网络空间安全动态

一、发展动向热讯

1、工信部印发《“十四五”大数据产业发展规划》

11月30日，工业和信息化部发布《“十四五”大数据产业发展规划》(以下简称《规划》)。《规划》共分为五部分，包括发展成效、面临形势、总体要求、主要任务和保障措施。《规划》要求，到2025年，大数据产业测算规模突破3万亿元，年均复合增长率保持在25%左右，创新力强、附加值高、自主可控的现代化大数据产业体系基本形成。《规划》围绕加快培育数据要素市场、发挥大数据特性优势、夯实产业发展基础、构建稳定高效产业链、打造繁荣有序产业生态、筑牢数据安全保障防线六个方面提出了重点任务，设置了数据治理能力提升、重点标准研制及应用推广、工业大数据价值提升、行业大数据开发利用、企业主体发展能级跃升、数据安全铸盾六个专项行动。（信息来源：工信部网站）

2、工信部印发《“十四五”软件和信息技术服务业发展规划》

11月30日，工业和信息化部印发《“十四五”软件和信息技术服务业发展规划》（以下简称《规划》）。《规划》提出，“十四五”时期我国软件和信息技术服务业要实现产业基础实现新提升，产业链达到新水平，生态培育获得新发展，产业发展取得新成效的“四新”发展目标。《规划》围绕软件产业链、产业基础、创新能力、需求牵引、产业生态五个方面，提出了“十四五”软件和信息技术服务业主要任务：一是推动软件产业链升级；二是提升产业基础保障水平；三是强化产业创新发展能力；四是激发数字化发展新需求；五是完善协同共享产业生态。（信息来源：工信部网站）

3、工信部组织开展工业领域数据安全管理试点工作

12月14日消息，工业和信息化部印发关于组织开展工业领域数据安全管理试点工作的通知。将贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规，指导省级工业和信息化主管部门组织开展数据安全管理试点，督促企业落实数据安全主体责任，加强数据分类分级管理、安全防护、安全评估、安全监测等工作，提升数据安全防护能力。加强试点成果转化应用，完善工业领域数据安全制度规范和工作机制，遴选一批示范企业、优秀产品和典型解决方案，形成可复制可推广的管理模式，促进提升行业数据安全保护水平。（信息来源：工信部网站）

4、央行就金融数据安全评估规范征求意见

12月3日，全国金融标准化技术委员会秘书处发布《金融数据安全数据安全评估规范》（征求意见稿）并公开征求意见。意见稿规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法，明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。该标准适用于金融业机构在开展金融数据安全评估时使用，并为第三方安全评估机构等开展金融数据安全检查与评估提供参考。（信息来源：金标委网站）

5、美CISA发布《安全能力增强指南》

11月24日，美国网络安全与基础设施安全局（CISA）发布《安全能力增强指南》，并创建了一个企业移动管理系统检查表，为企业和相关组织提供改善移动设备网络安全的参考。指南中的措施侧重于组织采取各种易于实施的步骤，并通过最佳实践，帮助企业及机构为员工提供安全的移动设备资源访问。最佳实践分为6步，涵盖设备管理、身份验证、应用程序安全、安全通信、设备保护、关键系统隔离等内容。（信息来源：CISA网站）

6、美运输安全管理局发布铁路行业网络安全指令

12月2日，美国运输安全管理局(TSA)发布了两项安全指令，要求铁路和轨道交通集团采取措施加强网络安全，包括向联邦政府报告网络事件等。指令将覆盖大约80%的货运铁路和90%的客运铁路，要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局报告，并指定一名网络安全协调员。这些指令将于12月31日生效，运营商将有90天时间进行网络安全脆弱性评估，180天时间实施网络安全事件响应计划。（信息来源：CyberScoop网）

7、英国发布全球首份人工智能保障生态系统路线图

12月8日，英国数据伦理与创新中心(CDEI)发布了全球首份人工智能保障生态系统路线图，这对实现英国政府在国家人工智能战略中提出的建立世界上最值得信赖和有利于创新的人工智能治理体系的目标至关重要。此次发布的路线图是英国国家人工智能战略中的重要一项，通过建立一个工具和服务生态系统，可识别和减轻人工智能带来的风险，并推动人们对人工智能的信赖。该路线图还解决了人工智能全球合作伙伴组织、经合组织和世界经济论坛等国际组织提出的人工智能治理中的相关问题。（信息来源：英国政府网站）

8、加拿大半导体委员会发布《2050半导体行动计划》

12月3日消息，加拿大半导体委员会发布了《2050半导体行动计划》，旨在让加拿大成为价值7万亿美元的全球半导体市场领导者。该计划概述了加拿大半导体产业的现状，提出了加强和多元化供应链、发展本土芯片制造、建立关键特色行业、形成国家品牌和促进创新目标。（信息来源：国防科技要闻）

9、ENISA发布铁路网络安全与风险管理最佳实践

11月25日，欧洲网络与信息安全局(ENISA)发布了题为《铁路网络安全——网络风险管理的最佳实践》的报告，旨在为适用于铁路部门的网络风险管理方法提供参考。该报告的目的是为欧洲铁路企业和基础设施管理人员提供关于如何评估和减轻网络风险的适用方法和实例。报告以2020年ENISA《铁路网络安全》报告为基础，评估了铁路部门网络安全措施的实施水平，提供了可采取行动的指导方针，列出了铁路网络常见风险，并概述了各个组织易于采用的良好实践。（信息来源：ENISA网站）

10、UNESCO通过首份人工智能伦理全球协议

12月6日消息，联合国教科文组织（UNESCO）通过了首个关于人工智能伦理的全球协议，以供193个成员国采用。该协议定义了共同的价值观和原则，用以指导建设必需的法律框架来确保人工智能的健康发展，旨在实现人工智能给社会带来的积极效果，同时预防潜在风险。协议主要内容涉及数据管理、教育、文化、劳工、医疗保健、经济等多个领域，将应对与透明度、问责制和隐私相关的问题，确保数字转型能够促进人权，并推动实现可持续发展目标。（信息来源：UNESCO网站）

二、安全事件聚焦

11、德国能源系统供应商Kisters遭受勒索软件攻击

12月3日消息，德国能源系统关键基础设施供应商Kisters遭勒索软件攻击，攻击者获取了其计算机网络访问权限并进行加密。Kister随后致电德国刑事调查部门和联邦信息安全办公室，并通知相关监管机构，目前调查仍在进行中。12月2日，疑似勒索软件组织Conti在其泄露站点发布了Kisters 5%的被窃数据。（信息来源：Kisters网）

12、美国和加拿大关键基础设施遭勒索软件攻击

11月29日消息，研究人员发现一种新型勒索软件Sabbath，自今年6月以来一直针对美国和加拿大关键基础设施发起攻击，包括教育、卫生和自然资源领域。10月，该勒索软件感染了美国德克萨斯学区的IT系统，并要求支付数百万美元的赎金。Sabbath不仅提供恶意软件有效载荷，还为其附属机构提供预配置的Cobalt Strike BEACON后门负载，使得确定攻击来源更加困难。（信息来源：SecurityAffairs网）

13、新型勒索软件Yanluowang攻击美国金融组织

12月6日消息，赛门铁克研究人员发现，黑客正在使用Yanluowang勒索软件对美国金融部门、制造业、IT服务、咨询和工程部门等发起攻击。黑客在入侵阶段不仅部署了恶意软件，还尝试从受控设备上收集浏览器保存的登录凭证，如Firefox、Chrome、Internet Explorer以及窃取KeePass密码管理器的主密钥等。受害者若不能在规定时间内联系黑客并支付赎金，黑客将采取DDOS攻击并致电其员工和业务合作伙伴，若几周内仍未支付，黑客将删除其数据。（信息来源：BleepingComputer网）

14、澳大利亚电力供应商CS Energy遭勒索软件攻击

12月9日消息，澳大利亚昆士兰电力供应商CS Energy遭勒索软件Conti攻击，公司网络设备遭破坏。为防止恶意软件传播，该公司迅速将其他内部网络隔离，并向公众通报该事件。其Kogan Creek和Callide发电站的安全和运营未受影响，发电和输送均正常，目前正在努力恢复受影响系统。CS Energy为昆士兰数百万家庭以及大型商业和工业客户提供电力。（信息来源：SecurityWeek网）

15、全球知名家具零售商宜家电子邮件系统遭网络攻击

11月29日消息，全球知名家具零售商宜家(IKEA)电子邮件系统持续遭网络攻击，攻击者接管了员工的电子邮件账户，冒充工作人员向宜家相关合作伙伴发送电子邮件，进行网络钓鱼。目前还未查明攻击者是入侵了宜家的员工账户，还是进入了其内部服务器。宜家现已关闭电子邮件系统的部分功能以降低风险。（信息来源：BleepingComputer网）

16、WiFi软件管理公司泄露数百万客户数据

12月2日消息，安全研究人员发现WiFi软件管理公司WSpot有一个配置错误的Amazon Web Services S3存储桶，该存储桶未受保护且对公众开放，约有22万个文件被泄露，涉及至少250万用户的个人信息，如姓名、地址、电子邮箱、纳税人注册号以及用户创建的纯文本登录凭据。WSpot提供的软件可让企业保护其内部部署的WiFi网络，并为客户提供无密码的在线访问，客户包括Sicredi、必胜客等。目前，未发现未经授权的第三方访问。（信息来源：安全牛网）

17、美国DNA检测中心泄露超210万用户个人信息

12月6日消息，美国俄亥俄州DNA测试公司披露了一起数据泄露事件，黑客在5月24日至7月28日期间非法访问了该公司用户的敏感个人信息，包括姓名、社会安全号码、银行账号及支付卡数据等，其中超过210万名用户的个人信息和财务数据被窃取。该公司表示，受影响的数据库与2012年收购的国家基因检测组织系统相关，其活跃使用的系统和数据库没有被渗透。该公司提供DNA和相关检测服务，包括亲子鉴定、血统、生育能力、基因分型和新冠检测等。（信息来源：InfoRiskToday网）

18、南澳大利亚政府8万名员工信息遭泄漏

12月10日，南澳大利亚州政府披露，由于该州政府的工资系统软件提供商Frontier Software遭Conti勒索软件攻击，8万名员工个人敏感信息遭泄露，包括姓名、出生日期、地址、银行账户、薪酬等。除教育部外，南澳大利亚政府的任何雇员都可能受此次攻击影响。研究人员建议政府雇员谨慎对待收到的电子邮件、电话和短信，重置密码并在可能的情况下开启双因素身份验证。（信息来源：ZDNet网）

19、国家网信办依法约谈处罚新浪微博

12月14日消息，国家互联网信息办公室负责人约谈新浪微博主要负责人、总编辑，针对近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息，情节严重，依据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，责令其立即整改，严肃处理相关责任人。北京市互联网信息办公室对新浪微博运营主体北京微梦创科网络技术有限公司依法予以共计300万元罚款的行政处罚。今年1月至11月，国家互联网信息办公室指导北京市互联网信息办公室，对新浪微博实施44次处置处罚，多次予以顶格50万元罚款，共累计罚款1430万元。（信息来源：网信中国）

三、安全风险警示

20、Apache开源项目Log4j曝高危漏洞

12月10日消息，阿里云、奇安信等多家安全公司监测到Apache Log4j存在高危漏洞。攻击者可利用该漏洞构造特殊的数据请求包，最终触发远程代码执行。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2 是一个基于Java的日志记录工具，该工具重写了 Log4j 框架，该框架被大量用于业务系统开发，用来记录日志信息。因其使用广泛，利用门槛低且危害大，安全专家建议所有用户尽快将Apache Log4j-2升级至最新版本。（信息来源：阿里云、奇安信威胁情报中心）

21、知名厂商WiFi路由器中存在226个漏洞

12月6日消息，研究人员对Asus、AVM、D-Link、Netgear、Edimax、TP Link、Synology和Linksys等知名厂商的WiFi路由器进行安全测试，发现存在226个潜在安全漏洞。漏洞数量最多的是TP-Link Archer AX6000，有32个漏洞；其次是Synology RT-2600ac，有30个漏洞。常见问题包括固件中过时的Linux内核、过时的多媒体和VPN功能、过度依赖旧版本的BusyBox、使用弱默认密码、以纯文本形式存在硬编码凭据等。研究人员建议，如用户正在使用报告中涉及的产品型号，应启用自动更新，并将默认密码更改为唯一且强大的密码；如不经常使用远程访问、UPnP和WPS，则应禁用这些功能。（信息来源：BleepingComputer网）

22、27个Eltima SDK提权漏洞或将影响数百万云用户

12月8日消息，研究人员在Eltima SDK中发现了27个提权漏洞。远程攻击者可以利用这些漏洞在云桌面上获得更高访问权限，从而禁用安全产品、覆写系统组件、损坏操作系统或执行其它恶意操作，并在内核模式下运行恶意代码。因包括亚马逊Workspaces在内的云桌面提供商均依赖Eltima等工具，全球数百万用户受该漏洞影响。Eltima SDK是众多云服务商用来远程安装本地USB设备的开发包，可帮助企业员工安装本地USB大容量存储设备在其基于云的虚拟桌面上使用。目前，Eltima已经发布了受影响版本的修复程序。（信息来源：TheHackerNews网）

23、开源呼叫中心软件GOautodial存在两个RCE漏洞

12月9日消息，开源呼叫中心软件GOautodial修复了两个可导致信息泄露和远程代码执行的RCE漏洞。（1）高危漏洞CVE-2021-43176，攻击者可利用该漏洞获取对服务器上GOautodial应用程序的完全控制权，从而窃取员工和客户的数据、拦截密码、伪造信息，甚至覆写应用程序引入恶意行为等；（2）中危漏洞CVE-2021-43175，对GOautodial服务器具有网络访问权限的攻击者无需任何有效账户或密码，即可从中请求配置数据，用于攻击系统的其它组件。目前，上述漏洞已被修复。（信息来源：PortSwigger网）

24、视频会议软件Zoom被曝存在2个严重漏洞

11月30日消息，Google安全研究人员发现视频会议软件Zoom存在两个严重漏洞。（1）缓冲区溢出漏洞CVE-2021-34423；（2）内存损坏漏洞CVE-2021-34424。上述漏洞CVSS得分均为7.3，影响Windows、macOS、Linux、iOS和Android平台上的Zoom客户端，几乎所有用户都处于漏洞威胁之中。攻击者可利用这两个漏洞执行任意代码，或暴露进程的内容状态等，可导致应用程序或服务崩溃。Zoom宣布推出自动更新功能，目前仅适用于Windows和macOS，移动设备可通过应用商店的内置自动更新程序进行更新。（信息来源：SecurityAffairs网）

25、惠普打印机存在一个缓冲区溢出漏洞

12月1日消息，芬兰安全公司F-Secure研究员发现惠普打印机存在一个8年之久，影响150多款多功能打印机的缓冲区溢出漏洞CVE-2021-39238。攻击者可利用该漏洞窃取数据或将设备编译到僵尸网络中，同时几乎不会留下任何利用证据。受影响设备产品包括LaserJet、PageWide和 ScanJet。目前尚未发现漏洞遭利用，惠普已发布安全更新。（信息来源：TheRecord网）

26、企业一体化管理云平台Zoho的漏洞遭利用

12月2日消息，美国联邦调查局和网络安全与基础设施安全局发布联合警告，称企业一体化管理云平台Zoho的ManageEngine ServiceDesk Plus产品中新修补的漏洞（CVE-2021-44077，CVSS评分9.8）遭利用。该漏洞与一个未经身份验证的远程代码执行漏洞有关，影响ServiceDesk Plus版本。攻击者可利用该漏洞破坏管理员凭据、进行横向移动、泄露注册表配置单元及Active Directory文件。目前全球有超过4700个面向互联网的ServiceDesk Plus实例易受到攻击，主要分布在美国、印度、俄罗斯、英国和土耳其。（信息来源：TheHackerNews网）

27、开源数据平台Grafana任意文件读取漏洞遭利用

12月8日消息，Grafana Labs发布紧急安全更新，修复了影响该公司主产品Grafana仪表盘中的严重漏洞CVE-2021-43798，CVSS评分7.5。攻击者可利用该漏洞读取Grafana应用文件夹之外的文件，或可滥用Grafana插件URL访问存储在底层服务器上的文件，所有运行Grafana 8.x版本的Grafana自托管服务器均易受攻击。Grafana是一款开源的跨平台数据可视化网络应用程序，全球很多企业都在使用Grafana仪表盘监控和聚合本地或远程网络中的日志和参数，目前约有3000到5000个Grafana服务器暴露在网络中。安全研究人员称该漏洞已遭在野利用，但尚不清楚攻击是由研究人员还是恶意实体发起。（信息来源：TheRecord网）

28、新型XS-Leak攻击影响谷歌、微软等浏览器

12月6日消息，研究人员发现了14种针对网络浏览器的新型XS-Leak跨站点泄露攻击，包括谷歌、微软、苹果和火狐等流浏览器均受影响。XS-Leaks攻击可绕过Web浏览器中的同源策略，恶意网站会借此隐藏在可信的网站背后，从而窃取用户输入的各类信息。研究人员建议，浏览器开发人员应拒绝所有的事件处理器信息，尽量减少错误信息的发生，应用全局限制，并在重定向发生时创建一个新的历史属性；其次是使用X-Frame-Options来阻止iframe加载HTML资源，并实现CORP标头来控制页面是否可以嵌入资源。（信息来源：BleepingComputer网）

29、新型僵尸网络EwDoor感染约6000台设备

12月1日消息，奇虎360 Netlab研究人员发现一个新的僵尸网络EwDoor。该僵尸网络利用四年前的一个严重漏洞CVE-2017-6079，针对未打补丁的AT＆T客户发起攻击，仅三个小时，就导致约6000台设备受损。EwDoor已经历了3个版本更新，其主要功能可以概括为DDoS攻击和Backdoor两大类。EwDoor支持六大功能：自我更新、端口扫描、文件管理、DDoS攻击、反壳、执行任意命令。为躲避安全检测，EwDoor采取了一系列保护措施，如使用TLS协议防止通信被拦截、敏感资源加密等。（信息来源：FreeBuf网）

四、前沿技术瞭望

30、科学家将超导量子比特芯片尺寸缩小1000倍

12月1日消息，新加坡南洋理工大学开发出一种量子通信芯片，微型芯片尺寸约3mm，与现有行业标准相比，它使用量子通信算法来增强安全性。同时，它比当前的量子通信设置少了1000倍的空间，为更安全的通信技术打开了大门。这些通信技术可以部署在智能手机、平板电脑和智能手表等紧凑型设备中。（信息来源：光子盒研究院）