教育网络安全动态

2022年9月第3期（2022.9.23-2022.9.29）

一、政策要闻

1.国家标准《信息安全技术 网络安全众测服务要求》征求意见稿征求意见

经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 网络安全众测服务要求》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

（来源：全国信息安全标准化技术委员会秘书处）

2.今年底前广东将全面推广政府首席数据官工作体系

广东省人民政府新闻办公室举行新闻发布会，介绍广东在推动数据要素市场化配置改革一年以来最新的进展。据介绍，广东省完成了省市一体化“一网共享”平台建设，累计发布数据资源目录5.18万个，通过“开放广东”平台向社会开放2.84万个公共数据集。下一步，广东省将进一步推进数据要素市场化配置改革，打造数据要素市场基础设施、畅通数据要素大循环、赋能经济社会高质量发展，年底前在全省全面推广政府首席数据官工作体系。

（来源：广州日报）

3.《北京市数字经济促进条例（草案）》二审：增加个人信息保护规定，解决数字化困难人群问题

北京市十五届人大常委会第四十三次会议，对《北京市数字经济促进条例（草案）》进行第二次审议，二审稿提出，对使用数字化公共服务确有困难的人群，应提供可替代的服务和产品。部分常委会组成人员和代表提出增加“个人信息保护”的规定。为此，二审稿提出，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

（来源：北京市人大常委会）

4.西工大遭网络攻击，美国另一图谋曝光

《环球时报》记者27日获得的最新调查报告进一步揭露了美国对西北工业大学组织网络攻击的目的：渗透控制中国基础设施核心设备，窃取中国用户隐私数据，入侵过程中还查询到一批中国境内敏感身份人员，并将其用户信息打包加密后经多级跳板回传至美国国家安全局总部。

（来源：环球时报）

二、技术资讯

5.网络钓鱼活动盯上PyPI用户，分发恶意代码

PyPI管理员近日警告，一起网络钓鱼活动盯上了Python代码包索引（PyPI）的用户，威胁如果用户不让代码接受虚假的验证流程，就删除代码包。PyPI管理员提醒用户注意这个代码库（它使Python开发人员能够发布和查找用于构建软件的代码包），留意声称在实施“强制性‘验证’流程”的电子邮件。

（来源：嘶吼专业版）

6.一个15年前的Python漏洞肆虐全球软件界

Python开源编程语言中一个15年前的漏洞在许多地方仍未修补，因此得以蔓延到全球成千上万个开源和闭源项目。研究人员警告，这无意中构成了一条大范围易受攻击的软件供应链，大多数受影响的组织还蒙在鼓里。Trellix高级研究中心的分析师发现，一个与路径遍历相关的漏洞被编号为CVE-2007-4559，目前在350000多个独特的开源代码存储库中仍未修补，导致应用软件容易被利用。

（来源：嘶吼专业版）

7.Windows Server服务中发现身份验证漏洞安全风险

Akamai研究人员Ben Barnea在Windows Server服务中发现了一个重要的漏洞，鉴于此漏洞影响较大，建议客户尽快做好自查及防护。该漏洞被分配为CVE-2022-30216，风险评分为8.8。Windows Server服务在处理特制请求时存在漏洞，经过身份认证的远程攻击者可利用此漏洞在目标系统上执行代码。该漏洞利用了Server服务实现的安全回调过程中的一个单字节缓冲区溢出漏洞（off-by-one）。单字节缓冲区溢出，其中最常见的是边界验证不严，通常包括循环次数错误和字符串操作不合适等。

（来源：嘶吼专业版）

三、国际视野

8.TikTok因隐私和数据安全问题遭英美轮番审查

9月26日，英国信息委员会办公室（UK Information Commissioner's Office, ICO）发布公告称，经调查，TikTok因儿童隐私保护问题涉嫌违反英国的数据保护法，可能面临2700万英镑的罚款（折合人民币约2亿元）。ICO调查发现，TikTok在2018年5月至2020年7月期间存在以下涉嫌违法行为：（1）未经父母适当的同意，处理 13 岁以下儿童的数据；（2）未能以简洁、透明和易于理解的方式向其用户提供适当的信息，以及（3）未依法处理特殊类别数据。目前，ICO已经向TikTok发出了“处罚告知书（notice of intent）”。同一天，据媒体报道，TikTok和美国政府正在制定一项初步协议，拟解决TikTok在美的国家安全和数据隐私问题。

（来源：大成数据保护团队）

9.史上之最！澳大利亚40%居民信息被泄露

据消息，澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件，近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据，其人口总数约为2500万人。这意味着，此次数据泄露事件波及该国40%左右的人口，并成为澳大利亚史上最大的网络安全事件之一。资料显示，Optus是新加坡电信的全资子公司。通过其OptusNet品牌，它在澳大利亚提供宽带、无线和拨号上网服务，并以稳定而高速的网络著称。Optus表示，公司正在调查在网络攻击后未经授权访问客户数据的情况，此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

（来源：汇能云安全）

以上内容不代表本部门观点，如有侵权请及时联系我们。