11月速遞

中共中央政治局召開會議，審議《國家安全戰略》等重要文件。工信部發布《“十四五”信息通信行業發展規劃》、《“十四五”信息化和工業化深度融合發展規劃》、《“十四五”軟件和信息技術服務業發展規劃》和《“十四五”大數據產業發展規劃》等政策文件。美國眾議院批準基礎設施法案，將投入19億美元建設網絡安全。美國CISA啟動關鍵基礎設施識別計劃。歐洲通過《數字市場法》草案。印度將推出國家網絡安全戰略。韓國率先發布全球首部《數據基本法》。

中共中央政治局召開會議，審議《國家安全戰略》等重要文件

中共中央政治局11月18日召開會議，審議《國家安全戰略(2021-2025年)》等重要文件。會議強調，要增強產業韌性和抗沖擊能力，筑牢防范系統性金融風險安全底線，確保糧食安全、能源礦產安全、重要基礎設施安全，加強海外利益安全保護。要持續做好新冠肺炎疫情防控，加快提升生物安全、網絡安全、數據安全、人工智能安全等領域的治理能力。

資料來源：http://www.news.cn/politics/leaders/2021-11/18/c_1128077610.htm

工信部發布《“十四五”信息通信行業發展規劃》

近期，工業和信息化部發布《“十四五”信息通信行業發展規劃》與以往的五年規劃相比，本次《規劃》進一步凸顯了信息通信行業的功能和定位：是構建國家新型數字基礎設施、提供網絡和信息服務、全面支撐經濟社會發展的戰略性、基礎性和先導性行業。

資料來源：https://mp.weixin.qq.com/s/SdBhqj5xjR225MQkKjFFtA

工信部發布《“十四五”信息化和工業化深度融合發展規劃》

近日，工業和信息化部印發了《“十四五”信息化和工業化深度融合發展規劃》(以下簡稱《規劃》)?！兑巹潯窂娬{，“十四五”信息化和工業化融合發展要以習近平新時代中國特色社會主義思想為指導，深入貫徹黨的十九大和十九屆二中、三中、四中、五中、六中全會精神，立足新發展階段，完整、準確、全面貫徹新發展理念，構建新發展格局，按照“堅持市場主導、堅持創新驅動、堅持系統推進、堅持開放合作”的原則，緊扣制造業高質量發展要求，以供給側結構性改革為主線，以智能制造為主攻方向，以數字化轉型為主要抓手，打造數據驅動、軟件定義、平臺支撐、服務增值、智能主導的現代化產業體系，全面推進產業基礎高級化、產業鏈現代化，為實現“新四化”的戰略目標奠定堅實基礎。

資料來源：https://mp.weixin.qq.com/s/JaFdbrTYPVuQmg3mhIO5VQ

工信部發布《“十四五”軟件和信息技術服務業發展規劃》

近日，工業和信息化部印發了《“十四五”軟件和信息技術服務業發展規劃》(以下簡稱《規劃》)?！兑巹潯窂娬{，“十四五”軟件和信息技術服務業發展要以習近平新時代中國特色社會主義思想為指導，深入貫徹黨的十九大和十九屆二中、三中、四中、五中、六中全會精神，立足新發展階段，完整、準確、全面貫徹新發展理念，構建新發展格局，按照“創新驅動、價值導向、重點突破、協同推進、應用牽引、生態優化、安全可控、開放合作”的原則，以高質量發展為主題，以深化供給側結構性改革為主線，深入實施國家軟件發展戰略，強化國家軟件重大工程引領作用，補齊短板、鍛造長板，提升關鍵軟件供給能力，加快繁榮開源生態，夯實產業發展基礎，提高產業鏈供應鏈現代化水平，堅持應用牽引、整機帶動、生態培育，壯大信息技術應用創新體系，全面推進重點領域產業化規?；瘧?，持續培育數字化發展新動能，全面支撐制造強國、網絡強國、數字中國建設。

資料來源：https://mp.weixin.qq.com/s/EewcFnuXEYc2mdWvqGYNAQ

工信部發布《“十四五”大數據產業發展規劃》

近日，工業和信息化部發布《“十四五”大數據產業發展規劃》(以下簡稱《規劃》)?！兑巹潯窂娬{，“十四五”時期大數據產業發展要以習近平新時代中國特色社會主義思想為指導，深入貫徹黨的十九大和十九屆二中、三中、四中、五中、六中全會精神，立足新發展階段，完整、準確、全面貫徹新發展理念，構建新發展格局，以推動高質量發展為主題，以供給側結構性改革為主線，以釋放數據要素價值為導向，圍繞夯實產業發展基礎，著力推動數據資源高質量、技術創新高水平、基礎設施高效能，圍繞構建穩定高效產業鏈，著力提升產業供給能力和行業賦能效應，統籌發展和安全，培育自主可控和開放合作的產業生態，打造數字經濟發展新優勢，為建設制造強國、網絡強國、數字中國提供有力支撐。

資料來源：https://mp.weixin.qq.com/s/cUz-0si9t-TJqeEMFXnbVQ

美國CISA啟動關鍵基礎設施識別計劃

美國網絡安全和基礎設施安全局CISA正在識別哪些關鍵基礎設施如果遭到黑客攻擊將對美國國家安全和經濟產生最大影響。CISA的分析基于經濟和網絡中心性，以及“國家關鍵職能的邏輯主導地位”。CISA希望國會在確定這些組織后，確?！暗玫矫绹娜χС植⒊袚~外的安全要求”，以適應其“獨特的地位和重要性”。

資料來源：https://www.cybersecuritydive.com/news/cisa-easterly-critical-infrastructure-tsa-sici/609210/

美國眾議院批準基礎設施法案，將投入19億美元建設網絡安全

11月5日，美國眾議院批準了1.2萬億美元的基礎設施法案，該法案將分配19億美元的網絡安全資金，其中約10億美元將用于建立新的資助計劃，幫助各州、地方、部落及領地政府提升網絡安全水平。這筆資金將由美國聯邦緊急事務管理局負責管理，從2022財年開始并持續四年，網絡安全與基礎設施安全局(CISA)為資金調配提供指導意見。

資料來源：https://therecord.media/house-approves-massive-infrastructure-plan-that-includes-1-9-billion-for-cybersecurity/

印度將推出國家網絡安全戰略

印度的新網絡安全戰略即將推出，新網絡安全戰略的主要交付成果之一是為不同實體確定和成立監管機構，例如計算機應急響應小組CERT-In、網絡犯罪協調中心、國防網絡局和國家關鍵信息基礎設施保護中心NCIIPC。

資料來源：https://www.govinfosecurity.com/indias-national-cybersecurity-strategy-awaiting-approval-a-17829?&web_view=true

韓國率先發布全球首部《數據基本法》

韓國科學和信息通信技術部(MSIT)宣布，國務會議通過了《數據產業振興和利用促進基本法》，旨在為發展數據產業和振興數據經濟奠定基礎，并將于明年4月全面實施?！稊祿痉ā肥侨蚴撞恳幹茢祿a業的基本立法，對數據的開發利用進行統籌安排。

資料來源：https://www.secrss.com/articles/36503

歐洲通過《數字市場法》草案

11月23日，歐洲議會內部市場和消費者保護委員會通過了旨在限制互聯網巨頭的《數字市場法》(DMA)的草案。由于其規則嚴苛、涉及廣泛，DMA被視為到目前為止全球最嚴格的科技監管立法嘗試。

資料來源：https://www.euractiv.com/section/digital/news/eu-parliaments-key-committee-adopts-digital-markets-act/

Ponemon、Dragos發布ICS、OT網絡安全事件調查報告，安全事件的平均成本約為300萬美元。澳大利亞供水公司SunWater遭黑客入侵，被控制長達9個月。風電巨頭維斯塔斯遭網絡攻擊，數據被泄露。歐洲電子零售巨頭MediaMarkt遭勒索軟件攻擊，眾多門店受影響。巴基斯坦國民銀行遭網絡攻擊致服務中斷。Cloudflare緩解了Mirai僵尸網絡發起的2 Tbps DDoS攻擊。

Ponemon、Dragos發布ICS、OT網絡安全事件調查報告

PonemonInstitute和工業網絡安全公司Dragos 發布的一份報告顯示，影響工業控制系統(ICS)或其他運營技術(OT)系統的安全事件的平均成本約為300萬美元，一些公司報告的成本超過1億美元。

資料來源：https://www.securityweek.com/ics-ot-cybersecurity-incidents-cost-some-us-firms-over-100-million-survey

澳大利亞供水公司SunWater被黑客入侵控制長達9個月

根據澳大利亞昆士蘭州審計署11月10日公布的年度財務審計報告，供水公司SunWater被黑客入侵，但其行為一直未被發現。黑客在這家供水公司的服務器上隱藏了9個月，盡管事后證實沒有客戶信息或財務信息被竊取。

資料來源：https://securityaffairs.co/wordpress/124498/hacking/queensland-water-supplier-hacked.html

風電巨頭維斯塔斯遭網絡攻擊并導致數據泄露

丹麥風力渦輪機巨頭Vestas Wind Systems遭遇網絡攻擊，這起事件破壞了其部分內部IT基礎設施。維斯塔斯在 11月19日事件發生后關閉了其部分系統。該公司稱發生了數據泄露，部分IT設施正在恢復中。

資料來源：https://www.cyberscoop.com/vestas-cyberattack-it-shutdown-wind-turbine/

歐洲電子零售巨頭MediaMarkt遭勒索軟件攻擊

MediaMarkt是歐洲最大的消費電子產品零售商，在11月7日晚間至8日上午遭受勒索軟件攻擊，服務器和工作站被加密，導致IT系統關閉。這次攻擊影響了整個歐洲的眾多零售店，主要是荷蘭的零售店。

資料來源：https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/?&web_view=true

巴基斯坦國民銀行遭網絡攻擊致服務中斷

巴基斯坦國民銀行(NBP)10月30日發布的一份聲明稱，10月29日深夜和10月30日凌晨，NBP服務器遭到了網絡攻擊，其部分服務被迫中斷，已立即采取措施隔離受影響的系統，NBP沒有發現任何數據泄露和經濟損失。

資料來源：https://www.thenews.com.pk/print/904555-nbp-hit-by-outages-in-cyber-attack

Cloudflare緩解了Mirai僵尸網絡發起的2 Tbps DDoS攻擊

Web安全服務提供商Cloudflare表示，它緩解了分布式拒絕服務(DDoS)攻擊，該攻擊的峰值達到每秒2TB(Tbps)。此次攻擊是由大約15,000臺感染了原始Mirai惡意軟件變體的機器組成的僵尸網絡發起的。

資料來源：https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html?web_view=true

工業自動化軟件AzeoTech DAQFactory存在高危漏洞，可能會導致代碼執行、內存損壞等嚴重問題。HMI/SCADA軟件VBASE Editor存在高危漏洞，包括多個工業部門在內的企業均受到影響。飛利浦披露其TASY EMR漏洞對患者數據構成風險，其IntelliBridge EC 40和EC 80集線器患者監測系統存在高危漏洞。西門子修復其產品的 36 個漏洞。施耐德電氣修復其產品的17個漏洞。思科修復Catalyst PON企業交換機的嚴重漏洞、修復ASA和FTD防火墻中的高危漏洞。

工業自動化軟件AzeoTech DAQFactory存在高危漏洞

DAQFactory是AzeoTech的一款HMI/SCADA工業自動化軟件，存在對固有危險函數的使用、不可信數據的反序列化、敏感信息的明文傳輸等多個漏洞。成功利用這些漏洞可能會導致代碼執行、內存損壞或未經授權訪問用戶信息。

資料來源：https://us-cert.cisa.gov/ics/advisories/icsa-21-308-02

HMI/SCADA軟件VBASE Editor存在高危漏洞

VBASE是一款可用于多個工業部門在內的HMI/SCADA軟件，存在多個可遠程利用的漏洞，包括訪問控制不當、跨站腳本、XML外部實體引用的不當限制以及使用具有已知漏洞的組件。成功利用這些漏洞，可能會允許未授權的用戶可控數據輸入、本地文件泄露、以及敏感文件的訪問。

資料來源：https://us-cert.cisa.gov/ics/advisories/icsa-21-308-01

西門子修復其產品的 36 個漏洞

西門子11月9號發布了13條公告，涵蓋了36個漏洞。其中兩個公告重點關注新披露的NUCLEUS:13漏洞對其產品的影響。另一個包含嚴重和高危漏洞的建議針對SIMATIC產品，本地攻擊者可以利用這些漏洞來提升權限，讀取、寫入或刪除文件。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-and-schneider-electric-address-over-50-vulnerabilities-0

施耐德電氣修復其產品的17個漏洞

施耐德電氣11月9號發布了七項建議，修復了總17個影響其產品的漏洞。其中一份報告描述了penGUIn HMI產品的GUIcon配置工具中的兩個高危和中危漏洞。漏洞利用可能導致DoS攻擊、代碼執行和信息泄露，但由于產品已停產，因此不會發布補丁。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-and-schneider-electric-address-over-50-vulnerabilities-0

飛利浦披露TASY EMR漏洞對患者數據構成風險

飛利浦修復了其TASY電子病歷HTML5系統3.06.1803及更早版本中的兩個CVSS評分均為8.8的SQL注入漏洞，這可能導致患者敏感數據從TASY數據庫中泄露或泄露。攻擊者可以利用這些漏洞為未經授權的用戶提供對設備的訪問權限或創建拒絕服務條件。

資料來源：https://www.scmagazine.com/analysis/risk-management/philips-discloses-tasy-emr-vulnerabilities-pose-risk-to-patient-data

飛利浦醫療產品存在高危漏洞

飛利浦醫療產品IntelliBridge EC 40和EC 80集線器患者監測系統存在兩個高危漏洞，這些漏洞與使用硬編碼憑據和身份驗證繞過有關。成功利用這些漏洞可能允許攻擊者未經授權訪問數據以及進行拒絕服務攻擊。

資料來源：https://www.securityweek.com/philips-working-patches-vulnerabilities-found-medical-products

思科修復Catalyst PON企業交換機的嚴重漏洞

思科已修復Catalyst無源光網絡(PON)系列交換機光網絡終端和策略套件中的嚴重漏洞。其中最嚴重的漏洞是CVE-2021-34795和CVE-2021-40113，CVSS評分均為10.0，允許未經身份驗證的遠程攻擊者使用具有默認靜態密碼的調試帳戶登錄受影響的設備，或執行命令注入攻擊。

資料來源：https://www.securityweek.com/cisco-plugs-critical-holes-catalyst-pon-enterprise-switches

思科防火墻存在高危漏洞

思科ASA(自適應安全設備)和FTD(Firepower威脅防御)的防火墻中存在漏洞CVE-2021-34704，CVSS評分8.6。如果漏洞被利用，組織的防火墻將被削弱，使其更容易受到攻擊，遠程工作的員工將無法訪問組織的內部網絡。

資料來源：https://www.infosecurity-magazine.com/news/cisco-flaw-affects-firewalls/?&web_view=true

谷歌推出新的開源數據隱私協議，旨在確保特定查詢期間的隱私。微軟發布AI勒索軟件攻擊檢測系統，通過評估風險和在外圍阻止攻擊者來補充現有的云保護。

谷歌推出新的開源數據隱私協議

谷歌推出了新的開源數據隱私協議Private Set Membership，旨在確保特定查詢期間的隱私。該協議用于檢查一個特定的標識符是否存在于服務器持有的列表中：客戶的標識符是加密傳輸的，除了知曉被查詢的標識符是否存在于列表之外，服務器不知道查詢的結果，客戶也不知道服務器上標識符集的細節。

資料來源：https://www.securityweek.com/google-introduces-new-open-source-data-privacy-protocol?&web_view=true

微軟發布AI勒索軟件攻擊檢測系統

微軟為 Microsoft Defender for Endpoint 客戶推出了一個AI驅動的勒索軟件攻擊檢測系統，通過評估風險和在外圍阻止攻擊者來補充現有的云保護。由于人為操作的勒索軟件攻擊具有一組特定的方法和行為，因此微軟認為他們可以使用數據驅動的AI方法來檢測這些類型的攻擊。

資料來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-adds-ai-driven-ransomware-protection-to-defender/?&web_view=true