技术标准规范

　　1.重磅 | 关于撤销网络安全等级测评机构推荐证书的公告

　　为贯彻落实国务院“放管服”改革要求，不断提升网络安全等级测评机构管理工作的规范化、专业化和社会化水平，经研究决定，自即日起，国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书，不再发布《全国网络安全等级测评机构推荐目录》，相关工作纳入国家认证体系。

　　https://mp.weixin.qq.com/s/M4iQ_CBG1PG7DKSGEiqNAg

　　2.工信部：从四方面深化工业和信息化领域数据安全保护工作

　　在介绍“十四五”期间，如何做好工业和信息化领域数据安全保护工作时，工信部网络安全管理局副局长杜广达表示，习近平总书记多次强调“要切实保障国家数据安全”。随着数字经济加速发展，数据已成为新型生产要素，加强数据治理、保护数据安全事关国家安全和人民权益。

　　https://mp.weixin.qq.com/s/T8Pc4TLc-p8ktmE0haVSRA

　　3.供应链安全 | 加强统筹协调 创新工作机制 共同应对全球 ICT 供应链安全挑战

　　近年来，国际逆全球化势力抬头，世界政治经济局势深刻变革，全球 ICT 供应链体系处在解构与重构之中，不确定性显著上升，通过ICT供应链非法控制和干扰破坏的事件层出不穷，不仅对我国经济稳定运行造成较大冲击，也对我国关键信息基础设施的网络安全造成了严重威胁。

　　https://mp.weixin.qq.com/s/Iy6NC6kJ9FoQMnWyzQyTnA

　　4.消费类软件安全成焦点！工信部指导腾讯，美NIST公开征求对《消费类软件网络安全标识基线标准草案》的意见

　　消费者软件供应商很快就可以选择将他们的软件贴上符合国家标准与技术协会（NIST）软件安全标准的标签。2021年11月1日，NIST在题为《消费类软件网络安全标识基线标准草案》的白皮书中公布了该标准的初稿。

　　https://mp.weixin.qq.com/s/liDiJJwq6rZnwEbjtmNuYA

　　5.贯彻落实数据安全法 促进跨境数据安全流动

　　《数据安全法》中关于跨境数据流动的第二条、第十一条、第二十五条、第二十六条、第三十一条、第三十六条和第四十六条、第四十八条等条款，对境内外数据处理活动、数据领域国际交流合作、数据出口管制、国别数据对等开放、数据出境安全管理、数据监管国际合作等都做出规定。从全球看，跨境数据流动监管仍未形成共识。

　　https://mp.weixin.qq.com/s/rg8p9_XiEA_RNu2EPybA9g

　　行业发展动态

　　6.美国GridEx VI电网安全演习的典型特点

　　北美电力可靠性公司NERC的电网安全演习GridEx VI已经结束了其演习的分布式演练部分。在11月16-17两天时间里，700多名规划人员领导他们的组织努力实施他们的响应和恢复计划，以应对针对北美大容量电力系统和其他关键基础设施的模拟、协调的网络和物理攻击。

　　https://mp.weixin.qq.com/s/Hnck3geQNYjCL8kaxdr_BQ

　　7.突发！伊朗私营航空公司马汉航空遭网络攻击，损害程度及幕后真相仍不明

　　据路透社（Reuters）报道，伊朗官方媒体11月21日报道，针对伊朗私营航空公司马汉航空（Mahan Air）的网络攻击被挫败。马汉航空因支持伊朗伊斯兰革命卫队（Islamic Revolutionary Guard Corps）而被美国列入黑名单，该航空公司声称受到了来自宿敌美国和以色列的网络攻击。

　　https://mp.weixin.qq.com/s/Z83nVDSL6Is3YxSNjj37RQ

　　8.风电巨头维斯塔斯遭网络攻击并导致数据泄露

　　丹麦风力涡轮机巨头Vestas Wind Systems遭遇网络攻击，这起事件破坏了其部分内部IT基础设施并导致尚未明确的数据泄露。维斯塔斯在 11月19日事件发生后关闭了其部分系统。

　　https://mp.weixin.qq.com/s/ulCIRg_BV_9lUp4PRK5Uig

　　9.特斯拉服务器错误致车辆无法解锁

　　从美国东部时间19日下午4时起，有多个Tesla车主在社交平台发文称，Tesla app在与车辆通信时返回500服务器错误消息。

　　https://mp.weixin.qq.com/s/aYGOoJcX1oDs9ZSQr6GqxQ

　　10.美国一医疗机构近60万名患者个人信息可能已遭到泄露

　　据BleepingComputer网站报道，美国犹他州医疗中心Utah Imaging Associates（UIA）近日宣布，该机构系统中的数据存在泄露风险，58万多名患者的个人信息可能已遭到窃取。

　　https://mp.weixin.qq.com/s/2TbYzyiCyRCvFheTmHmIyw

　　11.美国国防创新部门（DIU）发布“负责任的人工智能指南”

　　美国国防创新部门（DIU）于 11 月 15 日发布了其最初的“负责任的人工智能指南”（RAI）文件，旨在将美国国防部的人工智能道德原则落实到其商业原型设计和采购工作中。

　　https://mp.weixin.qq.com/s/VCuCP_v1WSivkWu3vLl3Aw

　　12.Canopy家长控制应用程序曝出xss漏洞

　　研究人员称，Canopy是一个家长控制应用程序，它提供了一系列的功能，可以通过内容检查来保护孩子们上网，但它却很容易受到各种跨站脚本（XSS）攻击。

　　这些攻击可以造成禁用孩子的监控甚至是更严重的后果，还可以向家长提供恶意软件。

　　https://mp.weixin.qq.com/s/GvGg_3MLZ1Tb98X-Lp8smQ

　　13.《数据安全法》简析与对贯彻落实工作的建议

　　经过三次审议，2021 年 6 月 10 日，第十三届全国人大常委会第二十九次会议通过了《数据安全法》。该法于 2021 年 9 月 1 日起施行。作为我国第一部数据安全领域的专门法律和我国国家安全领域的重要法律，《数据安全法》为保障国家、企业及个人的数据安全，促进数据的开发利用，维护组织和个人的合法权益提供了坚实可靠的法律依据，有助于推动国家数字经济安全健康发展。

　　https://mp.weixin.qq.com/s/e2qwS6FQl14jFHg1r-hDwQ

　　14.浅析美军涉IT和网络相关工作部门

　　美国军队有很多以技术为导向的职业。这些工作可能在地面支持前线作战行动，也可能在现代高科技数据中心的办公桌前，远离子弹或炸弹的威胁。

　　https://mp.weixin.qq.com/s/ccCBRYNqEh8F_zSdHhGRng

　　15.英国交通部官网遭黑，关键页面被蓄意篡改

　　当地时间11月25日早些时候，英国交通部（DfT）的一个网站被发现提供色情服务。正常情况下，被修改的特定DfT子域是为公众和部门的业务计划提供重要的DfT统计数据的。目前charts.dft.gov.uk页面仍然无法访问。英国交通部尚未回应媒体的置评请求！

　　https://mp.weixin.qq.com/s/cqT4cNK1zr5JSOhpC7cu9Q

　　安全威胁分析

　　16.新版国家安全战略与俄罗斯网络空间安全部署

　　2021 年 7 月，俄罗斯发布新版国家安全战略，信息安全成为保障国家安全的九大优先方向之一。在国家安全观的指引下，俄罗斯对网络空间新的威胁展开了分析，并确定展开 16 项举措以确保信息安全，加强俄罗斯在信息领域的主权。

　　https://mp.weixin.qq.com/s/XObW1jc0WMWgZ7c89wQqbA

　　17.GoDaddy数据泄露影响120万WordPress站长

　　世界上最大的域名注册商之一，网络注册商和托管公司GoDaddy周一向美国证券交易委员会（SEC）提交了一份文件，显示该公司多达120万个托管WordPress客户的数据已被未经授权的第三方访问。

　　https://mp.weixin.qq.com/s/K-19SiGSpuJpnj5u44dQVg

　　18.总体国家安全观视角下的区块链与国家安全

　　区块链作为一项战略性前沿技术，与国家安全关系密切。总体国家安全观是我国新时代国家安全工作的根本遵循，在此框架下梳理区块链在军事安全、社会安全、经济安全等国家安全领域的应用，分析区块链为国家安全带来的挑战，并研究如何利用区块链赋能我国国家安全工作，将帮助我们全面、辩证地对待区块链与国家安全的关系。

　　https://mp.weixin.qq.com/s/vf0vvZqoqP_vLMK0RhLb0A

　　19.生物安全的网络攻击警报：生物制造基础设施已成为复杂APT攻击的目标

　　美国生物经济信息共享与分析中心（BIO-ISAC）当地时间11月23日对针对生物制造设施的网络攻击发出警报。警报称名为Tardigrade的新活动最初于2021年春季发现，当时在一家大型生物制造设施的网络中发现了SmokeLoader恶意软件的新变种。

　　https://mp.weixin.qq.com/s/xunLOk2zETN7dhckIoIp8w

　　20.网络安全需要嵌入式耐久性战略-《直面网络风险：网络安全的嵌入式耐久性战略》

　　当前网络攻击在数量、强度和复杂性方面持续增长。尽管攻击者在不断变化，但几十年来，企业领导者却因采用相同的网络风险管理策略而饱受困扰。组织必须学习如何摆脱临时解决方案并投资于长期的弹性措施，以在未来的网络经济中蓬勃发展。

　　https://mp.weixin.qq.com/s/MhqiGfCC1JfeeHuVTwrweA

　　21.物联网安全威胁情报（2021年10月）

　　根据CNCERT监测数据，自2021年10月1日至31日，共监测到物联网（IoT））设备攻击行为7亿8140万次，捕获IoT恶意样本4322个，发现IoT恶意程序传播IP地址34万5295个、威胁资产（IP地址）1074万4880个，境内被攻击的设备地址达1355万个。

　　https://mp.weixin.qq.com/s/nTC94g6P_OfMv_H8xYThng

　　22.供应链安全 | 软件供应链安全现状分析与对策建议

　　数字化时代，软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。

　　https://mp.weixin.qq.com/s/2hLV3J2icGKXZLEtBqDAKA

　　23.联发科曝芯片漏洞 37%安卓手机可能监听用户

　　凤凰网科技讯 北京时间11月25日消息，安全厂商Check Point今天披露，由联发科设计的片上系统音频处理固件存在一处安全漏洞，恶意应用可以秘密将用户手机“变成”监听工具。

　　https://mp.weixin.qq.com/s/t-mfTdV73rAeYx4Dky7Enw

　　24.APT组织利用FatPipe VPN中的0 Day漏洞长达六个月

　　FBI警告称，至少从5月开始，威胁行为者就一直在利用FatPipe虚拟专用网络（VPN）设备中的0day漏洞来破坏公司并访问其内部网络。“截至2021年11月，FBI取证分析表明，FatPipe MPVPN设备软件中的0day漏洞至少可以追溯到2021年5月，”该局在周二的警报（PDF）中表示。

　　https://mp.weixin.qq.com/s/WPS4jcI3HI3ujrQ_rcrDUw

　　25.构建企业数据资产保护的安全底座

　　随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的正式实施，数据安全已经成为企业数据管理和开发利用过程中最核心的问题之一，其范围也扩大到安全和隐私两个层面。在更为严格的监管要求及数据安全规范化管理的驱使下，企业数据安全管理工作面临更高的管理要求及复杂度挑战。

　　https://mp.weixin.qq.com/s/kDH3U2_LBTmqcI3lJ876Ew

　　26.苹果公司正式起诉间谍软件“制造商”NSO Group

　　11月25日，Security Affairs披露最新消息，苹果公司正式对以色列间谍软件开发商NSO Group及其母公司 Q Cyber Technologies提起诉讼，指控其使用间谍软件非法监控苹果客户。

　　https://mp.weixin.qq.com/s/wnIVWbUYXTLniTaU_2VKDw

　　安全技术方案

　　27.CISA发布网络安全响应计划

　　CISA发布针对联邦机构的网络安全响应计划。

　　美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全和基础设施安全局）日前发布专门针对联盟文职行政机构的新版网络安全响应计划（操作手册）。

　　https://mp.weixin.qq.com/s/uZjpN2BCni64kVfrHbqbNw

　　28.《5G网络云基础设施安全指南》第I部分发布

　　尽管云计算将在5G网络的成功落地中发挥着关键作用，但任何新技术的应用都会带来安全问题，云计算也不例外。美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）近期发布了《5G网络云基础设施安全指南第I部分：防止和检测横向移动》（以下简称“指南”）。

　　https://mp.weixin.qq.com/s/O31ia9zeiJaazXAmFHFFkw

　　29.5大IT风险评估框架

　　从网络安全的角度来看，如今的组织正在一个高风险的世界中运营。这种情况下，拥有风险管理框架显得至关重要，因为风险永远无法完全消除；它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。

　　https://mp.weixin.qq.com/s/Y1p2ln3RyrfHxwBdmRD-gw

　　30.网络安全正在成为大数据分析的下一个热点

　　新冠情让网络安全威胁态势变得更加严峻，网络钓鱼攻击在过去一年平均增长了70%，数据泄露的平均成本于今年上升至21659美元，企业组织都在想寻求更好的方法来维护网络安全，大数据分析因此有了用武之地。

　　https://mp.weixin.qq.com/s/ZHuPuhn56OhKuOdpuZq0oQ

　　31.美军“战场物联网”及其区块链保证技术的研究进展

　　据2020年美军相关网站的最新报道，美国陆军和海军正在研究如何将更多的物联网设备引入作战领域，海军正在努力开发自己的航海物联网舰队，陆军正将物联网技术带入战场。

　　https://mp.weixin.qq.com/s/G3l6ZAXLuF7WAQG_Neu_uA

　　32.区块链技术及其军事应用

　　当前，区块链技术已成为与人工智能、量子信息、物联网同等重要， 并可能产生颠覆性影响的新一代信息技术，是一座未探明储量的金矿。同其他新兴技术产生后必然应用于军事领域一样，近年来世界发达国家军队纷纷探索区块链的军事应用，以期在新一轮军事革命大潮中占据先机。