教育网络安全动态

2022年11月第2期（2022.11.4-2022.11.10）

一、政策要闻

1.习近平向2022年世界互联网大会乌镇峰会致贺信

11月9日，国家主席习近平向2022年世界互联网大会乌镇峰会致贺信。

习近平指出，当今时代，数字技术作为世界科技革命和产业变革的先导力量，日益融入经济社会发展各领域全过程，深刻改变着生产方式、生活方式和社会治理方式。面对数字化带来的机遇和挑战，国际社会应加强对话交流、深化务实合作，携手构建更加公平合理、开放包容、安全稳定、富有生机活力的网络空间。

习近平强调，中国愿同世界各国一道，携手走出一条数字资源共建共享、数字经济活力迸发、数字治理精准高效、数字文化繁荣发展、数字安全保障有力、数字合作互利共赢的全球数字发展道路，加快构建网络空间命运共同体，为世界和平发展和人类文明进步贡献智慧和力量。

2022年世界互联网大会乌镇峰会当日在浙江省桐乡市乌镇开幕，主题为“共建网络世界 共创数字未来——携手构建网络空间命运共同体”，由世界互联网大会主办，浙江省人民政府承办。

（来源：新华社）

2.2019年以来，检察机关办理个人信息保护领域公益诉讼案件8361件

2019年以来，全国检察机关共立案办理个人信息保护领域公益诉讼案件8361件，其中，2019年立案147件，2020年立案750件，2021年立案2276件，2022年1月至9月立案5188件。2021年11月1日，个人信息保护法施行，专设公益诉讼条款，明确将个人信息保护纳入公益诉讼检察法定领域。对此，最高检先后下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》，要求聚焦严重侵害社会公共利益的侵犯个人信息违法行为，发挥公益诉讼制度在个人信息安全溯源治理方面的优势，积极履职。同时，检察机关对内不断强化“四大检察”协同发力，对外加强与公安、网信、市场监管、工信等行政机关的协作配合，形成保护公民个人信息合力。

（来源：最高人民检察院）

3.全国信安标委发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》

11月8日，全国信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》。此次的征求意见稿从基本原则、法律协议、责任义务等多方面提高了对境外接收方的要求。

首先，征求意见稿要求，境外接收方与个人信息处理者“约定并共同遵守同一个人信息跨境处理规则”。其次，当个人信息处理者与境外接收方签订法律协议时，征求意见稿进一步要求双方明确个人信息跨境处理的目的、敏感程度、数量、方式、保存期限、存储地点等，并要求协议列出个人信息主体的权利，以及保障个人信息主体权利的途径和方式。第三，征求意见稿明确，当个人信息权益受到损害时，个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求。此外，征求意见稿还增加了一些个人信息处理者和境外接收方需配合国内法律法规和认证机构监督的情形。

（来源：个人信息与数据保护实务评论）

4.工信部对网络安全保险征求意见，拟推广网络安全保险服务应用

11月7日，工信部公开征求对《关于促进网络安全保险规范健康发展的意见(征求意见稿)》的意见。此文件是国内第一个对外发布的以网络安全保险为主题，促进网络安全保险产业规范健康发展的指导性文件。主要聚焦了以下几方面内容：建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、增强网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态。文件的征求发布为我国接下来一段时期推动和发展网络安全保险产业指明了方向，也为安全厂商技术赋能，参与网络安全保险服务提供了契机。

（来源：工信部）

二、技术资讯

5.恶意插件让攻击者可以远程控制Google Chrome

一个名为“Cloud9”的Chrome浏览器僵尸网络近日被发现在外头肆虐，它利用恶意插件来窃取在线账户、记录击键内容、注入广告和恶意JavaScript代码，并利用受害者的浏览器来发动DDoS攻击。Cloud9浏览器僵尸网络实际上是一种针对Chromium浏览器（包括谷歌Chrome和微软Edge）的远程访问木马（RAT），让威胁分子可以远程执行命令。这个恶意的Chrome插件未出现在官方的Chrome网站商店中，而是通过其他渠道来传播，比如推送虚假的Adobe Flash Player更新的网站。

（来源：嘶吼专业版）

6.CNNVD关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞78个，影响到微软产品的其他厂商漏洞3个。包括Microsoft Windows Kerberos 安全漏洞（CNNVD-202211-2306、CVE-2022-37966）、Microsoft Windows Kerberos 安全漏洞（CNNVD-202211-2288、CVE-2022-37967）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态 ）

7.警惕！新形式的钓鱼软件专门针对 Python 开发人员

最近，一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术，通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。

（来源：CNNVD安全动态 ）

三、国际视野

8.5万枚比特币、33.6亿美元！犯下美国历史上最大加密货币盗窃案的黑客认罪

近日，美国司法部宣布对一名黑客定罪，其以非法手段窃取了超过50000枚比特币。执法部门缉获这些比特币时其价值超过33.6亿美元。这也是美国司法部历史上数额最大的加密货币缉获案。据悉，该黑客实施了一项从暗网黑市“丝绸之路”骗取钱财的计划。丝绸之路是一个大约在2011年到2013年运营的暗网黑市，被众多毒贩和其他非法供应商利用，向许多买家大量售卖毒品、枪支和其他非法商品和服务，并清洗其中流通的资金。2015年，丝绸之路的创始人Ross Ulbricht被陪审团一致定罪并被判处终身监禁。

（来源：汇能云安全）

9.英国政府正在扫描该国互联网空间的零日威胁

英国国家网络安全中心启动了一项新计划，将持续扫描英国托管的每个互联网连接设备的漏洞，以帮助政府应对零日威胁。国家网络安全中心是政府通信总部的一部分，作为英国面向公众的网络威胁的技术权威，表示发起这个倡议是为了建立一个数据驱动的“英国的脆弱性和安全性”的观点。

（来源：汇能云安全）

10.日本宣布正式加入北约网络防御中心

据日本时事通讯社当地时间11月4日消息，日本防卫大臣浜田靖一在当日的记者会上表示，日本正式加入北约网络防御中心。据称，该中心在网络防御训练、战略研究等领域拥有强大力量，其主要任务是为北约及该组织成员国提供技术、战略、行动和法律领域的网络防御专业支持。北约曾公开宣称，《北大西洋公约》的“集体防御”条款适用于网络空间，一旦北约成员国遭遇网络袭击，其他国家将给予政治、经济、技术乃至军事领域的支持。

事实上，北约网络防御中心名为防御，实则积极投身网络攻击演练。其作为一个国际军事组织，多次举行实战化网络攻防演习，演练用网络攻击他国的关键性基础设施。

（来源：中国新闻网）

以上内容不代表本部门观点，如有侵权请及时联系我们。