安全热点周报（2023.11.13-2023.11.19）

安全资讯导视

01《会计师事务所数据安全管理暂行办法》公开征求意见

02 美国网络安全与基础设施安全局发布人工智能路线图

03 因中国供应商被黑，汽车巨头斯特兰蒂斯工厂生产受扰乱

政策法规解读

四部门联合发布《智能网联汽车准入和上路通行试点实施指南（试行）》

11月17日工信部官网消息，工业和信息化部、公安部、住房和城乡建设部、交通运输部等四部门联合发布《智能网联汽车准入和上路通行试点实施指南（试行）》（以下简称《指南》）。《指南》包括智能网联汽车准入、使用主体、上路通行、试点暂停与退出四个部分。《指南》对智能网联汽车生产企业、智能网联汽车产品提出了一系列网络安全和数据安全要求。智能网联汽车生产企业需在设计验证能力、安全保障能力、安全监测能力、用户告知机制等方面具备相关机制和措施，智能网联汽车产品需在产品技术要求、过程保障要求、测试验证要求等方面具备相关机制和措施。《指南》还要求，试点使用主体具备网络安全和数据安全保障能力，并参照汽车生产企业要求执行。

原文链接：

https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20238/d50e5365efa744308fd6cda3f39ee540.pdf

美国CISA发布人工智能路线图

11月14日CISA官网消息，美国国土安全部网络安全与基础设施安全局（CISA）发布首份人工智能路线图文件，以指导安全开发和实施人工智能项目。该路线图是拜登政府近期发布人工智能行政令以来一系列人工智能治理政策的一部分，提出了五个重点工作方向，并依此制定具体工作计划。五大工作重点包括：负责任地使用AI来支持工作任务，评估和测试AI系统，保护关键基础设施免受AI的恶意使用，与国际性组织和机构就关键的AI工作进行协作和沟通，加强建设具有AI专业知识的人才队伍。

原文链接：

https://www.cisa.gov/news-events/news/dhs-cybersecurity-and-infrastructure-security-agency-releases-roadmap-artificial-intelligence

《会计师事务所数据安全管理暂行办法》公开征求意见

11月13日财政部官网消息，财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法（征求意见稿）》，以加强会计师事务所数据安全管理，规范会计师事务所数据处理活动。该文件共五章三十六条，包括总则、数据管理、网络管理、监督检查、附则。该文件提出，会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。该文件要求，会计师事务所应按照相关要求确定核心数据、重要数据和一般数据。针对核心数据，应当通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储，使用加密虚拟专用网络等技术手段传输；针对重要数据，应将其存放于和互联网逻辑隔离的信息系统中，并严格控制接触人员范围；针对一般数据，应采取基于用户角色的授权访问控制，并且按照最小权限原则授权。

原文链接：

https://kjs.mof.gov.cn/gongzuotongzhi/202311/P020231113539210085729.docx

《电信网络诈骗及其关联违法犯罪联合惩戒办法》公开征求意见

11月13日公安部刑侦局公众号消息，公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》，现公开征求意见。该文件共19条，主要包括惩戒原则、惩戒对象、惩戒措施、分级惩戒、惩戒程序、申诉核查6个方面内容，遵循依法认定、过惩相当、动态管理原则，明确个人和单位纳入惩戒对象的范围，规定金融、电信网络、信用惩戒的具体措施，根据惩戒对象违法行为分级适用惩戒，规范审核认定、惩戒期限和告知等程序，明确申诉、受理、核查、反馈和解除的程序和时限。

原文链接：

https://mp.weixin.qq.com/s/G2ADNB7ykZM6OBniiFYO0Q

本周安全大事件

因中国供应商被黑，汽车巨头斯特兰蒂斯工厂生产受扰乱

11月13日底特律新闻消息，全球知名车企斯特兰蒂斯集团（Stellantis）表示，由于一家供应商受到网络攻击，集团运营被干扰，旗下克莱斯勒、道奇、吉普和公羊等品牌的车型的生产受到影响。这次网络攻击主要影响中国供应商Yanfeng International Automotive Technology Co. Ltd.。当天晚间，该公司官网无法访问。Yanfeng公司的北美总部位于密歇根州诺维，公司生产多种汽车零部件，包括座椅、内饰、电子设备和其他组件。斯特兰蒂斯发言人Anne Marie Fortunate发表声明称，“由于一家外部供应商出现问题，斯特兰蒂斯集团位于北美的部分装配厂生产受到干扰。我们正在监控情况并与供应商合作，减轻事件对我们运营的进一步影响。”

原文链接：
https://www.detroitnews.com/story/business/autos/chrysler/2023/11/13/yanfeng-cyberattack-stellantis-production/71575298007/

网络攻击迫使澳大利亚港务巨头环球港务运营停摆

11月12日央视财经公众号消息，由于发生网络安全事件，澳大利亚第二大港口运营商“澳大利亚环球港务集团”运营已经停摆。从10日开始，集团在墨尔本、悉尼、布里斯班等主要城市的港口货物运输受到严重影响。12日，集团表示，正在测试货运系统运行，港口何时恢复正常作业还不清楚。据悉，目前货船仍可以卸货，但运输集装箱的卡车无法正常进出港。12日，澳大利亚多个政府部门和机构举行会谈，继续商讨应对措施。澳大利亚警方正对这起网络安全事件展开调查，在调查期间各主要港口的业务受到限制。据澳大利亚媒体报道，码头运营方尚未收到赎金要求，暂时还没有组织宣称对本次网络攻击负责。

原文链接：
https://mp.weixin.qq.com/s/ct8OLPqbcJ-V3n05mTjHqg

重点关注漏洞

Google Chrome信息泄露漏洞安全风险通告

11月17日，奇安信CERT监测到Google Chrome浏览器信息泄露漏洞(CVE-2023-4357)。该漏洞的存在是由于Google Chrome中用户提供的XML输入验证不足，远程攻击者可以创建特制网页，诱骗受害者访问该网页并获取用户系统上的敏感信息。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

金蝶云星空私有云任意文件上传漏洞安全风险通告

11月16日，奇安信CERT监测到金蝶云星空私有云任意文件上传漏洞(QVD-2023-44581)POC及EXP在互联网上流传，该漏洞允许未授权的远程攻击者上传任意文件，最终可能导致远程执行恶意命令，控制服务器等。目前，奇安信CERT已复现此漏洞，经研判该漏洞攻击利用难度低，且EXP已公开，被恶意利用的可能性增大。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！