教育网络安全动态

2022年8月第3期（2022.8.12-2022.8.19）

一、政策要闻

1.中央网信办：已有20余家拟赴国外上市企业申报网络安全审查

8月19日上午，中宣部举行“中国这十年”系列主题新闻发布会，介绍新时代网络强国建设成就。中央网信办网络安全协调局局长孙蔚敏表示，《网络安全审查办法》自今年2月15日修订施行以来，截至目前，已有20余家拟赴国外上市企业向国家网络安全审查办公室进行了申报。

关于审查的重点，《网络安全审查办法》第十条明确规定，对网络平台运营者赴国外上市审查时，重点评估企业上市可能带来的核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险等因素。

（来源：浙江在线）

2.国家互联网信息办公室公布互联网信息服务算法备案信息

8月12日，根据《互联网信息服务算法推荐管理规定》，国家网信办公开发布境内互联网信息服务算法名称及备案编号，相关信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。

（来源：中国网信网）

3.未落实或按期整改通信网络安全防护管理要求,多家上海互联网单位被通报

8月15日晚，上海市通信管理局发布了关于通信网络安全防护管理情况的通报（2022年7月）。通报称，根据《网络安全法》《通信网络安全防护管理办法》《公共互联网网络安全威胁监测与处置办法》等法律法规和《上海市通信管理局关于加强电信和互联网行业通信网络安全防护管理工作的通知》要求，上海市通信管理局定期对本市电信和互联网企业的通信网络安全防护管理情况进行督查审查，并对在本市行政区域内提供通信网络安全评测、评估服务的网络安全专业机构及其信息通信领域安全服务资质予以备案登记。

上海市通信管理局检查发现，6家单位存在未落实通信网络安全防护管理责任等违规行为。同时，有18家单位的22个定级系统存在未按期落实通信网络安全防护管理整改要求等问题。通报称，有关单位应当在2022年9月15日前（本通报发布之日起30日内）落实整改工作。逾期落实整改的，市通管局将依法依规组织开展处置和执法工作。

（来源：澎湃新闻）

4.监听语音、将信息用于不当催收…银保监会整治个人信息乱象

近日，据《中国消费者报》等媒体报道，银保监会向业内下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（以下简称“《通知》”），剑指强制要求同意使用信息、将消费者提供的信息用于不当催收、擅自办理业务等多种侵害个人信息权益乱象。《通知》要求，各银行保险机构应于9月20日前完成自查整改工作并书面报告属地银保监局。对机构自查并整改到位的问题，可结合行为违法程度及造成后果情况依法从轻、减轻或不予处罚；对发现自查不力、隐瞒不报的机构，要严肃追责并从重处罚。

（来源：隐私护卫队）

二、技术资讯

5.Realtek爆出关键漏洞,影响多款网络设备

Bleeping Computer 网站披露，Realtek 爆出严重漏洞，该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。该漏洞被追踪为 CVE-2022-27255，远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞，其严重程度为 9.8 分(满分10分)，远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞。

（来源：FreeBuf）

6.微软报多个安全漏洞

本周微软通报多个安全漏洞，包括Microsoft Windows 权限许可和访问控制问题漏洞（CNNVD-202207-1061、CVE-2022-22022）、Microsoft Windows Fax Service 输入验证错误漏洞（CNNVD-202207-1096、CVE-2022-22024），成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态）

三、国际视野

7.英国水务公司遭遇Clop勒索软件攻击

英国一家水务公司周一因网络攻击而导致其企业IT系统出现中断，但声称其供水业务并没有受到影响。同时，所谓的攻击者--Clop勒索软件集团声称攻击的对象是另一家更大的水务公司，而该公司则愤然对外声称并没有被攻击。

南斯塔福德郡PLC公司是南斯塔福德水务公司和剑桥水务公司的母公司，它在周一的一份声明中说，它是此次网络攻击的受害者，但并不影响它向所有客户 "供应安全用水的能力"。该公司每天会向大约160万消费者提供水。该公司在其声明中说，由于我们一直都有强大的系统对水供应和质量进行控制，我们的团队也迅速应对了这一事件并在我们所做的预防基础上采取了额外措施，所以供水业务并没有中断。该公司表示，南斯塔福德郡的IT团队正在努力解决周一公司网络的中断问题，而客户服务并未受到影响。

（来源：关键基础设施安全应急响应中心）

8.阿根廷地方司法机构遭勒索软件攻击：IT系统全部关闭,被迫纸笔办公

这是阿根廷“历史上针对公共机构的最严重攻击活动”。8月16日消息，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。这次攻击发生在上周六(8月13日)，迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。阿根廷新闻媒体Clarín 也提到，有消息人士称，此次攻击影响到司法机构的IT系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。

（来源：关键基础设施安全应急响应中心）

9.网络巨头思科遭数据勒索：VPN访问权限被窃取,2.8GB数据泄露

8月11日消息，思科公司昨日证实，“阎罗王”（音译，原名Yanluowang）勒索软件团伙在今年5月下旬入侵了其企业网络，攻击者还试图公布被盗文件以要挟索取赎金。思科声称，攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。思科公司一位发言人向外媒BleepingComputer确认，“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动，遏制并清理了恶意黑客。”“思科未发现此事件对公司业务造成过任何影响，包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日，恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统，并公布了技术细节，希望协助保护更广泛的安全社区。”

（来源：关键基础设施安全应急响应中心）

10.Google因违法收集用户位置数据在澳被罚6000万美元

8月12日，据澳大利亚联合通讯社报道，迫于压力，Google已同意支付6000万美元的罚款，从而结束了这场旷日持久的法庭争斗。这也是澳大利亚历史上针对企业最大的处罚之一。整个事件的起因是Google通过误导用户收集他们的位置信息。2021年4月，因Google未经用户同意就私下收集安卓系统的位置数据，谷歌被澳大利亚竞争和消费者权益监督机构（ACCC）告上法庭，ACCC估计，澳大利亚约有130万用户可能曾浏览过被联邦法院认定违法的谷歌页面。

（来源：个人信息与数据保护实务评论）

以上内容不代表本部门观点，如有侵权请及时联系我们。