技術標準規范

　　1.重磅 | 關于撤銷網絡安全等級測評機構推薦證書的公告

　　為貫徹落實國務院“放管服”改革要求，不斷提升網絡安全等級測評機構管理工作的規范化、專業化和社會化水平，經研究決定，自即日起，國家網絡安全等級保護工作協調小組辦公室撤銷網絡安全等級測評機構推薦證書，不再發布《全國網絡安全等級測評機構推薦目錄》，相關工作納入國家認證體系。

　　https://mp.weixin.qq.com/s/M4iQ_CBG1PG7DKSGEiqNAg

　　2.工信部：從四方面深化工業和信息化領域數據安全保護工作

　　在介紹“十四五”期間，如何做好工業和信息化領域數據安全保護工作時，工信部網絡安全管理局副局長杜廣達表示，習近平總書記多次強調“要切實保障國家數據安全”。隨著數字經濟加速發展，數據已成為新型生產要素，加強數據治理、保護數據安全事關國家安全和人民權益。

　　https://mp.weixin.qq.com/s/T8Pc4TLc-p8ktmE0haVSRA

　　3.供應鏈安全 | 加強統籌協調 創新工作機制 共同應對全球 ICT 供應鏈安全挑戰

　　近年來，國際逆全球化勢力抬頭，世界政治經濟局勢深刻變革，全球 ICT 供應鏈體系處在解構與重構之中，不確定性顯著上升，通過ICT供應鏈非法控制和干擾破壞的事件層出不窮，不僅對我國經濟穩定運行造成較大沖擊，也對我國關鍵信息基礎設施的網絡安全造成了嚴重威脅。

　　https://mp.weixin.qq.com/s/Iy6NC6kJ9FoQMnWyzQyTnA

　　4.消費類軟件安全成焦點！工信部指導騰訊，美NIST公開征求對《消費類軟件網絡安全標識基線標準草案》的意見

　　消費者軟件供應商很快就可以選擇將他們的軟件貼上符合國家標準與技術協會（NIST）軟件安全標準的標簽。2021年11月1日，NIST在題為《消費類軟件網絡安全標識基線標準草案》的白皮書中公布了該標準的初稿。

　　https://mp.weixin.qq.com/s/liDiJJwq6rZnwEbjtmNuYA

　　5.貫徹落實數據安全法 促進跨境數據安全流動

　　《數據安全法》中關于跨境數據流動的第二條、第十一條、第二十五條、第二十六條、第三十一條、第三十六條和第四十六條、第四十八條等條款，對境內外數據處理活動、數據領域國際交流合作、數據出口管制、國別數據對等開放、數據出境安全管理、數據監管國際合作等都做出規定。從全球看，跨境數據流動監管仍未形成共識。

　　https://mp.weixin.qq.com/s/rg8p9_XiEA_RNu2EPybA9g

　　行業發展動態

　　6.美國GridEx VI電網安全演習的典型特點

　　北美電力可靠性公司NERC的電網安全演習GridEx VI已經結束了其演習的分布式演練部分。在11月16-17兩天時間里，700多名規劃人員領導他們的組織努力實施他們的響應和恢復計劃，以應對針對北美大容量電力系統和其他關鍵基礎設施的模擬、協調的網絡和物理攻擊。

　　https://mp.weixin.qq.com/s/Hnck3geQNYjCL8kaxdr_BQ

　　7.突發！伊朗私營航空公司馬漢航空遭網絡攻擊，損害程度及幕后真相仍不明

　　據路透社（Reuters）報道，伊朗官方媒體11月21日報道，針對伊朗私營航空公司馬漢航空（Mahan Air）的網絡攻擊被挫敗。馬漢航空因支持伊朗伊斯蘭革命衛隊（Islamic Revolutionary Guard Corps）而被美國列入黑名單，該航空公司聲稱受到了來自宿敵美國和以色列的網絡攻擊。

　　https://mp.weixin.qq.com/s/Z83nVDSL6Is3YxSNjj37RQ

　　8.風電巨頭維斯塔斯遭網絡攻擊并導致數據泄露

　　丹麥風力渦輪機巨頭Vestas Wind Systems遭遇網絡攻擊，這起事件破壞了其部分內部IT基礎設施并導致尚未明確的數據泄露。維斯塔斯在 11月19日事件發生后關閉了其部分系統。

　　https://mp.weixin.qq.com/s/ulCIRg_BV_9lUp4PRK5Uig

　　9.特斯拉服務器錯誤致車輛無法解鎖

　　從美國東部時間19日下午4時起，有多個Tesla車主在社交平臺發文稱，Tesla app在與車輛通信時返回500服務器錯誤消息。

　　https://mp.weixin.qq.com/s/aYGOoJcX1oDs9ZSQr6GqxQ

　　10.美國一醫療機構近60萬名患者個人信息可能已遭到泄露

　　據BleepingComputer網站報道，美國猶他州醫療中心Utah Imaging Associates（UIA）近日宣布，該機構系統中的數據存在泄露風險，58萬多名患者的個人信息可能已遭到竊取。

　　https://mp.weixin.qq.com/s/2TbYzyiCyRCvFheTmHmIyw

　　11.美國國防創新部門（DIU）發布“負責任的人工智能指南”

　　美國國防創新部門（DIU）于 11 月 15 日發布了其最初的“負責任的人工智能指南”（RAI）文件，旨在將美國國防部的人工智能道德原則落實到其商業原型設計和采購工作中。

　　https://mp.weixin.qq.com/s/VCuCP_v1WSivkWu3vLl3Aw

　　12.Canopy家長控制應用程序曝出xss漏洞

　　研究人員稱，Canopy是一個家長控制應用程序，它提供了一系列的功能，可以通過內容檢查來保護孩子們上網，但它卻很容易受到各種跨站腳本（XSS）攻擊。

　　這些攻擊可以造成禁用孩子的監控甚至是更嚴重的后果，還可以向家長提供惡意軟件。

　　https://mp.weixin.qq.com/s/GvGg_3MLZ1Tb98X-Lp8smQ

　　13.《數據安全法》簡析與對貫徹落實工作的建議

　　經過三次審議，2021 年 6 月 10 日，第十三屆全國人大常委會第二十九次會議通過了《數據安全法》。該法于 2021 年 9 月 1 日起施行。作為我國第一部數據安全領域的專門法律和我國國家安全領域的重要法律，《數據安全法》為保障國家、企業及個人的數據安全，促進數據的開發利用，維護組織和個人的合法權益提供了堅實可靠的法律依據，有助于推動國家數字經濟安全健康發展。

　　https://mp.weixin.qq.com/s/e2qwS6FQl14jFHg1r-hDwQ

　　14.淺析美軍涉IT和網絡相關工作部門

　　美國軍隊有很多以技術為導向的職業。這些工作可能在地面支持前線作戰行動，也可能在現代高科技數據中心的辦公桌前，遠離子彈或炸彈的威脅。

　　https://mp.weixin.qq.com/s/ccCBRYNqEh8F_zSdHhGRng

　　15.英國交通部官網遭黑，關鍵頁面被蓄意篡改

　　當地時間11月25日早些時候，英國交通部（DfT）的一個網站被發現提供色情服務。正常情況下，被修改的特定DfT子域是為公眾和部門的業務計劃提供重要的DfT統計數據的。目前charts.dft.gov.uk頁面仍然無法訪問。英國交通部尚未回應媒體的置評請求！

　　https://mp.weixin.qq.com/s/cqT4cNK1zr5JSOhpC7cu9Q

　　安全威脅分析

　　16.新版國家安全戰略與俄羅斯網絡空間安全部署

　　2021 年 7 月，俄羅斯發布新版國家安全戰略，信息安全成為保障國家安全的九大優先方向之一。在國家安全觀的指引下，俄羅斯對網絡空間新的威脅展開了分析，并確定展開 16 項舉措以確保信息安全，加強俄羅斯在信息領域的主權。

　　https://mp.weixin.qq.com/s/XObW1jc0WMWgZ7c89wQqbA

　　17.GoDaddy數據泄露影響120萬WordPress站長

　　世界上最大的域名注冊商之一，網絡注冊商和托管公司GoDaddy周一向美國證券交易委員會（SEC）提交了一份文件，顯示該公司多達120萬個托管WordPress客戶的數據已被未經授權的第三方訪問。

　　https://mp.weixin.qq.com/s/K-19SiGSpuJpnj5u44dQVg

　　18.總體國家安全觀視角下的區塊鏈與國家安全

　　區塊鏈作為一項戰略性前沿技術，與國家安全關系密切。總體國家安全觀是我國新時代國家安全工作的根本遵循，在此框架下梳理區塊鏈在軍事安全、社會安全、經濟安全等國家安全領域的應用，分析區塊鏈為國家安全帶來的挑戰，并研究如何利用區塊鏈賦能我國國家安全工作，將幫助我們全面、辯證地對待區塊鏈與國家安全的關系。

　　https://mp.weixin.qq.com/s/vf0vvZqoqP_vLMK0RhLb0A

　　19.生物安全的網絡攻擊警報：生物制造基礎設施已成為復雜APT攻擊的目標

　　美國生物經濟信息共享與分析中心（BIO-ISAC）當地時間11月23日對針對生物制造設施的網絡攻擊發出警報。警報稱名為Tardigrade的新活動最初于2021年春季發現，當時在一家大型生物制造設施的網絡中發現了SmokeLoader惡意軟件的新變種。

　　https://mp.weixin.qq.com/s/xunLOk2zETN7dhckIoIp8w

　　20.網絡安全需要嵌入式耐久性戰略-《直面網絡風險：網絡安全的嵌入式耐久性戰略》

　　當前網絡攻擊在數量、強度和復雜性方面持續增長。盡管攻擊者在不斷變化，但幾十年來，企業領導者卻因采用相同的網絡風險管理策略而飽受困擾。組織必須學習如何擺脫臨時解決方案并投資于長期的彈性措施，以在未來的網絡經濟中蓬勃發展。

　　https://mp.weixin.qq.com/s/MhqiGfCC1JfeeHuVTwrweA

　　21.物聯網安全威脅情報（2021年10月）

　　根據CNCERT監測數據，自2021年10月1日至31日，共監測到物聯網（IoT））設備攻擊行為7億8140萬次，捕獲IoT惡意樣本4322個，發現IoT惡意程序傳播IP地址34萬5295個、威脅資產（IP地址）1074萬4880個，境內被攻擊的設備地址達1355萬個。

　　https://mp.weixin.qq.com/s/nTC94g6P_OfMv_H8xYThng

　　22.供應鏈安全 | 軟件供應鏈安全現狀分析與對策建議

　　數字化時代，軟件無處不在。軟件已經成為支撐社會正常運轉的最基本元素之一，軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。隨著軟件產業的快速發展，軟件供應鏈也越發復雜多元，復雜的軟件供應鏈會引入一系列的安全問題，導致信息系統的整體安全防護難度越來越大。

　　https://mp.weixin.qq.com/s/2hLV3J2icGKXZLEtBqDAKA

　　23.聯發科曝芯片漏洞 37%安卓手機可能監聽用戶

　　鳳凰網科技訊 北京時間11月25日消息，安全廠商Check Point今天披露，由聯發科設計的片上系統音頻處理固件存在一處安全漏洞，惡意應用可以秘密將用戶手機“變成”監聽工具。

　　https://mp.weixin.qq.com/s/t-mfTdV73rAeYx4Dky7Enw

　　24.APT組織利用FatPipe VPN中的0 Day漏洞長達六個月

　　FBI警告稱，至少從5月開始，威脅行為者就一直在利用FatPipe虛擬專用網絡（VPN）設備中的0day漏洞來破壞公司并訪問其內部網絡。“截至2021年11月，FBI取證分析表明，FatPipe MPVPN設備軟件中的0day漏洞至少可以追溯到2021年5月，”該局在周二的警報（PDF）中表示。

　　https://mp.weixin.qq.com/s/WPS4jcI3HI3ujrQ_rcrDUw

　　25.構建企業數據資產保護的安全底座

　　隨著《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》的正式實施，數據安全已經成為企業數據管理和開發利用過程中最核心的問題之一，其范圍也擴大到安全和隱私兩個層面。在更為嚴格的監管要求及數據安全規范化管理的驅使下，企業數據安全管理工作面臨更高的管理要求及復雜度挑戰。

　　https://mp.weixin.qq.com/s/kDH3U2_LBTmqcI3lJ876Ew

　　26.蘋果公司正式起訴間諜軟件“制造商”NSO Group

　　11月25日，Security Affairs披露最新消息，蘋果公司正式對以色列間諜軟件開發商NSO Group及其母公司 Q Cyber Technologies提起訴訟，指控其使用間諜軟件非法監控蘋果客戶。

　　https://mp.weixin.qq.com/s/wnIVWbUYXTLniTaU_2VKDw

　　安全技術方案

　　27.CISA發布網絡安全響應計劃

　　CISA發布針對聯邦機構的網絡安全響應計劃。

　　美國CISA（Cybersecurity and Infrastructure Security Agency，網絡安全和基礎設施安全局）日前發布專門針對聯盟文職行政機構的新版網絡安全響應計劃（操作手冊）。

　　https://mp.weixin.qq.com/s/uZjpN2BCni64kVfrHbqbNw

　　28.《5G網絡云基礎設施安全指南》第I部分發布

　　盡管云計算將在5G網絡的成功落地中發揮著關鍵作用，但任何新技術的應用都會帶來安全問題，云計算也不例外。美國國家安全局（NSA）和網絡安全與基礎設施安全局（CISA）近期發布了《5G網絡云基礎設施安全指南第I部分：防止和檢測橫向移動》（以下簡稱“指南”）。

　　https://mp.weixin.qq.com/s/O31ia9zeiJaazXAmFHFFkw

　　29.5大IT風險評估框架

　　從網絡安全的角度來看，如今的組織正在一個高風險的世界中運營。這種情況下，擁有風險管理框架顯得至關重要，因為風險永遠無法完全消除；它只能得到有效管理。企業評估和管理風險的能力變得前所未有得重要。

　　https://mp.weixin.qq.com/s/Y1p2ln3RyrfHxwBdmRD-gw

　　30.網絡安全正在成為大數據分析的下一個熱點

　　新冠情讓網絡安全威脅態勢變得更加嚴峻，網絡釣魚攻擊在過去一年平均增長了70%，數據泄露的平均成本于今年上升至21659美元，企業組織都在想尋求更好的方法來維護網絡安全，大數據分析因此有了用武之地。

　　https://mp.weixin.qq.com/s/ZHuPuhn56OhKuOdpuZq0oQ

　　31.美軍“戰場物聯網”及其區塊鏈保證技術的研究進展

　　據2020年美軍相關網站的最新報道，美國陸軍和海軍正在研究如何將更多的物聯網設備引入作戰領域，海軍正在努力開發自己的航海物聯網艦隊，陸軍正將物聯網技術帶入戰場。

　　https://mp.weixin.qq.com/s/G3l6ZAXLuF7WAQG_Neu_uA

　　32.區塊鏈技術及其軍事應用

　　當前，區塊鏈技術已成為與人工智能、量子信息、物聯網同等重要， 并可能產生顛覆性影響的新一代信息技術，是一座未探明儲量的金礦。同其他新興技術產生后必然應用于軍事領域一樣，近年來世界發達國家軍隊紛紛探索區塊鏈的軍事應用，以期在新一輪軍事革命大潮中占據先機。