新闻动态

News information

六方云 安全态势周刊丨第222期

<<返回

2022年10月31日 13:30

01.

业界动态


1、工信部印发《网络产品安全漏洞收集平台备案管理办法》

为规范网络产品安全漏洞收集平台备案管理,工业和信息化部近日印发《网络产品安全漏洞收集平台备案管理办法》。《办法》规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。《办法》自2023年1月1日起施行。

https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8c3a9f746c324ac8a6c033f896356a0d.html


2、中国视频物联安全市场规模达2.832亿美元

近年来,视频物联不断赋能中国经济社会的数字化转型和发展,在政府行业的应用提升了公安、交通、司法等领域的城市治理水平,在金融、能源、制造等企业侧的应用帮助企业实现降本增效。而与此同时,利用视频物联的系统漏洞、弱口令等安全隐患造成的个人信息和视频泄露事件频发。视频物联安全防护与应用发展并重是必然趋势。

https://www.secrss.com/articles/48422


3、关键信息基础设施安全监测预警技术探析

关键信息基础设施防护是网络安全的重中之重。网络安全监测预警作为网络安全发展过程中的重点工作,是关键信息基础设施保护工作中不可或缺的一环。它能够辅助运营者掌握设施的安全状态和安全趋势,有效提升关键信息基础设施的防护能力。

https://www.secrss.com/articles/48389


02.

关键基础设施


1、工业4.0时代数控机床面临严重网络安全威胁

计算机数字控制(CNC)广泛应用于生产工厂,是全球组织的关键资产。数控机床,如自动钻头,车床和铣床的主要好处是,它们被编程来执行重复的任务,目的是提高产量,同时降低成本。在过去的十年中,工业4.0范式所指示的强大推动,推动了工业设备广泛连接的技术的引入,包括在CNC领域。因此,现代数控机床比机械机床更像成熟的系统,因为它们为智能连接和网络集成提供了大量的网络服务。鉴于向更复杂、更依赖软件的生态系统的转变,这些机器更有可能受到潜在威胁。

https://www.secrss.com/articles/48385


03.

安全事件


1、台湾全岛个人信息被放在网上兜售

台湾地区户政系统传出遭黑客入侵,有网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料,并宣称手上有全台2300万民众资料。台湾“调查局”本月25日获报后即展开追查,初步调查确认目前释出的20万笔集中在宜兰地区,且资料都吻合,宜兰县长林姿妙、民进党“立委”陈欧珀等人的个人资料都在其中。

https://www.163.com/dy/article/HKTVTJ3N055080L4.html


2、俄罗斯联邦储蓄银行遭遇大规模DDoS攻击

俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

https://www.plenglish.com/news/2022/10/26/russias-sberbank-repels-largest-cyber-attack-in-its-history/



3、印度塔塔电力公司数据被勒索团伙公开泄露

勒索软件组织Hive本周二在其数据泄露网站上公布了塔塔电力公司(Tata Power)的数据。作为跨国企业集团塔塔集团的子公司,塔塔电力是印度最大的综合电力公司,总部位于孟买。本月初,该公司遭遇攻击发生数据泄露,勒索软件组织Hive宣称对此次攻击负责。

https://www.secrss.com/articles/48314


4、伊朗核电站疑遭伊朗黑客组织攻击,大量数据泄露

伊朗原子能组织在官网(aeoi.org.ir)发表声明称布什尔核电站的电子邮件服务器遭到黑客攻击。该组织将责任归咎于某国政府,但一个名为Black Reward的伊朗黑客组织声称对此次攻击行为负责。

https://www.secrss.com/articles/48251


04.

漏洞事件


1、台达电子工业能源管理系统DIAEnergie多个高危安全漏洞

六方云超弦实验室捕获到最新消息台达电子工业能源管理系统DIAEnergie多个高危安全漏洞,Delta Electronics DIAEnergie是中国台湾台达电子(Delta Electronics)公司推出的的一款推出的一款工业能源管理系统。

https://6cloudtech.com/portal/article/index/id/776/cid/21/pagename/page_news_active/page/1.html


2、罗克韦尔自动化FactoryTalk Alarm and Events Server访问控制不当安全漏洞

六方云超弦实验室捕获到最新消息,Rockwell Automation FactoryTalk Services是美国罗克韦尔(Rockwell Automation)公司的一套生产和性能管理平台,FactoryTalk Alarms and Events是使用在其中的一个就有报警功能的组件。

https://mp.weixin.qq.com/s/zTPIuTYhI_o2C66SW7uVCw


3、Hitachi Energy MicroSCADA X DMS600安全漏洞

六方云超弦实验室捕获到最新消息,Hitachi Energy MicroSCADA X DMS600是日本Hitachi公司的一款 SCADA 产品。DMS600 是对传统 SCADA 系统在线网络监控功能的补充,可实现沿馈线的瞬时故障定位,并在地理地图上显示准确的故障位置。

https://6cloudtech.com/portal/article/index/id/775/cid/21/pagename/page_news_active/page/1.html


4、Windows TCP/IP远程代码执行漏洞

Windows TCP/IP存在远程代码执行漏洞,由于Windows TCP/IP未对用户输入的数据进行充分验证,未经身份验证的远程攻击者通过发送特制的IPv6数据包,最终导致在目标系统上任意执行代码。微软官方表示,只有运行IPSec服务的系统才可能受到该漏洞攻击。CVSS评分为9.8。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34718


5、SQLite拒绝服务漏洞(CVE-2022-35737)

SQLite是使用广泛的开源数据库引擎,默认包含在 Android、iOS、Windows 和 macOS 以及流行的 Web 浏览器( 如 Google Chrome、Mozilla Firefox 和 Apple Safari)中。

https://nvd.nist.gov/vuln/detail/CVE-2022-35737


05.

政策监管


1、工信部印发《网络产品安全漏洞收集平台备案管理办法》

10月25日,工业和信息化部发布印发《网络产品安全漏洞收集平台备案管理办法》,办法中明确漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8c3a9f746c324ac8a6c033f896356a0d.html

 

2、国务院发布全国一体化政务大数据体系建设指南

10月28日,国务院发布全国一体化政务大数据体系建设指南,指南中提到,要整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用。


3、山东网信办、海南网信办开通数据出境安全评估申报通道

根据《数据出境安全评估办法》和国家互联网信息办公室发布的《数据出境安全评估申报指南(第一版)》要求,山东省省向境外提供在境内运营中收集和产生的重要数据和个人信息的组织或个人(以下简称“数据处理者”),应当通过省网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版。为指导和帮助数据处理者规范、有序申报数据出境安全评估,山东省网信办开通数据出境安全评估申报通道。

https://mp.weixin.qq.com/s/obdIRDbYWUBtTmkSO0z33w

 

4、国家网信办《数据出境安全评估办法》自2022年9月1日起正式施行。

为指导和帮助在海南开展数据处理活动的组织和个人规范、有序申报数据出境安全评估,海南省互联网信息办公室根据《数据出境安全评估办法》以及国家网信办《数据出境安全评估申报指南》,制定了《海南省数据出境安全评估申报工作指引(第一版)》,并正式开通数据出境安全评估申报通道。

https://mp.weixin.qq.com/s/uZHQHb6ytfTIcTW3lOoW4g


06.

国家/行业标准


1、四项两化融合国家标准正式发布实施

近日,国家市场监督管理总局(国家标准化管理委员会)发布2022年第13号中国国家标准公告,批准《信息化和工业化融合 数字化转型 价值效益参考模型》(GB/T 23011-2022,简称《数字化转型 价值效益参考模型》)、《信息化和工业化融合管理体系 供应链数字化管理指南》(GB/T 23050-2022,简称《供应链数字化管理指南》)、《信息化和工业化融合管理体系 生产设备运行管理规范》(GB/T 23022-2022,简称《生产设备运行管理规范》)和《信息化和工业化融合管理体系 生产设备运行绩效评价指标集》(GB/T 23023-2022,简称《生产设备运行绩效评价指标集》)4项国家标准正式发布,这是立足新发展阶段,深入推进两化深度融合、加速数字化转型的最新成果,对加快新型工业化发展具有重要意义。

https://www.miit.gov.cn/jgsj/xxjsfzs/gzdt/art/2022/art_c3f3afb57a1b4fef9a78cbb177224746.html

 

2、工业互联网总体网络架构国家标准正式发布

近日,国家标准化管理委员会发布2022年第13号中华人民共和国国家标准公告,批准发布国家标准GB/T 42021-2022《工业互联网 总体网络架构》,这是我国工业互联网网络领域发布的首个国家标准,标志着我国工业互联网体系建设迈出了坚实的一步。


《工业互联网 总体网络架构》国家标准围绕工业互联网网络规划、设计、建设和升级改造,规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求,提出了工业互联网网络实施框架和安全要求,有助于加快构建高质量的工业互联网网络基础设施,有助于引导全行业全产业的数字化、网络化、智能化水平提升,对于加速产业数字化转型具有重要意义。

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2022/art_c7695e22ef0e4ef5b4b48ba94f5d0f0d.html