教育网络安全动态 2021年12月第2期(2021.12.3-2021.12.9) 一、政策要闻 1.国家网信办印发《关于贯彻落实〈法治政府建设实施纲要(2021-2025年)〉的实施意见》 近日,国家互联网信息办公室印发《关于贯彻落实〈法治政府建设实施纲要(2021-2025年)〉的实施意见》(以下简称《实施意见》),对网信法治政府建设工作作出部署安排。《实施意见》强调,法治政府建设是全面依法治国的重点任务和主体工程,是推进国家治理体系和治理能力现代化的重要支撑。网信法治政府建设要以习近平新时代中国特色社会主义思想为指导,全面贯彻习近平法治思想和习近平总书记关于网络强国的重要思想,深入推进网络空间法治建设,把法治政府建设摆在网信工作全局的重要位置,全面建设职能科学、权责法定、执法严明、公开公正、智能高效、廉洁诚信、人民满意的国家网信部门,为网络强国建设提供有力法治保障。 (来源:网信中国) 2.工信部:北京冬奥会测试赛期间处理网络安全事件300余个 为营造测试赛期间安全稳定的网络环境,工业和信息化部网络安全管理局组织北京市、河北省通信管理局等行业单位1万余人全力协同做好值班值守和应急处置等保障工作。 据介绍,多方深入开展基础通信网络关键节点和重要设施,特别是北京、河北地区网络设施的安全风险排查和漏洞隐患整改,确保风险隐患清零;依托行业网络安全技术平台,做好相关重要业务系统网站、域名和IP地址的域名劫持、网页篡改和分布式拒绝服务攻击监测和防护,保障系统安全稳定运行;强化网络安全威胁治理,持续开展网络安全漏洞、移动恶意程序、恶意IP地址、僵尸网络等网络安全威胁监测与处置,累计屏蔽恶意程序发送端IP地址9000余个、组织修复漏洞隐患200余个、处置网络安全事件300余个。 测试赛期间,全国网络基础设施、域名系统和重点网站运行安全稳定,整体网络安全态势平稳,未发生重大网络安全突发事件。 (来源:人民网) 3.金标委就《金融数据安全 数据安全评估规范》等2项金融标准征求意见 全国金融标准化技术委员会秘书处于2021年12月3日发布关于征求《金融数据安全 数据安全评估规范》等2项金融行业标准(征求意见稿)意见的通知。 据介绍,《金融数据安全 数据安全评估规范》(征求意见稿)规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。该标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。 (来源:中国证券报) 4.为精准营销允许员工随意查看会员个人信息,世纪佳缘致歉 2021年12月7日,澎湃新闻连发三篇调查报道,披露婚恋平台世纪佳缘一线下门店存在会员个人隐私信息在后台“裸奔”等问题。当天下午,世纪佳缘官方微博发布致歉声明,称实际工作中出现了滥用职权查阅用户信息的严重违规行为,目前公司已经在后台开始去除此功能。 针对婚恋平台为达“精准营销”目的,默许销售人员随意游览用户私密信息这一现象,多位行业专家学者向澎湃新闻直言,该行为已触碰法律红线,且性质极为恶劣。 (来源:澎湃新闻) 二、技术资讯 5.关于Apache Log4j2存在远程代码执行漏洞的安全公告 2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,Apache官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。 (来源:国家互联网应急中心CNCERT) 6.IBM QRadar SIEM加密问题漏洞(CNNVD-202111-2330) IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM QRadar存在加密问题漏洞,该漏洞源于服务器使用比预期更弱的加密算法,攻击者可利用该漏洞解密高度敏感的信息。 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.ibm.com/support/pages/node/6520488 (来源:CNNVD安全动态) 7.Intel曝多款产品安全漏洞 本周Intel曝出多款产品漏洞,包括Intel BIOS权限提升漏洞(CNNVD-202111-917、 CVE-2021-0157)、Intel BIOS权限提升漏洞(CNNVD-202111-920、CVE-2021-0158)、Intel PROSet/Wireless WiFi Software安全漏洞(CNNVD-202111-941、CVE-2021-0063)等。成功利用上述漏洞的攻击者可以在目标系统上提升权限等。Intel多个产品和系统受漏洞影响。目前,Intel官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD安全动态) 三、国际视野 8.美国国务院员工手机遭NSO入侵 苹果宣布开通威胁通知功能后,近日向美国国务院报告了其员工iPhone手机被未知攻击者利用ForcedEntry iOS漏洞攻击,部署以色列监控公司 NSO Group 开发的Pegasus 间谍软件的安全事件。据悉,iPhone手机遭攻击的美国国务院员工,系负责东非国家乌干达相关事务的美国官员,此事件涉及官员至少有11人。对此,NSO Group发文称,客户安装其软件主要通过电话号码进行,NSO的技术被禁止使用美国 (+1) 号码,但当软件售出后具体被用于针对哪些目标,NSO方面也无法掌握具体信息。目前,美国政府已因开发间谍软件并销售国家资助的黑客工具,对NSO Group等多家公司予以制裁。 (来源:汇能云安全) 9.澳洲新法即将上线,网络喷子不再能随便发言 莫里森周日表示将立法让社交媒体提供网络喷子的实名信息,给网络喷子点颜色看看。澳政府称他们一直在研究整顿网络环境的方法,而这项法案就是他们讨论出来的结果。通过调取网络喷子的实名信息后,警方就可以逮捕网络喷子并极速判刑,有效净化网络。CNN等新闻公司获悉后,决定在澳大利亚地区屏蔽自家的Facebook页面。莫里森称:“网络空间已铸成,安全需要大家定。如果他们不想听,我们立法来执行。” (来源:汇能云安全) 10.Twitter 禁止用户在未经当事人同意的情况下发布“私人内容” 近日,Twitter官方发布推文表示,将禁止未经当事人许可,分享其照片或视频。这一规定被认为是Twitter隐私政策的进一步完善,以此来遏制人肉搜索和骚扰。根据规定,Twitter允许当事人向那些带有本人画面,但未经许可的内容发出删除请求,平台若发现未经许可的私人信息,其内容不仅会被删除,账号本身也会被暂时锁定,如若之后再次违反,账号将面临永久封禁。为此,规定也不建议用户共享账号登录凭证等信息,这些信息会使一些恶意人员在未经授权的情况下获取个人敏感信息。规定同样禁止用户为寻求经济利益,勒索公开他人隐私内容的行为。Twitter表示,人们越来越担心个人信息会被网络上的媒体滥用,担心这些平台会沦为骚扰、恐吓和泄露个人身份信息的工具。 (来源:FreeBuf) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|