关键基础设施安全资讯周报20211018期 - 网安 - 专业的网络安全产业、社区、知识平台

技术标准规范

共筑网络安全防线——我国网络安全工作取得积极进展
第三届全国信息安全标准化技术委员会第一次主任办公会在京召开
工信部就“关于加快推进智能网联新能源汽车发展的建议”进行答复
信安标委发布《汽车采集数据处理安全指南》
中国信通院魏亮：强化制度供给，积极打造工业和电信行业数据要素市场健康发展的安全基座
共同筑牢网络安全防线——党的十八大以来网络安全发展成就综述

行业发展动态

美国能源部启动清洁能源系统的零信任网络安全解决方案加速计划
英国工程巨头遭勒索攻击：运营临时中断至少损失4亿元
InHand Networks工业路由器漏洞可使许多工业公司遭受远程攻击
美国网络安全高官集体呼吁：关基企业不上报黑客事件应罚款
东京奥运期间系统遭逾4亿次网络攻击
指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获
微软发现与伊朗相关的APT组织，瞄准美国和以色列国防公司
CCSC物联网安全测评方向认证培训开课啦！
美召开30国勒索峰会：强建地缘政治新舞台

安全威胁分析

零信任成功的4个关键问题
前沿 | 新时代下数据安全风险评估工作的思考
网络能力与国家实力
披露：SolarWinds黑客窃取了美国政府的绝密数据
美国海军军舰的Facebook页面被黑客攻击
关键信息基础设施网络安全（物联网安全专题）监测月报202109期
零信任应用选型的五个关键因素
新型数据勒索黑客组织SnapMC最快30分钟即可突破受害者网络

安全技术方案

欧盟人工智能立法提案的核心思想及未来影响分析
美国关键基础设施保护概述
原创 | 中央网信办摄像头黑产集中治理工作获媒体报道，国家互联网应急中心专家揭露摄像头偷窥黑色产业链
汽车数据安全合规实验室启动并发布权威解读

技术标准规范

1.共筑网络安全防线——我国网络安全工作取得积极进展

没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。党的十八大以来，在习近平总书记关于网络强国的重要思想和关于网络安全工作“四个坚持”重要指示精神指引下，我国网络安全工作发展进入快车道，各项工作取得积极进展，形成了一系列生动实践和宝贵经验。

https://mp.weixin.qq.com/s/6b3LmB2EbhQR6MhsqRym4A

2.第三届全国信息安全标准化技术委员会第一次主任办公会在京召开

2021年9月23日，全国信息安全标准化技术委员会(以下简称“信安标委”)主任委员赵泽良主持召开第三届信安标委第一次主任办公会。副主任委员高林、杜广达、郭启全、江常青，国家市场监督管理总局标准技术管理司刘大山处长，秘书长杨建军、副秘书长上官晓丽，及秘书处有关人员参加了会议。

https://mp.weixin.qq.com/s/cciS83Fko2qNLdr29kUgXg

3.工信部就“关于加快推进智能网联新能源汽车发展的建议”进行答复

为贯彻落实习近平总书记关于坚持和完善人民代表大会制度的重要思想、关于加强和改进人民政协工作的重要思想，工业和信息化部积极做好十三届全国人大四次会议代表建议、全国政协十三届四次会议提案的办理工作，特别是结合党史学习教育，切实为民办实事、解难题，强化组织指导，创新沟通机制，努力将代表委员提出的有价值、高质量建议转化为破解难题的政策措施，推动工业和信息化事业高质量发展。

https://mp.weixin.qq.com/s/QKAWcFzGdwudYI9dl2VVqw

4.信安标委发布《汽车采集数据处理安全指南》

本文件规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求。

https://mp.weixin.qq.com/s/gdPYFlkN9FWwiP5_nF578A

中国信通院魏亮：强化制度供给，积极打造工业和电信行业数据要素市场健康发展的安全基座

2021年9月30日，《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”)面向社会公开征求意见。

https://mp.weixin.qq.com/s/E0_zBHmSed0VlXDSLYGK6A

5.共同筑牢网络安全防线——党的十八大以来网络安全发展成就综述

10月11日至17日，以“网络安全为人民，网络安全靠人民”为主题的2021年国家网络安全宣传周将在全国范围内统一举办，大力营造全社会共筑网络安全防线的浓厚氛围。

https://mp.weixin.qq.com/s/WBQpNTn47WQwTGL4yo8fUg

行业发展动态

6.美国能源部启动清洁能源系统的零信任网络安全解决方案加速计划

美国能源部近日启动了新的网络安全项目，以保护清洁能源。该项由能源部牵头的新的公私安全伙伴合作计划旨在加速开发用于清洁能源系统的零信任网络安全解决方案，具体由伯克希尔哈撒韦能源公司和Xcel能源公司提供行业方面的战略方向。

https://mp.weixin.qq.com/s/Ua-rW9Xk7ux62-dqci8aoQ

7.英国工程巨头遭勒索攻击：运营临时中断至少损失4亿元

10月7日，苏格兰跨国工程企业伟尔集团(Weir Group)披露了一项“勒索软件攻击企图”，称该事件导致了今年9月的“重大临时中断”。

https://mp.weixin.qq.com/s/NjP3MEAjZ2x0nwJH32ApiA

8.InHand Networks工业路由器漏洞可使许多工业公司遭受远程攻击

据《安全周刊》10月11日报道，工业网络安全公司OTORIO的研究人员在映翰通网络公司(InHand Networks)制造的工业路由器中发现了13个严重的漏洞，其中有9个的CVSS评分都地在8分以上。这批严重漏洞可能会使许多工业组织暴露在黑客远程攻击之下，而且似乎没有可用的补丁。

https://mp.weixin.qq.com/s/Jb7tB4xifIOj3rWiaNik0w

9.美国网络安全高官集体呼吁：关基企业不上报黑客事件应罚款

9月23日，美国高级网络官员敦促国会加大力度，要求一切关键基础设施运营商及时披露黑客事件，呼吁在违规事件发生后缩短报告时间窗口，并对拒不遵守规定的企业处以罚款。

https://mp.weixin.qq.com/s/DYSqqiMfNdDi4UoNVtyU4g

10.东京奥运期间系统遭逾4亿次网络攻击

日共同社近期采访东京奥组委等获悉，在东京奥运会和残奥会举办期间，针对官方网站和奥组委系统的网络攻击达到约4.5亿次。非法访问均被切断，没有对赛事运营造成影响。奥运会也存在易成为黑客集团目标并造成严重损失的担忧，但本次成功防范。

https://mp.weixin.qq.com/s/bgQLCuYTWN0GuB03u06bwg

11.指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客，他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。

https://mp.weixin.qq.com/s/sG5AQpn-uJtvh9-shlmwyw

12.微软发现与伊朗相关的APT组织，瞄准美国和以色列国防公司

微软报告发现了一个恶意活动组织，其目标是攻击美国和以色列的国防技术公司的Office 365用户。

10月11日消息，微软威胁情报中心(MSTIC)和微软数字安全部(DSU)的研究人员发现了一个恶意活动集群，被追踪为DEV-0343，其目标是美国和以色列国防技术公司的Office 365用户。

https://mp.weixin.qq.com/s/irZi_dXCSA-0yVpxM8s_Og

13.CCSC物联网安全测评方向认证培训开课啦！

CCSC物联网安全测评方向认证考试是国家互联网应急中心（CNCERT)授权，油物鼎科技运营，面向物联网安全从业者及对物联网感兴趣的高校学生的网络安全技能认证。

https://mp.weixin.qq.com/s/9w6uxH8C2onVtEiNxrXtSA

14.美召开30国勒索峰会：强建地缘政治新舞台

美国白宫国家安全委员会本周启动了国际反勒索软件峰会，有30多个国家参加。这次聚会旨在提高全球网络的弹性，解决非法使用加密货币的问题，并提升执法合作和外交努力。

https://mp.weixin.qq.com/s/pzd7KtlElmUTML66PSYuDw

安全威胁分析

15.零信任成功的4个关键问题

保护远程访问安全的传统方法是使用VPN。然而，随着企业开始了解零信任理念，即用户未经身份验证不得访问任何数据源，VPN逐渐被证明是远远不够的。

https://mp.weixin.qq.com/s/YtkNfTnfaZ95qPJwii5PkA

16.前沿 | 新时代下数据安全风险评估工作的思考

随着《数据安全法》等一系列法律法规的颁布实施，我国网络空间的法律法规秩序体系逐步完善，网络安全工作迈入了新时代。在促进关键信息基础设施和数字经济发展的同时，需要进一步提升数据安全保障能力、风险发现能力，确保数据安全风险可控在控，对切实维护国家主权、国家安全和社会发展利益等方面具有重大意义。

https://mp.weixin.qq.com/s/NUyFRBXoTd0dn9WJaqOqwA

17.网络能力与国家实力

该报告是国际战略研究所研究人员历经两年时间研究的成果，为15个国家的网络实力提供了一个重要的新的定性评估，并为理解如何对全球国家网络能力进行排序提供了一个新的定性框架。

https://mp.weixin.qq.com/s/9kLVZedSQHNySZbj5BB_fg

18.披露：SolarWinds黑客窃取了美国政府的绝密数据

据相关人士透露，俄罗斯背景的黑客曾利用SolarWinds和Microsoft软件中存在的漏洞，对美国联邦政府部门发起攻击并获取大量信息。最新调查显示，窃取的信息包括反情报(反间谍)调查情况、针对俄罗斯个人的制裁政策以及美国官方对新冠肺炎疫情的反应等内容。

https://mp.weixin.qq.com/s/cHs-ZmZZizeDEtdUmsMsrQ

19.美国海军军舰的Facebook页面被黑客攻击

一艘驱逐舰级的海军战舰基德号官方Facebook页面被攻击。有人接管了该页面，并利用该页面传播《帝国时代》游戏。

https://mp.weixin.qq.com/s/qWxLCuAs4t_qxwc8gXo65w

20.关键信息基础设施网络安全（物联网安全专题）监测月报202109期

根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述，关键信息基础设施(Critical Information Infrastructure，CII)是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

https://mp.weixin.qq.com/s/Mq3fANap4e3RQu2tGXm_Hg

21.MyRepublic数据泄露引发众多问题

有近79,400名MyRepublic移动用户在此次数据泄露事件中受到了影响，目前该公司已对外证实，此次事件泄露了大量的个人信息。

https://mp.weixin.qq.com/s/dHjqH_dyRZJCbnKl_jv78w

22.零信任应用选型的五个关键因素

在新冠肺炎爆发期间，VPN暴露出了作为远程访问安全方案的不足。零信任网络访问方案(简称“ZTNA”)，因其秉持“持续验证，永不信任”的原则，默认不信任网络内外的任何人、任何设备及系统，基于身份认证和授权，重新构建访问控制的信任基础等特点，受到越来越多企业的青睐。

https://mp.weixin.qq.com/s/EYWYYUyNJRAc2eCy78Uc0Q

23.新型数据勒索黑客组织SnapMC最快30分钟即可突破受害者网络

NCC Group 的研究人员透露，在过去几个月中，攻击者越来越多地攻陷企业网络以窃取数据和勒索受害者，但并未中断他们的运营。被称为SnapMC 的黑客组织试图利用网络服务器和VPN应用程序中的多个漏洞进行初始突破，通常会在30分钟内攻入受害者网络。

https://mp.weixin.qq.com/s/wjTHk0F98J6RMVpNYoWGzQ

安全技术方案

24.欧盟人工智能立法提案的核心思想及未来影响分析

欧盟人工智能立法提案提出了对人工智能系统实行分级监管的思想和合规评估要求，旨在于欧盟范围内规范人工智能的可信应用，进一步鼓励人工智能领域的投资和创新。立法提案重点对高风险人工智能系统的全生命周期监管作出了详细规定，并提出了3类情形的违法处罚原则。

https://mp.weixin.qq.com/s/hkshKortZYQxjaPX_BhkfA

25.美国关键基础设施保护概述

近年来，世界各国纷纷出台政策、法规，将关键基础设施安全提升到国家安全的高度，并开始重视对其网络安全的保护。目前，全球已经有数十个国家正在制定或已经实施关键信息基础设施相关安全政策、法规和标准，深刻影响着国家安全、经济发展和社会机遇。

https://mp.weixin.qq.com/s/Q5D95skNy9W1mPez58ACOA

26.原创 | 中央网信办摄像头黑产集中治理工作获媒体报道，国家互联网应急中心专家揭露摄像头偷窥黑色产业链

10月11日-17日，由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门联合举办的 2021年国家网络安全宣传周在陕西西安举办。

https://mp.weixin.qq.com/s/CVosZOsGoOU2jncVIYdTng

27.汽车数据安全合规实验室启动并发布权威解读

10月11日，由中央宣传部、中央网信办等国家十部门联合举办的“2021年国家网络安全宣传周”(简称“国家网安周”)隆重开幕。

https://mp.weixin.qq.com/s/PYmbde_rQPPOxlZcJBEyfQ