2023年第31周安全周报 | 本周安全要闻速

2023年7月，我国牵头提出的国际标准ISO/IEC 24392：2023《网络安全 工业互联网平台安全参考模型》正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27，后经研究，于2019年6月正式立项；2023年7月正式发布。我国3名专家担任该国际标准提案的编辑和联合编辑。ISO/IEC 24392作为首个工业互联网安全领域的国际标准，基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题，可以系统指导工业互联网企业及相关研究机构，针对不同的工业场景，分析工业互联网平台的安全目标，设计工业互联网平台安全防御措施，增强工业互联网平台基础设施的安全性。

近几年，为切实强化未成年人的网络保护，国家网信办多次指导网站和平台持续推进青少年模式建设，并扩大其覆盖范围、优化功能设置、丰富适龄内容。然而随着移动互联网更深层融入到未成年的生活学习中，原有的规定显得有些力不从心，为更进一步提升模式的效能，针对未成年人网络保护的新形势和新要求，国家网信办于 8 月 2 日起草了《移动互联网未成年人模式建设指南（征求意见稿）》。将全面升级“青少年模式”为“未成年人模式”，并推动模式覆盖范围从仅限于 APP 扩大至移动智能终端和应用商店，实现软硬件三方联动，未成年用户可以通过一键进入模式，进而为他们营造一个安全健康的网络环境。

为贯彻落实《上海市建设网络安全产业创新高地行动计划（2021-2023年）》，推进上海市网络安全产业创新发展，上海市经济信息化委组织编制了“2023年上海市网络安全产业创新攻关目录”本次目录征集的创新成果，主要涉及基础技术、应用技术和服务业态创新三个类别，人工智能安全、量子通信安全、隐私计算、新一代数字身份认证、软件供应链安全、云原生安全、安全服务边缘（SSE）、Web3.0安全、数据流通安全、智能工控安全、智能汽车安全、金融科技安全、网络安全保险、安全运营服务（MSS）、网络安全监管与合规智能化15个方向。，现就目录方向公开征集创新成果。

以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区都无法访问，因为威胁行为者声称已经侵入了该集团的网络系统。总部位于海法湾的BAZAN Group（前身为Oil Refineries Ltd.）年收入超过135亿美元，拥有员工1,800多人。该公司拥有年炼油总能力约980万吨原油。伊朗黑客组织“网络复仇者”，又名“CyberAv3ngers”，在Telegram频道中声称他们已渗透到BAZAN网络。7月29日晚上，该组织发布了BAZAN集团公司的SCADA系统的屏幕截图，该系统用于监视和控制工业控制系统。但BAZAN对此进行了否认，声称没有受到任何实质性影响。据黑客称他们利用了CheckPoint的防火墙漏洞渗透到了炼油厂的网络，但CheckPoint也否认了这种说法。据BleepingComputer证实，来自世界各地的大多数访问者已无法访问该炼油厂的网站。BAZAN Group网站bazan.co.il和eng.bazan.co.il的传入流量要么超时、出现HTTP 502 错误，要么被公司服务器拒绝。然而，在BleepingComputer的测试中，该网站可以从以色列境内访问，这可能是在BAZAN施加 地理封锁以阻止正在进行的网络攻击之后。

全球最大的床垫销售商之一泰普尔丝涟（Tempur Sealy）正在应对一次网络攻击，被迫关闭部分信息技术系统。泰普尔首席财务官Bhaskar Rao向美国证券交易委员会报告称，7月23日公司发现一起网络攻击事件，导致运营受到影响。泰普尔丝涟并未回应是否遭受勒索软件攻击。但是，他们在提交给证券交易委员会的8-K文件中指出，“为了遏止此次事件”，公司被迫启动事件响应和业务连续性预案。Bhaskar Rao表示：“这包括主动关闭公司的某些信息技术系统，公司运营因此暂时中断。公司已聘请法律顾问、网络安全鉴定公司和其他事件响应专业人员提供咨询。公司还已通知执法部门。截至目前，公司已经开始部分恢复关键信息技术系统的在线运行，并已恢复运营。”信息技术官员仍在调查此事件，泰普尔正在评估此次攻击对业务和财务业绩可能产生哪些影响。

安全内参8月1日消息，美国国家网络总监办公室发布《国家网络人才和教育战略》，这标志着美国开启为期数年的系统性培养网络安全技能和能力计划。战略文件包括四大支柱，分别为每个美国人配备基础网络技能、转变网络教育、扩充和增强美国网络劳动力、加强联邦网络劳动力。每个支柱都包括教育、招聘、职业发展和联邦劳动力政策等方面应落实的多条措施，旨在帮助现有网络技能人员进一步提升能力、鼓励新员工和少数族裔员工进入网络安全领域。该战略承诺，将动用数十亿美元的联邦资金，改变政府、企业、学校和其他组织的劳动力发展方式。

一组两党立法者提出了立法，指示国土安全部部长将太空系统、服务和技术指定为关键基础设施部门。此举将把太空指定为关键基础设施的专用部门，确保对社会所依赖的天基资产进行令人信服的安全分析。该立法符合网络空间日光浴室委员会 (CSC) 2.0 关于将空间系统指定为关键基础设施部门的建议。该法案名为“太空基础设施法案”，规定在本节颁布之日起180天内，部长应与联邦政府相关机构和部门、负责国土安全的总统助理和反恐部门、相关联邦咨询委员会和执行主任应发布有关将空间系统、服务和技术指定为关键基础设施的指导意见。

美国船舶制造巨头宾士域集团（Brunswick Corporation）的首席执行官向投资者透露，宾士域集团遭受了一次网络攻击，其系统和部分设施受到影响。公司因这次网络安全事件蒙受高达8500万美元（约合人民币6.1亿元）的损失。但并未确认这是一次勒索软件攻击，但他们表示在专家和执法部门处理该事件期间，已被迫停止部分地区的运营。该公司花费了九天时间恢复正常运营。对宾士域这样规模的制造企业来说，这是巨大的时间损失。