news center
新闻中心1、工信部:2021年APP治理成效明显
1月20日上午,国务院新闻办公室举行新闻发布会,工业和信息化部总工程师、新闻发言人田玉龙,新闻发言人、运行监测协调局局长罗俊杰,新闻发言人、信息通信管理局局长赵志国出席发布会介绍2021年工业和信息化发展情况,并回答记者提问。
在介绍APP治理方面相关情况时,赵志国表示,近年来,移动互联网快速发展,APP与广大用户的生产生活紧密相连,个人信息安全也成为亿万用户关心关注的热点问题。工业和信息化部坚持以人民为中心的发展思想,始终高度重视广大用户的切身权益保护,立足主责主业,重点聚焦违规调用手机权限、超范围收集个人信息等问题,大力推进APP专项整治。2021年,工信部加强部门协同,通过打好组合拳,实施综合治理,对突出问题开展了一系列整治,取得了明显成效。概括来说,可以总结为“五个治理”。一是完善制度标准,坚持依法治理;二是聚焦热点难点,强化专项治理;三是加强技管结合,依靠科技治理;;四是引导行业自律,注重源头治理;五是提升服务感知,强化创新治理。
2022年,工信部还将重点做好以下几个方面的工作。一是坚持综合治理,完善全链条监管。重点突出关键责任链监管,对应用商店、第三方软件开发工具包(SDK)、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。二是深化“524行动”,提升服务水平,稳步推进相关企业落实行动的各项任务要求。适时组织开展“回头看”,从而更好巩固各项工作的成效,提升用户的获得感。三是推动协同共治,建立长效机制。加强与相关部门协同配合,形成监管合力,构建政府监管、企业自律、媒体监督、社会组织和用户共同参与的综合监管格局,从而营造更安全、更清朗的APP应用环境。
来源:国新网
2、面向大数据环境下的数据安全治理技术
没有数据安全就没有国家安全,数据安全治理作为数据安全体系重要的组成部分引起了各行各业越来越多的关注。从大数据环境下海量数据面临的安全风险出发,结合数据在使用过程中的安全需求,给出了一种动态防御的数据安全治理架构,并对该架构下的关键技术进行了研究。该架构能够为数据安全治理提供体系化安全治理思路,其中的关键技术可以为该架构的实现提供有效支撑。
数据分类分级是数据保护的核心基础,只有对数据进行有效分类,才能够避免一刀切的控制方式。在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡,并对数据全面摸底,进行数据资产梳理、敏感数据发现及梳理、数据资产分级、用户及敏感资产权限梳理。
数据安全治理是数据安全保护的一种思路或体系,是一种将数据安全技术与数据安全管理融合在一起,并综合业务、安全、网络等多部门多角色的诉求,系统化总结归纳的方法。本文从技术的角度, 围绕数据安全治理的核心理念,给出了数据安全治理体系的架构,并对该架构下的关键技术进行了梳理和研究。本文提出架构和方法体现了数据安全治理的先进性和实用性,能够为相关的研究提供指导和借鉴。
来源:信息安全与通信保密杂志社
3、关于Apache Log4j多个安全漏洞的预警
近日,Apache官方发布了多个安全漏洞的公告,包括Apache log4j 代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307)、Apache Log4j SQL注入漏洞(CNNVD-202201-1421、CVE-2022-23305)、Apache log4j 代码问题漏洞(CNNVD-202201-1420、CVE-2022-23302)等。成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前,Apache官方已经发布了新版本修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
1、Apache log4j 代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307):漏洞源于程序处理序列化数据时对输入验证不足导致,攻击者通过将特制数据传递给应用程序,从而执行任意代码。
2、Apache Log4j SQL注入漏洞(CNNVD-202201-1421、CVE-2022-23305):漏洞源于程序中的JDBCAppender对用户提供的数据过滤不严格导致,攻击者可利用漏洞向目标系统发送请求,进而在应用程序数据库中执行任意SQL命令。
3、Apache log4j 代码问题漏洞(CNNVD-202201-1420、CVE-2022-23302):漏洞源于程序处理序列化数据时对输入验证不足导致,攻击者可通过提供一个TopicConnection-FactoryBindingName配置,使程序中的JMSSink执行JNDI请求,进而执行任意代码。
来源:CNNVD安全动态(公众号)
4、关于Oracle多个安全漏洞的预警
近日,Oracle官方发布了多个安全漏洞的公告,包括OracleCommunications 安全漏洞(CNNVD-202201-1572、CVE-2022-21395)、Oracle Enterprise ManagerBase Platform安全漏洞(CNNVD-202201-1511、CVE-2022-21392)等123个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。Oracle多个产品和系统受漏洞影响。目前,Oracle官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
2022年1月18日,Oracle发布了2022年1月份安全更新,共123个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Oracle Mysql 和 Mysql 组件、Oracle PeopleSoft Enterprise PeopleTools、OracleWebLogic Server、Oracle VM VirtualBox、Oracle Enterprise Manager Base、OracleSolaris等。CNNVD对其危害等级进行了评价,其中高危漏洞6个,中危漏洞96个,低危漏洞21个。
来源:CNNVD安全动态(公众号)
5、印尼央行遭勒索软件袭击,超13GB数据外泄
作为印度尼西亚的国家中央银行,印度尼西亚银行(BI,简称印尼银行)日前证实,上个月其网络确实遭遇了勒索软件攻击。
据CNN Indonesia报道,攻击发生期间,网络犯罪团伙窃取到属于印尼银行员工的“非关键数据”,之后又在银行网络中的十余个系统上部署了勒索软件。但据路透社报道,印尼银行一位发言人表示,在公共服务实际遭到攻击影响之前,事件就已经得到了缓解。印尼银行通讯部门负责人Erwin Haryono表示,“我们确实遭遇到攻击。但到目前为止,我们采取了既定应对措施,印尼银行的公共服务没有受到任何影响。”
Conti勒索软件团伙发布了泄露通告,并表示已经从印尼银行网络中成功窃取到一批文件。称已窃取超过13GB的内部文件,如印尼央行不支付赎金,将公开泄露数据。
来源:secrss.com
6、红十字国际委员会遭网络攻击,超50万数据泄露
据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。
该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。目前还不清楚谁是这次网络事件的责任人,但红十字会表示,它 “最担心的问题”是这些数据可能会被泄露。红十字会称,目前还没有迹象表明这种情况已经发生。红十字国际委员会总干事罗伯特·马尔迪尼在一份声明中说:“我们都感到震惊和困惑,这些人道主义信息会成为目标并被泄露。”该人道主义组织表示,黑客攻击了一家位于瑞士的公司,红十字会付钱给这家公司存储其数据。被泄露的数据来自至少60个“国家协会”,即红十字会在世界各地的志愿者和工作人员网络,红十字会将其作为灾难的第一反应者。
来源:cnbeta.com
7、“汤加失联”暴露全球互联网的脆弱性
根据网络性能公司Cloudflare的数据,当地时间1月15日下午5:30左右,火山爆发后不久,汤加的互联网流量暴跌至几乎为零。
面对百年难遇的超级火山喷发,汤加突然被切断了互联网,使得后继的协调援助或救援任务变得异常困难。在当今信息高度互联的世界里,汤加仿佛掉入黑洞,叫天天不应,叫地地不灵。重新连上互联网至关重要——但根据互联网监测专家马多里的预测,恢复互联网通讯可能需要数周时间。
汤加“掉线”的原因尚不完全清楚,但初步调查表明,将汤加接入互联网的海底电缆已被火山喷发摧毁。汤加所处南太平洋地区远离交通繁忙的海底电缆主干道。据马多里介绍,汤加主要通过一条海底电缆连接到互联网。汤加和斐济之间的海底电缆长度约514英里,为这两个岛国提供互联网服务。以前,该连接由卫星提供互联网连接备份。但是这次卫星链接也因为技术故障无法使用。马多里认为,火山爆发产生的海浪可能已经摧毁了卫星天线。
来源:GoUpSec(公众号)
