网络安全资讯动态 2022年第33期（总第183期）

政策标准

1、关于征求国家标准《信息安全技术网络安全众测服务要求》（征求意见稿）意见的通知

关键词：网络安全众测服务

摘要：网络安全众测服务，即以自愿的方式组织非特定的自然人或组织，在审计及监督下，对网络产品和系统等开展漏洞发现等安全测试的过程。在网络安全众测服务过程中，众测需求方与众测组织方之间通过授权委托建立众测服务关系，众测组织方组织具备测试条件和能力的授权测试方实施众测，并由众测审计方对众测过程进行审计。众测审计方一般根据众测需求方的需要由具备众测审计条件和能力的第三方承担，对授权测试方的审计可由众测组织方承担。

信息来源：信安标委

发布时间：2022-9-27

2、关于国家标准《信息安全技术网络安全信息报送指南》征求意见稿征求意见的通知

关键词：网络安全信息报送

摘要：全国信息安全标准化技术委员会归口的国家标准《信息安全技术网络安全信息报送指南》现已形成标准征求意见稿。其中报送的网络安全信息类型包括脆弱性信息、网络安全威胁信息、网络安全事态信息、网络安全事件信息、网络安全态势信息、网络安全资讯、其他信息等。

信息来源：信安标委

发布时间：2022-9-28

安全动态

1、更多细节曝光！《西北工业大学遭美国NSA网络攻击事件调查报告（之二）》发布

关键词：网络攻击

摘要：技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、东南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自于美国国家安全局（NSA）的“特定入侵行动办公室”（即：Office of Tailored Access Operation，后文简称“TAO”）。TAO对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。（此文出自国家计算机病毒应急处理中心原链接：https://www.cverc.org.cn/head/zhaiyao/news20220927-NPU2.htm）

信息来源：中国信息安全

发布时间：2022-9-27

2、关注 | 上海市通信管理局通报25款侵害用户权益APP未完成整改

关键词：个人信息保护

摘要：依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管〔2020〕164号）工作部署，上海通信管理局近期组织第三方检测机构对本市APP应用侵害用户权益行为开展检查。经检测发现127款APP存在“违规收集个人信息”“违规使用个人信息”“APP强制、频繁、过度索取权限”等相关问题，上海通信管理局已通报相关APP运营企业，督促存在问题的APP进行整改。

信息来源：中国信息安全

发布时间：2022-9-26

网络安全等级保护与安全保卫技术

国家工程研究中心摘编

长按识别二维码即刻关注我们