CCERT月报:数据安全法颁布,高校安全工作需升级
《中华人民共和国数据安全法》已于2021年6月10日在十三届全国人大常委会第二十九次会议上表决通过,将于2021年9月1日起正式实施。
该法案贯彻落实总体国家安全观,聚焦数据安全领域的风险隐患,以有效保障人民群众合法权益为目标提出:要深化建设数据安全体制;明确数据安全的监管制约职责;建立健全数据安全风险评估机制、分类分级保护制度及数据交易管理制度。
该法案为合理合法地开发利用数据提供了法律基础,也为从严处置各类数据滥用违法行为提供了处罚的法律依据。
目前根据相关上位法的要求,各行业的具体数据安全管理实施细则都在抓紧制定中,各高校也应该加强学习相关法律法规,提前谋划做好相应的安全工作准备。
6月安全投诉事件数量与5月基本持平。从网络流量监测数据分析看,5月暴露出的VMware vCenter Server漏洞(CVE-2021-21985)目前正在被大规模扫描探测和利用,建议使用了该虚拟化平台的管理员要注意防范。
2021年5月-6月CCERT安全投诉事件统计
近期新增严重漏洞评述:
1. 微软2021年6月的例行安全公告修复了旗下多款产品中存在的50个安全漏洞,其中高危漏洞5个,中危漏洞45个。
在50个安全漏洞中,有7个属于0day漏洞。包括Windows内核信息泄露漏洞(CVE-2021-31955)、Windows NTFS特权提升漏洞(CVE-2021-31956)、微软DWM核心库权限提升漏洞(CVE-2021-33739)、Windows MSHTML平台远程代码执行漏洞(CVE-2021-33742)和微软增强型加密库特权提升漏洞(CVE-2021-31199CVE-2021-31201)等6个0day漏洞已经发现了在野的攻击行为;还有1个0day漏洞是Windows远程桌面拒绝服务攻击漏洞,其漏洞详细信息已被公布,但未检测到在野的攻击行为。
鉴于这些漏洞带来的风险,建议用户尽快使用Windows自带的更新功能进行补丁更新。
2. Adobe公司发布了6月的安全公告(APSB21-37),用于修补Adobe Acrobat/Reader软件中存在的5个安全漏洞(CVE-2021-28551、CVE-2021-28552、CVE-2021-28554、CVE-2021-28631、CVE-2021-28632),5个漏洞均属于高危级别,可能导致远程任意代码执行。
攻击者可以创建特殊构造的PDF文件并引诱用户点击打开,以此来利用相关漏洞。成功利用这些漏洞能以当前用户的权限在系统上执行任意命令。建议用户使用软件自带的更新功能进行安全更新。
3. ThroughTek公司的P2P软件开发包(SDK)主要用于在互联网上为音频/视频流提供远程访问权限控制,该开发包被用在了很多的摄像头和物联网设备中。
6月15日,美国网络安全和基础设施安全局(CISA)发布预警,因为ThroughTek P2P开发包中存在信息泄露漏洞(CVE-2021-32934),导致数以百万计使用了该开发包的互联网设备可能存在敏感信息泄露的风险,攻击者可以未经授权远程访问设备上的敏感信息,包括方位网络摄像头拍摄的视频信息。
由于该开发包是底层的开发组件,要追踪所有受此漏洞影响的互联网设备非常困难,一个可行的办法是不要把这些设备暴露在互联网上,同时用户也需要随时关注相关设备厂商发布的安全公告和补丁程序。
4. 用友公司的NC产品是面向大型企业信息化需求,提供建模、开发、集成、运行和管理一体化的信息化解决方案。
用友NC存在一个远程任意代码执行漏洞,由于用友NC对外提供了BeanShell接口,任何无需身份验证的人都可以访问该接口并执行命令进而获得对应服务器的权限。
目前厂商已经针对漏洞发布了紧急的补丁程序,建议相关系统管理员尽快进行更新。在暂时无法更新之前,建议使用防火墙限制BeanShell服务的访问范围。
安全提示
数据安全法的颁布实施,必然会给学校的安全工作带来新的要求。因为数据本身是流动的,它在产生(收集)、访问、传输及存储等各个阶段都可能存在安全风险,传统的以网络和系统为防护目标的安全体系已经不能满足新的安全需求,需要构建以数据生命周期为导线的全范围覆盖的新安全防护体系。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳
- 上一篇
如何在网络安全和网络测量研究中兼顾道德伦理?
随着网络信息技术的高速发展,计算机网络已渗透到人们生活的方方面面,网络安全成为关乎国家安全和人民权利的重要问题。然而,由于网络信息技术的研究存在扩散性、渗透性和极大的不确定性,科研人员在研究过程中需要拥有强烈的责任感和道德伦理操守。那么,如何在网络安全和网络测量研究中兼顾道德伦理?本文将从一个博士生的角度,结合自身在研究过程中产生的困惑,对该问题进行探讨。 一次失败的投稿经历2020年8月12日,我意外地收到了网络测量领域顶级学术会议IMC 2020的拒稿邮件。原因是审稿人认为相关工作在伦理道德(伦理)方
- 下一篇
教学信息化:契机与破局之路
教学是教育的核心内容,也是包括高等学校在内的一切教育机构存在的立身之本,在新时代肩负着高校立德树人、人才培养的根本任务。自互联网诞生以来,延续数千年的传统教育时空观逐渐改变甚至完全颠覆,教学与信息化的融合不仅持续冲击和蚕食着传统教学的阵地,在线教育教学更显示出解决教育公平,实现教育大同,推动构建人类命运共同体的巨大潜力和能量。从时代的横截面和教育的大历史观角度看,作为教育信息化的关键组成部分,教学信息化或者说在线教育教学撬动的其实是工业文明体系下的“流水线”规模化培养模式,教与学的嬗变正由单线程变成了多线