关键基础设施安全资讯周报20210111期

  • A+
所属分类:安全新闻

目录

关键基础设施安全资讯周报20210111期 技术标准规范

  • 数据安全之 ( 五 ) | 5G时代下《欧盟数据治理法案》的解读与启示:卫生数据篇

  • 数据跨境之 ( 十 ) | 政策认知与建议:网络法律评论

  • 数据跨境之 ( 十一 ) | 自由贸易试验区扩容,如何创新跨境数据流动制度?

  • 回顾2020 展望2021 | 工信部网安局:深耕新型基础设施安全保障能力 筑牢网络安全屏障

关键基础设施安全资讯周报20210111期 行业发展动态

  • 原创 | 核电工控系统网络安全浅析

  • 人工智能发展与数据安全挑战

  • 北京数据跨境流动安全管理试点专题研讨专场

  • 翻译 | 欧洲网络与信息安全局《铁路网络安全》

  • 年度盘点 | 2020重大网络安全事件 · 金融篇

关键基础设施安全资讯周报20210111期 安全威胁分析

  • 针对医药行业的移动网络钓鱼攻击

  • Solarwinds供应链攻击武器SUNBURST和TEARDROP分析

  • 原创 | 工业互联网安全漏洞态势分析(2020年)

  • 浅析大数据技术在公共信息安全领域的应用与发展趋势

  • 物联网安全:数据库隐私保护

  • 10万+合勤科技Zyxel安全产品曝出管理员级别后门

  • 门罗币挖矿僵尸网络PGMiner瞄准PostgreSQL

  • ESET的研究人员发现了一起针对越南政府认证机构的供应链攻击行动

  • 物联网安全:位置隐私保护概述

  • Illumio六部曲 | 让安全策略更简单

  • DevSecOps的安全工具金字塔

  • PGMiner:利用PostgreSQL漏洞的新的加密货币挖矿僵尸网络

  • 电信网络违法犯罪中移动App的取证分析与防范对策

  • 十种前沿数据安全技术,聚焦企业合规痛点

  • 关键信息基础设施ICT供应链安全风险评估指标体系研究

  • 工控安全研究 | 储水系统TCP/IP协议仿真实验

  • 牟承晋:工业控制系统信息安全的启示

  • 物联网安全丨基于准入控制的网络边界安全

  • 物联网安全问题与对策

  • 全生命周期工业控制系统信息安全防护分析及主要对策

  • 从《全球数据安全倡议》看数据安全

  • 等保物理安全 | 机房监控系统标准和常见故障

  • 日产公司源代码泄露

关键基础设施安全资讯周报20210111期 安全技术方案

  • 数据安全运营视角下的数据资产安全治理

  • 防火墙安全技术要求

  • 工控渗透框架——s7-300密码破解

  • 物联网安全:位置隐私保护技术

技术标准规范

1. 数据安全之 ( 五 ) | 5G时代下《欧盟数据治理法案》的解读与启示:卫生数据篇

2020年11月25日,欧盟委员会于布鲁塞尔通过了《欧洲数据治理法案》(Data Governance Act)的提案。《欧盟数据治理法案》是2020年《欧洲数据战略》(A European Strategy for Data)中宣布的一系列措施中的第一项,旨在“为欧洲共同数据空间的管理提出立法框架”。

https://mp.weixin.qq.com/s/s5GmL-9nRg-LjtL9_i35ng

2. 数据跨境之 ( 十 ) | 政策认知与建议:网络法律评论

在当前网络空间治理政策中,没有哪类议题能够像数据跨境流动一样,包含如此之复杂的讨论面向:数据主权、隐私保护、法律适用与管辖、乃至国际贸易规则。特别是在2013年斯诺登事件后,随着安全担忧情绪的蔓延,各国政府引入了形式多样的本地化要求,更增加了人们对数据跨境流动政策的困惑与误解。

https://mp.weixin.qq.com/s/CtJkJiS1lxWU44BkqVaRCg

3. 数据跨境之 ( 十一 ) | 自由贸易试验区扩容,如何创新跨境数据流动制度?

过去几年,我们围绕着全球数字治理中的核心议题——跨境数据流动政策展开深入探讨,形成了部分判断和建议,如《跨境数据流动政策认知与建议》。

然而,在当前外部环境发生剧烈变化的背景下,这些观点是否还站得住脚?是否需要调整?值得重新审视。

https://mp.weixin.qq.com/s/akXcqoJrOfROdV_-vdoC5w

4. 回顾2020 展望2021 | 工信部网安局:深耕新型基础设施安全保障能力 筑牢网络安全屏障

2020年,工业和信息化部网络安全管理局坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的十九大和十九届二中、三中、四中、五中全会精神,坚决落实工业和信息化部党组部署要求,牢固树立政治机关意识,落实全面从严治党主体责任,紧紧围绕网络强国战略目标,积极应对内外部复杂形势,奋发作为、攻坚克难,各项工作取得新进步。

https://mp.weixin.qq.com/s/MDWDe4u2JpSzugjvisX91w

行业发展动态

5. 原创 | 核电工控系统网络安全浅析

核电站作为未来世界最为重要的能源供应中心,保障核电站的安全稳定运行是开发利用核电的前提。近年来,随着工业化、信息化进程的加快,数字化控制技术广泛应用于核电站的生产运行,工控网络安全风险也不断向核电领域渗透。

https://mp.weixin.qq.com/s/RzVJKpph2hg38ZQ1_0uG9Q

6. 人工智能发展与数据安全挑战

当前,随着以“数字新基建、数据新要素、在线新经济”为特征的新一波数字经济浪潮全面来临,全球人工智能发展逐步从“探索期”向“成长期”过渡,在技术和产业上均进入重要的转型阶段。在此背景下,人工智能发展和数据安全问题日益深度交织融合,影响用户隐私、公民权益、商业秘密、知识产权、社会公平、国家安全等各个方面,数据安全问题已然成为人工智能全面新发展的重要制约瓶颈和亟需突破的关键挑战。

https://mp.weixin.qq.com/s/0fO3WEF56OzuG9PC5uO_dA

7. 北京数据跨境流动安全管理试点专题研讨专场

北京市数据跨境流动安全管理试点工作已在国内率先进入实施阶段,2020年12月18日于海淀区中关村软件园召开政策对接会。在对接会上,国家互联网应急中心(CNCERT)有关专家分别围绕数据跨境流动安全管理试点、数据分级分类保护、数字贸易试验区等内容进行政策解读,并重点对个人信息出境安全评估的流程、办法、标准进行了讲解。

https://mp.weixin.qq.com/s/4sc4vNgeVGc3hNz6WrtjCA

8. 翻译 | 欧洲网络与信息安全局《铁路网络安全》

2020年11月,欧洲网络与信息安全局(EuropeanUnion Agency for Cybersecurity,ENISA)发布了报告《Railway Cybersecurity》(“铁路网络安全报告”)。系统介绍了信息安全在铁路行业的政策和法规框架、相关干系人、面临的挑战和应对措施、以及在ERTMS中的应用现状。

https://mp.weixin.qq.com/s/9WWaJJ2suMeNBNxuVeSx0w

9. 年度盘点 | 2020重大网络安全事件 · 金融篇

2020年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk BasedSecurity(风险基础安全)数据显示,2020年全球数据泄露总数高达360亿,达到历史新高。

本文对2020年全球重大安全事件进行梳理,精选出金融、互联网、能源、通信、工控、教育、医疗等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。

https://mp.weixin.qq.com/s/wEJutpBn9aSkc4nq09L1-w

安全威胁分析

10. 针对医药行业的移动网络钓鱼攻击

随着辉瑞等制药公司竞相研发出COVID-19疫苗,使用移动钓鱼攻击的黑客团伙正在更换攻击策略,他们希望能得到核心的的研究信息。

https://mp.weixin.qq.com/s/-9ORuAvzPh68bA7155B_4Q

11. Solarwinds供应链攻击武器SUNBURST和TEARDROP分析

2020年12月,FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。这次网络攻击具有一定程度的复杂性,导致外国政府迅速介入,这次攻击中的战术和技术细节非常出色。攻击者没有进行常规的网络钓鱼或者漏洞利用攻击,而是进行了精心设计的供应链攻击。

https://mp.weixin.qq.com/s/xQaoupDrKsxUNHmyhSV11g

12. 原创 | 工业互联网安全漏洞态势分析(2020年)

本文章主要以工业控制系统安全国家地方联合工程实验室漏洞库收录的工业控制系统相关的漏洞信息为基础,综合参考了CommonVulnerabilities & Exposures(CVE)、NationalVulnerability Database(NVD)、中国国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)所发布的漏洞信息,从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。

https://mp.weixin.qq.com/s/fRJ06MwYfyPYJb5RYQxmnw

13. 浅析大数据技术在公共信息安全领域的应用与发展趋势

随着社会信息的快速发展,公共信息安全问题备受社会公众关注,利用大数据技术提升公共信息安全防护水平、助力企业增值增效成为必然趋势。因此,以公共信息安全的全生命周期管理为视角,构建适应于公共信息安全防护的“四级”信息安全监测管理体系,围绕大数据在信息安全风险精确感知、风险主动防御、态势智能监测和风险信息回溯升级四个方面的应用技术展开介绍,并展望了未来的大数据和信息安全发展趋势,力求将大数据在信息安全领域的应用演化为IT商业智能发展趋势中的重要组成部分。

https://mp.weixin.qq.com/s/SKRfMSKLj_8574suDOwZHw

14. 物联网安全:数据库隐私保护

目前,隐私保护技术在数据库中的应用主要集中在数据挖掘和数据发布两个领域。数据挖掘中的隐私保护(Privacy Protection Data Mining,PPDM)是指如何在能保护用户隐私的前提下进行有效的数据挖掘;数据发布中的隐私保护(Privacy Protection Data Publish,PPDP)是指如何在保护用户隐私的前提下发布用户的数据,以供第三方有效地研究和使用。

https://mp.weixin.qq.com/s/hXFoxccE88HMJS6036m5ew

15. 10万+合勤科技Zyxel安全产品曝出管理员级别后门

近日,荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技(Zyxel)是一家位于中国台湾新竹的网络设备制造商。

https://mp.weixin.qq.com/s/X2Sx2hAzddGxl5DWZHw8dw

16. 门罗币挖矿僵尸网络PGMiner瞄准PostgreSQL

Palo Alto Networks Unit 42 的安全研究员发现了一种基于Linux 平台的加密货币挖掘僵尸网络,该僵尸网络利用 PostgreSQL 远程代码执行(RCE)漏洞来攻陷数据库。

https://mp.weixin.qq.com/s/AQtOlT2Xlsiox_qxD3G3Nw

17. ESET的研究人员发现了一起针对越南政府认证机构的供应链攻击行动

ESET的研究人员发现了一起针对越南政府网站的供应链攻击,就在Able Desktop软件遭受供应链攻击的几周后,越南政府认证机构(VGCA)的网站ca.gov.vn又发生了一起类似的攻击。攻击者修改了该网站上可供下载的两个安装程序,并添加了一个后门,以攻击合法应用程序的用户。

https://mp.weixin.qq.com/s/W4SKk6BPBxmOwQ3l1URZ_w

18. 物联网安全:位置隐私保护概述

位置是人或物体所在或所占的地方、所处的方位。位置的近义词是地址,也指一种空间分布。定位是指确定方位,确定场所或界限。下面介绍常用的定位方法和位置服务过程。

https://mp.weixin.qq.com/s/lLm9FL3UHkxl0EbLDWkORA

19. Illumio六部曲 | 让安全策略更简单

设置安全策略通常是相当困难的。由于应用程序是高度互联的,即使只有几百个应用程序(可能由几千个工作负载组成),也可能有数百万个需要分析的连接。所以,设置安全策略的最佳方法是自动化生成允许这些连接的策略。

本文将结合一个演示(Demo),来更清楚地解释自动化的自然语言策略方法。通过手把手的配置过程,令人不禁感叹:原来零信任的实施也可以如此简单!当然,其背后隐藏了很多复杂性。

https://mp.weixin.qq.com/s/xrMcT6jy5hydLLXFNp9TZQ

20. DevSecOps的安全工具金字塔

DevSecOps一词最早由Gartner在2012年提出,并从2017年开始逐渐成为热门词汇。DevSecOps可以理解为将安全性融入到DevOps的过程中,在整个开发和运维的过程中将安全作为一项重要的考虑因素,最终实现应用整个生命周期内的安全性。利用DevSecOps实现安全自动化可以在提高研发运维效率的同时增强应用的安全性。

https://mp.weixin.qq.com/s/FRtsRb5UmoGx21Pk5r62HQ

21. PGMiner:利用PostgreSQL漏洞的新的加密货币挖矿僵尸网络

加密货币挖矿是恶意程序开发者通过其运营获利的一种常见方式,尽管基本的挖矿协议和技术仍然相当标准,但恶意攻击者倾向于寻找并找到更聪明的方法来攻击受害者的计算机。

https://mp.weixin.qq.com/s/ETdz2Q7_x7LCLraXyKm4hQ

22. 电信网络违法犯罪中移动App的取证分析与防范对策

通过对近期具有代表性的、利用移动App实施电信网络新型违法犯罪进行分类介绍,针对不同类型移动App提出取证方法和分析手段,并对相关移动App的开发、传播、执行流程提出了防范对策。

https://mp.weixin.qq.com/s/mlFgMm2D-rnQ4JZ3Wo1v4A

23. 十种前沿数据安全技术,聚焦企业合规痛点

2020年7月和10月,我国陆续发布两部重磅级的法规草案——《数据安全法(草案)》和《个人信息保护法(草案)》。欧盟于2018 年实施《通用数据保护条例》(GDPR),美国于2020 年实施《加州消费者隐私法案》(CCPA),日本于2020年6月通过修订版《个人信息保护法》。随着全球数据安全法规监管的不断强化,合规性问题不得不纳入企业数据安全建设考虑范围。然而,法规对企业更高的安全要求,这给传统的数据安全防护技术与措施带来了前所未有的挑战。

https://mp.weixin.qq.com/s/U3Z5hIAxLazJFPQUVS3vAA

24. 关键信息基础设施ICT供应链安全风险评估指标体系研究

随着信息通信技术(ICT)在党政部门、重点行业领域的普及应用,加强ICT产品服务供应链的安全可控保障变得至关重要。研究从指标框架、指标体系、指标释义和实施过程等方面构建了一套针对关键信息基础设施ICT供应链安全的评估指标体系,该体系主要围绕关键信息基础设施ICT供应链涉及的各个方面衡量其安全性,并输出可能的风险点,可作为评价关键信息基础设施ICT供应链安全程度的依据,进而促进关键信息基础设施ICT供应链安全的检测评估工作开展。

https://mp.weixin.qq.com/s/2KQB01YuMBzH8dr7voYT0w

25. 工控安全研究 | 储水系统TCP/IP协议仿真实验

测试西门子虚拟PLC与组态软件iFIX之间TCP/IP仿真通讯。

TCP/IP传输协议,即传输控制/网络协议,也叫作网络通讯协议。它是网络应用中最基本的通信协议。TCP/IP传输协议对互联网中各部分进行通信的标准和方法进行了规定。并且,TCP/IP传输协议是保证网络数据信息及时、完整传输的两个重要的协议。TCP/IP传输协议是严格来说是一个四层的体系结构,应用层、传输层、网络层和数据链路层都包含其中。

https://mp.weixin.qq.com/s/dyJkpZP-sALp7MNwMbU1nQ

26. 牟承晋:工业控制系统信息安全的启示

近年来引进的NILES-ZP20、NILES-ZE1200、NILES-ZE800数控成型磨齿机、HOFLER-Rapid1250数控成型磨齿机等,产能、加工型号、安装定位等都是固定不变的,使用方不可以任意改变。这些设备都来自国际知名厂家、知名品牌。

https://mp.weixin.qq.com/s/1yBHKsu5bDM5NfKADbQNSA

27. 物联网安全丨基于准入控制的网络边界安全

在物联网网络边界处普遍存在一种现象即终端入网监测及终端设备的安全防护相对薄弱,致使以网络边界处终端设备作为跳板入侵至核心网络,已成为物联网攻击的常规手段。网络边界处终端安全如何保障?准入控制必不可少。为确保接入网络终端为可信终端,终端接入时需要对其合法性进行检测,终端接入后可识别仿冒资产,才能有效解决因不安全终端接入网络而引起的安全威胁,增强物联网网络防御能力。

https://mp.weixin.qq.com/s/C1qKk1qfXtBXIn6WRDtmzw

28. 物联网安全问题与对策

物联网概念是基于“互联网概念”上的,这一概念早在2000年就已经被美国提出,起初叫传感器,它的定义为,利用信息传感设备,如射频识别、红外感应器等设备,在约定协议中通过物联网域名把物品进行连接和信息交换、通信。以达到对智能对象的识别、定位、管理和监控。物联网的出现不仅是信息化产业的一场全球性革命,也为我们的生活带来了巨大的变化。

https://mp.weixin.qq.com/s/_ijuDH2Y04BMKr_YgMg6tQ

29. 全生命周期工业控制系统信息安全防护分析及主要对策

近年来,随着社会的进步,工业控制系统已广泛应用于各种关系到国计民生的安全关键系统中。物联网的普及以及两化融合的推进,使得大量IT技术被应用到工业生产中,工业控制系统已从传统孤立、封闭,向着大规模、开放性、互联互通的方向发展。

https://mp.weixin.qq.com/s/akkjURyT4HHuSBNTEzezcQ

30. 从《全球数据安全倡议》看数据安全

针对全球数据安全领域复杂的国际形势,中方于2020年9月8日提出《全球数据安全倡议》(以下简称《倡议》),为数据安全治理提供蓝图。《倡议》期望通过一系列务实举措与各方一起共同加强数据安全、个人隐私和国家安全的协调发展,促使各国更加重视网络安全和数据安全建设,推动全球数字经济产业的发展与合作。

https://mp.weixin.qq.com/s/G6lQLZ2W1Sy0_bDesFgK6A

31. 等保物理安全 | 机房监控系统标准和常见故障

为提升信息中心机房动力环境设备、网络设备及其他设备安全管理水平、增强设备运行的稳定性、及时发现设备故障隐患、提高管理效率、减轻工作压力,特建立机房集中监控系统。

系统建设要求对机房整体动力环境设备工作有状态演示,故障迅速定位、故障及时通知、保存报警信息及系统运行数据、绘制分析图表、设备巡视分析记录等。

https://mp.weixin.qq.com/s/3zZMy5Ofqk3LKe9TWznYuA

32. 日产公司源代码泄露

传统机动车制造厂商近来麻烦不断,继去年本田遭遇勒索软件攻击、奔驰数据泄露、伊始川崎重工和日产公司又接连曝出数据泄露事故。

https://mp.weixin.qq.com/s/nAxOIsH3fRYlfNOVftrJyw

安全技术方案

33. 数据安全运营视角下的数据资产安全治理

本文从运营角度谈数据资产的安全治理,通过平台化能力实现对涉敏资产识别、评估风险,及一系列治理措施达到风险收敛目的。

https://mp.weixin.qq.com/s/xndIN2R3_GeT25myCBOiLg

34. 防火墙安全技术要求

防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。

https://mp.weixin.qq.com/s/92HCkU7Bz6fbl-zeMxSWcw

35. 工控渗透框架——s7-300密码破解

Siemens系列PLC的密码,通常有4种设置状态,分别为:完全权限,只读权限,最低权限,不允许上传。

由于操作员的疏忽或者调试方便,通常会不给PLC设置密码,或者只设置简单密码,接下来我会展示这样做的危险性。

本文将从PLC密码加密方式开始谈起,之后会讨论PLC密码被暴力破解的可能性,从而得出保证PLC密码安全的方式。

https://mp.weixin.qq.com/s/2RGhoW0j722aQVLCDntKTA

36. 物联网安全:位置隐私保护技术

位置隐私保护是为了防止用户的历史位置以及现在的位置被不法分子或不可信的机构在未经用户允许的情况下获取,也是为了阻止不法分子或不可信的机构根据用户位置信息,结合相应的背景知识推测出用户的其他个人隐私情况,如用户的家庭住址、工作场所、工作内容、个人的身体状况和生活习惯等。下面介绍几种常用的位置隐私保护技术。

https://mp.weixin.qq.com/s/JdFLqMJZs0RmVQqbAJJR_w



[本文资讯内容来源于互联网,版权归作者所有。由“关键基础设施安全应急响应中心”整理发布]

关键基础设施安全资讯周报20210111期

本文始发于微信公众号(关键基础设施安全应急响应中心):关键基础设施安全资讯周报20210111期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: