教育网络安全动态

2022年11月第3期（2022.11.11-2022.11.17）

一、政策要闻

1.特大系列侵犯公民个人信息案件侦破！涉及27个省份

近日，从黑龙江鸡西市公安局获悉，该局成功侦破一起特大系列侵犯公民个人信息案件，共计抓获犯罪嫌疑人 322 名，涉及全国 27 个省份。

鸡西市公安局发现辖区内有居民大量收租微信号、QQ 号，并以从中赚取差价的方式进行牟利。鸡西市公安局组织 100 余名警力，先后辗转湖南、河南、云南等 7 省份 12 地，共抓获犯罪嫌疑人 50 名，捣毁窝点 10 处，缴获全部涉案工具。该团伙主要成员多为 90 后，00 后也占了很大比例，甚至有部分在校学生也参与其中。针对此类犯罪不断低龄化的趋势，在此也提醒广大青少年朋友们，要严格规范自身行为，不要参与违法犯罪。

（来源：中央财经）

2.《GB/T41817-2022 信息安全技术 个人信息安全工程指南》发布意义重大

推荐性国标GB/T 41817-2022《信息安全技术 个人信息安全工程指南》（简称“工程指南”）的正式版本已经发布。《工程指南》作为一项「实施类指南」，以标准的形式从制度层面出发将组织内各团队/部门间的工作配合方式作出协调和指导。同时，该标准在三年前信安标委发布的《工程指南（征求意见稿）》基础上，进一步贯彻落实了“个人信息安全措施与产品和服务同步规划、同步建设、同步使用”的理念。概言之，《工程指南》对于企业如何将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引，企业在提升网络产品和服务的个人信息保护能力时应将该标准作为重要参考。

（来源：关键基础设施安全应急响应中心）

3.《信息安全技术 关键信息基础设施网络安全应急体系框架》（征求意见稿）公开征求意见

全国信息安全标准化技术委员会归口的国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。该标准旨从总体架构、机构设立、资产识别、监测预警、应急响应、事后恢复与总结、信息共享与事件报送、预防保障和应急预案等方面，指导关键信息基础设施运营者建设网络安全应急体系、开展网络安全应急活动。

（来源：全国信安标委）

4.乌镇互联网大会发布《反电信网络诈骗倡议》，强化数据安全和个人信息保护

2022年世界互联网大会乌镇峰会网络法治论坛上，《反电信网络诈骗倡议》（以下简称“倡议”）发布，为建设清朗网络空间贡献力量。倡议指出，要履行主体责任，加强自我约束，促进行业自律，加快数字法治体系建设，强化数据安全和个人信息保护，共筑网络安全防线。倡议强调，要加强网络诚信体系建设，筑牢社会诚信根基，严厉打击电信网络诈骗活动，多管齐下铲除电信网络诈骗犯罪的生存土壤。

（来源：安知讯）

二、技术资讯

5.研究人员发现数百个泄露用户个人数据 Amazon RDS实例

Amazon RDS 是一项 Web服务，可以在 Amazon Web Services （AWS） 云中设置关系数据库。泄漏的根本原因源于称为公有RDS 快照的功能，该功能允许创建在云中运行的整个数据库环境的备份，并且可以由所有 AWS 账户访问。根据暴露的信息的性质，攻击者可以窃取数据以获取经济利益，也可以利用这些数据更好地掌握公司的IT环境，然后可以作为秘密情报收集工作的垫脚石。

（来源：汇能云安全）

6.思科修补企业防火墙产品中的 33 个漏洞

思科宣布发布针对33个高和中等严重性漏洞的补丁，这些漏洞影响运行思科自适应安全设备（ASA），Firepower威胁防御（FTD）和Firepower管理中心（FMC）软件的企业防火墙产品。其中最重要的公告涉及FMC基于Web的管理界面中的15个跨站点脚本（XSS）错误。存在这些问题的原因是对用户提供的输入验证不足，允许攻击者在易受攻击的界面上下文中执行代码，甚至泄漏基于浏览器的信息。

（来源：汇能云安全）

7.多个高严重性漏洞影响广泛使用的OpenLiteSpeed Web服务器软件

在开源OpenLiteSpeed Web服务器及其企业变体中发现了多个高严重性漏洞，这些漏洞可以被武器化以实现远程代码执行。三个缺陷中的第一个是目录遍历缺陷（CVE-2022-0072，CVSS 分数：5.8），可利用该漏洞访问 Web 根目录中的禁止文件。其余两个漏洞（CVE-2022-0073 和 CVE-2022-0074，CVSS 分数：8.8）分别与权限提升和命令注入的情况有关，可以链接方式实现特权代码执行。

（来源：汇能云安全）

三、国际视野

8.谷歌将于2023年在安卓13中引入隐私沙箱

11月15日，谷歌宣布将在2023年初在部分搭载安卓13系统的设备上引入隐私沙箱（privacy sandbox）系统。安卓隐私沙箱是谷歌在2022年2月引入的一系列技术，旨在限制对用户的记录和追踪，并同时为广告商提供足够的信息实现用户隐私信息与广告可用性的平衡。

随后，谷歌对不同的设计方案进行了讨论，重新定义了系统，并准备了相应的组件用于开发者的后续开发。谷歌日前宣布将从2023年起将在部分安卓13设备上推动隐私沙箱测试版，使得攻击者可以测试这些新的解决方案。

（来源：嘶吼专业版 ）

9.国际足联世界杯应用程序引发数据隐私问题

国际足联（FIFA）世界杯即将开始，隐私专家们指出了这两款应用的隐私问题。参加庆典需要两个应用程序：Ehteraz，一个新冠肺炎跟踪系统和Hayya，一个用于允许球迷进入体育场、查看时间表和免费公共交通的应用程序。

Ehteraz在全国范围内使用，它要求用户允许远程访问图片和视频，拨打免费电话，读取或修改设备数据。Hayya权限包括完全网络访问和对个人数据的无限制访问。两者都跟踪用户的位置。

（来源：汇能云安全）

10.意大利禁止使用面部识别技术，犯罪调查例外

意大利暂停使用面部识别技术和能识别汽车牌照的红外智能眼镜。隐私监督机构数据保护局称，在相关法律采用前或至少到明年年底之前，不允许使用生物识别数据的面部识别系统。司法调查或打击犯罪行为将作为例外情况。

数据保护局表示要对面部识别相关的做法进行规范。该机构表示，根据欧盟和意大利的法律，公共机构使用视频设备处理个人数据，基于公共利益的理由且与公共当局活动有关，这些通常是允许的。

（来源：汇能云安全）

以上内容不代表本部门观点，如有侵权请及时联系我们。