位对各地、各单位的申报材料组织了专家评审。

https://mp.weixin.qq.com/s/vLNFhiPmKQuMCLqcS8Qdzw

11.工业光网助力工业企业数字化转型发展

在工业互联网的众多网络技术类型中，工业光网凭借高带宽、低时延、抗干扰的特点使其作为有线网络的一种部署形式涌现出来，很适合作为工业网络升级改造的技术选择。

https://mp.weixin.qq.com/s/f2oxei1qjSftuXZfmC5MBw

12.研究团队发现Eltima SDK 严重漏洞，影响多款云厂商产品

Sentinelabs研究团队在驱动软件中发现了许多严重的漏洞，影响了许多云服务。

https://mp.weixin.qq.com/s/5kihnQVkJSbzONEsHeJmbA

13.工业自动化公司MyPRO的HMI/SCADA产品中发现多个关键漏洞

一名研究人员迈克尔·海因茨尔(Michael Heinzl)在捷克工业自动化公司mySCADA的myPRO产品中发现了十几个漏洞，其中几个漏洞被评为严重级别。

https://mp.weixin.qq.com/s/0VItKBlZfLkJXRV7PYJV4Q

安全威胁分析

14.Owowa：将OWA 变成凭证窃取器和远程访问面板的附加组件

在寻找针对 Microsoft Exchange 服务器的潜在恶意植入程序时，研究人员发现了一个可疑的二进制文件，该二进制文件已在 2020 年末提交给多扫描器服务。

https://mp.weixin.qq.com/s/ZSzZ1mG8aL89bCYkBVXU0g

15.德国耳机巨头森海塞尔泄露55GB客户数据

德国专业话筒和耳机制造巨头森海塞尔(Sennheiser)将超过28000名客户的个人数据暴露在配置错误的Amazon Web Services(AWS)服务器上。

https://mp.weixin.qq.com/s/waXmMq7YdJHEIAT7uQfukA

16.关键信息基础设施网络安全（物联网安全专题）监测月报202111期

根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述，关键信息基础设施(CriticalInformationInfrastructure，CII)是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

https://mp.weixin.qq.com/s/SN3X8S-HobnF0ALItB93TA

17.不断恶化的网络威胁态势给工业、制造企业带来了诸多挑战

2021年发生了多起影响工业和制造企业的网络安全事件。攻击者使用多种技术利用这些组织，包括直接或间接发起勒索软件和恶意软件攻击、破坏硬件漏洞以及瞄准其他安全漏洞。

https://mp.weixin.qq.com/s/F4pgFJopCukApWKkcZlGaw

18.人工智能改变网络安全的五种方式

人工智能是中性技术，在网络安全攻防两端都将发挥重要作用，随着越来越多的人工智能技术被用于网络攻击和获得未经授权的数据访问，防御端对人工智能技术的依赖度也将进一步提高。

https://mp.weixin.qq.com/s/Utm3-hv38JI_r6nfmP5Eqw

19.黑客利用Microsoft 0 day漏洞欺骗用户打开恶意软件

微软已经解决了一个0day漏洞，该漏洞被广泛利用，以虚假应用程序的形式提供Emotet、Trickbot等。

https://mp.weixin.qq.com/s/-PSi5b6WPlVUn4MdETz-Ug

20.深入理解网络主权的重要意义和作用

警惕伪基站攻击！移动通信切换过程中的新漏洞影响2G以来的所有移动网络

研究人员在 2G、3G、4G 和 5G 移动通信网络的“切换程序”(handover)中发现了新漏洞，攻击者可以利用这些漏洞强制目标手机连接到伪基站并通信窃听。

https://mp.weixin.qq.com/s/6Wdb2PLXHffGwp78Ez6RNg

21.卷土重来的Log4j 漏洞攻击

近日，比利时国防部已确认其遭受到了涉及 Log4j 漏洞的网络攻击。国防部在一份声明中表示，周四发现其可访问互联网的计算机网络并遭到攻击。

https://mp.weixin.qq.com/s/Xr2xg9Ocxzuqq6dU3V0Tcw

22.Clop勒索软件团伙正在泄露英国警方机密数据

根据Security Affairs网站消息，Clop勒索软件团伙成功窃取了英国警方的机密数据，并在暗网上泄露。

https://mp.weixin.qq.com/s/29gD51esd053kHLK6CNouw

23.新的Log4Shell攻击载体将会威胁本地主机的安全

在本周末，很多企业的网络安全人员正忙得不可开交。Log4j漏洞出现了另外一种攻击载体，它通过使用底层的Javascript WebSocket连接，通过驱动式的破坏，在本地服务器上触发远程代码执行(RCE)漏洞进行攻击。

https://mp.weixin.qq.com/s/7X7b5eaPFNmNPRfUAeJK1A

24.阿里云挨罚冷思考：网络产品安全漏洞披露的博弈论

阿里云因发现严重漏洞未及时报告国家主管部门，被暂停工信部网络安全威胁信息共享平台合作单位6个月。通报中称阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

https://mp.weixin.qq.com/s/3_WPXuLbWAAcRuLJPJJAcw

25.DDoS攻击花样百出，第三季度多个行业被暴击

Lumen和卡巴斯基实验室最新发布的第三季度 DDoS 报告，都显示本季度DDoS攻击暴增，Lumen发现本季度比上一季度多 35%。安全专家警告说，且攻击技术也越来越复杂。

https://mp.weixin.qq.com/s/bBRA7CyFXCUC6fBblt98ww

26.基于网络主权的三维国际协作框架分析

尊重网络主权是在网络空间尊重《联合国宪章》所确立宗旨与原则的表现。网络主权原则是建立全球网络空间秩序的重要基础 , 也是解决网络空间国际问题的突破口。

https://mp.weixin.qq.com/s/Yn9NKzNTxasJ7OG1MejLxw

27.工业互联时代的工业安全

随着工业4.0、《中国制造2025》、工业互联网的提出，工控系统正逐渐由封闭、孤立的系统转化为开放互联的系统。

https://mp.weixin.qq.com/s/K8KsJmXTvVd6zNhxzGtneA

28.解读《构建可信信息通信技术供应链》

网络空间日光浴委员会(CSC)于2020 年 10 月 20 日发布《国家可信信息通信技术供应链》报告，提出了如何保护信息和通信技术供应链安全的建议。

https://mp.weixin.qq.com/s/BtFclb4BjgWveQALvdxxQw

29.5G核心网网元服务异常检测

5G作为最新一代的移动通信技术，其核心网采用服务化架构，把原来具有多个功能的整体分拆为多个具有独自功能的个体，使网络更加灵活。

https://mp.weixin.qq.com/s/xAuc0wHG1D4BA2laHi_Diw

30.2021网络安全领域六大发展特点

2021 年是网络安全行业疯狂的一年。从SolarWinds等供应链攻击到 NSO集团的飞马间谍软件丑闻，再到Colonial Pipeline输油管道的勒索软件攻击，各国政府和企业每天都面临着新的攻击。

https://mp.weixin.qq.com/s/lwihzvwMt32LV8oMNS6I3Q

31.基于大数据技术的攻击溯源研究

大数据、云计算等信息技术的发展，加速了信息化发展速度，同样刺激了网络攻击的普遍化、持久化、武器化，也给攻击溯源带来了新挑战。

https://mp.weixin.qq.com/s/ZWGILJv7HO-9NHI1FeMZaQ

32.罕见！“五眼”联盟联合发布Log4Shell警报

组成“五眼”情报联盟的美国、英国、澳大利亚、加拿大和新西兰的政府网络安全机构昨日发布了一份联合网络安全警报，提供有关解决Apache Log4j软件漏洞(CVE-2021-44228(称为“Log4Shell”)、CVE-2021-45046和CVE-2021-45105)的缓解指南库,根据公开报告，Log4Shell和CVE-2021-45046正在被积极利用。

https://mp.weixin.qq.com/s/_dYT4St3gHWq-i5wuAiRVQ

安全技术方案

33.原创 | 工业控制系统面临的十大安全问题

随着德国工业4.0、美国工业互联网、中国制造2025等战略的不断推进下，再加上物联网、云计算、大数据、5G等新一代信息技术的融合发展，工业生产网络逐渐与办公网、互联网以及第三方网络进行互联互通，使得原本封闭可信的工业生产环境被打破，面临了病毒、木马、黑客、敌对势力等威胁。

https://mp.weixin.qq.com/s/g-fRCFRCoMu2vnuAMEb6Og

34.从系统调用实例看数据安全治理

《中华人民共和国数据安全法》于2021年9月1日正式实施，在国家强化数据安全监管的大形势下，所有企事业单位将面临着数据安全如何合规合法这一问题。本文试图站在操作系统角度初步提出数据安全中基于元数据重构的数据标签解决途径。

https://mp.weixin.qq.com/s/Nkx4ZrJ4X5dEnU-CVOscKA

35.浅析工控主机安全软件自动化测试

工业控制设备广泛应用于石油化工、电力水利、轨道交通等国家关键基础设施领域，其正常运行直接关系到工业生产的安全、经济安全甚至是国家安全。工控安全软件的作用是保护工控设备稳定运行，因此工控安全软件产品质量尤为重要，然而工控主机安全软件的测试工作要做充分却并非易事。

https://mp.weixin.qq.com/s/ADePusfGycK0hCx057uE4g

36.工业控制信息系统中的商用密码应用思考

自2019年10月《密码法》颁布以来，商用密码应用安全性评估逐步引起各政府部门、各行业的重视。

https://mp.weixin.qq.com/s/5upA7j8XUSFg0KYGxhnsqg

37.工业互联网安全标准体系（2021年）正式发布

近日，在工业和信息化部网络安全管理局指导下，工业互联网产业联盟、工业信息安全产业发展联盟、工业和信息化部商用密码应用推进标准工作组共同发布《工业互联网安全标准体系(2021年)》。

https://mp.weixin.qq.com/s/9UVK0_X2WWMCZJVubPVCsQ