关键基础设施安全资讯周报20220530期

目录

 技术标准规范

• 中共中央办公厅 国务院办公厅印发《关于推进实施国家文化数字化战略的意见》
• 方滨兴：释放数据使用权将成为未来技术发展取向
• 发布 | 《最高人民法院关于加强区块链司法应用的意见》全文
• 俄通过《保护关键信息基础设施国家政策基本原则》草案

 行业发展动态

• 日经新闻亚洲子公司遭勒索软件攻击
• 谷歌Java OAuth客户端库存在高危漏洞
• 农业网络安全：全球食品供应链面临恶意黑客的威胁
• 警惕！强制渗透测试式勒索攻击--新的“勒索之家”组织创立了新勒索市场并公布了第一批受害者
• 俄最大银行遭到最严重DDoS攻击，普京称正经历“信息空间战争”
• 新出现的NetDooka恶意软件通过PrivateLoader传播
• 支付巨头PayPal曝大漏洞，黑客可直接窃取用户资金
• 微软警告Linux木马XorDdos攻击激增，主要针对云、物联网
• 网络安全需要怪才和鬼才--挖掘神经多样性应聘者可以解决网络安全技能短缺问题
• 首个针对6G网络的攻击手法曝光：自制简易器件实现通信窃听
• 2022年网络安全趋势报告
• 2022全球重大网络攻击事件盘点
• 因欺骗性定向广告，推特遭1.5亿美元巨额罚款

 安全威胁分析

• 关键信息基础设施网络安全（物联网安全专题）监测月报202204期
• 数据安全法下医疗卫生行业的信息安全挑战
• 关键信息基础设施网络安全（物联网安全专题）监测月报202203期
• 数据安全治理之道：安全贯穿业务发展
• 埃隆•马斯克“助长”加密货币新骗局
• 朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器长达数月之久
• 智能时代教育数据风险不容忽视
• 国际刑警组织：国家网络武器将很快在暗网上出现
• 数据流动可见 数据风险可控
• 38万个Kubernetes API服务器暴露在公网
• 2022年新型勒索软件发展趋势
• 世界经济论坛推动石油和天然气行业网络弹性承诺以缓解日益增长的网络风险
• 印度第二大航司遭勒索软件攻击，大量乘客滞留在机场

 安全技术方案

• 基于 5G 切片网络的配电网差动保护研究

技术标准规范

1.中共中央办公厅 国务院办公厅印发《关于推进实施国家文化数字化战略的意见》

新华社北京5月22日电 近日，中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》（以下简称《意见》），并发出通知，要求各地区各部门结合实际认真贯彻落实。

https://mp.weixin.qq.com/s/JV1ROpLqDQJ1Bse0wClDHw

2.方滨兴：释放数据使用权将成为未来技术发展取向

中新财经5月19日电 进入大数据时代，一方面数据要流通，一方面个人隐私数据保护要重视，如何平衡数据要素流动与隐私保护的冲突，如何在保护数据隐私的前提下，最大限度地挖掘大数据价值是目前不少企业和机构面临的难题。

https://mp.weixin.qq.com/s/5vJc7J36TaKV3MZutLdZQQ

3.发布 | 《最高人民法院关于加强区块链司法应用的意见》全文

深入贯彻落实习近平法治思想和习近平总书记关于积极推动区块链技术为人民群众提供更加智能、更加便捷、更加优质公共服务的重要指示精神，贯彻落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《“十四五”国家信息化规划》，充分发挥区块链在促进司法公信、服务社会治理、防范化解风险、推动高质量发展等方面的作用，全面深化智慧法院建设，推进审判体系和审判能力现代化，结合人民法院工作实际，制定本意见。

https://mp.weixin.qq.com/s/0lZDIGoUilyYX5R8eIdotA

4.俄通过《保护关键信息基础设施国家政策基本原则》草案

据塔斯社5月20日报道，俄罗斯联邦安全委员会会议通过《保护关键信息基础设施国家政策基本原则》草案，并决定额外制定旨在改善俄罗斯信息安全体系的若干战略规划文件。

https://mp.weixin.qq.com/s/FaWQX0veJ8GPnwFlbVt-EA

行业发展动态

5.日经新闻亚洲子公司遭勒索软件攻击

据出版巨头日经新闻（Nikkei）透露，该集团在新加坡的总部于近期遭到勒索软件攻击。

https://mp.weixin.qq.com/s/WG0Hiz_mP6P73T-BQOAdpg

6.谷歌Java OAuth客户端库存在高危漏洞

谷歌JavaOAuth客户端库存在高危漏洞，攻击者可使用被黑的token部署恶意payload。

https://mp.weixin.qq.com/s/vitr9Mb0IYKfuqGM8tUgFg

7.农业网络安全：全球食品供应链面临恶意黑客的威胁

专家警告说，现代“智能”农业机械容易受到恶意黑客的攻击，使全球供应链面临风险。

https://mp.weixin.qq.com/s/CD2LYUjGDY_DnaRGxLBGjQ

8.警惕！强制渗透测试式勒索攻击--新的“勒索之家”组织创立了新勒索市场并公布了第一批受害者

最近的勒索攻击活动有些新变化。先是著名的Conti勒索组织宣布从此金盆洗手退出勒索江湖，其实只是采取新的战略战术，化整为零打游击。很快，又出来一个Goodwill勒索组织，不为钱只为名，要求受害者做慈善，得做三件好事！！

https://mp.weixin.qq.com/s/LZpq41jVK-r750tBYzDXDA

9.俄最大银行遭到最严重DDoS攻击，普京称正经历“信息空间战争”

次日，普京召开俄罗斯联邦安全会议，称正经历“信息空间战争”。他提出了三项关键任务，以确保俄关键信息基础设施安全。

https://mp.weixin.qq.com/s/6yzsgh6yXJqKdNjn4mJBZQ

10.新出现的NetDooka恶意软件通过PrivateLoader传播

研究人员最近遇到了一个相当复杂的恶意软件框架，研究人员用它的一些组件的名字命名即NetDooka。该框架通过“按安装奖励”(pay-per-install，PPI )服务传播，包含多个部分，包括加载程序、释放程序、保护驱动程序和实现其自己的网络通信协议的全功能远程访问木马 (RAT)。

https://mp.weixin.qq.com/s/diRxoQvgreHixDTllXH2jQ

11.支付巨头PayPal曝大漏洞，黑客可直接窃取用户资金

据TheHacker News消息，昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞，可允许攻击者窃取用户账户中的资金。

https://mp.weixin.qq.com/s/qut80ZF5OI2t9NtuPFK7gw

12.微软警告Linux木马XorDdos攻击激增，主要针对云、物联网

微软发现，被称为XorDdos的Linux木马的网络犯罪活动正在增加，该报告发现，在过去六个月中，针对 Linux 端点使用该恶意软件的恶意活动增加了 254%，主要针对云、物联网。

https://mp.weixin.qq.com/s/g88zUJnXFRzPYYBoSFtynQ

13.网络安全需要怪才和鬼才--挖掘神经多样性应聘者可以解决网络安全技能短缺问题

虽然具有神经多样性的候选人不符合传统的申请者模式，但他们通常可以在高度专注的分析工作中表现出色。

https://mp.weixin.qq.com/s/W9h6wpamJPybbHbNWggUPg

14.首个针对6G网络的攻击手法曝光：自制简易器件实现通信窃听

消息，由美国计算机协会组织的无线与移动安全/隐私年度会议，ACM WiSec 2022大会即将于本周在圣安东尼奥举行。美国莱斯大学及布朗大学的工程研究人员将在大会上展示，首次发现的针对6G网络的安全漏洞和攻击手法。

https://mp.weixin.qq.com/s/RRHlgacncGTUXKWgUHcyNA

15.2022年网络安全趋势报告

2021年是行业人士应该反思的一年。2020年我们的工作转向远程办公，基础设施、应用程序和访问控制几乎在一夜之间发生了迅速的变化，而网络安全团队仍在忙于防御一系列的攻击。

https://mp.weixin.qq.com/s/Mob_-3nGFhPIPnbbhNi2kQ

16.2022全球重大网络攻击事件盘点

目前，网络攻击事件频发，诸如数据泄漏、勒索软件、黑客攻击等层出不穷。

https://mp.weixin.qq.com/s/_A1erjdCxyIkPM_eQWLnPQ

17.因欺骗性定向广告，推特遭1.5亿美元巨额罚款

Bleeping Computer 网站披露，美国联邦贸易委员会（FTC）将对推特处以 1.5 亿美元巨额罚款，原因是该公司将收集到的电话号码和电子邮件地址，用于定向广告投放。

https://mp.weixin.qq.com/s/MCu204KjSo7pajQCjffNHA

安全威胁分析

18.关键信息基础设施网络安全（物联网安全专题）监测月报202204期

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述。

https://mp.weixin.qq.com/s/gu9MBnBXuqb1xaWzvg5AtQ

19.数据安全法下医疗卫生行业的信息安全挑战

近年来，《民法典》《个人信息保护法》《数据安全法》《医师法》以及《国家健康医疗大数据标准、安全和服务管理办法（试行）》等法律法规陆续出台，从多个视角对医疗卫生行业的数据处理和安全保护进行了规定。

https://mp.weixin.qq.com/s/o90OSEG3HujxK1aqn4FLgg

20.关键信息基础设施网络安全（物联网安全专题）监测月报202203期

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述。

https://mp.weixin.qq.com/s/O85xqytA2hbtPUr6FVxulw

21.数据安全治理之道：安全贯穿业务发展

近年来，数据价值在各行业领域所发挥的作用与日俱增，构建与之相适应的数据安全保障体系显得尤为关键，即系统性降低数据安全风险，以合理的安全成本保障数字化转型，适应新的数据应用技术和应用场景等。

https://mp.weixin.qq.com/s/iptpdRdeWEsUDnTa6GXdVw

22.埃隆•马斯克“助长”加密货币新骗局

近日，有观察发现，诈骗者正在深度伪造埃隆·马斯克（Elon Musk）和其他知名加密货币倡导者的视频以推广BitVex交易平台并窃取存储货币。

https://mp.weixin.qq.com/s/sJ-3falC3FRjOpre-NzrmA

23.朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器长达数月之久

作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。

https://mp.weixin.qq.com/s/rjiTAdX98QPaezIIOpCfbg

24.智能时代教育数据风险不容忽视

智能时代，大数据技术在教育领域的应用不断深入，应用场景与范围加速扩展，为教育决策提供了科学依据，为教学改革创新、教育高质量发展提供了强大动力，但教育数据采集、存储、分析、共享等环节面临的隐私安全等风险也不容忽视，教育数据安全事件时有发生。

https://mp.weixin.qq.com/s/s7Y_aJmgEPKZcYYGodTuuQ

25.国际刑警组织：国家网络武器将很快在暗网上出现

国际刑警组织高级官员警告称，军方在网络战中使用的数字工具，最终有可能落入恶意黑客手中。

https://mp.weixin.qq.com/s/0CM2a9huqaX8MoQBKPxQvQ

26.数据流动可见 数据风险可控

数据流动有多种视角，在传统安全的体系里，往往用数据生命周期阶段如采集、存储、传输、使用来描述数据流动。

https://mp.weixin.qq.com/s/p0Us5HYjFhke-N0skNPwYQ

27.38万个Kubernetes API服务器暴露在公网

研究人员发现，有超过38万个Kubernetes API服务器允许对公共互联网进行访问，这就使得这个用于管理云部署的流行开源容器成为了威胁者的一个攻击目标和广泛的攻击面。

https://mp.weixin.qq.com/s/PnUugpEjrgqTEbXcpblVzQ

28.2022年新型勒索软件发展趋势

由于多年来越来越流行的大型狩猎 (BGH) 计划，攻击者已经渗透到越来越复杂的系统环境中。为了造成尽可能多的破坏并使恢复变得非常困难，他们试图对尽可能多的系统进行加密。这意味着他们的勒索软件应该能够在不同的架构和操作系统组合上运行。

https://mp.weixin.qq.com/s/5RKGA4dH4QHIy-4GEorTww

29.世界经济论坛推动石油和天然气行业网络弹性承诺以缓解日益增长的网络风险

在数字化和网络攻击以前所未有的速度增长之际，确保整个石油和天然气行业的有效网络弹性需要多学科联合和协调一致的努力，以实现有凝聚力的业务和数字化支持。

https://mp.weixin.qq.com/s/Dms7h70BcTIGXzhcC-ZO1A

30.印度第二大航司遭勒索软件攻击，大量乘客滞留在机场

5月26日消息，印度香料航空公司（SpiceJet）表示，由于系统在周二（5月24日）受“勒索软件攻击”影响，已有多次航班延误，大量乘客滞留机场。

https://mp.weixin.qq.com/s/Kah6qhKj6AcuXLkpe8HWNw

安全技术方案

31.基于 5G 切片网络的配电网差动保护研究

随着以新能源为主体的新型电力系统的发展，传统的配电网保护难以满足坚强配电网的建设需求及自愈要求。

https://mp.weixin.qq.com/s/5AfNFlXHfd0O4RrPnDwCzg