国家工程实验室安全资讯周报20201228期

目录

 技术标准规范

• 数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择

• 个人信息保护之（九 ）| 全国人大法工委：《个人信息保护法（草案）》对个人生物特征等敏感个人信息作出专门规定

 行业发展动态

• 石化行业工控系统信息安全的纵深防御

• 盘点：2020年轨道交通典型网络攻击事件

• 原创 | 制造业ICS网络威胁趋势

• 轨道交通自动化信息安全面临的挑战与应对

• 融合5G网络的智慧医疗应用

• 原创 | 轨道交通列控系统网络安全风险和防护对策研究

• 日媒：中国崛起为世界数据超级大国

 安全威胁分析

• 原创 | OPC UA工业协议分析

• 院士何积丰：智能制造与安全可信人工智能

• FireEye和微软联手绞杀了SolarWinds后门

• 隔空取物 | 攻击者在不利用Wi-Fi硬件的情况下就可以窃取Air-gapped计算机中的数据

• 英国能源公司数据遭泄露整个客户数据库受损

• 浅析Punycode钓鱼攻击

• 5G 网络新漏洞使黑客可跟踪用户位置并窃取数据

• 华为、LG、小米手机无线文件传输曝出严重漏洞

• “日爆木马”攻入管理美国核武器库存的国家核安全局

• 以乌克兰为鉴，美国实战演习检验应对电网攻击的威胁感知与恢复系统

• 回顾 | 2020年国际网络空间发展与安全态势

• 物联网设备安全能力基线研究

• 戴尔Wyse设备曝两个10分安全漏洞，可远程控制并修改文件

• 原创 | 漏洞挖掘之初探

• 物联网安全：安全威胁

• 黄雀在后？SolarWinds供应链攻击曝出第二个后门

• 软件供应链来源攻击分析报告

• TeamTNT部署具有DDoS功能的IRC僵尸网络

• 勒索软件的下一个热门目标：工业控制系统

• 物联网安全：病毒攻击

• SolarWinds Orion供应链攻击：Solorigate分析

• CVSS 10分漏洞影响Dell Wyse Thin客户端设备

• 国内外最新网络安全发展态势

 安全技术方案

• 原创 | 工业互联网分布式零信推断安全体系

• 用内存发射Wi-Fi信号突破物理隔离保护

• 分布式网络化控制系统的信息安全与安全控制

• 基于图的技术在企业威胁评估中的应用

技术标准规范

1. 数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择

随着信息和技术革命的推进，数字经济已经成为全球经济发展的新要求和新趋势，跨境电商、数字贸易等数字经济在全球范围内加速发展，经济贸易全球化推动了数据在不同国家之间交互、流动。跨境数据流动治理对发展数字经济、维护国家安全、构建数字红利收入分配体系至关重要。

https://mp.weixin.qq.com/s/hr92EirJxHXh902A5wp0-A

2. 个人信息保护之（ 九 ）| 全国人大法工委：《个人信息保护法（草案）》对个人生物特征等敏感个人信息作出专门规定

12月21日上午，全国人大常委会法工委发言人记者会在全国人大机关办公楼代表接待室举行。法工委发言人、立法规划室主任岳仲明介绍全国人大常委会立法工作情况并回答记者提问。

https://mp.weixin.qq.com/s/6N_6LX4VgOYnPUy7VKj06w

行业发展动态

3. 石化行业工控系统信息安全的纵深防御

纵观我国工业、能源、交通、水利以及市政等国家关键基础设施建设，DCS、PLC等工业控制系统得以广泛应用，随着我国两化融合的深入发展，信息化的快速发展大大提高了公司的运营效率，但TCP/IP、Ethernet等通用技术和通用产品被大量引入工业领域，也将越来越多的信息安全问题摆在了我们面前。

https://mp.weixin.qq.com/s/iOrk1sMclXxzi7t0zWQpkw

4. 盘点：2020年轨道交通典型网络攻击事件

铁路是国家战略性、先导性、关键性重大基础设施，是国民经济大动脉、重大民生工程和综合交通运输体系骨干，在经济社会发展中的地位和作用至关重要。城市轨道交通是全面开启建设社会主义现代化强国的重要支撑，是建设现代化经济体系的先行领域，也是建设交通强国和智慧城市的重要组成部分。

https://mp.weixin.qq.com/s/FL6zB4K1GS25lQx7rXySLw

5. 原创 | 制造业ICS网络威胁趋势

制造业面临的网络风险在逐年增加，主要表现为影响工业过程的破坏性网络攻击、信息收集和过程信息窃取以及针对工业控制系统(ICS)的新型攻击。以网络攻击为驱动的制造业生产过程破坏越来越普遍。近日工业网络安全公司Dragos发布了《制造业网络威胁展望》，详细梳理了造成信息收集和处理信息窃取的入侵行为，以及针对工业控制系统（ICS）和工业物联网（IIoT）设备的攻击；针对制造组织的ICS威胁最新观察结果及详尽的分析，并提出了实用的防御建议。

https://mp.weixin.qq.com/s/UBam-MLPpxYEBh7COLEbyQ

6. 轨道交通自动化信息安全面临的挑战与应对

随着信息化与工业自动化的深度融合，以及物联网技术的快速发展，工业自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，从而实现了自管理信息层延伸至现场设备的一致性识别、通讯和控制。然而，在工控系统越来越开放的同时，也同步削弱了控制系统与外界的隔离和安全保护。因此，行业/企业在享受网络互连带来的种种好处的同时也面临着各种来源的信息安全威胁，包括病毒、木马向控制网络的扩散等，国内工控系统（ICS）的安全隐患问题日益严峻，应给予足够的重视。

https://mp.weixin.qq.com/s/A5NcA26A40Yu6DJsyhe_ig

7. 融合5G网络的智慧医疗应用

智慧医疗即通过创建健康档案医疗信息综合应用平台，利用最高速率的5G无线传输技术, 实现患者与医务工作者、医疗场所、医疗器材设备之间的互动，达到智能化、信息化。随着移动通讯技术的高速发展，当下5G网络已在医疗、教育、交通等方面有着越来越广泛的应用。其中， 在医疗健康领域的融合发展应用已成为国内外5G行业应用的重要领域。河北省人民医院通过医疗 设备融合5G网络的应用，对提高医院业务管理水平、增强医疗队伍业务能力、提升急危重症抢救成功率将发挥重大作用。

https://mp.weixin.qq.com/s/TKa5-YKafQul7ag8kehYww

8. 原创 | 轨道交通列控系统网络安全风险和防护对策研究

轨道交通已经成为人们的主要出行方式，列控系统是保障列车安全运行的核心系统列。列控系统网络连接着种类繁多、数量庞大的设备，传统的物理隔离的网络安全防护手段已经不能满足高等级的网络安全要求。另外，列控系统是功能安全完整性等级为SIL4的系统，因无法确定对既有控制系统的安全影响，通用互联网络的安全防护手段无法直接使用。本研究提出了一种综合的网络安全防护对策，既保障了列控系统的网络安全，又不对功能安全产生影响。

https://mp.weixin.qq.com/s/y6wQhCaC7t2J9oLdYaVFlA

9. 日媒：中国崛起为世界数据超级大国

印度《欧亚时报》网站11月26日文章，原题为：中国是新的“信息冠军”，在跨境数据流动方面超越美国。过去20年里，中国在经济、国防等不同领域里取得了巨大的增长，现在正作为一个“信息冠军”引领世界。

https://mp.weixin.qq.com/s/TS3V5rjT3XesIuMHdKPL1A

安全威胁分析

10. 原创 | OPC UA工业协议分析

随着OPC 在数以千计的产品中顺利采用，今天的OPC 已经作为自动化系统之间的标准接口而应用在自动化金字塔的不同层次上，它甚至用在很多不是预先设计的领域。还有其它领域的制造商希望利用这样的一个OPC 标准，但却因为 OPC 的COM依赖性和它访问DCOM的远程访问的局限性而不能使用。

https://mp.weixin.qq.com/s/EeQMh9ndjz4LvHs7aWSZGg

11. 院士何积丰：智能制造与安全可信人工智能

人工智能与人类社会是一种和谐共生关系，人工智能赋能经济的发展。在智能制造中，人工智能技术提供了极大的助力，在基础、算法、运维、制造四个层面帮助打造智能制造系统框架，并带来了丰富的产品形态。同时人工智能的发展也存在安全风险，在物理层、算法层、应用层存在不同的安全缺陷，其安全类型以数据安全和算法安全为主要类型，为应对人工智能的安全风险，应当从算法可解释性、隐私保护、公平建模、可信验证、主动防御、伦理法律、系统伦理等七个方面加强应对。

https://mp.weixin.qq.com/s/Xu_M4I6g8OnZowpS8rNXVw

11. FireEye和微软联手绞杀了SolarWinds后门

根据国外媒体的最新报道，微软、FireEye和GoDaddy合作为SolarWindsSunburst后门创建了一个关闭开关，并成功迫使这款恶意软件自行终止了其“生命”。换句话说，也就是臭名昭著的SolarWinds后门现已被微软、FireEye和GoDaddy联合绞杀了。

https://mp.weixin.qq.com/s/B8IUy0_Xj2HREf43mi5CQg

12. 隔空取物 | 攻击者在不利用Wi-Fi硬件的情况下就可以窃取Air-gapped计算机中的数据

许多政府机关或是企业，对于极为机密的应用环境，可能认为采用实体隔离（Air-Gapped）的网络环境，与互联网隔绝，就能防范黑客入侵，但其实不然，因为，信息人员留下的资料发送渠道，攻击者也可能利用相同的渠道窃取。在HITCON 2020上，趋势科技网络威胁研究员Joey Chen，就对于锁定菲律宾军方发动的USB设备窃密攻击，披露黑客组织使用的工具USBferry，来呼吁构建这种网络隔离环境的单位。因此不能只是完全依赖现有的防护机制，来确保进入隔离网络环境的资料无害。

https://mp.weixin.qq.com/s/KgsmCvmlxxUNJuU2ABpu-Q

13. 英国能源公司数据遭泄露 整个客户数据库受损

据报道，英国能源供应商People's Energy遭受数据泄露，影响了整个客户数据库，包括以前客户的信息。其客户的敏感个人信息，包括姓名、地址、出生日期、电话号码、电费和电表ID都被黑客窃取了。

https://mp.weixin.qq.com/s/_H9W7XWsRu84MJyLAZIgwA

14. 浅析Punycode钓鱼攻击

攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用card号、银行card账户、身份ID号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用card公司等可信的品牌，骗取用户的私人信息。

https://mp.weixin.qq.com/s/VbWb7S2YMz_vKIfVRiVcDQ

15. 5G 网络新漏洞使黑客可跟踪用户位置并窃取数据

随着5G网络的逐渐推广，许多潜在缺陷可被黑客利用以进行一系列网络攻击活动，包括使用户无法访问网络并拦截数据的DoS攻击等。

这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。

https://mp.weixin.qq.com/s/igmy8bOGnofqJu0ZLIpNZg

16. 华为、LG、小米手机无线文件传输曝出严重漏洞

在一项对华为、LG和小米制造的安卓手机的点对点（P2P）文件共享功能的研究中，Doyensec应用程序安全工程师洛伦佐·斯特拉发现，这些手机厂商的文件共享设计程序存在严重的安全漏洞，恶意应用程序可以轻易劫持传输会话。

https://mp.weixin.qq.com/s/aluEqPrDfsAi-NOCefEZyg

17. “日爆木马”攻入管理美国核武器库存的国家核安全局

随着调查的深入，SolarWinds“日爆木马”（SUNBURST）供应链APT攻击持续发酵，据Politico报道，知情官员近日透露，美国能源部（DOE）和负责管理美国核武器储备的国家核安全局（NNSA）有证据表明，其网络已经遭到黑客入侵，这些入侵活动属于SolarWinds日爆木马大规模间谍活动的一部分，该间谍活动已经影响了至少六个联邦机构。

https://mp.weixin.qq.com/s/JpNTlUO1YgEqgGQJ_BsPOg

18. 以乌克兰为鉴，美国实战演习检验应对电网攻击的威胁感知与恢复系统

当前，美国政府官员正竭尽全力测试本国在应对重大网络攻击方面的真实能力。工程师们不仅模拟了种种可能引发电力中断的安全事件，甚至计划在纽约海岸附近的一处孤岛上组织实战演习。

https://mp.weixin.qq.com/s/-9IyUJ52yHVR5zmVyzdAMA

19. 回顾 | 2020年国际网络空间发展与安全态势

当前，美国政府官员正竭尽全力测试本国在应对重大网络攻击方面的真实能力。工程师们不仅模拟了种种可能引发电力中断的安全事件，甚至计划在纽约海岸附近的一处孤岛上组织实战演习。

https://mp.weixin.qq.com/s/I68NDOVJ9Afn2q0U09lM2w

20. 物联网设备安全能力基线研究

论述了物联网设备的安全问题，指出其当前面临的攻击面，提出一组通用的设备能力，以支持常规网络安全，保护设备、数据和系统。针对设备安全展开讨论，分析物联网设备可能面临的威胁，并给出相应的防护策略和物联网设备安全发展建议。

https://mp.weixin.qq.com/s/uM2xpNxvSg3qxFIzAJGlkw

21. 戴尔Wyse设备曝两个10分安全漏洞，可远程控制并修改文件

研究人员揭示了在戴尔Wyse瘦客户端中发现的两个严重安全漏洞，这些漏洞允许攻击者远程执行恶意代码，并访问受影响设备上的任意文件。

https://mp.weixin.qq.com/s/gdcQ7gG_xqcGDbNVXU1cPw

22. 原创 | 漏洞挖掘之初探

什么是漏洞挖掘呢？

从某个角度来讲，我们可以将漏洞挖掘工作比作玩迷宫游戏，不同的是，这个迷宫与我们平时所见的游戏中的迷宫略有不同：

( 1 ) 你无法立即看到它整体的外观

( 2 ) 随着漏洞挖掘工作的深入，这个迷宫的p形状逐渐扩大

( 3 ) 你将会拥有多个起点及终点，但是无法确定这些点具体在哪里

( 4 ) 最终这个迷宫可能永远也无法100%的完整，但是却能够弄清楚A点至B点的一条完整路径。

https://mp.weixin.qq.com/s/hsd5LrChlQIlMSHkBWDMYQ

23. 物联网安全：安全威胁

物联网系统的安全威胁主要来自两个方面：外部攻击和内部攻击。其中，外部攻击的目的是使物联网系统的网络访问无法进行，如DDOS攻击等；内部攻击的目的是破坏物联网系统的正常运行，盗取物联网的系统数据，如病毒、木马等。

https://mp.weixin.qq.com/s/b_etaW8rCGk1gLtXRvL0Eg

24. 黄雀在后？SolarWinds供应链攻击曝出第二个后门

在紧锣密鼓，日以继夜分析SolarWinds Orion供应链攻击时，安全研究人员发现了另一个后门，而这个后门很可能来自另外一个高级威胁组织（APT），换而言之，SolarWinds可能被至少两个APT组织渗透，而且两个组织很有可能并非合作关系。

https://mp.weixin.qq.com/s/fZCLJYvNPliJkdm7M0Macg

25. 软件供应链来源攻击分析报告

2020年12月13日，全球最著名的网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门。该攻击直接导致使用了SolarWinds Orion管理软件某些版本的企业客户全部受到影响：可任由攻击者完全操控。同时，SolarWinds在其官网发布安全通告称，受影响的产品为2020年3月至2020年6月间发布的2019.4到2020.2.1版本的SolarWindsOrion管理软件，并表示约有18000名客户下载使用了受影响的软件产品，但攻击者并未对所有使用者采取进一步的攻击行动，而仅选择感兴趣的目标开展后续攻击。

https://mp.weixin.qq.com/s/oYDh6iEGlM4Fp0JP75Rfkw

26. TeamTNT部署具有DDoS功能的IRC僵尸网络

今年初，黑客组织TeamTNT使用XMRig 加密货币挖矿机攻击了暴露的Docker API。随着时间的发展，研究人员发现TeamTNT 在不断扩展其功能，并从AWS 窃取SSH 凭证。本文分析TeamTNT最新的攻击活动中使用攻击者组织中自己的IRC。该IRC bot是TNTbotinger，具有DDoS 攻击能力。

https://mp.weixin.qq.com/s/CuHWwi_7H5BJOT3bhEISOw

27. 勒索软件的下一个热门目标：工业控制系统

SolarWinds供应链APT攻击的风暴正在席卷全球，同时也为工控系统安全敲响警钟，因为与曾经波及工控系统的NotPetya和Havex类似，SolarWinds供应链攻击中的SUNBURST和SUPERNOVA恶意软件（后门）再次向世人证明，当下的防火墙、防病毒系统、入侵检测系统对此类攻击无能为力，而随着OT网络与企业网络的集成化发展，类似SolarWinds供应链漏洞的巨大威力已经引起了勒索软件组织的极大兴趣。

https://mp.weixin.qq.com/s/4gGttmrpNHZJ2ikIpwkouQ

28. 物联网安全：病毒攻击

计算机病毒（Computer Virus）是人为制造的、能够进行自我复制的、对计算机资源具有破坏作用的一组程序或指令的集合，这是计算机病毒的广义定义。计算机病毒把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时能够自我复制和传染。

https://mp.weixin.qq.com/s/KiQzKMRvFNL-MoJgrSxOxQ

29. SolarWinds Orion供应链攻击：Solorigate分析

近日，我们与安全行业的合作伙伴一起，继续调查Solorigate（或SUNBURST）攻击的情况。目的是希望为安全社区提供情报，以了解其范围和影响，以及实现基于产品的检测和防护。

https://mp.weixin.qq.com/s/AXApqoDPHaEkhAYDOOGB0w

30. CVSS 10分漏洞影响Dell Wyse Thin客户端设备

近日，CyberMDX 研究人员公开了今年6月在Dell Wyse Thin客户端中发现了2个安全漏洞，漏洞CVE编号为CVE-2020-29491 和 CVE-2020-29492，这两个漏洞CVSS 评分都为10分，漏洞影响运行ThinOS v8.6及更低版本的所有设备。攻击者利用这两个漏洞可以在受影响的设备上远程运行恶意代码和访问受害者设备上的任意文件。

https://mp.weixin.qq.com/s/OcPRqMP71eqW4cUQQvhv4A

31. 国内外最新网络安全发展态势

重要事件回顾，智览网安行业发展。近日国内外网安行业发生了哪些重要事件，呈现出了怎样的发展态势呢？本文将从行业大角度出发，带领大家回顾近日国内外行业的重要事件，探究其中的发展态势。

https://mp.weixin.qq.com/s/Vahg9i9RzuXLDxUYImAHWQ

安全技术方案

33. 原创 | 工业互联网分布式零信推断安全体系

工业互联网在新基建背景下打造全新工业生态，构建关键基础设施创新应用模式。其安全主旨围绕工业互联网“设备安全、网络安全、控制安全、应用安全、数据安全”进行构建，并在上述基础上推进安全运营中心建设。安全构建坚持“同步规划、同步建设、同步运营”的三同步原则，以规范管理为基础、以集成整合为主线、以确保控制业务可用性为重点、以信息安全技术为保障，持续完善工业信息安全体系建设，全面提高控制领域信息安全管理水平、应用水平和服务水平，构建工业智能化发展的安全可信环境。

https://mp.weixin.qq.com/s/IJLw3pPi2m6wqtgB2-gF3w

34. 用内存发射Wi-Fi信号突破物理隔离保护

研究人员称，可以利用DDR SDRAM硬件产生的隐秘Wi-Fi信号从物理隔离的计算机中窃取数据。

近日，以色列内盖夫本古里安大学的Mordechai Guri在发表的一篇论文

（https://arxiv.org/pdf/2012.06884.pdf）中详细介绍了AIR-FI，这是一种新的数据泄露技术。利用AIR-FI，安装在物理隔离系统上的恶意软件可以生成附近设备能够获取的Wi-Fi信号，然后通过互联网送给攻击者。

https://mp.weixin.qq.com/s/4ETz0iok_rDahNSrJwjlaQ

35. 分布式网络化控制系统的信息安全与安全控制

近年来，工业控制系统遭受恶意攻击事件的频繁报道，使得分布式网络控制系统的安全问题引起了极大的关注。本文通过分析传统IT系统与分布式网络控制系统的信息安全目标，揭示了分布式网络控制系统的信息物理安全问题的重要性、必要性和紧迫性。详细介绍了分布式网络控制系统的信息物理安全研究的当前最新进展。最后，从系统理论的角度探讨了分布式网络控制系统的信息物理安全研究存在的问题并提出了一些见解。

https://mp.weixin.qq.com/s/mfWuhkLXowKgWp15R5rvQQ

36. 基于图的技术在企业威胁评估中的应用

5G，云和物联网等技术的发展必将赋能新的信息设施。新的设施会带来新的场景，在新的场景中，入侵途径增加等原因会导致网络安全的问题越来越多。当然新技术的发展也会使网络安全防护向着更高水平的智能化和自动化的方向发展。如何打造智能化的网络安全防护成为了学术界和工业界的热点。人、技术、流程这三个要素，已成为网络安全运营（SecOps）中被广泛认可的铁三角。

https://mp.weixin.qq.com/s/B4v7N2GCe9mGVRkv4qXTwg

[本文资讯内容来源于互联网，版权归作者所有。由“网络安全应急技术国家工程实验室”整理发布]

本文始发于微信公众号（网络安全应急技术国家工程实验室）：国家工程实验室安全资讯周报20201228期