技術(shù)標(biāo)準(zhǔn)規(guī)范

　　1.最新！個人信息保護(hù)法草案三審稿6大修改

　　8月13日上午，全國人大常委會法制工作委員會舉行記者會。發(fā)言人臧鐵偉介紹了立法工作有關(guān)情況并回答記者提問。

　　https://mp.weixin.qq.com/s/L8pgpcD0pfkxU0kBKw9SZg

　　2.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》自2021年9月1日起施行

　　《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》已經(jīng)2021年4月27日國務(wù)院第133次常務(wù)會議通過，現(xiàn)予公布，自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/PikXGt7JPGXZVn8KFV-5EQ

　　3.司法部 網(wǎng)信辦 工業(yè)和信息化部 公安部負(fù)責(zé)人就《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》答記者問

　　2021年7月30日，國務(wù)院總理李克強(qiáng)簽署第745號國務(wù)院令，公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《條例》），自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/UI2sKzqQE44mCrxnnzSTQg

　　4.淺談如何規(guī)范有序地開展網(wǎng)絡(luò)安全需求分析

　　近年來，部分大型企業(yè)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)領(lǐng)域，隨著網(wǎng)絡(luò)安全形勢日益嚴(yán)峻復(fù)雜，國家對網(wǎng)絡(luò)安全的重視也提高到前所未有的程度，網(wǎng)絡(luò)安全監(jiān)管政策趨嚴(yán)，最近滴滴接受網(wǎng)絡(luò)安全審查就是最直接的明證。

　　https://mp.weixin.qq.com/s/V54qSV2w3B8J8XG0bRP8hQ

　　5.智能網(wǎng)聯(lián)汽車發(fā)展加速，數(shù)據(jù)安全如何規(guī)范？

　　智能網(wǎng)聯(lián)汽車在為社會生活帶來方便快捷的同時正處于技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的商業(yè)化前期階段。而汽車智能化、網(wǎng)聯(lián)化發(fā)展在為生活帶來便利的同時，也會產(chǎn)生諸如未經(jīng)授權(quán)的個人信息和重要數(shù)據(jù)采集、利用等數(shù)據(jù)安全問題，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全問題，駕駛自動化系統(tǒng)隨機(jī)故障、功能不足等引發(fā)的道路交通安全問題等。

　　https://mp.weixin.qq.com/s/A30iqPxjTSVSK_OB1KgIoQ

　　6.汽車數(shù)據(jù)安全管理若干規(guī)定（試行）

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》已經(jīng)2021年7月5日國家互聯(lián)網(wǎng)信息辦公室2021年第10次室務(wù)會議審議通過，并經(jīng)國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運(yùn)輸部同意，現(xiàn)予公布，自2021年10月1日起施行。

　　https://mp.weixin.qq.com/s/ybyTF0qKVpShWDDyS5oG2Q

　　7.個人信息保護(hù)法來了

　　個人信息保護(hù)法來了！十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護(hù)法》將于2021年11月1日起施行。

　　https://mp.weixin.qq.com/s/w-eLIitvBxC9OKD8_QcHmw

　　行業(yè)發(fā)展動態(tài)

　　8.2021年第二季度的垃圾郵件和網(wǎng)絡(luò)釣魚攻擊趨勢介紹

　　2021 年第二季度，企業(yè)賬戶仍然是網(wǎng)絡(luò)攻擊者最誘人的目標(biāo)之一，為了增加電子郵件中鏈接的可信度，詐騙者模仿來自流行云服務(wù)的郵件。這種技術(shù)以前已經(jīng)使用過很多次了。

　　https://mp.weixin.qq.com/s/rJajb0ABlUCsw1wZMAohFA

　　9.福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶和員工記錄

　　福特汽車公司網(wǎng)站上的一個漏洞允許訪問敏感系統(tǒng)并獲取專有數(shù)據(jù)，例如客戶數(shù)據(jù)庫、員工記錄、內(nèi)部票證等。

　　https://mp.weixin.qq.com/s/rji4eIjkdeHizW6vh94IUw

　　10.信息時代“突發(fā)性網(wǎng)絡(luò)攻擊”的安全挑戰(zhàn)與應(yīng)對

　　網(wǎng)絡(luò)安全是信息時代國家安全的重要領(lǐng)域。突發(fā)性網(wǎng)絡(luò)攻擊是當(dāng)下網(wǎng)絡(luò)空間的重要威脅，闡釋突發(fā)性網(wǎng)絡(luò)攻擊的概念與特征，分析其對國家安全的挑戰(zhàn)與應(yīng)對策略，有利于構(gòu)筑網(wǎng)絡(luò)安全屏障，提升國家安全水平。

　　https://mp.weixin.qq.com/s/YD51CbzYH5M8C6RBmzYwfQ

　　11.AI網(wǎng)絡(luò)釣魚攻擊即將成為現(xiàn)實(shí)

　　近日，來自新加坡的研究人員開展了一項(xiàng)實(shí)驗(yàn)，他們成功利用人工智能和相關(guān)API來制作令人信服的魚叉式網(wǎng)絡(luò)釣魚電子郵件，而無需人工干預(yù)，該實(shí)驗(yàn)可驗(yàn)證攻擊者未來可能采取的攻擊策略。

　　https://mp.weixin.qq.com/s/NtDhluwpfNvAa8Rcz3pGjg

　　12.前沿 | 全球主要國家和地區(qū)數(shù)字政策及其戰(zhàn)略考量

　　新科技革命促使數(shù)字技術(shù)、數(shù)字經(jīng)濟(jì)領(lǐng)域產(chǎn)生大量規(guī)則空白。傳統(tǒng)國際機(jī)制在回應(yīng)數(shù)字經(jīng)濟(jì)治理需求中遇到阻力，新規(guī)則新秩序處于建構(gòu)期。世界主要國家和地區(qū)為應(yīng)對數(shù)字全球化的機(jī)遇與挑戰(zhàn)，積極出臺數(shù)字政策，并深深打上本國政治經(jīng)濟(jì)的烙印。

　　https://mp.weixin.qq.com/s/LaIhxCGf8-EqWNltL_0JOA

　　13.被忽視的智慧農(nóng)業(yè)網(wǎng)絡(luò)安全問題：農(nóng)業(yè)面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅

　　網(wǎng)絡(luò)犯罪分子的目標(biāo)是農(nóng)業(yè)食品供應(yīng)鏈部門。隨著對新技術(shù)的日益依賴，農(nóng)場和網(wǎng)絡(luò)安全正在尋找合作的途徑。長期以來，農(nóng)業(yè)、農(nóng)場被認(rèn)為受到潛在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)很低。

　　https://mp.weixin.qq.com/s/tBKAmar7VWdf9Wdu9DRFqA

　　14.【聚焦東盟】防范數(shù)字企業(yè)壟斷 促進(jìn)數(shù)據(jù)跨境流動

　　東盟數(shù)字總體規(guī)劃2025》（后簡稱《規(guī)劃2025》）的宗旨是指引東盟2021年至2025年的數(shù)字合作，將東盟建設(shè)成一個由安全和變革性的數(shù)字服務(wù)、技術(shù)和生態(tài)系統(tǒng)所驅(qū)動的領(lǐng)先數(shù)字社區(qū)和經(jīng)濟(jì)體。

　　https://mp.weixin.qq.com/s/zphV1t7UJoayEucgW4hjEg

　　15.提升網(wǎng)絡(luò)彈性和應(yīng)對政府信息安全挑戰(zhàn)

　　Esti Peshin 是以色列航空航天工業(yè) （ IAI ）網(wǎng)絡(luò)部門副總裁兼總經(jīng)理。此前，她曾在以色列國防軍的一個精英技術(shù)單位服役 11 年，擔(dān)任副主任。

　　https://mp.weixin.qq.com/s/SkSd2Dkq87jRDLaNtxuogw

　　16.伊朗網(wǎng)絡(luò)間諜假借人力資源招募攻擊以色列目標(biāo)

　　一個疑是與伊朗政府關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織一直在試圖利用供應(yīng)鏈工具和大型基礎(chǔ)設(shè)施來攻擊以色列IT公司，這些工具和設(shè)施使他們能夠冒充人力資源人員，以吸引 IT 專家并侵入他們的電腦，獲取他們公司的數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/BrmY1LSAcKRMihEkURsn8g

　　17.北美大型電力供應(yīng)商網(wǎng)絡(luò)事件大幅上升

　　北美能源可靠性公司（North American Energy Reliability Corporation, NERC）的年度報(bào)告顯示，去年，在許多類別的事件中，上報(bào)給北美電力行業(yè)信息共享中心的網(wǎng)絡(luò)安全相關(guān)事件數(shù)量增加了一倍以上。

　　https://mp.weixin.qq.com/s/_1KXTeTFccSIw-FZ4qZ0GQ

　　18.美國人口普查局被黑

　　正如美國監(jiān)察長辦公室 （OIG） 在最近的一份報(bào)告中披露的那樣，美國人口普查局的服務(wù)器于2020年1月11日遭到黑客入侵，黑客利用了Citrix ADC零日漏洞。

　　https://mp.weixin.qq.com/s/WNxbrJLm_3lhpelcB3DbMA

　　19.美國石油學(xué)會發(fā)布新版管道網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

　　美國石油學(xué)會（API）發(fā)布了第3版標(biāo)準(zhǔn)（Std） 1164，“管道控制系統(tǒng)網(wǎng)絡(luò)安全”，強(qiáng)調(diào)了天然氣和石油行業(yè)對保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施免受惡意和潛在破壞性網(wǎng)絡(luò)攻擊的持續(xù)承諾。

　　https://mp.weixin.qq.com/s/qQp1QR5Kqq2OjG9_gCEb0w

　　安全威脅分析

　　20.伊朗鐵路系統(tǒng)遭黑的幕后組織終曝光--并非什么“大玩家”原來是一個“小毛賊”

　　上個月即7月9日對伊朗鐵路系統(tǒng)的網(wǎng)絡(luò)攻擊造成大范圍混亂，數(shù)百列火車延誤或取消時，人們自然地指攻擊者向與德黑蘭長期處于幽靈戰(zhàn)爭中的以色列。因?yàn)榻陙?，伊朗及其核?jì)劃一直是一系列網(wǎng)絡(luò)攻擊的目標(biāo)，其中包括2009-2010年由以色列和美國領(lǐng)導(dǎo)的針對鈾濃縮設(shè)施的著名的震網(wǎng)攻擊事件。

　　https://mp.weixin.qq.com/s/d5_x_d1lih6fSU-CL_V5hQ

　　21.5G時代電信 IT 基礎(chǔ)設(shè)施中所潛藏的安全風(fēng)險(xiǎn)

　　語音通話仍然是最受信任的通信類型之一，盡管如此，攻擊者仍然可以利用運(yùn)營商間的信任來利用可信環(huán)境、基礎(chǔ)設(shè)施和運(yùn)營商之間的互連來實(shí)施遠(yuǎn)程攻擊場景。訪問國外的電信基礎(chǔ)設(shè)施也足以進(jìn)行語音呼叫重定向和攔截。

　　https://mp.weixin.qq.com/s/res4kwyX37Ij1f_VBgiOGQ

　　22.Android惡意軟件“FlyTrap”劫持Facebook賬戶

　　研究人員發(fā)現(xiàn)了一種名為FlyTrap的新型Android木馬，該木馬通過第三方應(yīng)用商店中被操縱的應(yīng)用、側(cè)載應(yīng)用和被劫持的Facebook帳戶導(dǎo)致10,000多名用戶收到攻擊。

　　https://mp.weixin.qq.com/s/1oiDRSdaUYncIyD1vZlGLw

　　23.原創(chuàng) | SIMATIC S7-300-400中間人攻擊

　　S7Comm全稱S7 Communication ，是西門子為了多個PLC之間、SCADA與PLC之間的通信而設(shè)計(jì)的專屬協(xié)議。在西門子S7-300 / 400系列、S7-200系列、S7-200 Smart系列上應(yīng)用。S7-1200和S7-1500系列采用帶有加密簽名的S7 CommPlus協(xié)議。

　　https://mp.weixin.qq.com/s/hEMewu-zOfPxYBiGV9x9pA

　　24.美官員最新透露今年早些時候緬因州的兩個供水設(shè)施遭遇勒索軟件攻擊

　　緬因州官員最近透露，今年早些時候，該州阿魯斯托克縣兩個農(nóng)村污水系統(tǒng)遭到勒索軟件攻擊。所幸的是，沒有支付任何費(fèi)用，也沒有客戶數(shù)據(jù)受到損害。攻擊表明，在防范黑客方面，小城鎮(zhèn)需要與大社區(qū)一樣警惕。

　　https://mp.weixin.qq.com/s/qXogcLHlCkZpRic2-JyqrQ

　　25.物聯(lián)網(wǎng)設(shè)備軟件供應(yīng)鏈再爆嚴(yán)重漏洞，數(shù)百萬設(shè)備面臨被操控風(fēng)險(xiǎn)

　　Mandianat公司的研究人員當(dāng)?shù)貢r間周二表示，數(shù)百萬智能家居設(shè)備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎(chǔ)分?jǐn)?shù)為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網(wǎng)絡(luò)攝像頭等設(shè)備上的音頻和視頻數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/fsi5OP5XzEX4eJ4kkW3EeQ

　　26.190萬美國秘密監(jiān)視名單在線曝光

　　一個包含190萬條記錄的秘密恐怖分子觀察名單在互聯(lián)網(wǎng)上曝光，其中包括機(jī)密的“禁飛”記錄，該列表可以在沒有密碼的Elasticsearch集群上訪問。

　　https://mp.weixin.qq.com/s/HgwY_ImCsIx0xGdDr_qR2g

　　27.最危險(xiǎn)的Microsoft 365攻擊技術(shù)

　　APT組織正在開發(fā)新技術(shù)，使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應(yīng)用程序中竊取數(shù)百GB的數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/8o1lyic7IX1py9V5cSS-Dg

　　28.巴西經(jīng)濟(jì)部內(nèi)部網(wǎng)絡(luò)遭遇勒索軟件攻擊

　　據(jù)了解，DGS在經(jīng)濟(jì)部管理和數(shù)字政府特別秘書處下運(yùn)作，在巴西網(wǎng)絡(luò)部署中發(fā)揮戰(zhàn)略作用。DGS 還是SISP的中央機(jī)構(gòu)，該系統(tǒng)被用于規(guī)劃、協(xié)調(diào)、組織、運(yùn)營、控制和監(jiān)督聯(lián)邦政府200多個機(jī)構(gòu)的信息技術(shù)資源。

　　https://mp.weixin.qq.com/s/9tkReJBsv33NSec9YkJzrA

　　29.Firefox91支持用戶一鍵清除指定或全部網(wǎng)站的Cookie

　　Firefox研發(fā)者宣布對 Firefox 的 cookie 處理進(jìn)行了一項(xiàng)新的重大隱私功能的增強(qiáng)設(shè)計(jì)，可讓用戶完全清除任何網(wǎng)站的瀏覽器歷史記錄。

　　https://mp.weixin.qq.com/s/5Nwp1WsxxkarfLdvUfeUHQ

　　30.美國放棄駐喀布爾大使館會帶來網(wǎng)絡(luò)安全風(fēng)險(xiǎn)嗎？

　　安全專家評估美國撤離阿富汗的影響。一些安全專家說，由于應(yīng)急計(jì)劃已經(jīng)落實(shí)到位，美國放棄駐阿富汗大使館和其他設(shè)施不太可能造成網(wǎng)絡(luò)風(fēng)險(xiǎn)。

　　https://mp.weixin.qq.com/s/RA3uE5W3e2SiSIW9kJDFUQ

　　31.日本最大財(cái)險(xiǎn)公司遭勒索軟件攻擊：保險(xiǎn)行業(yè)已成為主要攻擊目標(biāo)

　　日前，日本跨國保險(xiǎn)公司東京海上控股（Tokio Marine Holdings）披露稱，新加坡分公司新加坡東京海上保險(xiǎn)（TMiS）遭受勒索軟件攻擊。

　　https://mp.weixin.qq.com/s/MPja51IppAS6d4p9s4lRaQ

　　32.更多網(wǎng)絡(luò)欺詐的潛在威脅

　　在2021年，隨著惡意行為者將欺詐重點(diǎn)從金融服務(wù)轉(zhuǎn)移到旅游和休閑等行業(yè)，針對企業(yè)和消費(fèi)者的數(shù)字欺詐（指非法用戶有意冒充合法用戶接受或發(fā)送數(shù)據(jù)，欺騙、干擾、破壞軟硬件的正常運(yùn)行或獲取交互數(shù)據(jù)）比率在持續(xù)上升。

　　https://mp.weixin.qq.com/s/U66qeATVQ5RzWI3-QLyyZQ

　　安全技術(shù)方案

　　33.原創(chuàng) | 一頭扎進(jìn) IoT Bugs 中是種什么體驗(yàn)？

　　91個物聯(lián)網(wǎng)開源項(xiàng)目，5565個 Bug，9 次采訪，194 位 IoT 開發(fā)人員驗(yàn)證，從這里面，我們能對物聯(lián)網(wǎng)bug有什么了解？在本篇文章中，我們將跟隨來自ICSE 2021的論文——“IoT Bugs and Development Challenges” 一探究竟。

　　https://mp.weixin.qq.com/s/sEFIvfho88i0r9kbmr7zCw

　　34.能源行業(yè)最需要的七項(xiàng)網(wǎng)絡(luò)安全技能

　　想要投身抗擊網(wǎng)絡(luò)攻擊的永恒事業(yè)？那你可能需要提升或獲得一些（或全部）市場上最熱門的技能。

　　https://mp.weixin.qq.com/s/4i7451bYGGOwoADpWq-4kQ

　　35.原創(chuàng) | 東盟數(shù)字規(guī)劃與電子政務(wù)

　　為指引東盟2021年至2025年的數(shù)字合作，將東盟建設(shè)成一個由安全和變革性的數(shù)字服務(wù)、技術(shù)和生態(tài)系統(tǒng)所驅(qū)動的領(lǐng)先數(shù)字社區(qū)和經(jīng)濟(jì)體，《東盟數(shù)字總體規(guī)劃2025》（后簡稱《規(guī)劃2025》）制定了八項(xiàng)預(yù)期行動，其中第五項(xiàng)，以“提高電子政務(wù)服務(wù)的質(zhì)量和使用”為目標(biāo)（后簡稱為“電子政務(wù)行動”）。

　　https://mp.weixin.qq.com/s/Gi613syzbpR4mQ3sox_0dw

　　36.原創(chuàng) | 釣魚郵件攻擊出現(xiàn)新手法，黑客利用摩爾斯電碼、ASCII等多種編碼來逃避檢測

　　微軟揭露了一項(xiàng)自2020年7月開始出現(xiàn)的為期一年的釣魚郵件攻擊的細(xì)節(jié)。攻擊者在釣魚郵件里挾帶了偽裝成發(fā)票的HTML文檔，來竊取Office 365賬戶憑據(jù)。

　　https://mp.weixin.qq.com/s/xLNDYkr9sQnuFofYI8vSCw

　　37.網(wǎng)絡(luò)安全是企業(yè)轉(zhuǎn)向數(shù)字化改革模式的重中之重

　　91%的企業(yè)承認(rèn)他們無法為其客戶、員工和業(yè)務(wù)合作伙伴提供高質(zhì)量的數(shù)字體驗(yàn)。他們同意在整個組織中只有不同數(shù)字策略和流程的拼湊而成，以形成的服務(wù)。