近期，工业和信息化部发布《“十四五”信息通信行业发展规划》（以下简称《规划》）。《规划》包括4大部分、26条发展重点、近3万字，描绘了信息通信行业的发展蓝图，是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。

 

与以往的五年规划相比，本次《规划》一方面进一步凸显了信息通信行业的功能和定位：是构建国家新型数字基础设施、提供网络和信息服务、全面支撑经济社会发展的战略性、基础性和先导性行业。另一方面进一步强化了坚持新发展理念、坚持系统观念方面的有关要求：一是《规划》全面对接国家关于新发展阶段、新发展理念和新发展格局的战略构想和相关规划体系，提出行业高质量发展新思路，设定6大类20个量化发展目标；二是《规划》确定了五个方面26项发展重点和21项重点工程，首次明确提出了加强跨地域跨行业统筹协调的重点任务，并通过增加工程数量进一步明确了任务落地实施的重点和抓手。

 

 

 

11月16日，工业和信息化部网络安全管理局召开北京2022年冬奥会和冬残奥会信息通信行业网络安全保障专题调度会议，总结检查前期行业网络安全保障任务落实情况，进一步对冲刺阶段工作再调度再部署。

 

会议强调，全行业要深入贯彻落实习近平总书记关于北京冬奥会、冬残奥会筹办工作的重要指示精神，按照部党组部署要求，把做好北京冬奥会网络安全保障工作作为学习贯彻党的十九届六中全会精神的实际行动，根据第24届冬奥会工作领导小组网络安全保障机制统一部署，高标准、高质量完成行业承担的网络安全保障任务。

 

会议要求，要在前期组织部署落实、漏洞隐患排查、安全监测预警和应急响应处置等工作基础上，切实扛起政治责任、主体责任、岗位责任，进一步压实各项工作措施，全面深化网络安全防护和数据安全保护，切实保障冬奥测试赛网络安全；要提高风险意识，强化应急演练，充分做好应对各类网络安全突发情况的准备，确保通信网络安全稳定运行；要做好协同联动和沟通配合，健全全行业高效协同、快速反应的工作机制，切实形成工作合力。

 

 

 

近日，国家网信办公布了《网络数据安全管理条例（征求意见稿）》。《征求意见稿》提出，国家建立数据分类分级保护制度，对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

 

《征求意见稿》指出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，对不同级别数据采取不同保护措施。《征求意见稿》明确，数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。

 

业内专家认为，《征求意见稿》兼顾了公共利益和数据要素价值发挥之间的平衡，该条例正式出台后将为平台企业采集、运用等提供规范，使企业能够在规定许可的范围内更好地利用数据，从而发挥数据要素应有的价值。

 

 

 

2021年10月以来，国家计算机网络应急技术处理协调中心（以下简称“CNCERT”）监测发现，有黑客组织利用SonarQube软件的漏洞，对我国多个企业发起攻击，窃取了我金融、医疗等重要领域信息系统源代码数据，并在境外互联网进行非法售卖。CNCERT协调受攻击企业配合开展现场取证，分析判断该黑客组织来自境外。

 

该黑客组织的上述行为严重侵犯企业知识产权，对我国国家安全和企业利益造成严重威胁。CNCERT呼吁该黑客组织立即停止网络攻击行为。建议相关人员一旦发现我国境内网络安全漏洞和威胁后，积极向CNCERT通报相关情况，联系邮箱为cncert@cert.org.cn。

 

同时，CNCERT提醒境内使用SonarQube软件的相关单位及时采取措施，修复漏洞，防范网络攻击行为。

 

 

 

近日，根据Outpost24发布的最新研究报告，欧洲排名前 10 的制药公司都拥有易受攻击的 Web 应用程序，这意味着其大量敏感数据（医疗和患者信息）面临被黑客窃取的风险。

 

据了解，Outpost24使用其外部攻击面管理工具对欧洲TOP10制药公司Web服务的安全性进行评估。结果显示，这些药企中80%的风险暴露指数超过30分（总分为58.4），表明其对外服务很容易出现可供利用的安全漏洞。

 

研究人员指出，与其他行业相比，欧盟制药公司运行的Web应用程序数量特别多，拥有20394 个网络应用程序和9216个域名，其中，超过200个应用程序使用未加密的登录表单，有18%的药企使用包含已知漏洞的过时组件。尽管如此，TOP10欧盟制药公司的风险暴露指数依然明显低于TOP10美国制药公司（其风险指数为40.5）。

 

 

 

据路透社(Reuters)报道，伊朗官方媒体11月21日报道，针对伊朗私营航空公司马汉航空(Mahan Air)的网络攻击被挫败。马汉航空因支持伊朗伊斯兰革命卫队(Islamic Revolutionary Guard Corps)而被美国列入黑名单，该航空公司声称受到了来自宿敌美国和以色列的网络攻击。马哈尔航空公司在一份声明中称，由于其在该国航空业的重要地位，它已经在多个场合成为目标。该航空公司表示，所有航班都在按时运行，但如果未来有任何变化，将向乘客更新。但截止发稿，马汉航空公司网站显示维护中。

 

北京时间11.22 6:00，马汉航空公司官网显示正常。疑是攻击组织Hooshyarane-Vatan在Telegram上释放上大量文件，披露该航空公司与伊朗伊斯兰革命卫队的密切往来。

 

报告称，航班时刻表没有受到袭击的影响。但是查询马汉航空官网，显示网站在维护中（北京时间11月21日21：52H的状态）。

 

 

 

日前，英特尔接连披露了三个芯片产品高危提权漏洞，分别是CVE-2021-0157、CVE-2021-0158和CVE-2021-0146，广泛影响了英特尔处理器产品和用户。其中，CVE-2021-0146的影响范围还包括移动上网本和基于英特尔芯片的大量物联网系统，如汽车和医疗行业等。

 

最先披露的两个提权漏洞由SentinelOne发现，编号为CVE-2021-0157和CVE-2021-0158，两者的CVSS（Common Vulerability Scoring System，通用漏洞评估方法）v3得分均为8.2（高）。前者涉及某些Intel处理器BIOS固件中的控制流管理不足，后者关涉对同一组件的不正确输入验证。英特尔建议用户通过可用的BIOS更新来修补漏洞。

 

英特尔在同一天披露的第三个漏洞是CVE-2021-0146，这也是一个高严重性 (CVSS 7.2) 特权提升漏洞，其CVSS 3.1得分为7.1，由 Mark Ermolov、Dmitry Sklyarov（均来自Positive Technologies）和Maxim Goryachy（独立研究员）共同发现。