TOP5 | 头条：美国防部召集五眼联盟伙伴国参加零信任网络安全会谈

美国防部召集“五眼联盟”伙伴国参加零信任网络安全会谈；

标签：美国，五眼联盟，零信任网络

美军联合参谋部2022年12月召集“五眼联盟”合作伙伴国举行第二届战术环境安全互操作性（SITE）峰会。

此次峰会汇集了美国防部长办公室、联合参谋部、作战司令部、作战支援机构和军种的各级代表，以及澳大利亚、加拿大、新西兰和英国的代表以进一步努力推进零信任计划。以美国防部零信任战略为基础，此次峰会的首要目标是确定互操作性的要求。与会者就战术性零信任实施方法进行了研讨，旨在确定以提高联合作战人员数据安全能力为中心的统一发展方向。

零信任对于提供安全的、以数据为中心的联合全域指挥控制（JADC2）能力至关重要；实施JADC2的一项关键工作是开发以数据为中心的作战环境，以促进跨系统、领域、军种和任务合作伙伴的安全信息共享和互操作性。此前，美军联合参谋部于2022年9月举办了首届SITE峰会。此次活动汇集了整个美国防部利益相关者，包括各军种、作战司令部和机构，旨在确定推进零信任计划的机遇和挑战，以及战术层面安全互操作性的基本要求。

信源： 奇安网情局

2022年中国工业信息安全大会在京召开；

标签：协作工具，Slack，GitHub，私有仓库

1月9日，2022年中国工业信息安全大会在北京世纪金源大饭店成功举办。本次大会以“数智转型，安全发展”为主题，由国家工业信息安全发展研究中心（以下简称中心）、工业信息安全产业发展联盟共同主办。工业和信息化部网络安全管理局局长隋静，中心党委书记、副主任蒋艳，中心副主任、工业信息安全产业发展联盟秘书长郝志强，福建省工业和信息化厅二级巡视员朱法水出席大会。大会主论坛由中心副主任李丽主持。

隋静指出，面对日益复杂严峻的工业领域网络安全新形势、新挑战，工业和信息化部网络安全管理局始终坚持以习近平新时代中国特色社会主义思想为指导，深刻把握党的二十大重大决策部署，增强系统观念和底线思维，全面提升工业领域网络安全保障能力。一是抓顶层，加快出台工业互联网安全分类分级管理政策文件，加快编制新形势下工业控制系统网络安全防护指南，健全工业领域网络安全标准体系；二是强责任，深入实施工业互联网企业网络安全分类分级管理，加强工控产品安全漏洞管理，督促企业落实网络安全主体责任；三是优手段，持续建设完善工业互联网安全监测服务体系，持续组织开展工业互联网安全实网攻防演练，提升安全风险防范能力；四是促产业，大力推动网络安全产业高质量发展，加强网络安全技术攻关和试点示范，探索开展工业领域网络安全保险服务。

蒋艳代表中心致欢迎词，向各位领导、专家学者、企业界的朋友们的到来表示热烈欢迎。她表示，国家工信安全中心坚决贯彻落实党的二十大精神，对标对表“以新安全格局保障新发展格局”战略部署，做深做实工业领域网络与数据安全能力现代化建设，持续打造技术先进、链条完整的综合安全保障体系，为制造强国、网络强国建设提供坚强保障。

围绕“密码技术与工业互联网安全”这一主题，中国科学院院士王小云在演讲中表示：“工业互联网防护体系的构建需要基于密码技术。在应用层面，我国应以区块链为牵引，构建自主创新、国际一流的工业互联网数据服务平台，为工业互联网高质量发展赋能。”针对密码安全技术不断提升的行业要求，她提出：“我国亟需抢先制定物联网、车联网、工控、国产操作系统等密码协议标准与技术规范。一方面以区块链、人工智能、大数据等技术赋能数据安全和数据治理，另一方面培养更多高水平的解决密码安全的复合型人才，加速推进工业数字化转型，促进数字经济高质量发展。”

郝志强发布了《中国工业信息安全产业发展白皮书（2021-2022）》。他指出，2021年我国工业信息安全产业规模达168.43亿元，市场增长率达32.94%；其中，工业互联网安全产业规模为75.7亿元，较2020年增长39.96%。在政策加持、技术创新、需求升级等多因素综合推动下，我国工业信息安全产业将继续保持高景气度。

信源：国家工业信息安全发展研究中心

标签：高通骁龙，联想，微软，三星

高通公司 2023 年 1 月的安全公告解决了其骁龙套件中的 22 个软件漏洞。固件保护公司Binarly的efiXplorer团队，OPPO琥珀安全实验室的Zinuo Han，IceSword Lab的Gengjia Chen，研究人员nicolas（nicolas1993），STEALIEN的Seonung Jang和百度安全的Le Wu报告了一些漏洞。

最严重的缺陷是跟踪为 CVE-2022-33219 的汽车缓冲区溢出的整数溢出（CVSS 得分 9.3）。“汽车中的内存损坏是由于整数溢出到缓冲区溢出，同时向共享缓冲区注册新侦听器。

高通公司修复的另外两个严重问题是：

CVE-2022-33218（CVSS 得分 8.2） – 该漏洞是由于输入验证不当而导致的汽车内存损坏。

CVE-2022-33265（CVSS 得分 7.3）– 该漏洞是电力线通信固件中的信息暴露。

这些漏洞影响了使用联想，微软和三星制造的Snapdragon芯片组的笔记本电脑和其他设备。

信源：https://securityaffairs.com/140528/security/qualcomm-snapdragon-flaws.html

塞尔维亚政府机构遭DDoS攻击；

标签：塞尔维亚政府机构，DDoS

The Record 网站披露，塞尔维亚政府宣布其内政部网站和 IT 基础设施遭遇了几次“大规模 ”分布式拒绝服务（DDoS）攻击。

塞尔维亚首都贝尔格莱德在声明中表示，政府安全专家和塞尔维亚电信公司（Telekom Srbija）的工作人员有能力对抗此次网络攻击，旨在使内政部 IT 基础设施瘫痪的五次大型 DDoS 攻击目前已经被“击退”。

此外，塞尔维亚政府补充强调，强化的安全协议已经启动，虽然此举可能会导致某些服务间歇性中断，政府工作效率降低，但这一切都是为了保护内政部的数据安全。

信源：https://therecord.media/serbian-government-reports-massive-ddos-attack-amid-heightened-tensions-in-balkans/

突破太空网络安全！航天器关键技术爆严重漏洞；

标签：太空网络安全，航天器关键技术

当美国航空航天局（NASA）需要两部在轨航天器保持相对静止并完成对接时，时机的把握至关重要。二者的运行必须彼此精确同步，才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断，必须保证每次都能按时交付关于何时/如何移动的明确指示。

宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作，发现了

该系统及其他安全关键系统所使用的网络技术中，存在一个严重漏洞“PCspooF”。这种网络技术被称为“时间触发以太网”，简称TTE，已在航空、航天和重工业领域应用了十多年。在这类场景下，会有多种不同类型的信息持续在计算机网络中传播，但并非所有信息都需要相同级别的计时精度。

时间触发以太网能确保最关键的信号获得优先权，因此无需单独部署专用的网络硬件。对于NASA来说，通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要，因为它必须精打细算航天器的每一克重量。而此次研究结果表明，时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰，足以导致模拟对接程序出现严重故障。

Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci，共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。

在NASA约翰逊航天中心工作期间，Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。结果表明，低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰，进而让恶意消息顺利通过原本会阻止它们的交换机。Phan表示，“时间触发以太网技术在关键系统中被广泛应用，因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠，那么以此为基础建立的一切都会土崩瓦解。”该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议，包括将铜缆替换为光纤及其他光频隔离器。Loveless表示，“各方都非常愿意采取缓解措施。据我们所知，该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。”

信源：安全内参