技術標準規范

　　1.最新！個人信息保護法草案三審稿6大修改

　　8月13日上午，全國人大常委會法制工作委員會舉行記者會。發言人臧鐵偉介紹了立法工作有關情況并回答記者提問。

　　https://mp.weixin.qq.com/s/L8pgpcD0pfkxU0kBKw9SZg

　　2.《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行

　　《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過，現予公布，自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/PikXGt7JPGXZVn8KFV-5EQ

　　3.司法部 網信辦 工業和信息化部 公安部負責人就《關鍵信息基礎設施安全保護條例》答記者問

　　2021年7月30日，國務院總理李克強簽署第745號國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/UI2sKzqQE44mCrxnnzSTQg

　　4.淺談如何規范有序地開展網絡安全需求分析

　　近年來，部分大型企業尤其是關鍵信息基礎設施行業領域，隨著網絡安全形勢日益嚴峻復雜，國家對網絡安全的重視也提高到前所未有的程度，網絡安全監管政策趨嚴，最近滴滴接受網絡安全審查就是最直接的明證。

　　https://mp.weixin.qq.com/s/V54qSV2w3B8J8XG0bRP8hQ

　　5.智能網聯汽車發展加速，數據安全如何規范？

　　智能網聯汽車在為社會生活帶來方便快捷的同時正處于技術快速演進、產業加速布局的商業化前期階段。而汽車智能化、網聯化發展在為生活帶來便利的同時，也會產生諸如未經授權的個人信息和重要數據采集、利用等數據安全問題，網絡攻擊、網絡侵入等網絡安全問題，駕駛自動化系統隨機故障、功能不足等引發的道路交通安全問題等。

　　https://mp.weixin.qq.com/s/A30iqPxjTSVSK_OB1KgIoQ

　　6.汽車數據安全管理若干規定（試行）

　　《汽車數據安全管理若干規定（試行）》已經2021年7月5日國家互聯網信息辦公室2021年第10次室務會議審議通過，并經國家發展和改革委員會、工業和信息化部、公安部、交通運輸部同意，現予公布，自2021年10月1日起施行。

　　https://mp.weixin.qq.com/s/ybyTF0qKVpShWDDyS5oG2Q

　　7.個人信息保護法來了

　　個人信息保護法來了！十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》將于2021年11月1日起施行。

　　https://mp.weixin.qq.com/s/w-eLIitvBxC9OKD8_QcHmw

　　行業發展動態

　　8.2021年第二季度的垃圾郵件和網絡釣魚攻擊趨勢介紹

　　2021 年第二季度，企業賬戶仍然是網絡攻擊者最誘人的目標之一，為了增加電子郵件中鏈接的可信度，詐騙者模仿來自流行云服務的郵件。這種技術以前已經使用過很多次了。

　　https://mp.weixin.qq.com/s/rJajb0ABlUCsw1wZMAohFA

　　9.福特網站漏洞泄露內部系統客戶和員工記錄

　　福特汽車公司網站上的一個漏洞允許訪問敏感系統并獲取專有數據，例如客戶數據庫、員工記錄、內部票證等。

　　https://mp.weixin.qq.com/s/rji4eIjkdeHizW6vh94IUw

　　10.信息時代“突發性網絡攻擊”的安全挑戰與應對

　　網絡安全是信息時代國家安全的重要領域。突發性網絡攻擊是當下網絡空間的重要威脅，闡釋突發性網絡攻擊的概念與特征，分析其對國家安全的挑戰與應對策略，有利于構筑網絡安全屏障，提升國家安全水平。

　　https://mp.weixin.qq.com/s/YD51CbzYH5M8C6RBmzYwfQ

　　11.AI網絡釣魚攻擊即將成為現實

　　近日，來自新加坡的研究人員開展了一項實驗，他們成功利用人工智能和相關API來制作令人信服的魚叉式網絡釣魚電子郵件，而無需人工干預，該實驗可驗證攻擊者未來可能采取的攻擊策略。

　　https://mp.weixin.qq.com/s/NtDhluwpfNvAa8Rcz3pGjg

　　12.前沿 | 全球主要國家和地區數字政策及其戰略考量

　　新科技革命促使數字技術、數字經濟領域產生大量規則空白。傳統國際機制在回應數字經濟治理需求中遇到阻力，新規則新秩序處于建構期。世界主要國家和地區為應對數字全球化的機遇與挑戰，積極出臺數字政策，并深深打上本國政治經濟的烙印。

　　https://mp.weixin.qq.com/s/LaIhxCGf8-EqWNltL_0JOA

　　13.被忽視的智慧農業網絡安全問題：農業面臨日益嚴重的網絡威脅

　　網絡犯罪分子的目標是農業食品供應鏈部門。隨著對新技術的日益依賴，農場和網絡安全正在尋找合作的途徑。長期以來，農業、農場被認為受到潛在網絡攻擊的風險很低。

　　https://mp.weixin.qq.com/s/tBKAmar7VWdf9Wdu9DRFqA

　　14.【聚焦東盟】防范數字企業壟斷 促進數據跨境流動

　　東盟數字總體規劃2025》（后簡稱《規劃2025》）的宗旨是指引東盟2021年至2025年的數字合作，將東盟建設成一個由安全和變革性的數字服務、技術和生態系統所驅動的領先數字社區和經濟體。

　　https://mp.weixin.qq.com/s/zphV1t7UJoayEucgW4hjEg

　　15.提升網絡彈性和應對政府信息安全挑戰

　　Esti Peshin 是以色列航空航天工業 （ IAI ）網絡部門副總裁兼總經理。此前，她曾在以色列國防軍的一個精英技術單位服役 11 年，擔任副主任。

　　https://mp.weixin.qq.com/s/SkSd2Dkq87jRDLaNtxuogw

　　16.伊朗網絡間諜假借人力資源招募攻擊以色列目標

　　一個疑是與伊朗政府關聯的網絡間諜組織一直在試圖利用供應鏈工具和大型基礎設施來攻擊以色列IT公司，這些工具和設施使他們能夠冒充人力資源人員，以吸引 IT 專家并侵入他們的電腦，獲取他們公司的數據。

　　https://mp.weixin.qq.com/s/BrmY1LSAcKRMihEkURsn8g

　　17.北美大型電力供應商網絡事件大幅上升

　　北美能源可靠性公司（North American Energy Reliability Corporation, NERC）的年度報告顯示，去年，在許多類別的事件中，上報給北美電力行業信息共享中心的網絡安全相關事件數量增加了一倍以上。

　　https://mp.weixin.qq.com/s/_1KXTeTFccSIw-FZ4qZ0GQ

　　18.美國人口普查局被黑

　　正如美國監察長辦公室 （OIG） 在最近的一份報告中披露的那樣，美國人口普查局的服務器于2020年1月11日遭到黑客入侵，黑客利用了Citrix ADC零日漏洞。

　　https://mp.weixin.qq.com/s/WNxbrJLm_3lhpelcB3DbMA

　　19.美國石油學會發布新版管道網絡安全標準

　　美國石油學會（API）發布了第3版標準（Std） 1164，“管道控制系統網絡安全”，強調了天然氣和石油行業對保護美國關鍵基礎設施免受惡意和潛在破壞性網絡攻擊的持續承諾。

　　https://mp.weixin.qq.com/s/qQp1QR5Kqq2OjG9_gCEb0w

　　安全威脅分析

　　20.伊朗鐵路系統遭黑的幕后組織終曝光--并非什么“大玩家”原來是一個“小毛賊”

　　上個月即7月9日對伊朗鐵路系統的網絡攻擊造成大范圍混亂，數百列火車延誤或取消時，人們自然地指攻擊者向與德黑蘭長期處于幽靈戰爭中的以色列。因為近年來，伊朗及其核計劃一直是一系列網絡攻擊的目標，其中包括2009-2010年由以色列和美國領導的針對鈾濃縮設施的著名的震網攻擊事件。

　　https://mp.weixin.qq.com/s/d5_x_d1lih6fSU-CL_V5hQ

　　21.5G時代電信 IT 基礎設施中所潛藏的安全風險

　　語音通話仍然是最受信任的通信類型之一，盡管如此，攻擊者仍然可以利用運營商間的信任來利用可信環境、基礎設施和運營商之間的互連來實施遠程攻擊場景。訪問國外的電信基礎設施也足以進行語音呼叫重定向和攔截。

　　https://mp.weixin.qq.com/s/res4kwyX37Ij1f_VBgiOGQ

　　22.Android惡意軟件“FlyTrap”劫持Facebook賬戶

　　研究人員發現了一種名為FlyTrap的新型Android木馬，該木馬通過第三方應用商店中被操縱的應用、側載應用和被劫持的Facebook帳戶導致10,000多名用戶收到攻擊。

　　https://mp.weixin.qq.com/s/1oiDRSdaUYncIyD1vZlGLw

　　23.原創 | SIMATIC S7-300-400中間人攻擊

　　S7Comm全稱S7 Communication ，是西門子為了多個PLC之間、SCADA與PLC之間的通信而設計的專屬協議。在西門子S7-300 / 400系列、S7-200系列、S7-200 Smart系列上應用。S7-1200和S7-1500系列采用帶有加密簽名的S7 CommPlus協議。

　　https://mp.weixin.qq.com/s/hEMewu-zOfPxYBiGV9x9pA

　　24.美官員最新透露今年早些時候緬因州的兩個供水設施遭遇勒索軟件攻擊

　　緬因州官員最近透露，今年早些時候，該州阿魯斯托克縣兩個農村污水系統遭到勒索軟件攻擊。所幸的是，沒有支付任何費用，也沒有客戶數據受到損害。攻擊表明，在防范黑客方面，小城鎮需要與大社區一樣警惕。

　　https://mp.weixin.qq.com/s/qXogcLHlCkZpRic2-JyqrQ

　　25.物聯網設備軟件供應鏈再爆嚴重漏洞，數百萬設備面臨被操控風險

　　Mandianat公司的研究人員當地時間周二表示，數百萬智能家居設備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎分數為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監視器和網絡攝像頭等設備上的音頻和視頻數據。

　　https://mp.weixin.qq.com/s/fsi5OP5XzEX4eJ4kkW3EeQ

　　26.190萬美國秘密監視名單在線曝光

　　一個包含190萬條記錄的秘密恐怖分子觀察名單在互聯網上曝光，其中包括機密的“禁飛”記錄，該列表可以在沒有密碼的Elasticsearch集群上訪問。

　　https://mp.weixin.qq.com/s/HgwY_ImCsIx0xGdDr_qR2g

　　27.最危險的Microsoft 365攻擊技術

　　APT組織正在開發新技術，使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應用程序中竊取數百GB的數據。

　　https://mp.weixin.qq.com/s/8o1lyic7IX1py9V5cSS-Dg

　　28.巴西經濟部內部網絡遭遇勒索軟件攻擊

　　據了解，DGS在經濟部管理和數字政府特別秘書處下運作，在巴西網絡部署中發揮戰略作用。DGS 還是SISP的中央機構，該系統被用于規劃、協調、組織、運營、控制和監督聯邦政府200多個機構的信息技術資源。

　　https://mp.weixin.qq.com/s/9tkReJBsv33NSec9YkJzrA

　　29.Firefox91支持用戶一鍵清除指定或全部網站的Cookie

　　Firefox研發者宣布對 Firefox 的 cookie 處理進行了一項新的重大隱私功能的增強設計，可讓用戶完全清除任何網站的瀏覽器歷史記錄。

　　https://mp.weixin.qq.com/s/5Nwp1WsxxkarfLdvUfeUHQ

　　30.美國放棄駐喀布爾大使館會帶來網絡安全風險嗎？

　　安全專家評估美國撤離阿富汗的影響。一些安全專家說，由于應急計劃已經落實到位，美國放棄駐阿富汗大使館和其他設施不太可能造成網絡風險。

　　https://mp.weixin.qq.com/s/RA3uE5W3e2SiSIW9kJDFUQ

　　31.日本最大財險公司遭勒索軟件攻擊：保險行業已成為主要攻擊目標

　　日前，日本跨國保險公司東京海上控股（Tokio Marine Holdings）披露稱，新加坡分公司新加坡東京海上保險（TMiS）遭受勒索軟件攻擊。

　　https://mp.weixin.qq.com/s/MPja51IppAS6d4p9s4lRaQ

　　32.更多網絡欺詐的潛在威脅

　　在2021年，隨著惡意行為者將欺詐重點從金融服務轉移到旅游和休閑等行業，針對企業和消費者的數字欺詐（指非法用戶有意冒充合法用戶接受或發送數據，欺騙、干擾、破壞軟硬件的正常運行或獲取交互數據）比率在持續上升。

　　https://mp.weixin.qq.com/s/U66qeATVQ5RzWI3-QLyyZQ

　　安全技術方案

　　33.原創 | 一頭扎進 IoT Bugs 中是種什么體驗？

　　91個物聯網開源項目，5565個 Bug，9 次采訪，194 位 IoT 開發人員驗證，從這里面，我們能對物聯網bug有什么了解？在本篇文章中，我們將跟隨來自ICSE 2021的論文——“IoT Bugs and Development Challenges” 一探究竟。

　　https://mp.weixin.qq.com/s/sEFIvfho88i0r9kbmr7zCw

　　34.能源行業最需要的七項網絡安全技能

　　想要投身抗擊網絡攻擊的永恒事業？那你可能需要提升或獲得一些（或全部）市場上最熱門的技能。

　　https://mp.weixin.qq.com/s/4i7451bYGGOwoADpWq-4kQ

　　35.原創 | 東盟數字規劃與電子政務

　　為指引東盟2021年至2025年的數字合作，將東盟建設成一個由安全和變革性的數字服務、技術和生態系統所驅動的領先數字社區和經濟體，《東盟數字總體規劃2025》（后簡稱《規劃2025》）制定了八項預期行動，其中第五項，以“提高電子政務服務的質量和使用”為目標（后簡稱為“電子政務行動”）。

　　https://mp.weixin.qq.com/s/Gi613syzbpR4mQ3sox_0dw

　　36.原創 | 釣魚郵件攻擊出現新手法，黑客利用摩爾斯電碼、ASCII等多種編碼來逃避檢測

　　微軟揭露了一項自2020年7月開始出現的為期一年的釣魚郵件攻擊的細節。攻擊者在釣魚郵件里挾帶了偽裝成發票的HTML文檔，來竊取Office 365賬戶憑據。

　　https://mp.weixin.qq.com/s/xLNDYkr9sQnuFofYI8vSCw

　　37.網絡安全是企業轉向數字化改革模式的重中之重

　　91%的企業承認他們無法為其客戶、員工和業務合作伙伴提供高質量的數字體驗。他們同意在整個組織中只有不同數字策略和流程的拼湊而成，以形成的服務。