全球網絡安全發展最新動态

美國防部宣布授予微軟等公司“太空網際網路”新合同

目前，美國國防部國防創新部門（DIU）正在與美國太空部隊，太空作戰分析中心和空軍研究實驗室的太空飛行器理事會合作開發一種可互操作的“混合空間架構”（HSA），該架構将允許資料在不同通信網絡上的安全流動。根據國防部國防創新部門（DIU）釋出的公告，微軟、亞馬遜等公司已獲得合同，以幫助聯邦政府開發民用，商業和軍用衛星的混合通信網絡。

微軟戰略使命和技術團隊執行副總裁Jason Zander在一篇部落格文章中表示：“HSA将部分建立在Microsoft Azure之上，并将利用我們Azure Space解決方案套件的關鍵功能。HSA本質上是國防部在太空中建立網際網路的努力，并将支援該部門為國家安全建立資訊優勢的目标。”

DIU表示HSA将“将多個地面通信系統與不同的衛星網絡連接配接起來，利用所有可用的連結，包括但不限于電磁無線電頻譜，光學衛星間鍊路，軍事戰術資料鍊路以及傳統和未來的地面段有線網絡。該機構表示，這将允許整合商業和政府能力，以“保持營運和資訊安全，同時實作服務之間以及我們的盟友和合作夥伴之間的協作”。

該項目将追求靈活和彈性的通信架構目标，該架構将能夠通過商業、軍事和相關資産移動資料，同時內建基于雲的多域存儲和分析。

CISA 警告 3 個工控軟體系統存在嚴重漏洞

近日，美國網絡安全和基礎設施安全局（CISA）釋出了三份工業控制系統（ICS）公告，涉及ETIC電信、諾基亞和Delta工業自動化的軟體中的多個漏洞。其中最突出的是影響ETIC電信公司遠端通路伺服器（RAS）的一組三個缺陷，它"可能允許攻擊者獲得敏感資訊，并控制有漏洞的裝置和其他連接配接的機器"，CISA說。

這包括CVE-2022-3703（CVSS評分：9.0），這是一個關鍵的缺陷，源于RAS網絡門戶無法驗證固件的真實性，進而有可能塞進一個流氓包，授予對手後門權限。

另外兩個缺陷與RAS API中的目錄穿越錯誤（CVE-2022-41607，CVSS評分：8.6）和一個檔案上傳問題（CVE-2022-40981，CVSS評分：8.3）有關，可被利用來讀取任意檔案和上傳惡意檔案，進而破壞裝置。

認為是以色列工業網絡安全公司OTORIO發現和報告了這些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法國公司在4.7.3版本中解決了這些問題。

CISA的第二個公告涉及諾基亞ASIK AirScale 5G通用系統子產品的三個缺陷（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），這可能為任意代碼執行和安全啟動功能的停止鋪平道路。所有的缺陷在CVSS嚴重性等級中被評為8.4級。CISA指出，成功利用這些漏洞可能導緻執行惡意核心，運作任意的惡意程式，或運作修改過的諾基亞程式。

據說這家芬蘭電信巨頭已經公布了影響ASIK 474021A.101和ASIK 474021A.102版本的缺陷的緩解說明。該機建構議使用者直接與諾基亞聯系，以獲得進一步資訊。

最後，該網絡安全機構還警告說，一個路徑穿越漏洞（CVE-2022-2969，CVSS評分：8.1）影響了台達工業自動化公司的DIALink産品，可被利用來在目标裝置上植入惡意代碼。該漏洞已在1.5.0.0 Beta 4版本中得到解決，CISA表示可以直接聯系台達工業自動化或通過台達現場應用工程（FAEs）獲得該版本。

美國防部将授出90億美元的聯合作戰雲能力合同

11月7日，美國國防部預計将在下月初授予聯合作戰雲能力合同（JWCC），用于采購數十億美元的商業計算服務。去年授予微軟的聯合企業防禦基礎設施(JEDI)雲合同因指控于2021年7月取消。原因是由于亞馬遜與特朗普政府之間發生争執，亞馬遜被指控破壞了100億美元的競争。JWCC被視為美國國防部失敗的JEDI繼任者。JWCC價值高達90億美元，旨在将軍方最偏遠的邊緣與最遠的總部連接配接起來，同時彌合分類和其他敏感問題，以便更有效地處理資訊并将資訊傳遞給陸、空、海、太空和網絡的部隊，這一概念被稱為聯合全域指揮和控制（JADC2）。複雜的JADC2概念完全依賴于擁有在所有三個安全級别（最高機密、機密、非機密）上運作的企業雲功能。JWCC企業雲是JADC2的基本支柱。JWCC計劃包括一個為期三年的基礎和一年的選擇權。

美陸軍将實施端點安全解決方案

11月3日，美陸軍授予精英公司（ECS）一份為期五年、價值4.3億美元的合同，以支援軍隊端點安全解決方案（AESS），陸軍非機密和機密網絡中80萬個端點将受到AESS保護。ECS将為軍隊提供傳統和先進的保護（如預防資料丢失、擴充檢測和響應以及機器學習）、威脅預防、網絡控制、防火牆和自适應威脅保護；提升系統的端點檢測和響應能力，建立統一的資産管理系統。ECS公司總裁約翰·赫内根表示，AESS 2.0将提高美陸軍網絡的安全性，并與陸軍的大資料平台以及國防部其他資料平台整合，增強陸軍的威脅情報能力。

美國國家安全局聯合多部門釋出《供應商軟體供應鍊指南》

近日，美國國家安全局（NSA），網絡安全和基礎設施安全局（CISA）和國家情報總監辦公室（ODNI）聯合釋出《供應商軟體供應鍊指南》，以解決國家關鍵基礎設施面臨的威脅。NSA認為網絡攻擊的目标是企業利用網絡空間來侵入、禁用、或惡意控制計算環境或基礎設施，破壞資料的完整性或竊取受控資訊。NSA在通告中指出：軟體供應鍊周期容易受到攻擊，并面臨潛在損害的風險。軟體供應商可以在本次指南中獲得指導，通過軟體安全檢查、保護軟體、生産安全良好的軟體等措施保護組織免遭損失。NSA在通告中指出，該指南是對SolarWinds攻擊事件調查結果的回報。據悉，NSA、CISA、ODNI聯合組建的持久安全架構工作組（ESF）對該事件的調查結果表明，需要建立一套行業和政府評估的方法，重點關注軟體供應商的需求。

日本宣布正式加入北約網絡防禦中心

一旦北約成員國遭遇網絡襲擊，其他國家将給予政治、經濟、技術乃至軍事領域的支援。據日本時事通訊社當地時間11月4日消息，日本防衛大臣浜田靖一在當日的記者會上表示，日本正式加入北約網絡防禦中心。

另據此前報道，今年5月，南韓作為正式會員加入北約網絡防禦中心。南韓由此成為首個加入該機構的亞洲國家。

北約網絡防禦中心全稱為“北約合作網絡防禦卓越中心”，2008年成立，總部設在愛沙尼亞首都塔林。

據稱，該中心在網絡防禦訓練、戰略研究等領域擁有強大力量，其主要任務是為北約及該組織成員國提供技術、戰略、行動和法律領域的網絡防禦專業支援。北約曾公開宣稱，《北大西洋公約》的“集體防禦”條款适用于網絡空間，一旦北約成員國遭遇網絡襲擊，其他國家将給予政治、經濟、技術乃至軍事領域的支援。

事實上，北約網絡防禦中心名為防禦，實則積極投身網絡攻擊演練。其作為一個國際軍事組織，多次舉行實戰化網絡攻防演習，演練用網絡攻擊他國的關鍵性基礎設施。

印度黑客被曝攻擊全球政客和名人竊取資訊

11月6日消息，英國《星期日泰晤士報》調查發現，印度的黑客團夥正在全球“私人偵探”和秘密組織的要求下，非法入侵全球政客和名人的電子郵箱，并從中獲利。《星期日泰晤士報》調查了多個聲稱提供資料竊取服務的網絡公司和個人，發現這些機構和個人曾受命侵入土耳其、巴基斯坦、埃及、高棉和加拿大政府不同部門的計算機系統，以及全球多個商界名人的郵箱。入侵手段包括通過間諜軟體、釣魚攻擊等方式，入侵攻擊對象的電子郵件，以及WhatsApp、Signal和Telegram通信軟體資訊。這些黑客多數是網絡安全專家出身，平均每個入侵訂單能賺取數千美元。

2024年前量子加密将廣泛應用于俄羅斯關鍵基礎設施

11月7日，莫斯科國立大學“量子技術”國家技術倡議中心學術負責人謝爾蓋∙庫利克稱：2024年前，量子加密系統或将廣泛應用于保護關鍵重要基礎設施免受黑客攻擊和與人為因素有關的洩漏。量子密鑰生成和分發系統可確定資訊傳輸的最大安全性，在量子信道中資訊無法被截獲。密鑰更新很快，即使使用量子計算機也難以收集到。此外，主要資訊洩露是人為造成的，而量子系統是全自動的。

谷歌正式推出“密鑰登入”，逐漸取代傳統密碼登入

近日，谷歌宣布在Android和Chrome中正式推行密鑰登入“PassKey”，以逐漸替代長期使用的密碼登入“PassWord”。推出的密鑰登入可以認為是“生物密碼”和“授權登入”的結合。使用者可以在Android手機上建立一個基于公鑰加密的密鑰憑據，建立密鑰的時候需要對本人進行生物特征識别，比如“指紋”或者“面部識别”等。建立完畢後，這個密鑰憑據可用于解鎖所有線上帳戶——既可以解鎖Android手機上的帳戶，也可以解鎖附近所有裝置的帳戶。是的，這個密鑰登入功能由微軟/蘋果/谷歌聯合出品，屬于行業标準。是以它是跨平台的，包括Windows、macOS和iOS以及ChromeOS。換而言之，你可以用Android手機的密鑰憑據解鎖上述所有系統的帳戶和網站。

在谷歌的眼中，密碼登入這種老舊的身份驗證方法很容易被釣魚或者盜号等方法影響，安全性不高。而密鑰登入則大為不同，它不能重複使用，也不會洩露伺服器漏洞，還能保護使用者免受網絡釣魚的攻擊以及忘記密碼的困擾，即使丢失了手機，密鑰也可以從雲備份安全地同步到新手機。

不過，現在這個密鑰登入功能還不完善，隻是一個重要的裡程碑，實作了兩個關鍵功能：使用者可以在Android裝置上建立和使用密鑰，密鑰通過Google密碼管理器進行同步。開發人員可以通過WebAuthn API、Android和其他支援的平台，使用Chrome在網站上為使用者建構密鑰支援。

如果要在網站上添加密鑰登入功能，開發者需要注冊Google Play Services測試版，并使用Chrome Canary版本。

密鑰登入功能的下一個裡程碑是原生的Android應用API，原生API将為應用程式提供多種登入方式，使用者可以選擇密鑰登入，或是使用已儲存的密碼登入。

三星漏洞在裝置上安裝惡意應用程式

研究人員發現，三星裝置的Galaxy Store應用程式中的安全漏洞可讓黑客在使用者手機上安裝并啟用惡意App，執行遠端指令執行攻擊。三星已經釋出修補程式。

該漏洞是一個跨站點腳本(XSS)漏洞，在處理某些深層連結時可能會觸發該漏洞。該漏洞具體影響Galaxy Store版本4.5.32.4，這是由獨立安全研究人員通過SSD安全披露計劃報告的。

在Galaxy Store應用程式中，處理了一些深層連結。可以從另一個應用程式或浏覽器調用Deeplink。當接收到合适的深度連結時，Galaxy Store将通過webview處理和顯示它們。在這裡，通過不安全地檢查深層連結，當使用者從包含深層連結的網站通路連結時，攻擊者可以在Galaxy Store應用程式的webview上下文中執行JS代碼。

該專家專注于為三星的營銷和内容服務(MCS)配置的深層連結。SamSung MCS Direct Page網站是從url中解析參數然後顯示在網站上，但是沒有編碼，導緻XSS錯誤。

網站在處理abc，def參數，顯示如上，沒有編碼，url直接傳給href，很危險，會引發XSS。在分析deeplink流程代碼時，專家注意到ClassEditorialScriptInterface中有兩個函數downloadApp和openApp。

這兩個功能允許擷取應用程式ID并從商店下載下傳或打開它們。這意味着可以使用JS代碼來調用這兩個函數。在這種情況下，攻擊者可以将任意代碼注入MCS網站并執行。

通路該連結時，可以利用此問題在三星裝置上下載下傳和安裝惡意應用程式。目前，三星已經釋出更新檔來解決這個問題。

《關鍵資訊基礎設施安全保護要求》國家标準釋出會在京舉辦

11月7日，市場監管總局标準技術司、中央網信辦網絡安全協調局、公安部網絡安全保衛局在京聯合召開《資訊安全技術關鍵資訊基礎設施安全保護要求》（GB/T 39204-2022）國家标準釋出宣貫會。市場監管總局标準技術司一級巡視員國煥新，中央網信辦網絡安全協調局副局長、一級巡視員高林，公安部網絡安全保衛局副局長、一級巡視員郭啟全出席會議并講話。

國煥新指出，關鍵資訊基礎設施作為直接關系到國家安全、國計民生和公共利益的重要基礎設施，其安全防護是國家網絡安全工作的重中之重。标準是落實關鍵資訊基礎設施安全相關法律法規的重要抓手，是保障關鍵資訊基礎設施安全與發展的重要技術要素。深入貫徹黨的二十大精神，落實《國家标準化發展綱要》任務部署，統籌優化标準體系建設，持續開展關鍵标準研制，不斷強化标準實施應用，以标準助力關鍵資訊基礎設施安全保障體系建設，是我們共同的責任和使命。

高林指出，《資訊安全技術關鍵資訊基礎設施安全保護要求》是規範關基保護工作的具體依據，是指導關基保護工作的實施指南。各相關方要充分認識關鍵資訊基礎設施安全保護工作的重要性，充分發揮标準的規範和引導作用，壓實各方責任，提升關鍵資訊基礎設施綜合防護水準。下一步，中央網信辦将堅持總體國家安全觀，發揮統籌協調作用，會同相關部門加強關鍵資訊基礎設施監測預警和事件應對處置；協調保護工作部門發揮行業監管職能，組織開展标準教育訓練，督促标準貫徹實施。營運者應履行主體責任，貫徹落實标準要求，確定關鍵資訊基礎設施安全穩定運作。

郭啟全指出，關鍵資訊基礎設施是國家網絡安全保護的重中之重，本标準是第一項關鍵資訊基礎設施安全保護的國家标準，各相關部門和關鍵資訊基礎設施營運者應認真學習、研究和落實。關鍵資訊基礎設施保護是一個系統工程，有關機關和部門要将網絡安全等級保護制度、關鍵資訊基礎設施保護制度和資料安全保護制度三個制度在法律、政策、标準等方面形成有機銜接的體系。要落實上述要求，圍繞關鍵資訊基礎設施安全保護要求，建構标準體系。公安機關将大力加強關鍵資訊基礎設施安全保衛和安全監管，嚴厲打擊相關違法犯罪活動，與有關部門密切配合，着力建構關鍵資訊基礎設施綜合防禦體系，大力提升綜合防禦能力和水準，堅決維護好國家網絡空間安全。

《資訊安全技術關鍵資訊基礎設施安全保護要求》是關鍵資訊基礎設施安全保護标準體系的建構基礎，将于2023年5月1日正式實施。标準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動态防護、以資訊共享為基礎的協同聯防的關鍵資訊基礎設施安全保護3項基本原則，從分析識别、安全防護、檢測評估、監測預警、主動防禦、事件處置等6個方面提出了111條安全要求，為營運者開展關鍵資訊基礎設施保護工作需求提供了強有力的标準保障。

2022年世界網際網路大會“網際網路之光”博覽會在浙江烏鎮開幕

11月8日上午，由世界網際網路大會和浙江省人民政府主辦，國家網際網路資訊辦公室、科學技術部、工業和資訊化部支援的2022年世界網際網路大會“網際網路之光”博覽會在浙江烏鎮開幕。國家網際網路資訊辦公室副主任曹淑敏，工業和資訊化部副部長張雲明，全國人大社會建設委員會副主任委員、世界網際網路大會秘書長任賢良等出席開幕式。浙江省人民政府副省長盧山出席開幕式并緻辭。

本次博覽會以“共建網絡世界共創數字未來”為主題，精準把握“求先、求變、求新”的發展定位，設定展覽展示、新産品新技術釋出、人才相親會三大闆塊，吸引來自40個國家和地區的415家中外企業和機構以線下線上結合的方式參展，74家企業釋出新技術新産品和理論成果，1074家企業在數字經濟人才雲聘會上招募3.8萬餘名專業技術人才，打造全球數字經濟交流合作的高端平台。

據了解，本次博覽會在高品質舉辦線下展會的基礎上，首次推出365天不落幕的“網際網路之光雲展廳”品牌，以3D和2D相結合的展覽模式，設定“1+7+2”線上展區，即序廳，數字共富、數字雙碳、數字健康、數字出行、産業數字化、衛星網際網路、網絡空間治理7大主題展區，“直通烏鎮”全球網際網路大賽、現代産業學院2大特色專區，着力拓展展示新空間；首次推出“網際網路之光釋出廳”品牌，着力遴選優質内容進行新技術新産品首發、理論成果首發和特色場景釋出，将組織首發活動13場、特色場景釋出 7 大主題 61 場。中國産品主資料标準生态系統、智能車載創新解決方案、

2022 年長三角新型資訊消費示範成果、2022 年浙江資料開放創新應用大賽獲獎成果等将重磅首發；更新打造人才相親會品牌，以“雲聘會+人才空中宣講會+産業人才發展大會”形式，進一步釋放展會紅利，着力推動産業人才精準對接。自 11 月 1 日上線以來，累計超過 13 萬人次高校畢業生和社會人士線上參與數字經濟人才雲聘會，線上投遞履歷超過 1.7 萬份。

參加博覽會開幕式的還有國家網信辦、科技部、工信部、世界網際網路大會和浙江省相關機關負責同志，參展企業代表、新聞媒體代表等，共計200 餘人。

供稿：三十所資訊中心