教育网络安全动态
2021年11月第1期(2021.10.29-2021.11.4)
一、政策要闻
1.新《审计法》颁布:信息系统安全性、可靠性、经济性纳入国家审计
近日,在中华人民共和国第十三届全国人民代表大会常务委员会第三十一次会议上,通过了《全国人民代表大会常务委员会关于修改<中华人民共和国审计法>的决定》,新审计法将于2022年1月1日起施行。其中,十八、将第三十二条改为第三十六条,修改为:“审计机关进行审计时,有权检查被审计单位的财务、会计资料以及与财政收支、财务收支有关的业务、管理等资料和资产,有权检查被审计单位信息系统的安全性、可靠性、经济性,被审计单位不得拒绝。”
(来源:全国人大网)
2.工信部开展信息通信服务感知提升行动,将推动实现服务举措“五优化”、建立个人信息保护“双清单”、服务能力“四提升”
工业和信息化部近日印发通知,部署开展信息通信服务感知提升行动。将聚焦影响用户感知的信息通信服务环节,推动实现服务举措“五优化”(即优化资费套餐设置展示方式、双千兆服务宣传方式、隐私政策和权限调用展示方式、APP开屏弹窗信息展示方式、网盘类服务提供方式),建立个人信息保护“双清单”(即建立已收集个人信息清单、与第三方共享个人信息清单),实现服务能力“四提升”(即提升跨区域通办能力、携号转网服务能力、客服热线响应能力、APP关键责任链个人信息保护能力)。明确到2022年3月底,信息通信行业综合服务明显改善,用户获得感、幸福感和安全感进一步提升。
(来源:工信微报)
3.关于团体标准《应用商店App个人信息收集使用上架审核和管理规范》和《移动智能终端个人信息保护指南》征求意见通知
为落实《中华人民共和国个人信息保护法》的各项要求,推动形成全社会共同维护个人信息安全的良好环境,有效保障个人信息主体的合法权益,促进个人信息合理利用,中国网络空间安全协会和国家计算机网络应急技术处理协调中心起草了团体标准《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》和《移动智能终端个人信息保护指南(征求意见稿)》。
(来源:中国网络空间安全协会)
4.国家安全部公布三起危害重要数据安全案例
近年来,国家安全机关坚持以总体国家安全观为指导,统筹传统与非传统安全,陆续破获了一批非传统领域案件,消除了许多现实和潜在的危害。
31日,在《反间谍法》颁布实施7周年即将到来之际,国家安全机关公布三起危害重要数据安全的案件,旨在进一步提高全社会对非传统安全的重视,共同维护国家安全。案件一:某航空公司数据被境外间谍情报机关网络攻击窃取案;案件二:某境外咨询调查公司秘密搜集窃取航运数据案;案件三:李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案。
数据安全关乎国家安全和公共利益,是非传统安全的重要方面。国家安全机关提醒社会公众,如发现危害国家安全的可疑情况,请立即拨打国家安全机关举报受理电话12339,或登录国家安全机关举报受理平台进行举报。
(来源:新华社)
5.2021“太湖印记”网络安全全国大学生辩论赛在无锡举行
11月3日,2021“太湖印记”网络安全全国大学生辩论赛在无锡举行,主题为“数字赋能,安全护航——构建网络空间安全新发展格局”。经过线上初赛,国防科技大学、上海交通大学、东南大学、武汉大学、山东大学、南京邮电大学6支知名高校网络安全学院代表队进入决赛。决赛以个人信息保护法、数据安全法和电信诈骗为辩题,6支队伍就三个热门话题展开激烈辩论。辩手们唇枪舌剑,思维火花不断碰撞,在相互切磋中对网络安全有了更深入、更全面地思考。
(来源:中国信息安全)
6.个人信息保护法正式实施,消协提醒消费者注意这五方面
11月1日,《个人信息保护法》正式实施,这是一部保护公民个人信息的专门法律,与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。中消协提醒广大消费者,为让《个人信息保护法》发挥更大实效,要认真学法、主动用法。中消协提醒消费者注意以下五方面内容:要积极学习《个人信息保护法》等法律规定;要养成“非必要不提供”的良好习惯;要对自己授权或者提供的个人信息进行持续跟踪;要注意销毁带有个人信息的单据和资料;要主动拿起法律武器维护合法权益。
(来源:经济参考网)
7.个性化广告默认开启、设置关闭有效期等行为涉侵犯个人信息,微信微博被诉
近日,南都记者独家获悉,因个性化广告功能存在涉嫌侵犯个人信息的行为,微信和微博所属的深圳市腾讯计算机系统有限公司、北京微梦创科网络技术有限公司被分别诉至深圳市南山区人民法院和龙岗区人民法院。诉状显示,两名原告认为,微信和微博在提供个性化广告功能时,存在未明确区分个性化广告和非个性化广告,默认开启个性化广告权限,设置关闭有效期等诸多违法行为,严重侵犯了原告的个人信息权益。
值得注意的是,微信已于10月29日更新隐私政策和相关功能,取消了关闭有效期的设置。案件代理律师认为,微信这一举措体现了个保法实施的法律效果,但仅仅取消六个月的期限“显然还是不够的”。
(来源:隐私护卫队)
二、技术资讯
8.Shrootless:macOS漏洞可绕过系统完整性保护
微软在macOS系统中发现了一个安全漏洞,该漏洞CVE编号为CVE-2021-30892。攻击者利用该漏洞可以绕过macOS的系统完整性保护(System Integrity Protection,SIP),并在设备上执行任意操作。研究人员还发现了一个类似的技术使得攻击者可以在受影响的设备上实现root级的权限提升。SIP是macOS系统中用于限制root用户执行可能破坏系统完整性的操作的技术。研究人员发现该漏洞位于安装了包含后安装脚本的苹果公司签名的包中。恶意用户可以创建一个精心伪造的文件来劫持安装过程,绕过SIP的限制,安装恶意kernel驱动、覆写系统文件、安装无法检测的恶意软件。在苹果macOS能够绕过SIP保护的进程时,研究人员发现了守护进程system_installd,具有com.apple.rootless.install.inheritable的权限。有了该权限,任何system_installd 子进程都可以绕过SIP文件系统的限制。
(来源:汇能云安全)
9.漏洞之王:Unicode编译器漏洞威胁全球软件代码
近日,剑桥大学研究人员发现了一个可影响当今大多数计算机软件代码编译器和软件开发环境的漏洞。这个漏洞来自数字文本编码标准Unicode的一个组件,Unicode目前在154种不同的编程语言脚本中定义了超过14.3万个字符。简而言之,几乎所有的编译器都容易受到恶意攻击。在这种攻击中,攻击者可以在不被发现的情况下将有针对性的漏洞引入任何软件。该漏洞的披露由多个组织协调完成,其中一些组织现在正在发布漏洞缓解更新。该漏洞被命名为“原木马”(Trojan Source)。
(来源:汇能云安全)
三、国际视野
10.网络攻击×虚假新闻引发银行挤兑!巴基斯坦国民银行紧急澄清
巴基斯坦国民银行(National Bank of Pakistan,NBP)刚刚遭遇了一次“破坏性”网络攻击。这起事件发生在上周五和周六(10月29-30日)夜间,受到影响的包括银行后端系统,以及用于实现各级分行间互连、控制银行ATM网络并支持银行手机应用的后端基础设施。一位来自国民银行且熟知攻击及调查内情的人士透露,虽然部分系统遭受攻击后陷入瘫痪,但尚未发现资金丢失。国民银行在周六的一份声明中强调,“已立即采取措施隔离受到影响的系统。”巴基斯坦国民银行报告称,上周末开始全面展开恢复工作,到本周一已经有1000多家分行/支行恢复营业,并为客户提供服务,全国所有ATM机也全面上线。虽然国民银行发布了公告,但仍有部分惊慌失措的客户在听到黑客攻击的消息后,抢在周一清早使用ATM提取现款。
(来源:汇能云安全)
11.加拿大最大城市遭勒索攻击,公共交通IT系统几乎全部瘫痪
一次突如其来的勒索软件攻击,扰乱了加拿大最大城市多伦多公共交通机构的正常运行,导致司机及通勤乘客使用的多个系统陷入瘫痪。多伦多交通委员会(TTC)表示,在10月28日(上周四)晚上发现这起攻击,上报者为委员会内部的一位IT人员,他发现了“异常网络活动”。委员会在10月29日的新闻稿中表示,“截至当天中午,黑客开始扩大对网络服务器的攻击时,影响已经被控制到最低水平。”据委员会发言人Stuart Green透露,此次攻击影响到多个内部系统,比如委员会的内部邮件服务器、基于视频的驾驶员通信系统TTC Vision等。在彻底消除攻击影响之前,委员会决定使用传统的无线电通信系统顶替一阵子。除了委员会的后端系统,此次攻击还影响到面向客户的服务器。截至本文撰写时,Wheel-Trans预订门户(专为残疾人提供的交通工具)仍处于离线状态。根据发言人的说明,此次攻击还影响到车站站台屏幕、内部出行规划应用以及委员会网站上的车辆实时信息显示功能。目前还没有勒索软件团伙表示对此次事件负责。
(来源:汇能云安全)
以上内容不代表本部门观点,如有侵权请及时联系我们。