2022年第3周安全周报 | 本周安全要闻速览

国务院新闻办公室1月20日举行新闻发布会，介绍2021年工业和信息化发展情况。工业和信息化部总工程师、新闻发言人田玉龙，新闻发言人、运行监测协调局局长罗俊杰，新闻发言人、信息通信管理局局长赵志国出席新闻发布会介绍相关情况并答记者问。发布会由国务院新闻办新闻局局长、新闻发言人陈文俊主持。工业和信息化部新闻发言人、信息通信管理局局长赵志国指出，工业和信息化系统圆满完成了全年的主要目标任务，实现了“十四五”良好开局，网络安全保障能力持续提升，安全防线更加牢固。出台《网络产品安全漏洞管理规定》，设立国家网络产品安全漏洞的管理制度，打造5G应用安全创新示范中心，提升5G应用安全保障能力。全面实施车联网卡实名登记管理，应该说车联网安全管理体系基本建立。深入实施工业互联网企业网络安全分级分类管理，优化网络安全产业发展政策环境，深化行业源头治理，防范治理电信网络诈骗取得了较大突破。

1月12日，由工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）与部人才交流中心联合牵头组织编制的《网络安全产业人才岗位能力要求》标准正式发布。标准正文内容分为六个部分，包括标准的适用范围、规范性引用文件、涉及的术语和定义、主要方向及岗位、能力要素和要求等，涵盖网络安全规划与设计、网络安全建设与实施、网络安全运行与维护、网络安全应急与防御、网络安全合规与管理等五大类38个岗位的通用标准和细分标准，为各相关单位开展网络安全产业人才招聘引进、培训评测、能力提升等工作提供了依据和参考。　　

1月19日，工业和信息化部办公厅复函北京市经济和信息化局、天津市工业和信息化局、河北省工业和信息化厅，支持创建京津冀工业互联网协同发展示范区。近年来，京津冀加快推进工业互联网网络、平台、数据、安全等功能体系建设，持续深化工业互联网融合应用，培育了一批工业互联网领军企业和优秀服务商，赋能制造业数字化转型成效初显。京津冀联合创建工业互联网协同发展示范区是落实京津冀协同发展战略和工业互联网创新发展战略的重要举措，对进一步加快区域工业互联网协同创新，推动新一代信息技术与制造业深度融合，加快制造业数字化转型具有重要作用。

1月17日，全国信息安全标准化技术委员会就《信息安全技术 网络安全服务成本度量指南》（征求意见稿）公开征集意见，截止3月18日前收集反馈意见。

最新数据显示，2021年我国数字经济发展进入快车道，关键技术创新取得一系列突破。2021年，我国数字经济产业不断壮大，发展韧性显著增强。2021年全年软件信息技术服务业的业务收入增长了17.7%，领先于行业的平均水平。制造业数字化步伐也在加快，智能制造装备产业提速，2021年规上工业机器人同比增长达到30.8%，3D打印装备同比增长27.7%。有全国影响力的工业互联网平台已经超过150个，“5G＋工业互联网”在建项目超过2000个，已经形成了20个典型应用场景和10个重点行业领域的实践活动，创新应用水平处于全球第一梯队。数字技术对中小企业特别是专精特新企业赋能明显，发展较快。5G移动通信技术、设备和应用、大数据、云计算、区块链等技术水平居于领先地位。当前，我国累计建成开通5G基站142.5万个，5G移动电话用户达3.55亿户。智能手机也进入世界先进行列，数字经济的基础，集成电路、软件方面，也取得了标志性成果。

1月19日消息，路透社报道，据三位知情人士透露，拜登政府正在审查电子商务巨头阿里巴巴的云业务，以确定其是否对美国国家安全构成风险，因为美国政府正在加强对中国科技公司与美国公司交易的审查。美国监管机构最终可能会选择迫使该公司采取措施降低云计算业务带来的风险，或者完全禁止国内外的美国人使用该服务。阿里巴巴在美国上市的股票在周二开盘前下跌了近3%，最后一个交易日下跌略高于1%。据上述三人中的一人和一位前特朗普政府官员称，前总统特朗普的商务部对阿里巴巴的云业务感到担忧，但拜登政府在他1月份上任后启动了正式审查。

当地时间1月20日，美国国务院以从事导弹技术扩散活动为由，宣布对中国航天科技集团一院、中国航天科工集团四院及保利科技公司三家机构实施制裁。

美国国务院宣布的制裁措施为：

• 就向上述受制裁实体转让《美国军品清单》上的所有物项以及其出口受《2018年出口管制改革法》管制的所有物项而言，拒绝颁发所有新的单项许可证。

• 美国政府拒绝与上述受制裁实体签订任何政府合同。

• 禁止将上述受制裁实体生产的所有产品进口到美国。

上述制裁措施的期限为两年。

红十字国际委员会（ICRC）本周四宣布遭遇高级网络攻击，泄露了超过50万人的个人和机密数据，这些数据来自全球至少60个红十字会和红新月会组织。红十字国际委员会表示，暴露的信息属于高度脆弱的群体，包括因冲突而离散的家庭。“对失踪人员数据的攻击使家庭的痛苦更加难以忍受。”红十字国际委员会总干事罗伯特马尔迪尼说：“我们都对这些人道信息成为攻击目标并泄露感到震惊和困惑。这种网络攻击使弱势群体，那些需要人道主义服务的人，面临更大的风险。”国际人权组织和非营利组织是网络攻击者的热门目标。联合国在去年9月证实，其基础设施曾在2021年初遭到攻击者入侵。红十字会一直强烈呼吁停止针对医疗机构的网络攻击。

作为印度尼西亚的国家中央银行，印度尼西亚银行（BI，简称印尼银行）日前证实，上个月其网络确实遭遇了勒索软件攻击。据CNN Indonesia报道，攻击发生期间，网络犯罪团伙窃取到属于印尼银行员工的“非关键数据”，之后又在银行网络中的十余个系统上部署了勒索软件。但据路透社报道，印尼银行一位发言人表示，在公共服务实际遭到攻击影响之前，事件就已经得到了缓解。印尼银行通讯部门负责人Erwin Haryono表示，“我们确实遭遇到攻击。但到目前为止，我们采取了既定应对措施，印尼银行的公共服务没有受到任何影响。”Haryono还在接受印尼当地媒体采访时补充道，“印尼银行上个月发现了这一波勒索软件攻击。我们了解攻击活动的存在，也确认我们已经暴露了。”

近日，Apache官方发布了多个安全漏洞的公告，包括Apache log4j 代码问题漏洞（CNNVD-202201-1425、CVE-2022-23307）、Apache Log4j SQL注入漏洞（CNNVD-202201-1421、CVE-2022-23305）、Apache log4j 代码问题漏洞（CNNVD-202201-1420、CVE-2022-23302）等。成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前，Apache官方已经发布了新版本修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

欧盟准备建设自己的递归DNS服务，并将向各欧盟机构及公众免费开放。这项名为DNS4EU的拟议服务项目当前处于初步规划阶段，欧盟正在寻找合作伙伴帮助其建设一套庞大的基础设施，以服务欧盟旗下全部27个成员国。欧盟官员表示，在观察到由少数非欧盟运营商掀起的DNS市场合并浪潮后，他们开始研究如何在欧盟内部建立起可以集中管理的DNS服务。官员们在上周公布DNS4EU基础设施项目时表示，“DNS4EU的目标在于解决DNS解析服务被少数企业把控的问题。这种过度集中可能导致DNS解析过程极易受到影响，甚至出现一家主要运营商宕机、大片区域解析服务停转的现象。”欧盟官员们还表示，DNS4EU项目的立项也有其他因素的推动，包括网络安全与数据隐私保护。