教育网络安全动态 2022年8月第1期(2022.7.15-2022.8.2) 一、政策要闻 1.推进数字经济规范建设:20部门建立数字经济发展部际联席会议制度 国务院同意建立由国家发展改革委牵头的数字经济发展部际联席会议制度,教育部为成员单位。主要职责有贯彻落实党中央、国务院决策部署,推进实施数字经济发展战略,统筹数字经济发展工作,研究和协调数字经济领域重大问题,指导落实数字经济发展重大任务并开展推进情况评估,研究提出相关政策建议;协调制定数字化转型、促进大数据发展、“互联网+”行动等数字经济重点领域规划和政策,组织提出并督促落实数字经济发展年度重点工作,推进数字经济领域制度、机制、标准规范等建设;统筹推动数字经济重大工程和试点示范,加强与有关地方、行业数字经济协调推进工作机制的沟通联系,强化与各类示范区、试验区协同联动,协调推进数字经济领域重大政策实施,组织探索适应数字经济发展的改革举措。 (来源:中国人民政府) 2.人大法工委:抓紧制定个人信息保护法配套制度 中共中央宣传部2022年7月28日举行“中国这十年”系列主题新闻发布会,介绍新时代全面依法治国取得的历史性成就。全国人大常委会委员、法制工作委员会副主任许安标强调,个人信息保护法的实施,有不少条款需要制定配套规定,比如公共场所图像采集管理、个人信息安全管理、个人信息出境安全评估等具体制度,对于这样一些配套制度,有关部门已经出台或者正在抓紧制定。在制定个人信息保护法的同时,全国人大常委会还审议通过了数据安全法。总的来看,个人信息保护涉及的领域很广泛,我们将在相关具体立法中进一步完善有关制度,织密织牢个人信息保护的法律制度。 (来源:人民网) 3.广东省首份《数据安全法》罚单:因未履行数据安全保护义务 据新华社广州报道,广州市公安局通报,广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。这是广东警方适用《中华人民共和国数据安全法》的首批案例之一。 (来源:新华社) 二、技术资讯 4.卡巴斯基发现UEFI恶意程序CosmicStrand,华硕和技嘉主板受影响 反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序,即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。卡巴斯基表示现阶段只有Windows 系统受到攻击:“现阶段发现的所有攻击设备都运行 Windows 系统:每次电脑重启,在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2(命令和控制)服务器,并下载额外可执行的恶意程序”。 (来源:汇能云安全) 5.Oracle报多个安全漏洞的通报 Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞85个,影响到Oracle产品的其他厂商漏洞231个。包括Oracle PeopleSoft Enterprise PeopleTools 输入验证错误漏洞(CNNVD-202207-1715、CVE-2022-21543)、Oracle Communications Billing and Revenue Management 安全漏洞(CNNVD-202207-1677、CVE-2022-21429)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。Oracle多个产品和系统受漏洞影响。目前,Oracle官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD) 三、国际视野 6.美国众议院通过《勒索软件法案》应对外国勒索攻击 近日,美国众议院通过了《报告来自被选为监督和监控网络攻击和勒索软件的国家的攻击法案》(也称《勒索软件法案》)。据悉,美国众议佛罗里达州共和党众议员Gus Bilirakis 的说法,《勒索软件法案》将使美国更容易应对来自外国对手的勒索软件攻击。拟议的立法将通过强制报告与勒索软件和其他攻击有关的跨境投诉来修订2006 年美国安全网络法案。《勒索软件法》主要针对俄罗斯、朝鲜和伊朗等,在提到涉嫌勒索软件攻击者时,特别指出了这些国家。它针对那些被指控对美国实施勒索软件攻击的国家的个人、政府或其他组织。 (来源:汇能云安全) 7.IBM数据泄露成本报告发布,数据泄露创历史新高 近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 (来源:汇能云安全) 8.T-Mobile将支付3.5亿美元 就数据泄露集体诉讼达成和解 据报道,美国电信巨头T-Mobile 在一份公告中披露,该公司就2021年一起盗取部分客户数据的网络攻击的集体诉讼达成和解协议。根据协议,T-Mobile 同意支付3.5亿美元来处理集体诉讼原告的索赔,并支付其他相关费用。该和解方案有待法院批准,T-Mobile 预计最快将于今年12月获批。该公司预计,这项和其他未决或已完成的和解将解决与2021年网络攻击相关的基本所有索赔。T-Mobile还表示,将承诺再投入1.5亿美元用于数据安全和其他相关技术。 (来源:新浪科技) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|