技術標準規(guī)范

　　1.最新！個人信息保護法草案三審稿6大修改

　　8月13日上午，全國人大常委會法制工作委員會舉行記者會。發(fā)言人臧鐵偉介紹了立法工作有關情況并回答記者提問。

　　https://mp.weixin.qq.com/s/L8pgpcD0pfkxU0kBKw9SZg

　　2.《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行

　　《關鍵信息基礎設施安全保護條例》已經(jīng)2021年4月27日國務院第133次常務會議通過，現(xiàn)予公布，自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/PikXGt7JPGXZVn8KFV-5EQ

　　3.司法部 網(wǎng)信辦 工業(yè)和信息化部 公安部負責人就《關鍵信息基礎設施安全保護條例》答記者問

　　2021年7月30日，國務院總理李克強簽署第745號國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行。

　　https://mp.weixin.qq.com/s/UI2sKzqQE44mCrxnnzSTQg

　　4.淺談如何規(guī)范有序地開展網(wǎng)絡安全需求分析

　　近年來，部分大型企業(yè)尤其是關鍵信息基礎設施行業(yè)領域，隨著網(wǎng)絡安全形勢日益嚴峻復雜，國家對網(wǎng)絡安全的重視也提高到前所未有的程度，網(wǎng)絡安全監(jiān)管政策趨嚴，最近滴滴接受網(wǎng)絡安全審查就是最直接的明證。

　　https://mp.weixin.qq.com/s/V54qSV2w3B8J8XG0bRP8hQ

　　5.智能網(wǎng)聯(lián)汽車發(fā)展加速，數(shù)據(jù)安全如何規(guī)范？

　　智能網(wǎng)聯(lián)汽車在為社會生活帶來方便快捷的同時正處于技術快速演進、產(chǎn)業(yè)加速布局的商業(yè)化前期階段。而汽車智能化、網(wǎng)聯(lián)化發(fā)展在為生活帶來便利的同時，也會產(chǎn)生諸如未經(jīng)授權的個人信息和重要數(shù)據(jù)采集、利用等數(shù)據(jù)安全問題，網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全問題，駕駛自動化系統(tǒng)隨機故障、功能不足等引發(fā)的道路交通安全問題等。

　　https://mp.weixin.qq.com/s/A30iqPxjTSVSK_OB1KgIoQ

　　6.汽車數(shù)據(jù)安全管理若干規(guī)定（試行）

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》已經(jīng)2021年7月5日國家互聯(lián)網(wǎng)信息辦公室2021年第10次室務會議審議通過，并經(jīng)國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部同意，現(xiàn)予公布，自2021年10月1日起施行。

　　https://mp.weixin.qq.com/s/ybyTF0qKVpShWDDyS5oG2Q

　　7.個人信息保護法來了

　　個人信息保護法來了！十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》將于2021年11月1日起施行。

　　https://mp.weixin.qq.com/s/w-eLIitvBxC9OKD8_QcHmw

　　行業(yè)發(fā)展動態(tài)

　　8.2021年第二季度的垃圾郵件和網(wǎng)絡釣魚攻擊趨勢介紹

　　2021 年第二季度，企業(yè)賬戶仍然是網(wǎng)絡攻擊者最誘人的目標之一，為了增加電子郵件中鏈接的可信度，詐騙者模仿來自流行云服務的郵件。這種技術以前已經(jīng)使用過很多次了。

　　https://mp.weixin.qq.com/s/rJajb0ABlUCsw1wZMAohFA

　　9.福特網(wǎng)站漏洞泄露內(nèi)部系統(tǒng)客戶和員工記錄

　　福特汽車公司網(wǎng)站上的一個漏洞允許訪問敏感系統(tǒng)并獲取專有數(shù)據(jù)，例如客戶數(shù)據(jù)庫、員工記錄、內(nèi)部票證等。

　　https://mp.weixin.qq.com/s/rji4eIjkdeHizW6vh94IUw

　　10.信息時代“突發(fā)性網(wǎng)絡攻擊”的安全挑戰(zhàn)與應對

　　網(wǎng)絡安全是信息時代國家安全的重要領域。突發(fā)性網(wǎng)絡攻擊是當下網(wǎng)絡空間的重要威脅，闡釋突發(fā)性網(wǎng)絡攻擊的概念與特征，分析其對國家安全的挑戰(zhàn)與應對策略，有利于構筑網(wǎng)絡安全屏障，提升國家安全水平。

　　https://mp.weixin.qq.com/s/YD51CbzYH5M8C6RBmzYwfQ

　　11.AI網(wǎng)絡釣魚攻擊即將成為現(xiàn)實

　　近日，來自新加坡的研究人員開展了一項實驗，他們成功利用人工智能和相關API來制作令人信服的魚叉式網(wǎng)絡釣魚電子郵件，而無需人工干預，該實驗可驗證攻擊者未來可能采取的攻擊策略。

　　https://mp.weixin.qq.com/s/NtDhluwpfNvAa8Rcz3pGjg

　　12.前沿 | 全球主要國家和地區(qū)數(shù)字政策及其戰(zhàn)略考量

　　新科技革命促使數(shù)字技術、數(shù)字經(jīng)濟領域產(chǎn)生大量規(guī)則空白。傳統(tǒng)國際機制在回應數(shù)字經(jīng)濟治理需求中遇到阻力，新規(guī)則新秩序處于建構期。世界主要國家和地區(qū)為應對數(shù)字全球化的機遇與挑戰(zhàn)，積極出臺數(shù)字政策，并深深打上本國政治經(jīng)濟的烙印。

　　https://mp.weixin.qq.com/s/LaIhxCGf8-EqWNltL_0JOA

　　13.被忽視的智慧農(nóng)業(yè)網(wǎng)絡安全問題：農(nóng)業(yè)面臨日益嚴重的網(wǎng)絡威脅

　　網(wǎng)絡犯罪分子的目標是農(nóng)業(yè)食品供應鏈部門。隨著對新技術的日益依賴，農(nóng)場和網(wǎng)絡安全正在尋找合作的途徑。長期以來，農(nóng)業(yè)、農(nóng)場被認為受到潛在網(wǎng)絡攻擊的風險很低。

　　https://mp.weixin.qq.com/s/tBKAmar7VWdf9Wdu9DRFqA

　　14.【聚焦東盟】防范數(shù)字企業(yè)壟斷 促進數(shù)據(jù)跨境流動

　　東盟數(shù)字總體規(guī)劃2025》（后簡稱《規(guī)劃2025》）的宗旨是指引東盟2021年至2025年的數(shù)字合作，將東盟建設成一個由安全和變革性的數(shù)字服務、技術和生態(tài)系統(tǒng)所驅動的領先數(shù)字社區(qū)和經(jīng)濟體。

　　https://mp.weixin.qq.com/s/zphV1t7UJoayEucgW4hjEg

　　15.提升網(wǎng)絡彈性和應對政府信息安全挑戰(zhàn)

　　Esti Peshin 是以色列航空航天工業(yè) （ IAI ）網(wǎng)絡部門副總裁兼總經(jīng)理。此前，她曾在以色列國防軍的一個精英技術單位服役 11 年，擔任副主任。

　　https://mp.weixin.qq.com/s/SkSd2Dkq87jRDLaNtxuogw

　　16.伊朗網(wǎng)絡間諜假借人力資源招募攻擊以色列目標

　　一個疑是與伊朗政府關聯(lián)的網(wǎng)絡間諜組織一直在試圖利用供應鏈工具和大型基礎設施來攻擊以色列IT公司，這些工具和設施使他們能夠冒充人力資源人員，以吸引 IT 專家并侵入他們的電腦，獲取他們公司的數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/BrmY1LSAcKRMihEkURsn8g

　　17.北美大型電力供應商網(wǎng)絡事件大幅上升

　　北美能源可靠性公司（North American Energy Reliability Corporation, NERC）的年度報告顯示，去年，在許多類別的事件中，上報給北美電力行業(yè)信息共享中心的網(wǎng)絡安全相關事件數(shù)量增加了一倍以上。

　　https://mp.weixin.qq.com/s/_1KXTeTFccSIw-FZ4qZ0GQ

　　18.美國人口普查局被黑

　　正如美國監(jiān)察長辦公室 （OIG） 在最近的一份報告中披露的那樣，美國人口普查局的服務器于2020年1月11日遭到黑客入侵，黑客利用了Citrix ADC零日漏洞。

　　https://mp.weixin.qq.com/s/WNxbrJLm_3lhpelcB3DbMA

　　19.美國石油學會發(fā)布新版管道網(wǎng)絡安全標準

　　美國石油學會（API）發(fā)布了第3版標準（Std） 1164，“管道控制系統(tǒng)網(wǎng)絡安全”，強調(diào)了天然氣和石油行業(yè)對保護美國關鍵基礎設施免受惡意和潛在破壞性網(wǎng)絡攻擊的持續(xù)承諾。

　　https://mp.weixin.qq.com/s/qQp1QR5Kqq2OjG9_gCEb0w

　　安全威脅分析

　　20.伊朗鐵路系統(tǒng)遭黑的幕后組織終曝光--并非什么“大玩家”原來是一個“小毛賊”

　　上個月即7月9日對伊朗鐵路系統(tǒng)的網(wǎng)絡攻擊造成大范圍混亂，數(shù)百列火車延誤或取消時，人們自然地指攻擊者向與德黑蘭長期處于幽靈戰(zhàn)爭中的以色列。因為近年來，伊朗及其核計劃一直是一系列網(wǎng)絡攻擊的目標，其中包括2009-2010年由以色列和美國領導的針對鈾濃縮設施的著名的震網(wǎng)攻擊事件。

　　https://mp.weixin.qq.com/s/d5_x_d1lih6fSU-CL_V5hQ

　　21.5G時代電信 IT 基礎設施中所潛藏的安全風險

　　語音通話仍然是最受信任的通信類型之一，盡管如此，攻擊者仍然可以利用運營商間的信任來利用可信環(huán)境、基礎設施和運營商之間的互連來實施遠程攻擊場景。訪問國外的電信基礎設施也足以進行語音呼叫重定向和攔截。

　　https://mp.weixin.qq.com/s/res4kwyX37Ij1f_VBgiOGQ

　　22.Android惡意軟件“FlyTrap”劫持Facebook賬戶

　　研究人員發(fā)現(xiàn)了一種名為FlyTrap的新型Android木馬，該木馬通過第三方應用商店中被操縱的應用、側載應用和被劫持的Facebook帳戶導致10,000多名用戶收到攻擊。

　　https://mp.weixin.qq.com/s/1oiDRSdaUYncIyD1vZlGLw

　　23.原創(chuàng) | SIMATIC S7-300-400中間人攻擊

　　S7Comm全稱S7 Communication ，是西門子為了多個PLC之間、SCADA與PLC之間的通信而設計的專屬協(xié)議。在西門子S7-300 / 400系列、S7-200系列、S7-200 Smart系列上應用。S7-1200和S7-1500系列采用帶有加密簽名的S7 CommPlus協(xié)議。

　　https://mp.weixin.qq.com/s/hEMewu-zOfPxYBiGV9x9pA

　　24.美官員最新透露今年早些時候緬因州的兩個供水設施遭遇勒索軟件攻擊

　　緬因州官員最近透露，今年早些時候，該州阿魯斯托克縣兩個農(nóng)村污水系統(tǒng)遭到勒索軟件攻擊。所幸的是，沒有支付任何費用，也沒有客戶數(shù)據(jù)受到損害。攻擊表明，在防范黑客方面，小城鎮(zhèn)需要與大社區(qū)一樣警惕。

　　https://mp.weixin.qq.com/s/qXogcLHlCkZpRic2-JyqrQ

　　25.物聯(lián)網(wǎng)設備軟件供應鏈再爆嚴重漏洞，數(shù)百萬設備面臨被操控風險

　　Mandianat公司的研究人員當?shù)貢r間周二表示，數(shù)百萬智能家居設備使用的軟件存在漏洞，此漏洞已被分配CVSS3.1基礎分數(shù)為9.6，并被跟蹤為CVE-2021-28372和FEYE-2021-0020。黑客可能會竊取嬰兒監(jiān)視器和網(wǎng)絡攝像頭等設備上的音頻和視頻數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/fsi5OP5XzEX4eJ4kkW3EeQ

　　26.190萬美國秘密監(jiān)視名單在線曝光

　　一個包含190萬條記錄的秘密恐怖分子觀察名單在互聯(lián)網(wǎng)上曝光，其中包括機密的“禁飛”記錄，該列表可以在沒有密碼的Elasticsearch集群上訪問。

　　https://mp.weixin.qq.com/s/HgwY_ImCsIx0xGdDr_qR2g

　　27.最危險的Microsoft 365攻擊技術

　　APT組織正在開發(fā)新技術，使他們能夠避免檢測并從電子郵件、SharePoint、OneDrive以及其他應用程序中竊取數(shù)百GB的數(shù)據(jù)。

　　https://mp.weixin.qq.com/s/8o1lyic7IX1py9V5cSS-Dg

　　28.巴西經(jīng)濟部內(nèi)部網(wǎng)絡遭遇勒索軟件攻擊

　　據(jù)了解，DGS在經(jīng)濟部管理和數(shù)字政府特別秘書處下運作，在巴西網(wǎng)絡部署中發(fā)揮戰(zhàn)略作用。DGS 還是SISP的中央機構，該系統(tǒng)被用于規(guī)劃、協(xié)調(diào)、組織、運營、控制和監(jiān)督聯(lián)邦政府200多個機構的信息技術資源。

　　https://mp.weixin.qq.com/s/9tkReJBsv33NSec9YkJzrA

　　29.Firefox91支持用戶一鍵清除指定或全部網(wǎng)站的Cookie

　　Firefox研發(fā)者宣布對 Firefox 的 cookie 處理進行了一項新的重大隱私功能的增強設計，可讓用戶完全清除任何網(wǎng)站的瀏覽器歷史記錄。

　　https://mp.weixin.qq.com/s/5Nwp1WsxxkarfLdvUfeUHQ

　　30.美國放棄駐喀布爾大使館會帶來網(wǎng)絡安全風險嗎？

　　安全專家評估美國撤離阿富汗的影響。一些安全專家說，由于應急計劃已經(jīng)落實到位，美國放棄駐阿富汗大使館和其他設施不太可能造成網(wǎng)絡風險。

　　https://mp.weixin.qq.com/s/RA3uE5W3e2SiSIW9kJDFUQ

　　31.日本最大財險公司遭勒索軟件攻擊：保險行業(yè)已成為主要攻擊目標

　　日前，日本跨國保險公司東京海上控股（Tokio Marine Holdings）披露稱，新加坡分公司新加坡東京海上保險（TMiS）遭受勒索軟件攻擊。

　　https://mp.weixin.qq.com/s/MPja51IppAS6d4p9s4lRaQ

　　32.更多網(wǎng)絡欺詐的潛在威脅

　　在2021年，隨著惡意行為者將欺詐重點從金融服務轉移到旅游和休閑等行業(yè)，針對企業(yè)和消費者的數(shù)字欺詐（指非法用戶有意冒充合法用戶接受或發(fā)送數(shù)據(jù)，欺騙、干擾、破壞軟硬件的正常運行或獲取交互數(shù)據(jù)）比率在持續(xù)上升。

　　https://mp.weixin.qq.com/s/U66qeATVQ5RzWI3-QLyyZQ

　　安全技術方案

　　33.原創(chuàng) | 一頭扎進 IoT Bugs 中是種什么體驗？

　　91個物聯(lián)網(wǎng)開源項目，5565個 Bug，9 次采訪，194 位 IoT 開發(fā)人員驗證，從這里面，我們能對物聯(lián)網(wǎng)bug有什么了解？在本篇文章中，我們將跟隨來自ICSE 2021的論文——“IoT Bugs and Development Challenges” 一探究竟。

　　https://mp.weixin.qq.com/s/sEFIvfho88i0r9kbmr7zCw

　　34.能源行業(yè)最需要的七項網(wǎng)絡安全技能

　　想要投身抗擊網(wǎng)絡攻擊的永恒事業(yè)？那你可能需要提升或獲得一些（或全部）市場上最熱門的技能。

　　https://mp.weixin.qq.com/s/4i7451bYGGOwoADpWq-4kQ

　　35.原創(chuàng) | 東盟數(shù)字規(guī)劃與電子政務

　　為指引東盟2021年至2025年的數(shù)字合作，將東盟建設成一個由安全和變革性的數(shù)字服務、技術和生態(tài)系統(tǒng)所驅動的領先數(shù)字社區(qū)和經(jīng)濟體，《東盟數(shù)字總體規(guī)劃2025》（后簡稱《規(guī)劃2025》）制定了八項預期行動，其中第五項，以“提高電子政務服務的質量和使用”為目標（后簡稱為“電子政務行動”）。

　　https://mp.weixin.qq.com/s/Gi613syzbpR4mQ3sox_0dw

　　36.原創(chuàng) | 釣魚郵件攻擊出現(xiàn)新手法，黑客利用摩爾斯電碼、ASCII等多種編碼來逃避檢測

　　微軟揭露了一項自2020年7月開始出現(xiàn)的為期一年的釣魚郵件攻擊的細節(jié)。攻擊者在釣魚郵件里挾帶了偽裝成發(fā)票的HTML文檔，來竊取Office 365賬戶憑據(jù)。

　　https://mp.weixin.qq.com/s/xLNDYkr9sQnuFofYI8vSCw

　　37.網(wǎng)絡安全是企業(yè)轉向數(shù)字化改革模式的重中之重

　　91%的企業(yè)承認他們無法為其客戶、員工和業(yè)務合作伙伴提供高質量的數(shù)字體驗。他們同意在整個組織中只有不同數(shù)字策略和流程的拼湊而成，以形成的服務。