教育网络安全动态

2021年8月第1期（2021.7.23-8.4）

一、政策要闻

1.怀进鹏院士履新教育部

2021年7月，中国科学院怀进鹏院士出任教育部党组书记。作为计算机软件专家，怀进鹏主要从事计算机软件与理论、计算机应用、网络信息安全等方面的研究，曾获国家技术发明二等奖、国家科技进步二等奖等。今年6月，怀进鹏以《凝聚起实现高水平科技自立自强的智慧力量》为题在人民日报刊文。他提出，培养创新人才，要更加重视人才自主培养，更加重视科学精神、创新能力、批判性思维的培养教育，更加重视青年人才培养，更加重视构筑有效集聚全球优秀人才的科研创新高地，促进产学研融合，更紧密连接创新主体，更精准针对经济发展的难点、重点和“卡脖子”难题发力。

（来源：教育信息安全等级保护测评中心）

2.“双减”出台，校培减热，用“数据”算出的焦虑即将一去不复返

随着《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》的印发，我国逐步建立“双减”工作专门协调机制，加强部门间统筹，集中组织开展专项治理行动，形成有效工作合力，统筹学校、社会、家庭力量形成三位一体育人格局。教培行业利用大数据分析对全社会进行“狂轰滥炸”式营销，各种贩卖焦虑式的过度宣传，违背教育公益属性，破坏教育正常生态的现状即将得到改善，校外培训逐步规范，学生学习能够更好回归校园。

（来源：教育信息安全等级保护测评中心）

3.教育部等六部门印发《意见》，部署教育新型基础设施建设

近日，教育部等六部门印发《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》(以下简称《意见》)，提出到2025年，基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系，并通过迭代升级、更新完善和持续建设，实现长期、全面的发展。

（来源：教育部）

4.符合侵害消费者个人信息等若干情形，市场主体将被列入“严重违法失信名单”

2021年7月30日，国家市场监管总局发布《市场监督管理严重违法失信名单管理办法》（以下简称《办法》），《办法》将自2021年9月1日起施行。

《办法》规定，当事人违反法律、行政法规，侵害消费者人格尊严、个人信息依法得到保护等权利，性质恶劣、情节严重、社会危害较大，受到市场监督管理部门较重行政处罚的，由市场监督管理部门依照本办法规定列入严重违法失信名单，通过国家企业信用信息公示系统公示，并实施相应管理措施。

（来源：国家市场监管总局）

5.全国人大：个人信息保护法草案将在8月三审

十三届全国人大常委会第九十八次委员长会议于2021年7月27日上午在北京人民大会堂举行。栗战书委员长主持。会议决定，十三届全国人大常委会第三十次会议8月17日至20日在北京举行。委员长会议建议，十三届全国人大常委会第三十次会议审议个人信息保护法草案、监察官法草案、法律援助法草案等多项法案。

（来源：最高人民法院）

6.央行印发《非银行支付机构重大事项报告管理办法》，客户信息数据泄露超过5000条需在2小时内报告

为进一步规范非银行支付机构重大事项报告行为，中国人民银行7月23日印发《非银行支付机构重大事项报告管理办法》（以下简称《办法》）。《办法》显示，发生客户个人信息泄露等信息安全事件一次性涉及客户信息数据超过5000条或者客户数量超过500户的；因突发情况导致支付业务中断或者功能故障，超过2小时或者影响支付业务笔数超过10万笔，或者可能造成重大负面舆情的等内容，支付机构应当按照人民银行相关规定和要求及时报告。

（来源：中国信息安全）

二、技术资讯

7.Apple安全更新，修复iOS和macOS中已被利用的0day

缓冲区的内核扩展IOMobileFramebuffer中的内存损坏漏洞。攻击者可以利用此漏洞在目标设备上使用内核权限执行任意代码，并完全控制设备。该公司称漏洞可能已被积极利用，但并未透露有关这些攻击的任何其他信息。这是Apple在今年修复的第13个0day。

（来源：汇能云安全）

8.福昕阅读器爆出多个任意代码执行漏洞

福昕软件（Foxit Software）本周发布了福昕PDF阅读器和PDF编辑器的安全更新，用于解决导致远程代码执行的多个漏洞。这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893，由Cisco Talos研究人员发现。其中CVSS的严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式，恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。攻击者可以通过欺骗目标用户打开恶意PDF文件来利用该漏洞。根据Cisco Talos的公告，如果受害者启用了Foxit的浏览器插件，攻击者还可以通过恶意网站利用该漏洞。

（来源：汇能云安全）

三、国际视野

9.美国80多个城市的敏感信息泄露，包括居民个人数据

WizCase网络安全研究团队发现一个重大漏洞，这个漏洞导致美国一些城市的数据遭暴露（无需密码或登录凭据即可访问此信息，且数据未加密），在这次暴露事件中，80多个美国城市似乎都在使用mapsonline.net这一产品。这是由一家名为PeopleGIS的美国公司提供。这一网络犯罪行为泄露了公民的地址、电话号码、身份信息、税务文件等。由于敏感而独特的文档数量众多且类型多样，因此很难估计此次泄露事件中暴露的人数。

（来源：聚铭网络）

10.创纪录！亚马逊违反欧盟《通用数据保护条例》（GDPR）被处57.29亿元罚款

2021年7月30日，据彭博社报道，亚马逊面临欧盟有史以来最大的数据隐私泄露罚款，欧盟监管机构将对其违反《通用数据保护条例》（GDPR）的行为作出7.46亿欧元（约57.29亿元人民币，8.88亿美元）的处罚。亚马逊周五在一份监管文件中披露了卢森堡数据保护局（CNPD）7月16日的决定。该决定称，亚马逊“对个人数据的处理不符合GDPR”。亚马逊在文件中说，罚款是“没有根据的”，并将“在这个问题上为自己大力辩护”，对该决定提出上诉。

（来源：IT之家）

11.拜登签发国家安全备忘录，加速推动关键基础设施网络安全升级，工业控制系统网络安全是重中之重

美国总统拜登(Joe Biden)当地时间7月28日签署了一份国家安全备忘录，要求联邦机构制定关键基础设施的网络安全性能目标。备忘录指出，保护美国的关键基础设施是政府在联邦、州、地方、部落和领土层面的责任，也是基础设施所有者和运营商的责任。对控制和运营国家所依赖的关键基础设施的系统构成的网络安全威胁，是美国面临的最重要和日益严重的问题之一。控制这一基础设施的系统的退化、破坏或故障可能会对美国的国家和经济安全造成重大损害。备忘录共计五个部分，其中第2 和第3部分重点阐述了加强工业控制系统网络安全的计划和推进落实计划。

（来源：网空闲话）

12.南非重要港口因网络攻击系统瘫痪近一周，官方称属于“不可抗力”

南非国家运输公司港口部门宣布，近期遭遇的网络攻击事件属于不可抗力，该事件导致其运输系统瘫痪近一周。该公司将港口系统转为手动操作，但随着卡车运输的进一步延误，特别是负责南非全国超六成运输量的德班港遇到严重阻塞问题，港口部门只能发布“不可抗力”通报。港口部门是南非国家运输最大和最重要的部门，它的发声可以证明这家公司确实遭受重大打击。

（来源：互联网安全内参）

以上内容不代表本部门观点，如有侵权请及时联系我们。