教育网络安全动态

2022年11月第4期（2022.11.18-2022.11.24）

一、政策要闻

1.市场监管总局 国家网信办发布《关于实施个人信息保护认证的公告》

为贯彻落实《中华人民共和国个人信息保护法》有关规定，规范个人信息处理活动，促进个人信息合理利用，根据《中华人民共和国认证认可条例》，国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动，并按照《个人信息保护认证实施规则》实施认证。

（来源：网信中国）

2.我国首次发布数字经济权威报告，规划部署8大发展方向

国家发展改革委发布了《关于数字经济发展情况的报告》，报告中指出我国网络安全保障和数字经济治理水平持续提升等6大成绩，同时指出在关键领域创新能力、数字经济治理体系等4个方面面临巨大挑战。《报告》还规划部属了8大发展方向，其中包括全面加强网络安全和数据安全保护，筑牢数字安全屏障。

（来源：发改委）

3.深圳发布首个公共数据安全领域地方标准

深圳市发布地方标准《公共数据安全要求》（DBA4403/T-2022），该标准由深圳市政务服务数据管理局提出并归口。该标准适用于公共管理和服务机构数据安全能力的建设、评估与监管，也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。标准规定了公共数据安全要求，主要包括总体安全原则和要求、总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及数据处理活动安全要求等。其中公共数据总体安全原则包括合法正当原则、权责明确原则、目的明确原则、明示同意原则、最小必要原则、公开透明原则、动态调整原则、全程可控原则在内的 8 项原则。

（来源：深圳市市场监督管理局）

4.中美俄首次共同参与网络安全演习

韩联社16日报道称，韩国国防部当天宣布，东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议，中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习，这将是中美俄首次共同参与此类演习。

与会国讨论网络安全演习课题，以增强各方在网络安全领域制定和落实国防政策的能力。17日，与会国将共同实施应对网络安全威胁的模拟演习。在演习中，两国组成一队，共同解决勒索软件攻击等网络安全问题。韩国国防部期望“此次演练有助于缩小各国之间网络响应能力的差距”。各方还将于明年下半年在韩国以面对面的方式实施演习。

（来源：环球时报）

二、技术资讯

5.Log4j漏洞难修补！美国联邦政府遭入侵，FBI称黑手为伊朗黑客

美国FBI与网络安全与基础设施安全局（CISA）日前发布一份联合报告称，某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织，并部署了XMRig加密货币挖矿恶意软件。攻击者利用的是未安装Log4Shell（CVE-2021-44228）远程代码执行漏洞补丁的VMware Horizon服务器，抓住机会成功入侵了联邦网络。

FBI和CISA称，所有尚未对VMware系统安装Log4Shell补丁的组织都应假设其已遭利用，并建议各方主动在网络中寻找恶意活动的踪迹。

（来源：关键基础设施安全应急响应中心 ）

6.Microsoft Exchange爆高危安全漏洞ProxyNotShell

日前，微软Microsoft Exchange爆出两个高危的安全漏洞ProxyNotShell，目前已经有相关证据表明这两个漏洞已经被黑客利用发起攻击。据悉，这两个漏洞被跟踪为 CVE-2022-41082 和 CVE-2022-41040，影响 Microsoft Exchange Server 2013、2016 和 2019，并允许攻击者提升权限以在系统上下文中运行 PowerShell，并在系统上获得任意或远程代码执行受损的服务器。在本月发布的补丁中，微软就两个高危安全漏洞进行了更新。

（来源：安全客）

7.专家宣布发现三个新的勒索软件

威胁情报公司Cyble宣布发现了三个新的勒索软件，分别是AXLocker，Octocrypt和Alice Ransomware。

AXLocker 勒索软件加密受害者的文件并从受感染的机器中窃取 Discord 令牌。

Octocrypt，它是一种Golang勒索软件，其运营商正在采用勒索软件即服务（RaaS）商业模式。该恶意软件在 2022 年 10 月左右出现在威胁环境中，售价为 400 美元。

Cyble发现的第三种勒索软件被称为“Alice”，也作为勒索软件即服务（RaaS）提供。

（来源：汇能云安全）

8.CNNVD重大漏洞通报

F5 BIG-IP 安全漏洞（CNNVD-202211-2929、CVE-2022-41622）：攻击者可以发送特制的 HTTP 请求以执行未经授权的操作。F5 BIG-IP 13.1.0，13.1.5，14.1.0等，F5 BIG-IP 15.1.8，16.1.0等，F5 BIG-IQ Centralized Management 7.1.0，F5 BIG-IQ Centralized Management 8.0.0，F5 BIG-IQ Centralized Management 8.2.0等多个版本均受此漏洞影响。目前，F5官方已经发布了修复漏洞的升级版本，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

(来源：CNNVD安全动态）

三、国际视野

9.美国政府发布新版文件，提升关键基础设施运行弹性

11月23日消息，美国网络安全与基础设施安全局（CISA）针对全国基础设施发布更新版指导文件，旨在为各州、地方、部落及地区级网络安全保卫者提供最新指引。该文件可用于支持资本改善计划、风险缓解计划和其他规划文件以及资金申请，并引入了新工具关键基础设施识别数据集，可用于查找关于关键基础设施资产的公开信息。新版《框架》还附带一份新指南，里边概述了旱灾危害、旱灾可能对基础设施系统产生的直接/间接影响及示例，还有可用于评估和缓解旱灾相关风险的联邦资源。CISA基础设施安全执行副主任David Mussington表示，此次更新“将帮助规划人员更好地了解如何应对未来威胁和危害，为事件响应和事后恢复做好准备。”他解释道，“我们的安全与保障效果，取决于关键基础设施的准备情况、对不断变化的现实条件的适应能力，以及承受中断和在中断后迅速恢复的能力。”

（来源：关键基础设施安全应急响应中心）

10.印度政府发布《2022年个人数据保护法案草案》

11月18日，印度政府发布了《2022年个人数据保护法案》草案，自2018年7月首次提出以来，这是印度政府第四次修改该草案。该草案允许在某些条件下将个人数据传输到其他国家，并对违反数据传输和数据收集法规的行为设置了罚款。

草案写到：“中央政府在对其认为必要的因素进行评估后，可以通知数据受托人可以按照规定的条款和条件向印度以外的国家或地区转移个人数据”。但没有指明这些国家的名称。

（来源：个人信息与数据保护实务评论）

以上内容不代表本部门观点，如有侵权请及时联系我们。