全球网络安全发展最新动态

美国防部宣布授予微软等公司“太空互联网”新合同

目前，美国国防部国防创新部门（DIU）正在与美国太空部队，太空作战分析中心和空军研究实验室的太空飞行器理事会合作开发一种可互操作的“混合空间架构”（HSA），该架构将允许数据在不同通信网络上的安全流动。根据国防部国防创新部门（DIU）发布的公告，微软、亚马逊等公司已获得合同，以帮助联邦政府开发民用，商业和军用卫星的混合通信网络。

微软战略使命和技术团队执行副总裁Jason Zander在一篇博客文章中表示：“HSA将部分建立在Microsoft Azure之上，并将利用我们Azure Space解决方案套件的关键功能。HSA本质上是国防部在太空中建立互联网的努力，并将支持该部门为国家安全建立信息优势的目标。”

DIU表示HSA将“将多个地面通信系统与不同的卫星网络连接起来，利用所有可用的链接，包括但不限于电磁无线电频谱，光学卫星间链路，军事战术数据链路以及传统和未来的地面段有线网络。该机构表示，这将允许整合商业和政府能力，以“保持运营和信息安全，同时实现服务之间以及我们的盟友和合作伙伴之间的协作”。

该项目将追求敏捷和弹性的通信架构目标，该架构将能够通过商业、军事和相关资产移动数据，同时集成基于云的多域存储和分析。

CISA 警告 3 个工控软件系统存在严重漏洞

近日，美国网络安全和基础设施安全局（CISA）发布了三份工业控制系统（ICS）公告，涉及ETIC电信、诺基亚和Delta工业自动化的软件中的多个漏洞。其中最突出的是影响ETIC电信公司远程访问服务器（RAS）的一组三个缺陷，它"可能允许攻击者获得敏感信息，并控制有漏洞的设备和其他连接的机器"，CISA说。

这包括CVE-2022-3703（CVSS评分：9.0），这是一个关键的缺陷，源于RAS网络门户无法验证固件的真实性，从而有可能塞进一个流氓包，授予对手后门权限。

另外两个缺陷与RAS API中的目录穿越错误（CVE-2022-41607，CVSS评分：8.6）和一个文件上传问题（CVE-2022-40981，CVSS评分：8.3）有关，可被利用来读取任意文件和上传恶意文件，从而破坏设备。

认为是以色列工业网络安全公司OTORIO发现和报告了这些缺陷。ETIC Telecom RAS 4.5.0及之前的所有版本都存在漏洞，法国公司在4.7.3版本中解决了这些问题。

CISA的第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的三个缺陷（CVE-2022-2482、CVE-2022-2483和CVE-2022-2484），这可能为任意代码执行和安全启动功能的停止铺平道路。所有的缺陷在CVSS严重性等级中被评为8.4级。CISA指出，成功利用这些漏洞可能导致执行恶意内核，运行任意的恶意程序，或运行修改过的诺基亚程序。

据说这家芬兰电信巨头已经公布了影响ASIK 474021A.101和ASIK 474021A.102版本的缺陷的缓解说明。该机构建议用户直接与诺基亚联系，以获得进一步信息。

最后，该网络安全机构还警告说，一个路径穿越漏洞（CVE-2022-2969，CVSS评分：8.1）影响了台达工业自动化公司的DIALink产品，可被利用来在目标设备上植入恶意代码。该漏洞已在1.5.0.0 Beta 4版本中得到解决，CISA表示可以直接联系台达工业自动化或通过台达现场应用工程（FAEs）获得该版本。

美国防部将授出90亿美元的联合作战云能力合同

11月7日，美国国防部预计将在下月初授予联合作战云能力合同（JWCC），用于采购数十亿美元的商业计算服务。去年授予微软的联合企业防御基础设施(JEDI)云合同因指控于2021年7月取消。原因是由于亚马逊与特朗普政府之间发生争执，亚马逊被指控破坏了100亿美元的竞争。JWCC被视为美国国防部失败的JEDI继任者。JWCC价值高达90亿美元，旨在将军方最偏远的边缘与最远的总部连接起来，同时弥合分类和其他敏感问题，以便更有效地处理信息并将信息传递给陆、空、海、太空和网络的部队，这一概念被称为联合全域指挥和控制（JADC2）。复杂的JADC2概念完全依赖于拥有在所有三个安全级别（最高机密、机密、非机密）上运行的企业云功能。JWCC企业云是JADC2的基本支柱。JWCC计划包括一个为期三年的基础和一年的选择权。

美陆军将实施端点安全解决方案

11月3日，美陆军授予精英公司（ECS）一份为期五年、价值4.3亿美元的合同，以支持军队端点安全解决方案（AESS），陆军非机密和机密网络中80万个端点将受到AESS保护。ECS将为军队提供传统和先进的保护（如预防数据丢失、扩展检测和响应以及机器学习）、威胁预防、网络控制、防火墙和自适应威胁保护；提升系统的端点检测和响应能力，创建统一的资产管理系统。ECS公司总裁约翰·赫内根表示，AESS 2.0将提高美陆军网络的安全性，并与陆军的大数据平台以及国防部其他数据平台整合，增强陆军的威胁情报能力。

美国国家安全局联合多部门发布《供应商软件供应链指南》

近日，美国国家安全局（NSA），网络安全和基础设施安全局（CISA）和国家情报总监办公室（ODNI）联合发布《供应商软件供应链指南》，以解决国家关键基础设施面临的威胁。NSA认为网络攻击的目标是企业利用网络空间来侵入、禁用、或恶意控制计算环境或基础设施，破坏数据的完整性或窃取受控信息。NSA在通告中指出：软件供应链周期容易受到攻击，并面临潜在损害的风险。软件供应商可以在本次指南中获得指导，通过软件安全检查、保护软件、生产安全良好的软件等措施保护组织免遭损失。NSA在通告中指出，该指南是对SolarWinds攻击事件调查结果的反馈。据悉，NSA、CISA、ODNI联合组建的持久安全框架工作组（ESF）对该事件的调查结果表明，需要创建一套行业和政府评估的方法，重点关注软件供应商的需求。

日本宣布正式加入北约网络防御中心

一旦北约成员国遭遇网络袭击，其他国家将给予政治、经济、技术乃至军事领域的支持。据日本时事通讯社当地时间11月4日消息，日本防卫大臣浜田靖一在当日的记者会上表示，日本正式加入北约网络防御中心。

另据此前报道，今年5月，韩国作为正式会员加入北约网络防御中心。韩国由此成为首个加入该机构的亚洲国家。

北约网络防御中心全称为“北约合作网络防御卓越中心”，2008年成立，总部设在爱沙尼亚首都塔林。

据称，该中心在网络防御训练、战略研究等领域拥有强大力量，其主要任务是为北约及该组织成员国提供技术、战略、行动和法律领域的网络防御专业支持。北约曾公开宣称，《北大西洋公约》的“集体防御”条款适用于网络空间，一旦北约成员国遭遇网络袭击，其他国家将给予政治、经济、技术乃至军事领域的支持。

事实上，北约网络防御中心名为防御，实则积极投身网络攻击演练。其作为一个国际军事组织，多次举行实战化网络攻防演习，演练用网络攻击他国的关键性基础设施。

印度黑客被曝攻击全球政客和名人窃取信息

11月6日消息，英国《星期日泰晤士报》调查发现，印度的黑客团伙正在全球“私人侦探”和秘密组织的要求下，非法入侵全球政客和名人的电子邮箱，并从中获利。《星期日泰晤士报》调查了多个声称提供资料窃取服务的网络公司和个人，发现这些机构和个人曾受命侵入土耳其、巴基斯坦、埃及、柬埔寨和加拿大政府不同部门的计算机系统，以及全球多个商界名人的邮箱。入侵手段包括通过间谍软件、钓鱼攻击等方式，入侵攻击对象的电子邮件，以及WhatsApp、Signal和Telegram通信软件信息。这些黑客多数是网络安全专家出身，平均每个入侵订单能赚取数千美元。

2024年前量子加密将广泛应用于俄罗斯关键基础设施

11月7日，莫斯科国立大学“量子技术”国家技术倡议中心学术负责人谢尔盖∙库利克称：2024年前，量子加密系统或将广泛应用于保护关键重要基础设施免受黑客攻击和与人为因素有关的泄漏。量子密钥生成和分发系统可确保信息传输的最大安全性，在量子信道中信息无法被截获。密钥更新很快，即使使用量子计算机也难以收集到。此外，主要信息泄露是人为造成的，而量子系统是全自动的。

谷歌正式推出“密钥登录”，逐步取代传统密码登录

近日，谷歌宣布在Android和Chrome中正式推行密钥登录“PassKey”，以逐步替代长期使用的密码登录“PassWord”。推出的密钥登录可以认为是“生物密码”和“授权登录”的结合。用户可以在Android手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如“指纹”或者“面部识别”等。创建完毕后，这个密钥凭据可用于解锁所有在线帐户——既可以解锁Android手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个密钥登录功能由微软/苹果/谷歌联合出品，属于行业标准。因此它是跨平台的，包括Windows、macOS和iOS以及ChromeOS。换而言之，你可以用Android手机的密钥凭据解锁上述所有系统的帐户和网站。

在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机，密钥也可以从云备份安全地同步到新手机。

不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能：用户可以在Android设备上创建和使用密钥，密钥通过Google密码管理器进行同步。开发人员可以通过WebAuthn API、Android和其他支持的平台，使用Chrome在网站上为用户构建密钥支持。

如果要在网站上添加密钥登录功能，开发者需要注册Google Play Services测试版，并使用Chrome Canary版本。

密钥登录功能的下一个里程碑是原生的Android应用API，原生API将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。

三星漏洞在设备上安装恶意应用程序

研究人员发现，三星设备的Galaxy Store应用程序中的安全漏洞可让黑客在用户手机上安装并启用恶意App，执行远程指令执行攻击。三星已经发布修补程序。

该漏洞是一个跨站点脚本(XSS)漏洞，在处理某些深层链接时可能会触发该漏洞。该漏洞具体影响Galaxy Store版本4.5.32.4，这是由独立安全研究人员通过SSD安全披露计划报告的。

在Galaxy Store应用程序中，处理了一些深层链接。可以从另一个应用程序或浏览器调用Deeplink。当接收到合适的深度链接时，Galaxy Store将通过webview处理和显示它们。在这里，通过不安全地检查深层链接，当用户从包含深层链接的网站访问链接时，攻击者可以在Galaxy Store应用程序的webview上下文中执行JS代码。

该专家专注于为三星的营销和内容服务(MCS)配置的深层链接。SamSung MCS Direct Page网站是从url中解析参数然后显示在网站上，但是没有编码，导致XSS错误。

网站在处理abc，def参数，显示如上，没有编码，url直接传给href，很危险，会引发XSS。在分析deeplink流程代码时，专家注意到ClassEditorialScriptInterface中有两个函数downloadApp和openApp。

这两个功能允许获取应用程序ID并从商店下载或打开它们。这意味着可以使用JS代码来调用这两个函数。在这种情况下，攻击者可以将任意代码注入MCS网站并执行。

访问该链接时，可以利用此问题在三星设备上下载和安装恶意应用程序。目前，三星已经发布补丁来解决这个问题。

《关键信息基础设施安全保护要求》国家标准发布会在京举办

11月7日，市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布宣贯会。市场监管总局标准技术司一级巡视员国焕新，中央网信办网络安全协调局副局长、一级巡视员高林，公安部网络安全保卫局副局长、一级巡视员郭启全出席会议并讲话。

国焕新指出，关键信息基础设施作为直接关系到国家安全、国计民生和公共利益的重要基础设施，其安全防护是国家网络安全工作的重中之重。标准是落实关键信息基础设施安全相关法律法规的重要抓手，是保障关键信息基础设施安全与发展的重要技术要素。深入贯彻党的二十大精神，落实《国家标准化发展纲要》任务部署，统筹优化标准体系建设，持续开展关键标准研制，不断强化标准实施应用，以标准助力关键信息基础设施安全保障体系建设，是我们共同的责任和使命。

高林指出，《信息安全技术关键信息基础设施安全保护要求》是规范关基保护工作的具体依据，是指导关基保护工作的实施指南。各相关方要充分认识关键信息基础设施安全保护工作的重要性，充分发挥标准的规范和引导作用，压实各方责任，提升关键信息基础设施综合防护水平。下一步，中央网信办将坚持总体国家安全观，发挥统筹协调作用，会同相关部门加强关键信息基础设施监测预警和事件应对处置；协调保护工作部门发挥行业监管职能，组织开展标准培训，督促标准贯彻实施。运营者应履行主体责任，贯彻落实标准要求，确保关键信息基础设施安全稳定运行。

郭启全指出，关键信息基础设施是国家网络安全保护的重中之重，本标准是第一项关键信息基础设施安全保护的国家标准，各相关部门和关键信息基础设施运营者应认真学习、研究和落实。关键信息基础设施保护是一个系统工程，有关单位和部门要将网络安全等级保护制度、关键信息基础设施保护制度和数据安全保护制度三个制度在法律、政策、标准等方面形成有机衔接的体系。要落实上述要求，围绕关键信息基础设施安全保护要求，构建标准体系。公安机关将大力加强关键信息基础设施安全保卫和安全监管，严厉打击相关违法犯罪活动，与有关部门密切配合，着力构建关键信息基础设施综合防御体系，大力提升综合防御能力和水平，坚决维护好国家网络空间安全。

《信息安全技术关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础，将于2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。

2022年世界互联网大会“互联网之光”博览会在浙江乌镇开幕

11月8日上午，由世界互联网大会和浙江省人民政府主办，国家互联网信息办公室、科学技术部、工业和信息化部支持的2022年世界互联网大会“互联网之光”博览会在浙江乌镇开幕。国家互联网信息办公室副主任曹淑敏，工业和信息化部副部长张云明，全国人大社会建设委员会副主任委员、世界互联网大会秘书长任贤良等出席开幕式。浙江省人民政府副省长卢山出席开幕式并致辞。

本次博览会以“共建网络世界共创数字未来”为主题，精准把握“求先、求变、求新”的发展定位，设置展览展示、新产品新技术发布、人才相亲会三大板块，吸引来自40个国家和地区的415家中外企业和机构以线下线上结合的方式参展，74家企业发布新技术新产品和理论成果，1074家企业在数字经济人才云聘会上招募3.8万余名专业技术人才，打造全球数字经济交流合作的高端平台。

据了解，本次博览会在高质量举办线下展会的基础上，首次推出365天不落幕的“互联网之光云展厅”品牌，以3D和2D相结合的展览模式，设置“1+7+2”线上展区，即序厅，数字共富、数字双碳、数字健康、数字出行、产业数字化、卫星互联网、网络空间治理7大主题展区，“直通乌镇”全球互联网大赛、现代产业学院2大特色专区，着力拓展展示新空间；首次推出“互联网之光发布厅”品牌，着力遴选优质内容进行新技术新产品首发、理论成果首发和特色场景发布，将组织首发活动13场、特色场景发布 7 大主题 61 场。中国产品主数据标准生态系统、智能车载创新解决方案、

2022 年长三角新型信息消费示范成果、2022 年浙江数据开放创新应用大赛获奖成果等将重磅首发；升级打造人才相亲会品牌，以“云聘会+人才空中宣讲会+产业人才发展大会”形式，进一步释放展会红利，着力推动产业人才精准对接。自 11 月 1 日上线以来，累计超过 13 万人次高校毕业生和社会人士在线参与数字经济人才云聘会，在线投递简历超过 1.7 万份。

参加博览会开幕式的还有国家网信办、科技部、工信部、世界互联网大会和浙江省相关单位负责同志，参展企业代表、新闻媒体代表等，共计200 余人。

供稿：三十所信息中心