教育网络安全动态 2021年10月第1期(2021.10.1-10.13) 一、政策要闻 1.18个来自教育领域!我国IPv6规模部署和应用优秀案例公布 10月11日,由中央网信办、工信部、国家广播电视总局指导,推进IPv6规模部署专家委员会主办的“2021中国IPv6创新发展大会”在京举办。大会重磅发布100个全行业优秀“IPv6规模部署和应用优秀案例”,并举行了证书颁发仪式。推进IPv6规模部署专家委主任邬贺铨院士、副主任吴建平院士为获奖单位代表颁发证书。这100个优秀案例覆盖IPv6的网络基础设施、行业融合应用、关键技术创新等七大类别,其中,18项上榜优秀案例来自教育领域。 (来源:教育信息化资讯) 2.《上海市数据条例(草案)》征求意见 为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育和数字经济发展,根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合上海市实际,上海市第十五届人大常委会第三十五次会议对《上海市数据条例(草案)》进行了审议并公开征求意见。 (来源:上海市人大常委会办公厅) 3.杭州互联网法院:《个保法》生效在即,退订商业短信费用应由平台方承担 不少电商平台有短信推送商业广告的形式,但并非所有平台都明确退订短信费由谁承担。近日,杭州互联网法院对一起退订短信收费案进行了判决,法院认定,无特别约定的情况下,退订短信费用应当由平台方负担。此前,“每日优鲜APP”所属公司也因同样的理由被诉至法院,北京互联网法院一审判决每日优鲜应当承担退订短信费。 《个人信息保护法》将于11月1日施行。杭州互联网法院提醒,网络平台作为个人信息处理者,有必要在新法施行前对涉及个人信息的服务协议和平台规则进行全面审查,促使平台及关联方的网络商业运作模式合法合规。 (来源:21世纪经济报道) 4.《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》公开征求意见 为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》并公开征求意见。 下载地址: https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20219/6b7e6d62a890492996225806cc530144.pdf (来源:工业和信息化部官网) 5.《网络安全标准实践指南——数据分类分级指引(征求意见稿)》公开征求意见 为指导数据处理者开展数据分类分级保护活动,根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,全国信息安全标准化技术委员会秘书处组织对《网络安全标准实践指南——数据分类分级指引(征求意见稿)》面向社会公开征求意见。 下载地址: https://www.tc260.org.cn/upload/2021-09-30/1633014582064034019.pdf) (来源:全国信息安全标准化技术委员会秘书处) 二、技术资讯 6.谷歌Chrome四个高危漏洞已更新 据Security affairs 近日消息,谷歌发布了安全更新,解决了适用于Windows、Mac和Linux的Chrome浏览器版本的四个高危漏洞,漏洞编号分别是 CVE-2021-37977、CVE-2021-37978、CVE-2021-37979和CVE-2021-37980。最危险的是编号CVE-2021-37977漏洞。具体来说,这是一个在Garbage Collection中的after-free漏洞问题,它可以导致任意代码执行,例如远程加载执行攻击者构建的恶意代码,最终给用户电脑造成严重损失。报告该漏洞的是一位匿名的研究员,他也因为报告了这个漏洞获得了整整一万美元的漏洞奖金。 (来源:汇能云安全) 7.恶意软件FontOnLake Rootkit正在威胁Linux系统 近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。斯洛伐克网络安全公司ESET称这类恶意软件为“FontOnLake”,拥有精心设计且不断升级的模块,表明正处在开发的活跃阶段。上传到VirusTotal的样本表明,利用这种威胁的第一次入侵可能在2020年5月就已经发生。ESET研究员Vladislav Hrčka表示:FontOnLake具有隐蔽性,加上先进的设计和低流行率,目前被用于有针对性的攻击。为了收集数据或进行其他恶意活动,这类恶意软件使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。 (来源:汇能云安全) 三、国际视野 8.SolarWinds黑客窃取了美国政府的绝密数据 据相关人士透露,俄罗斯背景的黑客曾利用SolarWinds和Microsoft软件中存在的漏洞,对美国联邦政府部门发起攻击并获取大量信息。最新调查显示,窃取的信息包括反情报(反间谍)调查情况、针对俄罗斯个人的制裁政策以及美国官方对新冠肺炎疫情的反应等内容。据悉,黑客们首先攻破了SolarWinds公司的代码生产环境,该部门编写的软件被广泛应用于网络管理。另外,他们还利用微软公司Office 365软件用户身份认证方式中存在的漏洞,对没有使用SolarWinds软件的微软用户进行了攻击。此前有报道称,黑客们甚至侵入了美国司法部的非保密网络,以及财政部、商务部和国土安全部的邮箱系统并读取了其中邮件,遭到入侵的联邦政府部门多达6家。他们还窃取了部分数字授权证书,可令计算机确认某些软件的运行得到了授权。 (来源:汇能云安全) 9.澳大利亚《政府间数据共享协议》明确公共部门数据为国家资产 近日,澳大利亚发布《政府间数据共享协议》(以下简称《协议》),该协议为澳大利亚联邦、州和地区政府间的数据共享行为提供了法律依据。根据《协议》,进行政府间数据共享是为了给政策制定、出台、评估、跟踪政策执行情况以及改善服务等公共利益提供信息。各级政府都需要依据该协议改进此前的数据共享流程和做法。 (来源:CAICT互联网法律研究中心) 10.首次!美国司法部将起诉隐瞒网络攻击事件的政府承包商 美国司法部宣布,将起诉未能遵循基本网络安全标准的政府承包商,包括故意提供有缺陷的网络产品、故意虚构内部网络安全实践、故意隐瞒网络安全事件等。美国司法部认为,如果不加以惩治,这些企业的沉默与不作为将使美国面临风险。 在网络违规和欺诈案件不断增加的现实背景下,拜登政府在10月6日(周三)公布了一项民事网络欺诈倡议,旨在打击利用网络安全漏洞及加密货币实施的各类网络犯罪活动。根据美国司法部发布的声明,这项倡议将结合司法部自身在民事欺诈执法、政府采购与网络安全等领域的专业知识,用以打击针对敏感信息及关键系统的各类新兴网络威胁。 (来源:互联网安全内参) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|