2022年第1周安全周报 | 本周安全要闻速览

1月4日，为确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，国家互联网信息办公室、国家发展和改革委、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》，自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，同时完善了国家安全风险评估因素等内容。

1月4日，为了规范互联网信息服务算法推荐活动，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等四部门联合发布《互联网信息服务算法推荐管理规定》。《规定》分为总则、信息服务规范、用户权益保护、监督管理、法律责任、附则等六章共35条具体内容，自2022年3月1日起施行。

1月5日，国家标准化管理委员会下达2021年第四批推荐性国家标准制修订项目计划，工业和信息化部信息技术发展司推动的《工业互联网平台 监测分析指南》（20214997-T-339）、《工业互联网平台 服务商评价方法》（20214994-T-339）、《工业互联网平台 解决方案分类与编码》（20214998-T-339）等3项国家标准正式获批立项。此次获批立项的还包括《制造业数字化仿真 分类》（20214484-T-339）国家标准。工业互联网平台监测分析、服务商评价、解决方案分类等国家标准的立项，对于厘清工业互联网平台发展的基本原则和规律，引导政府、平台、服务商、企业提升平台服务水平、开展平台监测分析、加强产业生态培育等具有重要意义。该系列国家标准由全国两化融合标委会（TC573）归口，国家工业信息安全发展研究中心联合相关部属单位、重点工业互联网平台企业共同起草。

1月5日，工业和信息化部网络安全管理局组织召开电视电话会议，系统总结工业互联网企业网络安全分类分级管理试点工作成效、研究部署下一步工作。会议强调，要坚决贯彻习近平总书记关于网络安全工作的重要指示批示精神，认真落实党中央、国务院决策部署，按照工业和信息化部党组工作部署，加快建立工业互联网企业网络安全分类分级管理制度。一是要强化工业互联网安全制度标准引领，出台分类分级管理政策文件，推动发布分类分级系列国家标准，加快钢铁、轻工、5G+工业互联网等重点行业场景安全标准研制。二是要打造长效协同工作机制，加强部内协同对接，加强属地合作，强化专业支撑保障。三是要健全高效技术服务体系，持续完善工业互联网安全监测技术体系，强化对重点企业的监测服务，推动分类分级管理服务平台全国应用。四是要加大高质量产业供给，实施工业互联网安全深度行活动，建立工业互联网安全能力评价体系，强化优秀示范引领。

1月7日，工业和信息化部近日印发《制造业质量管理数字化实施指南（试行）》。《通知》要求，推进制造业质量管理数字化是一项系统性工程，要以提高质量和效益、推动质量变革为目标，按照“围绕一条主线、加快三大转变、把握四项原则”进行布局。企业要发挥主体作用，强化数字化思维，持续深化数字技术在制造业质量管理中的应用，创新开展质量管理活动。专业机构要以提升服务为重点，加快质量管理数字化工具和方法研发与应用，提供软件平台等公共服务。各地工业和信息化主管部门要以完善政策保障和支撑环境为重点，做好组织实施。

1月6日，国家发展改革委印发《“十四五”推进国家政务信息化规划》，提出深度开发利用政务大数据等三项任务，明确到2025年，经济调节、市场监管、社会治理、公共服务和生态环境等领域的数字治理能力显著提升，网络安全保障能力进一步增强，有力支撑国家治理体系和治理能力现代化。《规划》提出三大任务11项具体工程。一是深度开发利用政务大数据。深化基础库应用，升级完善国家人口、法人、自然资源和地理空间等基础信息资源库。新建经济治理基础数据库，汇集各部门主要经济数据，提升宏观经济治理的决策支持水平。二是发展壮大融合创新大平台。同步推进网络融合、技术融合、数据融合与服务融合，构建共建共用的大平台体系。三是统筹建设协同治理大系统。围绕政府核心职能，着力建设好执政能力提升信息化工程、市场监管提质工程、公共安全保障工程等六大工程。

1月4日，银保监会印发《银行保险机构信息科技外包风险监管办法》。《办法》明确，银行保险机构在实施信息科技外包时应坚持六大原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。同时，《办法》要求，银行保险机构在信息科技外包合同或协议中应当明确，服务提供商禁止在合同允许范围外使用或者披露银行保险机构的信息，不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。此外，《办法》还指出，银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估，对银行保险机构信息科技外包工作进行监督和检查，并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人，依照相关法律规定实施延伸检查。

受人指使非法破解知名医院挂号软件并出售，男子陈某因涉嫌提供侵入计算机信息系统程序罪被公诉。近日，海淀法院开庭审理此案，陈某当庭认罪。检方指控称，2020年至2021年间，陈某受人指使，编写、升级多个专门用于侵入北京三甲医院网络预约挂号信息系统的程序，非法获利5000元。经鉴定，上述程序具有突破系统安全保护措施、未经授权调用服务访问接口、自动获取医院挂号数据的功能。陈某于今年5月13日被公安机关抓获，后如实供述了上述犯罪事实。庭审中，检方出示了陈某的供述、证人证言、司法鉴定意见书、现场勘验笔录、微信聊天记录等证据，认为陈某提供专门用于侵入计算机信息系统的程序，情节严重。同时，陈某能够如实供述，自愿认罪认罚，综上考虑，建议法院判处其十个月有期徒刑，并处罚金。

据多个媒体报道称，比利时国防部网络最近受到不明攻击者的成功攻击，攻击者利用Apache日志库log4j的巨大漏洞实施攻击，该漏洞已成为一个全球安全问题。比利时国防部发言人奥利维尔·塞维林 (Olivier Séverin) 当地时间12月20日对比利时《标准报》说，国防部上周四发现其计算机网络受到攻击，该部已采取措施隔离受影响的网络区域。并且证实这次攻击是成功利用了log4j2的漏洞。比利时政府暂未将此次袭击归咎于任何团体或民族国家。

Hack Read网站披露，Website Planet安全团队发现了一个配置错误的亚马逊S3“存储池”，池中包含约250万个文件，大小超过100GB。研究表明，该数据池属于应链管理和物流巨头D.W.Morgan公司，该公司总部位于加利福尼亚州，业务遍及全球。安全研究人员称，数据库中详细记录了D.W. Morgan企业员工和其全球客户的财务、运输、个人和敏感数据信息，其中更是有500强爱立信和财富500强思科。值得一提的是，该数据库最早于2021年11月12日已经被发现，但细节表明，上周才被Website Planet 披露。

天空新闻报道称，现已退休的空军元帅爱德华·斯金格 (Edward Stringer) 在离开军队后的第一次电视采访中，对天空新闻表示，发生地2021年3月对国防学院的“复杂”黑客攻击产生了深刻影响。国防部的数字部门对网络攻击展开了调查，但任何结果——例如谁是幕后黑手——尚未公开。这是首次有高级官员（尽管现在是前任）公开谈论网络攻击及其对学院的影响。该学院位于牛津郡什里文纳姆，每年为数千名英国和海外军官授课。

当地时间1月3日，以色列的《耶路撒冷邮报》表示其网站遭到黑客攻击，称这对该国构成明显威胁。网站没有显示主要新闻页面，而是展示了一幅插图，似乎回忆起被暗杀的伊朗高级将领卡西姆·苏莱曼尼 (Qassem Soleimani)。另外一家希伯来语报纸Maariv的推特账户也被黑，发布了类似的图片。2020年的元月3日，美国指挥无人机将在伊拉克执行任务的苏莱曼尼将军暗杀。这次被黑网站和推特上的插图显示一枚导弹从戴在手指上的红色戒指中射出，显然是指苏莱曼尼曾经佩戴过的独特戒指。导弹似乎摧毁了以色列的秘密核设施。英文日报《耶路撒冷邮报》在推特上表示正在努力解决这个问题。选择在这一天攻陷并篡改以色列重要媒体的网站，复仇的意味非常明显。