10月11日至17日，2021年国家网络安全宣传周在全国范围内统一开展，开幕式于11日在陕西省西安市举行。本届网安周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广电总局、全国总工会、共青团中央、全国妇联联合举办，主题为“网络安全为人民，网络安全靠人民”。来自政府、科研机构、高校、社会组织、企业、媒体的近千位嘉宾出席。

 

本届网安周以“开放、协调、创新、高效”为目标，以“融合展、会、赛，链接产、 学、研”为导向，紧扣政策法规和行业热点， 紧盯前沿技术和最新成果。除开幕式、闭幕式以外，还将举办网络安全博览会、网络安全技术高峰论坛及九大分论坛、网络安全教育云课堂、网络安全赛事、网络安全进基层等重要活动，推进网络安全教育、技术、产业融合发展，构建网络安全良好生态。

 

其中，博览会结合中国共产党成立100周年主题，重点展示党的十八大以来网络安全领域重大成就和国内外网络安全企业前沿技术、新型产品，以及示范应用。高峰论坛及九大分论坛则紧扣政策热点，发布《2021未成年人网络保护发展报告》《中国网络安全产业分析报告（2021版）》等成果。此外本届网安周还设置了校园、电信、法治、金融、青少年、个人信息保护等六大主题日活动。

 

 

 

习近平总书记指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。党的十八大以来，在习近平总书记关于网络强国的重要思想，特别是关于网络安全工作“四个坚持”重要指示指引下，我国网络安全工作进入快车道，国家网络安全保障体系日益完善，网络安全防护能力显著提升，网络安全工作取得瞩目成就。

 

——法治思维贯穿网络安全工作的始终。近年来，从网络安全法、数据安全法、个人信息保护法等重要法律的人大立法，到《国家网络空间安全战略》《关键信息基础设施安全保护条例》等战略规划、法律法规的制定出台，再到《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定（试行）》等部门规章和规范性文件的发布实施，网络安全法律法规体系基本建立。

 

——网络安全国家标准体系日益完善。截至目前，制定发布322项国家标准，共有12项包含我国技术贡献和提案的国际标准发布。

 

——网络安全应急能力建设不断加强。国家网络安全应急体系不断健全，与《国家网络安全事件应急预案》有效衔接，金融、能源、通信、交通等行业领域制修订本行业领域网络安全应急预案。

 

——健全网络安全审查制度。组织开展对关键信息基础设施采购网络产品和服务活动的网络安全审查，对滴滴、运满满、货车帮、BOSS直聘等启动网络安全审查。

 

——健全云计算服务安全评估制度。组织对面向党政机关和关键信息基础设施服务的云平台开展安全评估，加强云计算服务安全管理，防范云计算服务安全风险。截至目前，已有56家云平台通过云计算服务安全评估。

 

 

 

2021年10月13日，微软发布了2021年10月份安全更新，共69个漏洞的补丁程序，包括Microsoft Exchange Server 权限许可和访问控制问题漏洞（CNNVD-202110-795、CVE-2021-26427）、Microsoft Office 代码注入漏洞（CNNVD-202110-856、CVE-2021-40479）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。CNNVD对其危害等级进行了评价，其中超危漏洞1个，高危漏洞41个，中危漏洞26个，低危漏洞1个。

 

微软多个产品和系统版本受漏洞影响，具体的影响范围可访问该地址进行查询：

 

https://portal.msrc.microsoft.com/zh-cn/security-guidance

 

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

 

https://msrc.microsoft.com/update-guide/en-us

 

 

 

据研究人员称，一家巴西电子商务公司在错误配置Elasticsearch服务器后无意中暴露了近18亿条记录，其中包括客户和卖家的个人信息。

 

由Anurag Sen领导的SafetyDetectives团队在6月发现了这一事件，并迅速将泄漏追溯到Hariexpress——一家允许供应商管理和自动化跨多个市场（包括Facebook和亚马逊）活动的公司。

 

尽管Hariexpress在7月初收到泄漏警报后仅四天就回复了研究人员，但随后无法联系到它。Infosecurity目前正在尝试确认问题是否已修复。

 

错误配置的Elasticsearch服务器未进行加密，更没有密码保护。它包含610GB的数据，包括客户的全名、家庭和送货地址、电话号码和账单明细。还暴露了卖家的全名、电子邮件和公司/家庭地址、电话号码和公司/税号 (CNPJ/CPF)。

 

 

 

近日，苏格兰跨国工程巨头伟尔集团（Weir Group）披露了其9月份遭受的勒索软件攻击。该勒索事件导致其发货、制造和工程中断，仅在9月份就导致间接费用回收不足和收入延期5000万英镑。

 

据介绍，伟尔集团是全球知名矿业、石油天然气和电力基础设施工程解决方案的提供者，在全球50多个国家拥有1.15万名员工。

 

伟尔集团首席执行官乔恩·斯坦顿 (Jon Stanton)指出：“虽然我们在应对外部复杂攻击时，采取了强有力的保护措施，导致公司业务的重大临时中断，但我们的团队对这一挑战做出了出色反应，并设法最大限度地减少对客户的影响。”未来几周，伟尔集团将按照业务优先级逐步恢复部分能力。

 

 

 

10月14日，中国台湾计算机巨头宏碁（Acer）已经证实，其位于印度的售后服务系统在最近一起所谓“孤立攻击”中遭到入侵。这是继REvil在今年3月公布勒索软件攻击以来，这家计算机巨头近期遭遇的第二次重大安全违规。

 

虽然宏碁并没有披露攻击行为背后的黑客身份细节，但已经有威胁行为者在某流行黑客论坛上宣称为此次事件负责，并表示成功从宏碁服务器上窃取到超过60 GB的文件与数据库。

 

据称，被盗的数据涉及宏碁印度零售商与各分销商的客户、公司与财务数据以及登录信息。作为证据，攻击者还发布了一段视频，展示出被盗文件与数据库、1万名客户的记录以及3000家印度宏碁分销商与零售商的被盗凭证等。

 

 

 

南美洲国家厄瓜多尔最大的私营银行皮钦查银行（Banco Pichincha）遭遇网络攻击，业务系统应声宕机，ATM与在线银行门户网站也被迫下线。银行被迫关闭了部分网络，以防止攻击蔓延至其他系统。

 

系统宕机导致该银行业务大面积中断，ATM机无法继续运行，网上银行门户也弹出维护信息。

 

据该银行的内部通知显示，皮钦查银行通知员工，银行应用、电子邮件、数字渠道与自助服务受技术问题影响而无法正常运行。皮钦查银行于10月12日下午发表声明，承认系统宕机是因为网络攻击。