教育网络安全动态

2021年7月第4期（2021.7.16-7.22）

一、政策要闻

1.教育部等六部门发文部署教育新型基础设施建设

近日，教育部等六部门印发《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》（以下简称《意见》），提出到2025年，基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系，并通过迭代升级、更新完善和持续建设，实现长期、全面的发展。

（来源：教育部官网）

2.中央网信办启动“清朗·暑期未成年人网络环境整治”专项行动

为营造未成年人良好上网环境，有效解决网络生态突出问题，中央网信办决定即日起启动“清朗·暑期未成年人网络环境整治”专项行动。

中央网信办有关负责人表示，此次专项行动聚焦解决7类网上危害未成年人身心健康的突出问题：（1）直播、短视频平台涉未成年人问题。严禁16岁以下未成年人出镜直播，严肃查处炒作“网红儿童”行为；（2）未成年人在线教育平台问题。全面清理在线课程中色情低俗、血腥暴力及其他导向不良内容；（3）儿童不良动漫动画作品问题；（4）论坛社区、群圈等环节危害未成年人问题；（5）网络“饭圈”乱象问题；（6）不良社交行为和不良文化问题；（7）防沉迷系统和“青少年模式”效能发挥不足问题。重点排查解决网站平台防沉迷系统问题漏洞，解决“青少年模式”入口不显著、识别不精准、专属内容不够丰富、应用效果不佳等问题，进一步优化模式效能，着力防止未成年人沉迷网络。

（来源：中国网信网）

3.二季度App开屏弹窗信息投诉量环比降五成

国新办16日召开新闻发布会，工信部相关负责人公布了开展App弹窗骚扰用户问题专项整治的情况。针对用户反映强烈的App开屏弹窗信息难以关闭和利用弹窗误导用户点击跳转两类问题，工信部重拳展开治理并取得成效。

据统计，今年二季度App开屏弹窗信息投诉量环比下降50%；用户使用量排名前100位的App，开屏信息难以关闭问题发现率由69%下降到1%，而利用弹窗误导用户点击跳转问题的发现率，由90%下降至12%。

（来源：央视新闻）

4.工业和信息化部关于印发《新型数据中心发展三年行动计划（2021-2023年）》的通知

新型数据中心是以支撑经济社会数字转型、智能升级、融合创新为导向，以5G、工业互联网、云计算、人工智能等应用需求为牵引，汇聚多元数据资源、运用绿色低碳技术、具备安全可靠能力、提供高效算力服务、赋能千行百业应用的新型基础设施，具有高技术、高算力、高能效、高安全特征。随着新一代信息技术快速发展，数据资源存储、计算和应用需求大幅提升，传统数据中心正加速与网络、云计算融合发展，加快向新型数据中心演进。为统筹推进新型数据中心发展，构建以新型数据中心为核心的智能算力生态体系，发挥对数字经济的赋能和驱动作用，制定本行动计划。

（来源：工信部官网）

5.2021年中国网络安全年会在北京成功召开

7月20日，以“携手应对数据安全威胁挑战”为主题的2021年中国网络安全年会在北京成功召开。本届中国网络安全年会由国家互联网信息办公室指导，国家计算机网络应急技术处理协调中心（CNCERT/CC）主办。会上发布了《2020年中国互联网网络安全报告》。报告汇总分析了CNCERT自有监测数据和网络安全应急服务支撑单位数据，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。

（来源：新华网）

6.2021中国网络诚信大会在湖南长沙举行

7月15日，以“诚聚力量 信赢发展——共建网络诚信新时代”为主题的2021中国网络诚信大会在湖南省长沙市举行。湖南省委书记、省人大常委会主任许达哲，中央网信办副主任、国家网信办副主任盛荣华，国家发展改革委党组成员、秘书长赵辰昕，商务部党组成员、部长助理任鸿斌以及市场监管总局有关负责同志出席开幕式并致辞。湖南省委副书记乌兰主持开幕式。

会上启动了“建档立信 诚赢发展”电子商务企业诚信档案创建活动，发布了“正本清源、明理增信”涉党史辟谣榜。大会设置了7场主题论坛和1场研讨会。与会嘉宾分别围绕“网络媒体和社交平台诚信建设”“电子商务诚信建设”“网络诚信法治建设”“在线教育诚信建设”“数字城市诚信建设”“红色文化传承与网络诚信建设”“实事求是精神与网络诚信建设”“‘信易贷’促进中小微企业融资”等议题进行交流和探讨。

（来源：中国网信网）

二、技术资讯

7.微软警告新的未修补窗口打印滑阀漏洞

微软周四就另一个影响 Windows 打印滑翔机服务的漏洞分享了新的指导，称它正在努力在即将到来的安全更新中解决该漏洞。该问题被跟踪为CVE-2021-34481（CVSS分数：7.8），涉及一个本地特权升级缺陷，该缺陷可能被滥用以在系统上执行未经授权的行动。Microsoft 建议用户停止并禁用打印滑阀服务，以防止恶意行为者利用该漏洞。

（来源：汇能云安全）

8.SonicWall SRA/SMASQL注入漏洞的预警

近日，国家信息安全漏洞库（CNNVD）收到关于Sonicwall SRA/SMA SQL注入漏洞（CNNVD-202107-1057）情况的报送。成功利用漏洞的攻击者可以在未授权的情况下窃取内部敏感账户信息，进而控制目标设备。SonicWall:Secure Remote Access 8.x、SonicWall:SecureRemote Access 9.0.0.10-26sv、SonicWall:Secure MobileAccess 8.x、SonicWall:Secure Mobile Access 9.0.0.10-26sv等版本均受漏洞影响。目前，SonicWall官方已发布版本更新修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态）

三、国际视野

9.美国司法部牵头成立StopRansomware.gov网站，遏制勒索软件攻击

为应对勒索软件的威胁，美国政府今天成立了一家新网站--StopRansomware.gov。在官方发布的新闻稿中，该网站由美国司法部、国土安全部和联邦合作伙伴共同推进，旨在“帮助私人和公共组织减轻他们的勒索软件风险”。

该网站汇集了来自多个联邦机构的资源。个人和组织以前必须访问多个政府网站才能找到勒索软件指南、警报和更新。美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 在新闻稿中表示：“随着勒索软件攻击在全球范围内持续上升，企业和其他组织必须优先考虑他们的网络安全。网络犯罪分子将关键基础设施、小企业、医院、警察部门、学校等作为目标。这些攻击直接影响了美国人的日常生活和我们国家的安全”。

（来源：cnBeta）

10.为应对管道行业勒索软件威胁，美国土安全部再次发布安全指令

美国运输安全管理局(Transportation Security Administration)当地时间7月20日对主要输油管道的所有者提出了额外的网络安全要求，这一次的重点是勒索软件。这是自五月份Colonial输油管道遭勒索软件攻击以来，美国国土安全部的运输安全管理局第二次向重要输油管道所有者发布安全指令，那次事件在人们担心燃油短缺的情况下引发了恐慌性购买。该指令的具体要求尚未公开发布。国土安全部的一份声明写道，该安全指令要求TSA指定的关键管道的所有者和运营商实施具体的缓解措施，以防止勒索软件攻击和对IT（信息技术）和OT（运营技术）系统的其他已知威胁，制定并实施网络安全应急和恢复计划，并进行网络安全架构设计审查。

（来源：汇能云安全）

11.石油巨头沙特阿美发生数据泄露：1TB数据在暗网兜售

沙特阿拉伯石油公司，又称沙特阿美，是世界上规模最大的石油与天然气上市企业之一。这家石油巨头拥有66000多名员工，年收入近2300亿美元。攻击者从沙特阿美石油公司盗窃1TB专有数据，开价500万美元在暗网上出售；具体数据包括近1.5万名员工的个人信息、多个炼油厂内部系统项目文件、客户名单与合同等。沙特阿美将此次数据泄露归因于第三方承包商，并表示事件未对公司的日常运营造成影响。

（来源：汇能云安全）

以上内容不代表本部门观点，如有侵权请及时联系我们。