教育网络安全动态 2022年1月第4期(2022.1.21-2022.1.29) 一、政策要闻 1.中央网信办开展“清朗·2022年春节网络环境整治”专项行动 为营造文明健康、喜庆祥和的春节网上舆论氛围,中央网信办决定自1月22日起开展为期1个月的“清朗·2022年春节网络环境整治”专项行动。重点包括以下五方面整治任务:集中整治网络暴力、散播谣言等问题,切实维护网民利益;持续开展整治,严防“饭圈”乱象反弹反复;加大炫富拜金、封建迷信等问题治理力度,遏制不良网络文化传播扩散;从严整治“网红儿童”“软色情”等问题,保障未成年人合法权益;加强重点页面版面生态问题治理,营造良好春节氛围。 (来源:中央网信办秘书局) 2.中国互联网协会发布《移动互联网环境下促进个人数据有序流动、合规共享自律公约》 1月25日,中国互联网协会发布了《移动互联网环境下促进个人数据有序流动、合规共享自律公约》。公约是在防止用户隐私泄露、保护个人数据安全的基础上,为了促进数据有序流动以及合规共享利用,引导企业严格遵守国家有关法律、法规以及政策和标准,促进行业持续健康有序发展,由中国互联网协会个人信息保护工作委员会联合行业自律工作委员会共同拟定。 (来源:中国互联网协会) 3.银保监会印发2022年2号文:加强数据安全和隐私保护 近日,中国银保监会办公厅印发《关于银行业保险业数字化转型的指导意见》(银保监办发〔2022〕2号)。《指导意见》共七个部分,三十条,包括总体要求、战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范、组织保障和监督管理等。《指导意见》指出,加强数据安全和隐私保护;完善数据安全管理体系,建立数据分级分类管理制度,明确保护策略,落实技术和管理措施;强化对数据的安全访问控制,建立数据全生命周期的安全闭环管理机制;加强第三方数据合作安全评估,交由第三方处理数据的,应依据“最小、必要”原则进行脱敏处理(国家法律法规及行业主管部门、监管部门另有规定的除外);关注外部数据源合规风险,明确数据权属关系,加强数据安全技术保护;加强对外发布信息安全管理。 (来源:银保监会) 4.上海网络安全产业力争三年规模翻番 市经济信息化委、市委网信办等六部门日前联合制定的《上海市建设网络安全产业创新高地行动计划(2021-2023年)》提出,力争到2023年,全市网络安全产业规模超250亿元,实现翻番;打造2个国家级网络安全产业园区,引育超过10家网络安全龙头企业,基本建成具有全国影响力的网络安全产业创新高地。结合该目标,上海将在三年内聚焦“产业+供给”“行业+应用”“生态+政策”三项重点工作,推动实施17项任务。 (来源:网信上海) 二、技术资讯 5.Rust编程语言曝出漏洞,攻击者可轻松删除文件和目录 日前,Rust编程语言的维护者修复了一个编号为 CVE-2022-21658的高危漏洞,该漏洞让攻击者可以从易受攻击的系统删除文件和目录。该漏洞影响Rust 1.0.0到Rust 1.58.0,近期发布的Rust 1.58.1版本已修复了该漏洞。 (来源:安全牛) 6.Apache Log4j重大漏洞预警 Apache Log4j 爆多个安全漏洞:包括Apache log4j代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307)、Apache Log4j SQL注入漏洞(CNNVD-202201-1421、CVE-2022-23305)、Apache log4j代码问题漏洞(CNNVD-202201-1420、 CVE-2022-23302)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。目前,Apache官方已经发布了新版本修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD安全动态) 7.CNNVD 关于Polkit 安全漏洞的预警 国家信息安全漏洞库(CNNVD)收到关于Polkit 安全漏洞(CNNVD-202201-2343、CVE-2021-4034)情况的报送。成功利用此漏洞的攻击者,可在默认配置下提升本地用户权限。Polkit所有版本均受此漏洞影响。目前,Polkit官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD安全动态) 三、国际视野 8.英国发布首部针对政府机构的网络安全战略 据外媒报道,1月25日,英国政府内阁办公室正式发布专门针对公共政府部门的首部网络安全战略——《2022年-2030年英国政府网络安全战略》,战略涉及多项具体安全保障措施,并设立两大关键性战略目标:一是致力于为英国政府部门的网络安全弹性夯下坚实基础,并辅以采用国家网络安全中心的《网络评估框架》(CAF) ;二是批准并推动英国各政府部门通过共享数据、专长和能力,实现“一体化防御”。 (来源:安全牛) 9.美国发布《提升国家安全、国防和情报系统网络安全备忘录》 1月19日,美国总统拜登签署《提升国家安全、国防和情报系统网络安全备忘录》(Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems,以下简称NSM)。NSM是落实第14028号行政令《改善国家网络安全》(E.O 14028, Improving the Nation’s Cybersecurity)的行政文件,设定国家安全系统的多项网络安全新要求,强化美国国家安全局(NSA)、国防部、情报机构和其他联邦机构的网络安全保护能力,推进新形势下美国网络安全防御现代化。总体来看,NSM从明确网络安全技术落地应用时间表与指引、强化国家安全局对国家安全系统的管理与指导地位、确保跨域解决方案安全性、提升网络安全风险感知能力、构建国家安全系统云技术网络安全和事件响应协作机制、引入基于特殊任务需求的例外情况等六大维度,加强网络安全保障,细化美国国家安全系统的网络安全标准。 (来源:公安三所网络安全法律研究中心) 10.勒索凶猛!美国数千家公司工资难以发放,供应商瘫痪超1个月 专门提供劳动力与人力资本管理解决方案的美国克罗诺斯(Kronos)公司私有云平台遭勒索软件攻击至今已一月有余,但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。 (来源:互联网安全内参) 11.巴西用户突遭横祸,Chaes木马大量传播 巴西一直以来就是银行木马重灾区,之前是移动端病毒横行,现在又轮到网页端荼毒四方。此次攻击主要通过WordPress站点传播,通过提醒用户安装或更新FlashPlayer的老套路骗用户下载恶意浏览器插件,接着利用浏览器插件窃取银行账号密码。安全研究员分析后,发现受害者足足安装了五种恶意插件,可能比他们自己装的插件数量都多,这五种插件功能也各不相同,分别是写入注册表、接收指令、窃取浏览器密码、加载JS、窃取商城密码。在提交给安全部门后网站被下线,但安装过插件的用户只能手动清除了。 (来源:汇能云安全) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|