1.关于Confluence存在远程代码执行漏洞的安全公告
6月3日,据国家信息安全漏洞共享平台(CNVD)网站消息,CNVD收录了Confluence远程代码执行漏洞(CNVD-2022-43094,对应CVE-2022-26134)。未经身份验证的攻击者利用该漏洞可在目标服务器执行任意代码。目前,Atlassian公司已发布漏洞缓解建议,暂未发布修复补丁。CNVD建议受影响的单位和用户按照厂商公告,及时采取漏洞临时缓解措施,并密切关注后续的补丁更新情况。
2.国家市场监督管理总局国家互联网信息办公室关于开展数据安全管理认证工作的公告
6月9日,据中国网信网消息,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。详细内容请参见官方网站。
3.关于Mirai变种Miori僵尸网络大规模传播的风险提示
6月14日,据CNCERT官网消息,CNCERT与奇安信科技集团股份有限公司(奇安信)共同发布《关于Mirai变种Miori僵尸网络大规模传播的风险提示》。近期,CNCERT和奇安信共同监测发现一个在互联网上快速传播新的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1万、且每日会针对多个攻击目标发起攻击,给网络空间带来较大威胁。该僵尸网络为Mirai变种,包括针对mips、arm、x86等CPU架构的样本,由于该僵尸网络样本均以miori命名,因此将其命名为Mirai_miori。在2个月的时间中,捕获到Mirai_miori僵尸网络样本至少迭代过3个版本,具有9个传播源,涉及6个C2服务器,传播方式主要为弱口令爆破以及1 day和N day漏洞。Mirai_miori僵尸网络出现以来所投递的样本变动很小,运营者将主要精力投入到漏洞搜集利用以及更换C2服务器上。报告详情请参见官网。
4.国家互联网信息办公室修订《移动互联网应用程序信息服务管理规定》发布施行
6月14日,据中国网信网消息,国家互联网信息办公室6月14日发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。《移动互联网应用程序信息服务管理规定》自2016年8月1日施行以来,对于维护网络信息内容生态,保护公民、法人和其他组织的合法权益发挥了积极作用。但随着移动应用程序快速发展、广泛应用,新情况新问题不断出现,需要适应形势发展进行修订完善。新《规定》共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。详情请参见中国网信网。
5.Microsoft发布2022年6月安全更新
6月15日,据国家信息安全漏洞共享平台CNVD消息,6月14日,微软发布了2022年6月份的月度例行安全公告,修复了多款产品存在的56个安全漏洞。受影响的产品包括:Windows 11(28个)、Windows Server 2022(29个)、Windows 10 21H2(29个)、Windows 10 21H1(29个)、Windows 10 20H2 & Windows Server v20H2(31个)、Windows Server 2012(23个)、Windows RT 8.1(21个)和Microsoft Office-related software(7个)。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
6.国务院印发《关于加强数字政府建设的指导意见》
6月23日,据中国政府网消息,国务院发布《关于加强数字政府建设的指导意见》。意见要求全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线。包括建立健全数据分类分级保护、风险评估、检测认证等制度,加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度,完善相应问责机制,依法加强重要数据出境安全管理。加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。充分运用主动监测、智能感知、威胁预测等安全技术,强化日常监测、通报预警、应急处置,拓展网络安全态势感知监测范围,加强大规模网络安全事件、网络泄密事件预警和发现能力。
7.国家网信办网络安全审查办公室对知网启动网络安全审查
6月24日,据中国网信网消息,国家互联网信息办公室网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我重大项目、重要科技成果及关键技术动态等敏感信息。
8.全国信安标委发布《网络安全标准实践指南个人信息跨境处理活动安全认证规范》
6月24日,据全国信安标委官网消息,为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,全国信安标委秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。本《实践指南》提出了个人信息跨境处理活动安全的基本原则,规定了个人信息跨境处理活动的基本要求和个人信息主体权益保障要求。全文请参见官方网站。
9.国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见
6月27日,据中国网信网消息,为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,依据《中华人民共和国个人信息保护法》,国家互联网信息办公室起草了《个人信息出境标准合同规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:登录中华人民共和国司法部中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。通过电子邮件将意见发送至:shujuju@cac.gov.cn。通过信函将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编:100048,并在信封上注明“个人信息出境标准合同规定征求意见”。意见反馈截止时间为2022年7月29日。
