CCERT月报：数据安全法颁布，高校安全工作需升级

　　《中华人民共和国数据安全法》已于2021年6月10日在十三届全国人大常委会第二十九次会议上表决通过，将于2021年9月1日起正式实施。

　　该法案贯彻落实总体国家安全观，聚焦数据安全领域的风险隐患，以有效保障人民群众合法权益为目标提出：要深化建设数据安全体制；明确数据安全的监管制约职责；建立健全数据安全风险评估机制、分类分级保护制度及数据交易管理制度。

　　该法案为合理合法地开发利用数据提供了法律基础，也为从严处置各类数据滥用违法行为提供了处罚的法律依据。

　　目前根据相关上位法的要求，各行业的具体数据安全管理实施细则都在抓紧制定中，各高校也应该加强学习相关法律法规，提前谋划做好相应的安全工作准备。

　　6月安全投诉事件数量与5月基本持平。从网络流量监测数据分析看，5月暴露出的VMware vCenter Server漏洞（CVE-2021-21985）目前正在被大规模扫描探测和利用，建议使用了该虚拟化平台的管理员要注意防范。

2021年5月-6月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　1. 微软2021年6月的例行安全公告修复了旗下多款产品中存在的50个安全漏洞，其中高危漏洞5个，中危漏洞45个。

　　在50个安全漏洞中，有7个属于0day漏洞。包括Windows内核信息泄露漏洞（CVE-2021-31955）、Windows NTFS特权提升漏洞（CVE-2021-31956）、微软DWM核心库权限提升漏洞（CVE-2021-33739）、Windows MSHTML平台远程代码执行漏洞（CVE-2021-33742）和微软增强型加密库特权提升漏洞（CVE-2021-31199CVE-2021-31201）等6个0day漏洞已经发现了在野的攻击行为；还有1个0day漏洞是Windows远程桌面拒绝服务攻击漏洞，其漏洞详细信息已被公布，但未检测到在野的攻击行为。

　　鉴于这些漏洞带来的风险，建议用户尽快使用Windows自带的更新功能进行补丁更新。

　　2. Adobe公司发布了6月的安全公告（APSB21-37），用于修补Adobe Acrobat/Reader软件中存在的5个安全漏洞（CVE-2021-28551、CVE-2021-28552、CVE-2021-28554、CVE-2021-28631、CVE-2021-28632），5个漏洞均属于高危级别，可能导致远程任意代码执行。

　　攻击者可以创建特殊构造的PDF文件并引诱用户点击打开，以此来利用相关漏洞。成功利用这些漏洞能以当前用户的权限在系统上执行任意命令。建议用户使用软件自带的更新功能进行安全更新。

　　3. ThroughTek公司的P2P软件开发包(SDK)主要用于在互联网上为音频/视频流提供远程访问权限控制，该开发包被用在了很多的摄像头和物联网设备中。

　　6月15日，美国网络安全和基础设施安全局（CISA）发布预警，因为ThroughTek P2P开发包中存在信息泄露漏洞（CVE-2021-32934），导致数以百万计使用了该开发包的互联网设备可能存在敏感信息泄露的风险，攻击者可以未经授权远程访问设备上的敏感信息，包括方位网络摄像头拍摄的视频信息。

　　由于该开发包是底层的开发组件，要追踪所有受此漏洞影响的互联网设备非常困难，一个可行的办法是不要把这些设备暴露在互联网上，同时用户也需要随时关注相关设备厂商发布的安全公告和补丁程序。

　　4. 用友公司的NC产品是面向大型企业信息化需求，提供建模、开发、集成、运行和管理一体化的信息化解决方案。

　　用友NC存在一个远程任意代码执行漏洞，由于用友NC对外提供了BeanShell接口，任何无需身份验证的人都可以访问该接口并执行命令进而获得对应服务器的权限。

　　目前厂商已经针对漏洞发布了紧急的补丁程序，建议相关系统管理员尽快进行更新。在暂时无法更新之前，建议使用防火墙限制BeanShell服务的访问范围。

　　安全提示

　　数据安全法的颁布实施，必然会给学校的安全工作带来新的要求。因为数据本身是流动的，它在产生(收集)、访问、传输及存储等各个阶段都可能存在安全风险，传统的以网络和系统为防护目标的安全体系已经不能满足新的安全需求，需要构建以数据生命周期为导线的全范围覆盖的新安全防护体系。

　　作者：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：项阳