国家数据局今年将推出八项制度文件;工信部部署推进网络安全保险服务试点工作;OpenSSH被曝存在严重安全缺陷 | 牛览
点击蓝字·关注我们 / aqniu
新闻速览
ㆍ “清朗·优化营商网络环境-整治涉企侵权信息乱象”专项行动公开曝光第二批典型案例
ㆍ 中央网信办召开全国重点商业网站平台管理工作会议
ㆍ 工信部部署推进网络安全保险服务试点工作
ㆍ 工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》
ㆍ 国家数据局今年将推出八项制度文件
ㆍ OpenSSH被发现存在严重安全缺陷,或使超千万台服务器面临风险
ㆍ 澳大利亚男子被指控对航班实施“邪恶双胞胎”Wi-Fi攻击
ㆍ 远控软件TeamViewer 成为APT29犯罪组织攻击目标
ㆍ 谷歌推出KVM漏洞奖励计划,奖金最高可达25万美元
ㆍ 博智安全发布3.0版工业资产测绘与脆弱性评估系统
特别关注
“清朗·优化营商网络环境-整治涉企侵权信息乱象”专项行动公开曝光****第二批典型案例
近期,国家网信办聚焦破坏营商网络环境突出问题,持续深入开展“清朗·优化营商网络环境-整治涉企侵权信息乱象”专项行动,依法依规查处一批散布虚假不实信息、谋取非法利益等涉企违法违规账号。现将第二批典型案例通报如下:
**1. “王悟空说车”等账号发布虚假不实信息,诋毁企业形象声誉。**抖音账号“王悟空说车”、西瓜视频号“王悟空”、小红书账号“是我,王悟空”,为博取眼球、吸引流量,多次歪曲事实诋毁新能源汽车性能,煽动群体对立,并恶意抹黑某汽车企业的产品质量、形象声誉。涉及的账号已被依法依约关闭。
**2. “丽尔摩斯”等账号以发布负面信息为名,要挟企业开展商业合作。**网易号“丽尔摩斯”、抖音账号“丽尔摩斯·商业探案”等账号运营主体,向某企业发送涉及该企业重大负面信息的“调研函”,在企业与其沟通时,借机胁迫签订商业合作协议。微信公众号“电动车热点”,恶意拼凑内容,发布涉企负面信息,借机要挟企业与其开展商业合作。涉及的账号及其关联账号已被依法依约关闭,账号主体被纳入平台黑名单管理。
**3. “晋商俱乐部”等账号发布“标题党”文章,恶意抹黑企业。**微信公众号“晋商俱乐部”、微信视频号“晋商纵横”,故意夸大歪曲事实,持续发布涉企负面“标题党”文章和短视频,并恶意解读企业经营策略,抹黑诋毁企业品牌形象。涉及的账号已被依法依约关闭,账号主体被纳入平台黑名单管理。
**4. “国际能源网”等账号发布不实信息,干扰企业正常经营。**某信息技术公司在抖音、快手、知乎、小红书等9家网站平台上注册“国际能源网”账号,采用断章取义、片面解读、虚构数据等手法,批量发布涉企不实信息。涉及的账号已被依法依约禁言和暂停营利权限。对涉嫌敲诈勒索的违法犯罪行为,移送公安机关处理。
**5.“润谈润语”等账号发布谣言信息,抹黑诋毁企业、企业家形象。**小红书账号“润谈润语”,多次发布某公司大幅裁员等谣言信息,恶意抹黑企业经营状况。微博账号“沈颐芯”、东方财富网账号“CelineFeng冯优偌”,捏造事实,虚构与某企业家的关系,并进行恶意关联炒作,抹黑企业家形象和声誉。上述涉及的账号已被依法依约关闭。
原文链接:
https://mp.weixin.qq.com/s/iUjsn8vPxTU0366ipBJKdA
中央网信办召开全国重点商业网站平台管理工作会议
6月27日,中央网信办在四川成都召开全国重点商业网站平台管理工作会议。会议深入学习贯彻习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想,总结工作,交流经验,部署下一阶段重点任务。中央网信办副主任、国家网信办副主任牛一兵出席会议并讲话。
会议指出,今年是习近平总书记提出网络强国战略目标10周年。十年来,习近平总书记举旗定向、掌舵领航,从信息化发展大势和国内国际两个大局出发,提出了一系列具有开创性意义的新理念新思想新战略,鲜明提出“五个明确”“十个坚持”,为网信工作指明了方向,指引互联网在规范中健康发展,网络空间日渐清朗,人民群众精神家园更加美好。
会议强调,党的二十届三中全会召开在即,网信部门和网站平台必须全力以赴做好服务保障工作。要坚持正确的政治方向、舆论导向和价值取向,持续整治网上各类乱象问题,维护网络传播秩序,为会议召开营造良好网络舆论氛围。
会议要求,要正确处理好安全与发展的关系,做到以管理促安全、以安全促发展。既要发挥平台主体作用,以科技创新催生新产业、新模式、新动能,推动网站平台高质量发展,也要加强网络内容建设和管理,防范各种风险隐患,促进网络生态健康有序。
原文链接:
https://mp.weixin.qq.com/s/\_wRS5AkSDwnCDV6Brrbwww
工信部部署推进网络安全保险服务试点工作
近日,工业和信息化部网络安全管理局组织召开会议,部署推进网络安全保险服务试点工作。工业和信息化部网络安全管理局、中小企业局,国家金融监督管理总局财产保险监管司,试点省份工业和信息化主管部门、通信管理局,网络安全保险服务机构,行业企业,部属支撑单位等相关负责同志参加会议。
会议介绍了网络安全保险文件及试点工作进展情况,参与试点的地方主管部门、网络安全保险服务机构、行业企业代表,结合工作实际,围绕网络安全保险服务试点工作交流发言。江苏省、上海市工业和信息化主管部门围绕地方网络安全保险实践基础、支持举措和推进思路进行了分享。
国家金融监督管理总局财产保险监管司相关负责同志表示,网络安全保险是按照中央金融工作会议精神,做好金融“五篇大文章”的重要内容,也是科技保险的重要险种。我国网络安全保险发展空间广阔,下一步建议围绕保险产品设计、保险保障范围、风险减量服务等关键问题开展深入研究,把握发展规律,探索业务试点,坚持保障本源,坚守风险底线,严格合规经营,和有关部门共同推动网络安全保险规范健康发展。
工信部网络安全管理局张光明副局长在会议中指出,抓好网络安全保险工作,是认真贯彻落实党中央、国务院关于网络安全相关决策部署的重要举措。要积极把握发展机遇,和国家金融监督管理总局财产保险监管司一道深入推动网络安全保险服务走深走实:
**一是提高重视程度,形成工作合力。**要高度重视网络安全保险服务试点工作,强化沟通协调,发挥各方优势,加大资源投入,扎实推进试点工作方案落地;
**二是完善工作机制,促进推广落地。**依托试点支撑平台保障试点工作有序推进,适时遴选优秀做法和典型案例,加快形成可复制可推广的服务模式;
**三是促进融合创新,优化产品服务。**要结合典型风险场景,加强保险公司与网络安全企业的合作交流,创新保险产品,优化服务模式;
**四是推动生态建设,营造良好氛围。**充分发挥保险行业协会、网络安全产业联盟带动作用,营造促进网络安全保险规范健康发展的浓厚氛围。
原文链接:
https://mp.weixin.qq.com/s/v-sajsqP3y49\_ZQK5bnpYw
工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》
为深入贯彻落实党中央、国务院决策部署,加强人工智能标准化工作系统谋划,工业和信息化部、中央网信办、国家发展改革委、国家标准委等四部门近日联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》。提出到2026年,我国标准与产业科技创新的联动水平持续提升,新制定国家标准和行业标准50项以上,引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过1000家,标准服务企业创新发展的成效更加凸显。参与制定国际标准20项以上,促进人工智能产业全球化发展。
原文链接:
https://mp.weixin.qq.com/s/-Tl2ijtAv2af\_CHxnHZPOg
国家数据局今年将推出八项制度文件
7月2日,国家数据局党组书记、局长刘烈宏出席在北京举行的2024年全球数字经济大会开幕式,并作题为《把握经济发展新机遇》的致辞。
刘烈宏指出,国家数据局将以制度建设为主线,在今年陆续推出数据产权、数据流通、收益分配、安全治理、公共数据开发利用、企业数据开发利用、数字经济高质量发展、数据基础设施建设指引等8项制度文件,加大政策供给,推动我国海量数据优势转化为新的国家竞争优势。
刘烈宏同时表示,国家数据局会继续加强统筹协调和政策协同,加快推进数据基础设施和基础制度建设,大力发展数字经济,提升数字化公共服务水平,全面统筹数字化发展和安全,完善数字中国建设推进机制,强化常态化监测评估,全面提升数字中国建设的整体性、系统性、协同性。
原文链接:
https://mp.weixin.qq.com/s/xNAoPYQrCxgOFLeNMQjkzA
网络攻击
OpenSSH被发现存在严重安全缺陷,或使超千万台服务器面临风险
OpenSSH 是一套基于 Secure Shell(SSH)协议的网络实用程序,广泛用于安全远程登录、管理远程服务器,通过 scp 或 sftp 备份、远程文件传输等功能。日前,安全研究人员在 OpenSSH 服务器中发现了一个严重的安全性缺陷,或导致超千万台服务器设备面临安全风险。
据介绍,本次发现的是一个未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,从而导致整个系统被入侵。此外,通过该缺陷获取根访问权限,将可能导致威胁行为者绕过防火墙、入侵检测系统和日志记录机制等关键安全机制,进一步掩盖其活动。
通过使用 Censys 和 Shodan 的搜索,研究人员已发现超过 1400 万个潜在易受攻击的 OpenSSH 服务器实例暴露在互联网上。
原文链接:
澳大利亚男子被指控对航班实施“邪恶双胞胎”Wi-Fi攻击
日前,一名澳大利亚男子被警方指控涉嫌在飞机和机场实施“邪恶双胞胎”Wi-Fi攻击,以窃取他人的电子邮件或社交媒体凭证。
据报道,警方在接到一家航空公司航班上出现可疑WIFI网络的报警后展开调查。调查人员发现,该男子通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络,当用户尝试连接时会被定向到虚假登录页面或强制门户网页,并诱导他们使用电子邮件地址、密码或其他凭证登录。
警方对查获的设备进行了分析,发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息,包括受害者的在线通信、存储的图像和视频以及银行账户信息。
目前,警方正式对这名男子多项违法行为提出了刑事指控。安全专业人士提醒,要谨慎登录任何公共WIFI网络,避免输入个人敏感信息;在公共场合时应该关闭手机或其他电子设备上的WiFi,以防止设备自动连接到不安全的热点。
原文链接:
https://securityaffairs.com/165108/cyber-crime/evil-twin-wifi-attack-plane.html
远控软件TeamViewer 成为APT29犯罪组织攻击目标
日前,国际知名远程连接软件厂商TeamViewer确认,APT29网络犯罪组织在上周入侵了其公司的IT环境。该组织曾参与了过去十年中多起严重的攻击事件,包括2020年的“太阳风”(SolarWinds)黑客事件。
TeamViewer声明中提到,目前还“没有证据”表明攻击者能够访问公司的产品环境或客户数据,并指出公司IT网络与其他系统是隔离的。“这意味着我们将所有服务器、网络和账号严格分开,从而防止未经授权的访问,以及在不同环境之间的横向移动。”
经初步调查确认,本次攻击影响仅限于TeamViewer的内部公司IT环境,并未触及产品环境、连接平台或任何客户数据。由于近年来供应链攻击屡创纪录,安全专家建议暂时删除TeamViewer。
原文链接:
产业动态
谷歌推出KVM漏洞奖励计划,奖金最高可达25万美元
日前,谷歌公司宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF,以更好找到和解决 KVM 管理程序中的漏洞,奖金额最高可达到25万美元。
KVM 广泛用于消费者和企业解决方案中,包括安卓和谷歌云平台等,而这也是谷歌希望增强其安全性的原因所在。谷歌公司表示,该计划的目标是发现可被利用的主机内核KVM子系统中的漏洞,测试者需要证明他们成功利用了漏洞。如参与者能找到VM逃逸漏洞,可获得25万美元;如找到内存读写漏洞,可获得5-10万美元;如找到拒绝服务攻击,则最高可获得2万美元。
原文链接:
https://hackread.com/google-kvmctf-bug-bounty-program-kvm-exploits/
博智安全发布3.0版工业资产测绘与脆弱性评估系统
日前,博智安全科技股份有限公司正式发布工业资产测绘与脆弱性评估系统3.0版本,可面向监管部门、大中型企事业单位提供资产探测、脆弱性扫描与漏洞验证于一体的攻击面识别与管理能力。
据介绍,该系统通过分布式的处理架构,确保数据的采集、分析的高效,同时内置高性能探测引擎搭配全面的指纹信息库、漏洞信息库,POC等知识库,可以准确识别互联网上设备的暴露情况,发现联网设备潜在的漏洞和风险,并通过内置POC库确认资产脆弱性,从而更加准确、全面的掌握联网资产安全风险态势。
在能力交付方面,该系统支持本地一体化部署及在线分布式部署两种形式,同时通过任务周期性扫描探测功能,能够有效满足监管部门、企事业单位对暴露的资产风险的管理。
原文链接:
https://mp.weixin.qq.com/s/8Ma0AOSz48ey34qQLucWSA
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
