关键基础设施安全资讯周报20220104期

目录

技术标准规范

1.中央网络安全和信息化委员会印发《“十四五”国家信息化规划》

近日，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》（以下简称《规划》），对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分，是指导各地区、各部门信息化工作的行动指南。

https://mp.weixin.qq.com/s/85GBTCPNkDApT7mL7DRRXw

2.贯彻落实《数据安全法》 强化工业领域数据安全保障

今年 9 月 1 日，《数据安全法》正式施行，数据安全事业开启了新阶段，依法开展数据安全工作踏上了新征程。

https://mp.weixin.qq.com/s/cWC8ephct3bgpdjuENX8Bw

3.《“十四五”国家信息化规划》-网络安全新看点

中央网络安全和信息化委员会近日印发《“十四五”国家信息化规划》(以下简称《规划》)，对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分，是指导各地区、各部门信息化工作的行动指南。

https://mp.weixin.qq.com/s/7SFYxHETf6WNnWLyyXo6tA

行业发展动态

4.Log4Shell漏洞惊动白宫国安委--拟议中的开源软件网络安全会议将在明年元月召开

据彭博社(Bloomberg)报道，白宫国家安全顾问杰克·沙利文(Jake Sullivan)已邀请主要科技公司讨论如何改进开源软件的网络安全。这些科技公司包括“主要的软件公司和开发者”。

https://mp.weixin.qq.com/s/w-OI---wBxu5WZpZNlOZtw

5.施耐德电气EVlink电动汽车充电桩相关产品暴7个严重漏洞

施耐德电气近日发布公告称已经修补了几个有关电动汽车充电站的新漏洞，这些漏洞使其EVlink电动汽车充电站容易受到远程黑客攻击。

https://mp.weixin.qq.com/s/idJoOQXXfz7_IL7zfMPByA

6.国内外最新网络安全发展动态

2021年12月23日，中国信息通信研究院(以下简称“中国信通院”)主办的2022中国信通院ICT＋深度观察报告会-主论坛在京举办，中国信通院副院长王志勤发布了信息通信业(ICT)十大趋势。

https://mp.weixin.qq.com/s/bnQRs6Hh5yP_Bkm2peJgzQ

7.北美天然气巨头也遭勒索 关键基设再敲警钟

来自北美天然气巨头供应商Superior Plus证实，他们在12月12日发现了勒索软件攻击，破坏了其计算机系统。

https://mp.weixin.qq.com/s/inuDr-qBR8NejkhdDptwNg

8.还有下一个吗？Log4j第5个漏洞CVE-2021-44832来袭，Apache再发2.17.1版修复

Apache 发布了最新的 Log4j 版本2.17.1，修复了 2.17.0 中新发现的远程代码执行(RCE)漏洞，编号为 CVE-2021-44832。

https://mp.weixin.qq.com/s/Q-SScGABfg5glJpwZEczlQ

9.恶意的joker应用程序在GooglePlay进行传播

joker恶意软件再次出现在了Google Play上，这次是在一个名为Color Message的移动应用程序中发现的。该应用程序在被应用商店删除之前已经被下载了50多万次。

https://mp.weixin.qq.com/s/iXZbGDrBP4SOc_VkPSLdeQ

10.西部数据、索尼等主要供应商的存储设备中使用的第三方加密软件存在漏洞，可导致未经授权的用户数据访问

据《安全周刊》报道，安全研究人员在ENC安全公司开发的DataVault加密软件中发现了两个严重漏洞，从而可能导致使用该加密软件的几家主要供应商的存储设备受到影响。这两个漏洞已被分配CVE标识，分别是CVE-2021-36750和CVE-2021-36751。

https://mp.weixin.qq.com/s/fQ7IC5g4SpjCfeRuWirDuQ

11.物流巨头DW Morgan暴露了100 GB 客户数据

Hack Read网站披露，Website Planet安全团队发现了一个配置错误的亚马逊S3“存储池”，池中包含约250万个文件，大小超过100GB。研究表明，该数据池属于应链管理和物流巨头D.W.Morgan公司，该公司总部位于加利福尼亚州，业务遍及全球。

https://mp.weixin.qq.com/s/wQ9teOJKl0BFvYd7mOBe_Q

12.把握发展新机遇 共同推动全联网创新发展——全联网发展与应用高峰论坛（互联网基础资源创新发展论坛）在京举办

12月28日，由中国互联网络信息中心主办，中国科学院计算机网络信息中心、互联网域名管理技术国家工程实验室、互联网域名系统国家地方联合工程研究中心、中科全联科技（北京）有限公司共同协办的全联网发展与应用高峰论坛（互联网基础资源创新发展论坛）在京召开。

https://mp.weixin.qq.com/s/5zciuonGcRREA1KSzOyzlg

13.2021年国内网络安全风险评估与总体态势

2021年，新冠肺炎疫情持续席卷全球，加剧了国际关系和国际格局的大裂变，世界加速步入动荡变革期。

https://mp.weixin.qq.com/s/KedY2nHJGb92df-nMWFylg

14.Windows 10中的 RCE漏洞：通过恶意链接发起

研究人员通过 IE11/Edge Legacy 和 MS Teams 在 Windows 10 上发现了一个驱动代码执行漏洞，该漏洞由 Windows 10/11 默认处理程序ms-officecmd: URI中的参数注入触发。

https://mp.weixin.qq.com/s/sr2zAG-XOza1KTnuAGwIuw

安全威胁分析

15.网络产品安全漏洞披露冷知识--美国NSA主导的VEP-《漏洞公平裁决政策和程序》的是是非非

2017年11月15日，美国白宫发布《漏洞公平裁决政策和程序》，其旨在为漏洞公平裁决程序(Vulnerabilities Equities Process，VEP)勾勒更多规则性和透明度。

https://mp.weixin.qq.com/s/LwXRiXF9SARByRKW5Gz9dw

16.工业网络靶场建设的主要挑战

数字化转型发展背景下，IT/CT/OT新技术浪潮加速，系统连接性复杂性激增，复合风险因素增多，网络攻击成本降低，网络安全形势空前复杂，工业网络已成为网络空间攻防对抗的主战场。

https://mp.weixin.qq.com/s/MfGIuYVjuMC_eg-GG5_5hA

17.恶意App利用华为Android手机触屏事件统计日志还原用户的触屏输入

由于该研究是在一年前完成的，所以截止本文发布时，华为不仅解决了本文提到的漏洞(CVE-2021-22337)，而且现在已经将他们的许多设备从 Android 升级到了鸿蒙操作系统。

https://mp.weixin.qq.com/s/pjZbaldME1_sIy1RrqJ5qQ

18.透视全球 2021 网络安全演习

2021 年，虽持续受新冠疫情影响，美欧等国仍通过各种方式开展网络演习训练和竞赛活动，在实战中评估网络部队战备水平，检验和提升部队的网络作战能力。

https://mp.weixin.qq.com/s/ySU1MsHrAUW4a6MX1daOKw

19.隐瞒数据泄露，前优步CSO面临重罪指控

近日，美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪，此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。

https://mp.weixin.qq.com/s/fag1ezbqrp_fOKA5eIOHXA

20.九款国外视频会议软件安全性简析

全球疫情持续肆虐，数以千万计的员工被迫开启远程办公模式。据 Statista 数据显示，疫情爆发前，美国只有 17% 的人在进行远程办公；爆发之后，每天有多达 44% 的人全职远程办公。

https://mp.weixin.qq.com/s/V1byQFdkHLtAmWN9bh7XzQ

21.Handover漏洞影响2-5g网络

研究人员发现运营商网络handover机制存在安全问题，影响2\3\4\5G网络安全。

https://mp.weixin.qq.com/s/YVWCBB-3gPk0cfFbmhxHeA

22.疑似密码管理器LastPass主密码大面积泄露

Lastpass是一个全球流行的在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。

https://mp.weixin.qq.com/s/z_oT3xrzQbgAlZ7t7AuQFg

23.恶意软件变异：改变行为以实现隐蔽性和持久性

近年来，企业组织为了应对恶意软件威胁采取了大量工作，但是，似乎每天都有新的恶意软件样本能够绕过各种防护措施。这些层出不穷的恶意软件从何而来？答案是恶意软件变异。

https://mp.weixin.qq.com/s/tpwI0pB35J5-GItQx-iCmA

24.图片分享企业 Shutterfly 遭受 Conti 勒索软件攻击

近日，美国图片分享服务商 Shutterfly 遭受了 Conti 勒索软件攻击，根据 Bleeping Computer 的报道，双方的赎金谈判正在进行中，勒索软件团伙要求数百万美元作为赎金。

https://mp.weixin.qq.com/s/6VB2AZydGeqwm0rg6VUZrw

25.国家网络能力的研究进展

2021 年 6 月 28 日，英国智库国际战略研究所(IISS)发布了一份研究报告《网络能力与国家力量：净评估》，这份报告以相关国家的政府文件、开源材料及对相关领域专家的访谈作为研究素材，指出网络空间领域正不可避免地成为 21世纪国家间展现力量及开展竞争的关键而充满风险的一个新环境。

https://mp.weixin.qq.com/s/UvC_Be4owRGvdS_c6dJRVA

安全技术方案

26.工业互联网安全产业发展态势及路径研究

工业互联网安全是实现我国工业互联网产业高质量发展的重要前提和保障，也是建设网络强国和制造强国战略的重要支撑。

https://mp.weixin.qq.com/s/cRlmYQz5XKyXIFek41FxrQ

27.面向智能社会的信息与电子工程颠覆性技术

颠覆性技术通常指一种另辟蹊径的、对已有传统或主流技术途径产生颠覆性效果的技术，可能是基于新概念、新原理的创新技术，也可能是现有技术的重大创新应用。

https://mp.weixin.qq.com/s/Bq5TtyDsZqKJh2FZeVA0mQ

28.IoT SAFE ——强化物联网生态系统的安全性

据the hacker news消息，到2021 年底，联网的物联网设备将达到 120 亿台，到2025 年，这一数字将增至270 亿台。

https://mp.weixin.qq.com/s/RfgF3sigGN-ue_InZ87sgQ

29.国外 ICT 供应链安全管理研究及建议

鉴于国家关键基础设施和关键资源(CIKR)对信息通信技术(ICT)的依赖，识别和控制 ICT 供应链风险已成为保障国家安全的重要手段。

https://mp.weixin.qq.com/s/pULWvlpaTOSmfBWLVQ6jFQ