教育网络安全动态

2023年1月第2期（2023.1.6-2023.1.12）

一、政策要闻

1.工信部会议：2023年将强化App全流程、全链条治理

1月11日，据工信部官网消息，全国工业和信息化工作会议（以下简称“会议”）在北京召开。会议提及，在2023年的个人信息保护工作中，工信部将围绕“全流程、全链条、全主体”监管，实现对各类终端、应用商店、软件开发工具SDK等关键环节和在架App的全覆盖，全方位保护用户权益。

（来源：工信部）

2.中证协就《证券公司网络和信息安全三年提升计划》征求行业意见

中国证券业协会前期组织起草了《证券公司网络和信息安全三年提升计划（2023-2025）（征求意见稿）》（以下简称《安全提升计划》），并于近日开始征求行业意见。中证协此举意在推动券商加强网络与信息系统安全稳定运行，保障体系和能力建设，提高资本市场网络和信息安全水平。《安全提升计划》从科技治理能力、科技投入机制等六个方面明确了提升方向和要求，并要求券商从组织领导、人才培养等六个方面建立保障机制。中证协在编制说明中表示，《安全提升计划》遵循稳健性、系统性、差异性、创新性等基本原则。力争到2025年，证券行业网络和信息安全建设取得扎实成效。

（来源：中证网）

3.企业如何履行数据安全个人信息保护社会责任?CCIA发指南

近日，CCIA数据安全委员会发布了《数据安全和个人信息保护社会责任指南》（以下简称《指南》），自2023年2月1日起实施。

《指南》提出，组织宜指定具体的高管担任实施数据安全和个人信息保护社会责任工作的负责人并明确其职责，如任命高管担任数据保护官(DPO)或首席隐私官(CPO)等职位。同时，组织宜为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算。

（来源：隐私护卫队）

二、技术资讯

4.CNNVD关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞101个，影响到微软产品的其他厂商漏洞0个。包括Microsoft Windows Local Security Authority Subsystem Service 安全漏洞（CNNVD-202301-725、CVE-2023-21524）、Microsoft Windows iSCSI 安全漏洞（CNNVD-202301-810、CVE-2023-21527）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态）

5.CISA 命令机构修补勒索软件团伙滥用的Exchange漏洞

网络安全和基础设施安全局（CISA）在其被利用的错误目录中又增加了两个安全漏洞。第一个是作为 CVE-2022-41080 跟踪的 Microsoft Exchange 特权提升错误，该错误可以错误链接以获得远程代码执行。第二个漏洞是 Windows 高级本地过程调用（ALPC）中的特权升级零日漏洞（CVE-2023-21674），该漏洞被标记为在攻击中被利用，并已经被 Microsoft 修补。CISA强烈敦促所有组织修复这些漏洞，以阻止利用企图。

（来源：汇能云安全）

6.恶意PyPI软件包使用Cloudflare隧道潜入防火墙

在另一个针对 Python 包索引 （PyPI） 存储库的活动中，发现了六个恶意包在开发人员系统上部署信息窃取程序。这些库允许人们控制、监控鼠标和键盘输入并捕获屏幕内容，流氓软件包还能够从Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera、Opera GX和Vivaldi浏览器中收集cookie、保存的密码和加密货币钱包数据。

该恶意软件使威胁参与者能够运行 shell 命令、下载远程文件并在主机上执行它们、泄露文件和整个目录，甚至运行任意 python 代码。

（来源：汇能云安全）

三、国际视野

7.美国政府发布安全日志强制留存规定,提升事件响应能力

1月11日消息，美国国家档案与记录管理局（NARA）今天发布更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。其中提出的新规则包括两类网络安全日志记录的保留要求：完整的数据包捕捉数据（PCAP）至少保留72小时；网络安全事件日志必须保存长达30个月。

（来源：安全内参）

8.突破太空网络安全!航天器关键技术爆严重漏洞

1月9日消息，当美国航空航天局（NASA）需要两部在轨航天器保持相对静止并完成对接时，二者的运行必须彼此精确同步，才能防止发生灾难性故障。宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作，发现了该系统及其他安全关键系统所使用的时间触发以太网（简称TTE）中，存在一个严重漏洞“PCspooF”。TTE的安全机制可能因电磁干扰而受到损害；对高优先级信号的计时干扰，足以导致模拟对接程序出现严重故障。

（来源：安全内参）

9.德国对谷歌数据处理条款提出异议:未给予用户充分选择权

据报道，德国反垄断机构“联邦卡特尔局”（FCO）表示，已对谷歌的数据处理条款提出异议，并预计该公司将做出相应调整。联邦卡特尔局表示，谷歌目前并没有向用户提供充分的选择权，让他们决定是否同意，以及在多大程度上同意谷歌处理其数据。

谷歌的一位发言人对此表示，该公司将继续与德国监管机构进行建设性的接触，并试图解决其担忧。

（来源：汇能云安全）

以上内容不代表本部门观点，如有侵权请及时联系我们。