《瑞星：2022中國網絡安全報告（79頁）.pdf》由會員分享，可在線閱讀，更多相關《瑞星：2022中國網絡安全報告（79頁）.pdf（79頁珍藏版）》請在三個皮匠報告上搜索。

1、北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 免責聲明免責聲明 本報告由北京瑞星網安技術股份有限公司發布，綜合瑞星“云安全”系統、瑞星安全研究院、瑞星威脅情報平臺的數據及資料進行收集和整理，針對中國2022 年 1 至 12 月的網絡安全現狀與趨勢進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構作為互聯網網絡安全狀況的介紹和研究資料，請相關單位酌情使用。如若本報告闡述之狀況、數據與其他機構研究結果有差異，請使用方自行辨別，瑞星公司不承擔與此相關的一切法律責任。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有

2、限公司 目錄 一、惡意軟件與惡意網址.2（一）惡意軟件.2（二）惡意網址.7 二、移動安全.9（一）2022 年手機病毒概述.9（二）2022 年 1 至 12 月手機病毒 Top5.10（三）2022 年手機漏洞 Top5.10 三、企業安全.11（一）2022 年重大企業網絡安全事件.11（二）2022 年漏洞分析.24（三）2022 年全球 APT 攻擊事件解讀.29 四、勒索軟件分析.38（一）勒索軟件概述.38（二）2022 年度十大勒索軟件.38 五、2023 年網絡安全趨勢預測.58（一）APT 組織攻擊活動頻繁.58（二）企業成為勒索軟件的最大受害者，勒索軟件或全面附加數據盜取

3、能力.58（三）電子郵件依然是網絡攻擊的重要窗口.58（四）高可利用性的“老”漏洞備受攻擊者青睞.59（五）對抗技術演變持續發展，傳統技術備受挑戰.59（六）開源軟件生態投毒現象嚴重.60 附：2022 年國內重大網絡安全政策法規.60 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 1 報告摘要 2022 年瑞星“云安全”系統共截獲病毒樣本總量 7,355 萬個，病毒感染次數 1.24 億次，病毒總體數量比 2021 年同期下降了 62.19%。廣東省病毒感染人次為 1,209 萬次，位列全國第一，其次為山東省及江蘇省，分別為 965.14 萬次及 836.56 萬次。2022 年

4、瑞星“云安全”系統共截獲勒索軟件樣本 57.92 萬個，感染次數為 19.49 萬次；挖礦病毒樣本總體數量為 261 萬個，感染次數為 79.75 萬次。勒索軟件感染人次按地域分析，廣東省排名第一，為 2.27 萬次；挖礦病毒感染人次按地域分析，廣西省以 17.39 萬次位列第一。2022 年瑞星“云安全”系統在全球范圍內共截獲惡意網址（URL）總量 9,336 萬個，其中掛馬類網站 5,913 萬個，釣魚類網站 3,422 萬個。在中國范圍內排名第一位為河南省，總量為 62.31萬個，其次為香港和廣東省，分別為 49.91 萬個和 28.19 萬個。2022 年瑞星“云安全”系統共截獲手機病

5、毒樣本 152.05 萬個，病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其中信息竊取類病毒占比 36.21%，位居第一。2022 年重大企業安全事件包括：加拿大外交部被黑，部分服務中斷；北京健康寶遭受網絡攻擊，源頭來自境外；瑞星監測到利用微軟最新高危漏洞的惡意代碼；新型病毒仿冒 Python 數字簽名 誘騙用戶下后門；西北工業大學遭受境外網絡攻擊等。2022 年 CVE 漏洞利用率 Top10 包括：CVE-2017-11882 Office 遠程代碼執行漏洞；CVE-2018-0802 公式編輯器漏洞；CVE-2017-17215 HG532 遠程命令執行漏洞等；年度最熱漏洞

6、有 CVE-2022-30190 Microsoft Office MSDT 遠程代碼執行漏洞；CVE-2022-0847 Linux 內核提權漏洞；CVE-2022-22965 Spring 遠程代碼執行漏洞等。2022 年全球 APT 攻擊事件解讀：威脅組織 APT-C-23；威脅組織 Lazarus Group；威脅組織Patchwork；威脅組織 MuddyWater；威脅組織 Bitter 等。2022 年勒索軟件分析：勒索軟件隨著云計算業務的發展趨勢而轉移目標，有越來越多公司業務遷移到虛擬機，而諸如 BlackBasta、Hive 等勒索家族瞄準 Linux 服務器下虛擬機的勒索攻

7、擊活動也會在未來逐漸形成流行事態。不僅如此，一些勒索病毒還參與到地緣性政治與軍事戰爭中，而未來技術型企業、醫療機構、政務機構依然是勒索病毒主要攻擊目標。趨勢展望：APT 組織攻擊活動頻繁；企業成為勒索軟件的最大受害者，勒索軟件或全面附加數據盜取能力；高可利用性的“老”漏洞備受攻擊者青睞；電子郵件依然是網絡攻擊的重要窗口；高可利用性的“老”漏洞備受攻擊者青睞；對抗技術演變持續發展，傳統技術備受挑戰；開源軟件生態投毒現象嚴重。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 2 一、惡意軟件與惡意網址一、惡意軟件與惡意網址 （一）惡意軟件（一）惡意軟件 1.1.20222022 年年病毒概

8、述病毒概述 (1)(1)病毒總體概述病毒總體概述 2022 年瑞星“云安全”系統共截獲病毒樣本總量 7,355 萬個，病毒感染次數 1.24 億次，病毒總體數量比 2021 年同期下降了 62.19%。報告期內，新增木馬病毒 4,515 萬個，為第一大種類病毒，占到總體數量的 61.39%；排名第二的為蠕蟲病毒，數量為 1,392 萬個，占總體數量的 18.93%；后門、感染型病毒、灰色軟件分別占到總體數量的 6.99%、6.49%和 5.19%，位列第三、第四和第五，除此以外還包括漏洞攻擊和其他類型病毒。圖：2022 年病毒類型統計 根據瑞星“云安全”系統顯示，2022 年 3 至 5 月份

9、為病毒感染高發期，在 1,300 萬至 1,400 萬左右，即使在較低的 11 月份，也有近 800 萬的病毒感染量。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 3 圖：2022 年病毒樣本數量及感染次數 (2)(2)病毒感染地域分析病毒感染地域分析 報告期內，廣東省病毒感染人次為 1,209 萬次，位列全國第一，其次為山東省及江蘇省，分別為 965.14 萬次及 836.56 萬次。圖：2022 年病毒感染地域分布 Top10 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 4 2.2.20222022 年年病毒病毒 TopTop1010 根據病毒感染人數、變種數量和

10、代表性綜合評估，瑞星評選出 2022 年 1 至 12 月病毒 Top10：3.3.勒索軟件和挖礦病毒勒索軟件和挖礦病毒 勒索軟件和挖礦病毒在 2022 年依舊活躍，報告期內瑞星“云安全”系統共截獲勒索軟件樣本57.92 萬個，感染次數為 19.49 萬次，比 2021 年同期下降了 68.77%；挖礦病毒樣本總體數量為 261萬個，感染次數為 79.75 萬次，與 2021 年同期相比，下降了 56.68%。瑞星通過對捕獲的勒索軟件樣本進行分析后發現，Agent 家族占比 51.98%，成為第一大類勒索軟件，其次是 Blocker 家族，占到總量的 12.76%，第三是 Filecoder

11、家族，占到總量的 9.31%。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 5 圖：2022 年勒索軟件家族分類 勒索軟件感染人次按地域分析，廣東省排名第一，為 2.27 萬次，第二為山東省 1.82 萬次，第三為江蘇省 1.81 萬次。圖：2022 年勒索軟件感染地域分布 Top10 根據瑞星“云安全”系統顯示，2022 年 11 月份捕獲的勒索軟件樣本數量最多，達到 10 萬個以上，3 至 4 月份勒索軟件感染次數較多，均在 2 萬以上。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 6 圖：2022 年勒索軟件樣本數量及感染次數 挖礦病毒數量雖然比 2021 年有所

12、減少，但依然是企業網絡安全的主要威脅，瑞星根據病毒行為進行統計，評出 2022 年挖礦病毒 Top10：挖礦病毒感染人次按地域分析，廣西省以 17.39 萬次位列第一，山東省和江蘇省分別位列二、三位，為 6.11 萬次和 5.4 萬次。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 7 圖：2022 年挖礦病毒感染地域分布 Top10 （二）惡意網址（二）惡意網址 1.1.20222022 年年全球惡意網址全球惡意網址概述概述 2022 年瑞星“云安全”系統在全球范圍內共截獲惡意網址（URL）總量 9,336 萬個，其中掛馬類網站 5,913 萬個，釣魚類網站 3,422 萬個。美國

13、惡意 URL 總量為 3,568 萬個，位列全球第一，其次是加拿大 288.69 萬個和中國 281.91 萬個，分別排在第二、三位。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 8 圖：2022 年全球惡意 URL 地域分布 Top10 2.2.20222022 年年中國惡意網址概述中國惡意網址概述 報告期內，瑞星“云安全”系統所截獲的惡意網址（URL）在中國范圍內排名，第一位為河南省，總量為 62.31 萬個，其次為香港和廣東省，分別為 49.91 萬個和 28.19 萬個。圖：2022 年中國惡意 URL 地域分布 Top10 北京瑞星網安技術股份有限公司北京瑞星網安技術股份

14、有限公司 9 二、移動安全二、移動安全 （一）（一）20222022 年年手機病毒概述手機病毒概述 2022 年瑞星“云安全”系統共截獲手機病毒樣本 152.05 萬個，病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其中信息竊取類病毒占比 36.21%，位居第一；其次是遠程控制類病毒占比 20.50%，第三名是惡意扣費類病毒占比 13.45%。圖：2022 年手機病毒類型比例 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 10 （二）（二）20222022 年年 1 1 至至 1212 月手機病毒月手機病毒 Top5Top5 （三）（三）20222022 年年手機漏洞

15、手機漏洞 Top5Top5 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 11 三、企業安全三、企業安全 （一一）20222022 年年重大企業網絡安全事件重大企業網絡安全事件 2022 年，國內外企業重大網絡安全事件頻發，網絡攻擊威脅著政府、企業、醫療、金融、教育等各個領域，勒索軟件、數據泄露、黑客入侵等攻擊接連不斷，且危害深遠，嚴重影響著各國的關鍵信息基礎設施建設和經濟民生。同時，由于俄烏戰爭帶來的影響，導致網絡空間對抗加劇，全球網絡安全形勢嚴峻，各國對于網絡空間威脅都面臨著極大的挑戰。瑞星根據行業特性、威脅影響及損失程度，列舉出在 2022 年發生的 25 個重大網絡安全攻擊

16、事件：1.1.紅十字國際委員會遭受網絡攻擊紅十字國際委員會遭受網絡攻擊 2022 年 1 月 19 日，紅十字國際委員會晚間的一份聲明稱，紅十字國際委員會遭受網絡攻擊，超過 51.5 萬人的個人數據和機密信息遭入侵。聲明稱：“攻擊造成超過 51.5 萬名極其脆弱人群的個人數據和機密信息遭入侵，包括因沖突、移民和自然災害而與家人失散的人、失蹤人員及其家人以及被監禁的人?！奔t十字國際委員會沒有任何關于究竟誰發動了這一網絡攻擊的信息。暫還沒有遭入侵信息的泄露或公開傳播的任何跡象。這次襲擊迫使紅十字國際委員會暫停了其“重建家庭聯系”計劃。圖：“家庭團聚”項目系統和網站被迫關閉 2.2.加拿大外交部被黑

17、，部分服務中斷加拿大外交部被黑，部分服務中斷 2022 年 1 月 19 日，加拿大全球事務部(GAC)系統遭到網絡攻擊后面臨網絡中斷。GAC 是加拿大政府部門，負責處理該國的外交和領事關系、國際貿易以及領導國際發展和人道主義援助計劃。加拿大政府聲明說，網絡威脅可能來自系統或應用程序的漏洞，或來自外部行為者為獲取信息而進行 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 12 的蓄意、持續、有針對性的攻擊。遭受網絡攻擊的當天晚上，加拿大數字防御和間諜機構通信安全機構(CSE)發布了一份威脅公告，警告加拿大組織，特別是“關鍵基礎設施”提供商，可能受到俄羅斯支持的網絡威脅參與者的攻擊。3

18、.3.沃達豐葡萄牙分公司遭大規模網絡攻擊沃達豐葡萄牙分公司遭大規模網絡攻擊 2022 年 2 月 8 日，國際電信巨頭沃達豐的葡萄牙公司表示，由于遭受了一大波“以損害與破壞為目的的蓄意網絡攻擊”，其大部分客戶數據服務被迫下線。此次事件導致 4G/5G、固話、電視等網絡全部中斷，只有 3G 網絡勉強恢復可用，給葡萄牙數百萬用戶造成了不便甚至混亂。該公司表示，他們正在與政府當局合作對事件開展調查。根據目前搜集到的證據，客戶數據似乎并未泄露或遭到攻擊者訪問。圖：名為邁克的葡萄牙攝影師在推特上吐槽說沃達豐網絡中斷 4.4.頂級后門“頂級后門“Bvp47Bvp47”被詳細披露”被詳細披露 始作俑者為始作

19、俑者為 NSANSA 2022 年 2 月 23 日，中國盤古實驗室的研究人員披露了由方程式集團（Equation Group）使用的“頂級”后門的細節，這是一種先進的持續威脅（APT），據稱與美國國家安全局（NSA）的網絡戰情報收集部門有聯系。報告顯示,“Bvp47”已在全球肆虐十余年,入侵中國、俄羅斯、日本、德國、西班牙、意大利等 45 個國家和地區,涉及 287 個重要機構目標,其中日本作為受害者,還被利用作為跳板針對其他國家發起攻擊。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 13 圖：中國盤古實驗室報告 5.5.烏克蘭電信運營商遭遇最嚴重網絡中斷攻擊烏克蘭電信運營商遭遇

20、最嚴重網絡中斷攻擊 2022 年 3 月 28 日，烏克蘭最大的固網電信運營商 Ukrtelecom 遭遇一波強大的網絡攻擊。據稱這是自 2 月俄烏開戰以來最嚴重的網絡攻擊，已經導致 Ukrtelecom 發生全國性的服務中斷。烏克蘭國家特殊通信與信息保護局副局長 Victor Zhora 證實，政府正在調查這起攻擊事件。Ukrtelecom 是烏克蘭國內重要的固話、互聯網與移動服務運營商，目前尚不清楚它受到的是分布式拒絕服務（DDoS）攻擊，還是層次更深、復雜度更高的其他形式入侵。圖：外媒針對烏克蘭通信商 Ukrtelecom 遭遇網絡攻擊的報道 6.6.300300 塊一天塊一天 國內黑客

21、售賣新型遠控工具國內黑客售賣新型遠控工具 2022 年 4 月 25 日，瑞星威脅情報平臺捕獲到一批攻擊流程異常復雜的.NET 惡意程序，經分析 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 14 發現，這些惡意程序實則是一整套黑產工具，名為“FastDesktop”，該工具可以通過衍生出的病毒及變種遠程控制用戶主機，并上傳用戶隱私信息。經溯源發現該病毒作者疑為國內黑客，通過售賣這套黑產工具牟取利益，定價為 300 塊/天。圖：“FastDesktop”制作者兜售遠控惡意軟件 7.7.北京健康寶遭受網絡攻擊，源北京健康寶遭受網絡攻擊，源頭來自境外頭來自境外 2022 年 4 月 2

22、8 日，北京市第 318 場新冠病毒肺炎疫情防控工作新聞發布會召開。北京市委宣傳部對外新聞處副處長隗斌表示，4 月 28 日，北京健康寶使用高峰期遭受網絡攻擊，經初步分析，網絡攻擊源頭來自境外，北京健康寶保障團隊進行及時有效應對，受攻擊期間，北京健康寶相關服務未受影響。圖：微博關于北京健康寶遭受網絡攻擊的話題 8.8.意大利多個重要政府網站遭新型意大利多個重要政府網站遭新型 DDoSDDoS 攻擊癱瘓攻擊癱瘓 2022 年 5 月 11 日，意大利參議院、上議院、國防部等多個重要政府網站遭到網絡攻擊，網站無 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 15 法訪問至少 1 個小時

23、，受影響的還有國際空間站、國家衛生研究所、意大利汽車俱樂部等機構的網站。意大利計算機安全事件響應小組（CSIRT）稱，此次攻擊使用了“慢速 HTTP”的新型 DDoS 手法，傳統防御措施較難抵御，需要針對性處置。親俄黑客團伙 Killnet 聲稱對本次攻擊負責。圖：CSIRT 發布的公告 9.9.通用汽車透露其遭到撞庫攻擊導致部分客戶的信息泄露通用汽車透露其遭到撞庫攻擊導致部分客戶的信息泄露 2022 年 5 月底，美國通用汽車稱其在 4 月 11 日至 29 日檢測到了惡意登錄的活動，發現攻擊者已將部分用戶的獎勵積分兌換為禮品卡。該公司表示，此次違規事件并不是源于通用汽車的系統遭到入侵，而是

24、針對其平臺上客戶的一波撞庫攻擊導致的，他們將為所有受影響的用戶恢復積分，并建議用戶在登錄賬戶之前重置密碼。10.10.瑞星監測到利用微軟最新高危漏洞的惡意代碼瑞星監測到利用微軟最新高危漏洞的惡意代碼 2022 年 6 月 9 日，瑞星威脅情報平臺監測到一個新型微軟支持診斷工具遠程代碼執行漏洞（CVE-2022-30190，又名“Follina”），在開源代碼平臺上已經存在該漏洞的概念驗證代碼，同時捕獲到相關漏洞的在野利用樣本。該樣本為 Microsoft Word 文檔，當用戶打開該文檔后，攻擊者便可利用CVE-2022-30190 漏洞與 Microsoft Office 的遠程模板加載功能

25、進行配合，由 Office 從遠程網絡服務器獲取惡意 HTML 文件，HTML 文件則會喚起 MSDT 工具應用程序并由其執行惡意 PowerShell 代碼，該惡意代碼將會在用戶主機上從指定鏈接中下載 Qakbot 木馬并執行，從而竊取用戶隱私信息。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 16 圖：病毒樣本相關代碼 11.11.新型病新型病毒仿冒毒仿冒 PythonPython 數字簽名數字簽名 誘騙用戶下后門誘騙用戶下后門 2022 年 6 月 13 日，瑞星安全研究院捕獲到一批假冒 Python 數字簽名的惡意軟件，攻擊者將這些惡意軟件在簽署者名稱和 UAC 彈窗等方面

26、進行偽裝，再通過網址、郵件鏈接等方式，誘導用戶下載含有正常的 exe 文件、dll 惡意文件，以及加密的 Farfli 后門程序的壓縮包，只要用戶點擊執行exe，便會加載 dll，該 dll 會解密這個 Farfli 后門程序使其在內存中隱秘運行，而用戶電腦將面臨文件被竊、遠程控制、鍵盤記錄、攝像頭被查看等風險。圖：數字簽名對比 12.12.西北工業大學遭受境外網絡攻擊西北工業大學遭受境外網絡攻擊 2022 年 6 月 22 日，西北工業大學官方聲明稱，該校電子郵件系統遭受網絡攻擊，對學校正常教學生活造成負面影響。警方稱，該校電子郵件系統發現一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件

27、，內含木馬程序，引誘部分師生點擊鏈接，非法獲取師生電子郵箱登錄權限，致使相關郵件數據出現被竊取風險。9 月份經調查發現，美國國家安全局（NSA）下屬的特定入侵行動 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 17 辦公室（TAO）使用了 40 余種不同的專屬網絡攻擊武器，持續對西北工業大學開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。圖：國家計算機病毒應急處理中心發布的相關報告 13.13.ITIT 服務巨頭服務巨頭 SHISHI 遭受“專業惡意軟件攻擊”遭受“專業惡意軟件攻擊”2022年7月初，總部位于新澤西州的信息技術(IT)產品和服務提供商SHI

28、 International證實，其網絡遭受到惡意軟件攻擊。SHI 在聲明中表示：“在 7 月 4 日美國國慶日假期的周末，SHI 成為了專業惡意軟件協同攻擊的目標。由于 SHI 的安全性和 IT 團隊的快速反應，該事件被迅速發現并采取了相應的措施，從而將本次攻擊對 SHI 系統和運營的影響降到了最低?！痹谠u估其系統的完整性和調查安全事件時，SHI 被迫將其部分系統下線，包括公司的公共網站和電子郵件。圖：SHI 官方維護信息 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 18 14.14.阿爾巴尼亞遭網絡攻擊關閉政府網站阿爾巴尼亞遭網絡攻擊關閉政府網站 2022 年 7 月中旬，阿

29、爾巴尼亞國家信息社會局（AKSHI）發表聲明，稱由于遭受大規模網絡攻擊，被迫關閉所有提供在線公共服務的網站和政府官方網站。其后，阿爾巴尼亞政府表示因反應及時，政府信息系統未受影響，且所有數據都有備份。7 月 21 日，阿爾巴尼亞政府稱大多數公共網站已恢復運行，而有關網絡攻擊源頭的調查仍在進行中。此次網絡攻擊所依賴的技術與近期在烏克蘭、德國、立陶宛、荷蘭等國家發生的網絡攻擊的技術性質類似。15.15.網絡攻擊致使英國醫療急救熱線網絡攻擊致使英國醫療急救熱線“120”“120”發生重大中斷發生重大中斷 2022 年 8 月 4 日，英國 111 醫療急救熱線外包供應商遭受網絡攻擊，導致英國國家醫療

30、服務體系（NHS）的 111 急救熱線發生重大持續性中斷。此次網絡攻擊襲擊了 NHS 的本地托管服務提供商Advanced，令 Adastra 解決方案以及 Advanced 提供的其他幾項服務同時陷入重大中斷。威爾士救護車服務中心表示，“當地用于將 111 急救熱線患者轉診給急診全科醫師的計算機系統，近期出現了重大故障?！眻D：NHS 發布的官方通告 16.16.400400 萬條萬條 2K Games2K Games 用戶數據正在暗網上出售用戶數據正在暗網上出售 2022 年 10 月 6 日，視頻游戲發行商 2K 向用戶發送電子郵件稱，用戶個人信息已在 9 月 19 日的攻擊事件中被盜并在

31、網上出售。9 月下旬，2K 就表示，其用戶支持服務系統遭到了入侵，并被通 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 19 過嵌入式鏈接向用戶推送含有 Redline Stealer 惡意軟件的虛假支持票。隨后，2K 關閉了其支持門戶網站以調查違規行為，建議收到電子郵件并點擊鏈接的用戶重置瀏覽器存儲密碼，檢查其賬戶是否存在可疑活動。圖：被出售的用戶信息 17.17.豐田：約豐田：約 296000296000 條客戶信息可能已被泄露條客戶信息可能已被泄露 2022 年 10 月 7 日，豐田汽車發布聲明稱，使用其 T-connect 服務的 296019 名客戶的個人信息可能已被泄

32、露，包括電子郵箱地址和客戶管理號碼等，但其他敏感信息如姓名、電話號碼和信用卡信息等均未受到影響，對 T-Connect 服務本身也沒有影響。T-Connect 是一種通過網絡連接車輛的遠程信息服務，受影響的客戶是自 2017 年 7 月以來使用電子郵件地址注冊該服務網站的個人用戶。圖：豐田汽車發布的聲明 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 20 18.18.零售巨頭泄露零售巨頭泄露 220220 萬用戶數據，并被黑客在線出售萬用戶數據，并被黑客在線出售 2022 年 10 月中旬，澳大利亞零售巨頭 Woolworths 批露了旗下子公司 MyDeal 數據泄露事件，攻擊者

33、使用泄露的用戶憑證訪問了公司客戶關系管理(CRM)系統，查看并導出了 220 萬條用戶信息。這些數據包括了姓名、電子郵件地址、電話號碼、送貨地址等信息，部分還涉及用戶的出生日期。10 月 16 日，黑客已開始在一個黑客論壇上以 600 美元的價格出售被盜數據，聲稱該數據目前包含 100 萬個條目，其他數據還在逐步解析中。圖：黑客論壇上出售的 MyDeal 數據 19.19.歐洲超市巨頭麥德龍遭網絡攻擊，歐洲超市巨頭麥德龍遭網絡攻擊，ITIT 和支付服務中斷已超和支付服務中斷已超過一周過一周 2022 年 10 月下旬，國際批發和超市巨頭麥德龍遭遇網絡攻擊，其 IT 基礎設施內有多項技術服務處于

34、中斷狀態，并且商店支付系統癱瘓。據技術博主 Gnter Born 發布的報告，至少自 10 月 17日以來，IT 中斷就一直影響著麥德龍公司在奧地利、德國和法國的門店。麥德龍的 IT 團隊立即與外部專家一起展開徹底調查，以確定服務中斷的原因。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 21 圖：麥德龍發布的公告 20.20.美國百年老報美國百年老報“被黑被黑”，發布大量攻擊性政治言論，發布大量攻擊性政治言論 2022 年 10 月 27 日，紐約郵報證實公司遭遇了黑客攻擊，其網站和推特賬戶被攻擊者利用，發布了一系列針對美國政客的攻擊性內容。這些攻擊性的頭條新聞和推文打擊面極廣，涉

35、及紐約州多位政客以及拜登總統的兒子亨特拜登。紐約郵報事后調查發現，當天早上在其網站和推特發布的一系列“未經授權”的粗俗及種族主義的推文和頭條新聞系一位內部員工所為。圖：紐約郵報發布的官方信息 21.21.波音子公司遭網絡攻擊，致使全球多家航司航班規劃中斷波音子公司遭網絡攻擊，致使全球多家航司航班規劃中斷 2022 年 11 月 2 日，導航與航班規劃工具供應商 Jeppesen 公司發生網絡安全事件，導致部分航班被迫中斷。該公司網站上出現了紅色提示條幅，警告稱“我們的部分產品、服務和溝通渠道出現了技術問題”。此次事件影響到當前及后續空中任務通知（NOTAM）的接收和處理。伊拉克航空、沙特 Fl

36、ynas 航空、加拿大太陽之翼航空均發布公告，稱 Jeppesen 系統發生了中斷。Flynas 表示部分航班被重新調整，太陽之翼還稱北美多家航司受影響。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 22 圖：航空公司發布的公告 22.22.網絡攻擊迫使丹麥最大鐵路公司火車全部停運網絡攻擊迫使丹麥最大鐵路公司火車全部停運 2022 年 11 月 5 日，丹麥最大的鐵路運營公司 DSB 受到網絡攻擊影響，旗下所有列車均陷入停運，連續數個小時未能恢復。遭受攻擊的是丹麥公司 Supeo，該公司是專為鐵路、交通基礎設施和公共客運提供資產管理解決方案的外包供應商。在發現黑客攻擊之后，Supe

37、o 關閉其服務器，導致列車司機們使用的一款軟件無法正常工作，最終引發了列車運營中斷。23.23.俄羅斯企業頻發數據泄露事件，俄羅斯企業頻發數據泄露事件，720720 萬用戶數據在黑客論壇萬用戶數據在黑客論壇出售出售 2022 年 11 月 11 日，有人在“Breached”黑客論壇上出售包含 720 萬 Whoosh 客戶詳細信息的數據庫，包括電子郵件地址、電話號碼和名字。該數據庫還包含 1,900,000 名用戶子集的部分支付卡詳細信息。賣家還聲稱，被盜數據包括 3,000,000 個促銷代碼，人們可以使用這些代碼免費租用Whoosh 滑板車。而后，俄羅斯踏板車共享服務 Whoosh 公司

38、確認發生數據泄露，并告知其用戶群他們正在與執法當局合作，采取一切措施阻止數據的分發。圖：Whoosh 數據在 Breached 論壇上被出售 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 23 24.24.俄羅斯第二大銀俄羅斯第二大銀行行 VTBVTB 遭攻擊離線遭攻擊離線 2022 年 12 月 6 日，據塔斯社報道，俄羅斯第二大金融機構 VTB 銀行披露遭遇公司歷史上最嚴重的網絡攻擊，持續的 DDoS（分布式拒絕服務）攻擊導致其網站和移動應用程序離線?！澳壳?，VTB技術基礎設施正受到來自國外的前所未有的網絡攻擊”，VTB 發言人向塔斯社表示，“這不僅是今年有記錄的最大網絡攻擊，

39、而且是該銀行整個歷史上最大的網絡攻擊”。親烏克蘭的黑客組織“烏克蘭IT 軍”聲稱對此次網絡攻擊負責，并于 11 月底在 Telegram 上宣布了這一活動。圖：“烏克蘭 IT 軍”宣布 VTB 為目標 25.25.蔚來汽車數據泄露被勒索，官方回應屬實蔚來汽車數據泄露被勒索，官方回應屬實 2022 年 12 月 20 日，網絡上有人稱破解了蔚來大量數據，包括蔚來內部員工數據 22800 條、車主用戶身份證數據 399000 條。隨后，蔚來官方發布關于數據安全事件的聲明：2022 年 12 月 11日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數據，并以泄露數據勒索 225 萬美元等額比特幣。在收到勒

40、索郵件后，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。根據聲明顯示，經初步調查被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 24 （二二）20222022 年年漏洞分析漏洞分析 1.1.20222022 年年 CVECVE 漏洞利用率漏洞利用率 TopTop1010 報告期內，從收集到的病毒樣本分析來看，微軟 Office 漏洞依然穩居首位。長久以來 CVE-2017-11882、CVE-2018-0802 以漏洞穩定性、易用性和用戶群體廣泛性一直是釣魚郵件攻擊者首選的利用漏洞。隨

41、著物聯網的應用和推廣，物聯網設備漏洞也備受關注，其中 CVE-2017-17215 備受眾多 IOT僵尸網絡病毒青睞，曾在 2018 年黑客利用該漏洞在一天之內建立了 18000 臺設備構成的僵尸網路。Mirai、Satori、Brickerbot、Mozi 至今仍將該漏洞作為傳播利用的一種方式。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 25 CVE-2017-0147 Windows SMB 協議漏洞（MS17-010 永恒之藍漏洞）在 2017 年爆發，至今已經過去 5 年時間，然而它仍是目前被病毒利用最多的安全漏洞之一。該漏洞之所以有著居高不下的利用率，是由于在大多數企業

42、內網環境中依然存在大量的終端設備尚未修復該漏洞，進入內網環境的病毒程序仍可透過該漏洞輕松地在內網環境中傳播。CVE-2022-30190 Microsoft Office MSDT 遠程代碼執行漏洞，是 2022 年最熱門的利用漏洞，該漏洞可使用 Microsoft Word 遠程模板功能鏈接到惡意 HTML 文件，通常被用于釣魚郵件攻擊。Sandworm、UAC-0098 和 APT28 等 APT 攻擊組織均利用過該漏洞，對烏克蘭和歐美等政府機構發起多次網絡釣魚攻擊。瑞星根據漏洞被黑客利用程度進行分析，評選出 2022 年 1 至 12 月份漏洞 Top10：1.1 1.1 CVECVE-

43、20172017-1188211882 OfficeOffice 遠程代碼執行漏洞遠程代碼執行漏洞 又稱公式編輯器漏洞，為 Office 內存破壞漏洞，影響目前流行的所有 Office 版本，攻擊者可利用該漏洞以當前登錄的用戶身份執行任意命令。漏洞出現在模塊 EQNEDT32.EXE 中，該模塊為公式編輯器，在 Office 的安裝過程中被默認安裝，該模塊以 OLE 技術將公式嵌入在 Office 文檔內。由于該模塊對于輸入的公式未作正確的處理，攻擊者可以通過刻意構造的數據內容覆蓋掉棧上的函數地址，從而劫持程序流程，在登錄用戶的上下文環境中執行任意命令。1.2 1.2 CVECVE-20182

44、018-08020802 公式編輯器漏洞公式編輯器漏洞 該漏洞與它的上一代 CVE-2017-11882 一脈相承，同屬于 Microsoft Office 中的 EQNEDT32.EXE 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 26 公式編輯器的漏洞。該漏洞又被稱為“噩夢公式”,源于對象在內存中的處理不當（微軟 Office 內存破壞漏洞），當用戶打開特制的嵌有公式編輯器對象的 Office 文檔時會直接觸發漏洞導致任意代碼執行。1.1.3 3 CVECVE-20172017-17215 HG53217215 HG532 遠程命令執行漏洞遠程命令執行漏洞 2017 年 11

45、 月份 Check Point 團隊報告了國內某產品的遠程命令執行漏洞(CVE-2017-17215),漏洞原理是利用 upnp 服務器中的注入漏洞來實現遠程執行任意代碼，已發現的針對該漏洞的攻擊利用是 Mirai 的升級變種。1.4 1.4 CVECVE-2 2017017-0147 Windows SMB0147 Windows SMB 協議漏洞協議漏洞 MS17MS17-010010 2017 年 5 月份 Shadow Brokers 公布了他們從 Equation Group 竊取的黑客工具，其中包含“永恒之藍”等多個 MS17-010 漏洞利用工具。MS17-010 對應 CVE-

46、2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多個 SMB 漏洞。這份工具的泄露直接導致了后來 WannaCry 病毒的全球爆發，包括中國在內的至少 150 多個國家，30 多萬用戶中招，并且金融、能源、醫療等眾多行業皆受影響，據統計其造成損失高達 80 億美元。此后各種利用 MS17-010 漏洞的病毒瘋狂增長，影響深遠。1.5 1.5 CVECVE-20102010-2568 2568 WindowsWindows LNKLNK 快捷方式漏洞快捷方式漏洞 該漏洞影響 Wind

47、ows XP SP3、Server 2003 SP2、Vista SP1 和 SP2、Server 2008 SP2 和 R2 及Windows 7。Windows 沒有正確地處理 LNK 文件，特制的 LNK 文件可能導致 Windows 自動執行快捷方式文件所指定的代碼。1.6 1.6 CVECVE-20152015-0003 Win32k0003 Win32k 提權漏洞提權漏洞 該漏洞是由于 Windows 的 win32k.sys 模塊存在對用戶層參數驗證不完全，導致其存在窗口處理函數的空指針解引用(Null Pointer Dereference)異常問題。如果對漏洞有效利用，攻擊者

48、可以實現權限提升。1.7 1.7 CVECVE-20172017-0199 Microsoft Office0199 Microsoft Office 邏輯漏洞邏輯漏洞 該漏洞主要是 Word 在處理內嵌 OLE2Link 對象，并通過網絡更新對象時，沒有正確處理 Content-Type 所導致的一個邏輯漏洞。其利用 Office OLE 對象鏈接技術，將包裹的惡意鏈接對象嵌在文檔中，Office 調用 URL Moniker 將惡意鏈接指向的 HTA 文件下載到本地，URL Moniker 通過識別響應 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 27 頭中 Content-

49、type 的字段信息，調用 mshta.exe，執行已下載到的 HTA 文件。1.8 1.8 C CVEVE-2 2016016-7255 Win32k 7255 Win32k 特權提升漏洞特權提升漏洞 如果 Windows 內核模式驅動程序無法正確處理內存中對象，則會存在多個特權提升漏洞。成功利用該漏洞的攻擊者，可以在內核模式下運行任意代碼并安裝惡意程序，查看、更改或刪除用戶數據，同時創建擁有完全用戶權限的新賬戶。1.9 1.9 CVECVE-20222022-30190 Microsoft Office MSDT30190 Microsoft Office MSDT 遠程代碼執行漏洞遠程代

50、碼執行漏洞 2022 年 5 月 30 日微軟公布 CVE-2022-30190 漏洞，該漏洞使用 Microsoft Word 遠程模板功能鏈接到惡意 HTML 文件，當 Winword.exe 程序處理惡意 HTML 文件中 JS 代碼時，認定使用到“ms-msdt”協議 URL，轉而啟動 msdt.exe 程序處理該 URL，從而導致 URL 中 powershell 命令執行。1.10 1.10 CVECVE-20212021-2685826858 Microsoft Exchange Server Microsoft Exchange Server 遠程代碼執行漏洞遠程代碼執行漏洞

51、該漏洞是 Exchange 中的任意文件輸入漏洞。在需要進行身份認證后，攻擊者可以利用該漏洞將文件寫入服務器上的任何路徑，并結合利用 CVE-2021-26855 SSRF 漏洞繞過權限認證，構造惡意請求，在系統上寫入任意文件。2.2.20222022 年年最熱漏洞分析最熱漏洞分析 2.1 2.1 CVECVE-20222022-30190 Microsoft Office MSDT30190 Microsoft Office MSDT 遠程代碼執行漏洞遠程代碼執行漏洞 2022 年 5 月 30 日微軟公布 CVE-2022-30190 漏洞，該漏洞使用 Microsoft Word 遠程模

52、板功能鏈接到惡意 HTML 文件，當 Winword.exe 程序處理惡意 HTML 文件中 JS 代碼時，認定使用到“ms-msdt”協議 URL，轉而啟動 msdt.exe 程序處理該 URL，從而導致 URL 中 powershell 命令執行。2.2 2.2 CVECVE-20222022-0847 Linux0847 Linux 內核提權漏洞內核提權漏洞 Linux 內核中的一個權限提升漏洞（CVE-2022-0847，也稱為“Dirty Pipe”），允許非特權用戶注入和覆蓋任意只讀文件中的數據，導致權限提升，并最終獲得 root 權限。該漏洞影響了 Linux Kernel 5.

53、8 及更高版本，甚至影響了 Android 設備。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 28 2.3 2.3 CVECVE-20222022-22965 Spring22965 Spring 遠程代碼執行漏洞遠程代碼執行漏洞 2022 年 3 月，VMware Tanzu 發布漏洞報告，Spring Framework 存在遠程代碼執行漏洞。Spring是一個開源框架，由 Rod Johnson 創建,用于簡化 Java 企業級應用的開發難度和開發周期。該漏洞在 JDK 9+上運行的 Spring MVC 或 Spring WebFlux 應用程序可能容易受到通過數據綁定的

54、遠程代碼執行(RCE)的攻擊。2.4 2.4 CVECVE-20222022-2199921999 打印服務特權提升漏洞打印服務特權提升漏洞 2022 年 2 月，微軟修補了 CVE-2022-21999 漏洞。Windows Print Spooler 打印機的本地提權漏洞，在目標主機有 spoolsv.exe 進程的情況下，經過身份認證的本地攻擊者可通過在目標系統上運行特制程序來利用此漏洞，能獲取到 system 權限。2.5 2.5 CVECVE-20222022-2271822718 打印服務特權提升漏洞打印服務特權提升漏洞 2022 年 2 月，微軟修補了 CVE-2022-2271

55、8 漏洞，該漏洞會影響未知部件的組件 Print Spooler。手動調試的不合法輸入可導致一個未知缺陷，從而引發 Windows Print Spooler 打印機的本地提權。2.6 2.6 CVECVE-20222022-21882 Windows21882 Windows 權限提升權限提升漏洞漏洞 該漏洞為 Windows 系統的一個本地提權漏洞，由于 Win32k 驅動程序下的一個類型混淆所導致的引用到錯誤的數據，從而產生內存讀寫越界，攻擊者可以利用該漏洞在獲得權限的情況下，構造惡意數據執行本地權限提升攻擊，最終獲得服務器最高權限。2.7 2.7 CVECVE-20222022-261

56、34 Confluence 26134 Confluence 遠程代碼執行漏洞遠程代碼執行漏洞 2022 年 6 月 3 日，Atlassian 官方發布官方公告，披露 CVE-2022-26134 Confluence 遠程代碼執行漏洞。該漏洞允許遠程攻擊者在未經身份驗證的情況下，構造 OGNL 表達式進行注入，實現在Confluence Server 或 Data Center 執行任意代碼。2.8 2.8 CVECVE-20222022-1985 WordPress Plugin 1985 WordPress Plugin 跨站腳本漏洞跨站腳本漏洞 WordPress plugin Wo

57、rdPress Download Manager 3.2.00 到 3.2.42 版本存在跨站腳本漏洞，該漏洞源于對/src/Package/views/shortcode-iframe.php 腳本中 frameid 參數中用戶提供的數據的清理不足。遠程攻擊者利用該漏洞可執行跨站點腳本（XSS）攻擊。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 29 2.9 2.9 CVECVE-20222022-29464 WSO229464 WSO2 文件上傳漏洞文件上傳漏洞 WSO2 文件上傳漏洞（CVE-2022-29464）是 Orange Tsai 發現的 WSO2 上的嚴重漏洞。該

58、漏洞是由于 WSO2 存在路由對輸入的內容過濾不嚴格，攻擊者可以利用該漏洞在未授權的情況下，構造惡意數據執行文件上傳攻擊，最終獲取服務器最高權限。2.10 2.10 CVECVE-20222022-24521 Windows 24521 Windows 通用日志文件系統權限提升漏洞通用日志文件系統權限提升漏洞 Windows Common Log File System Driver 中存在權限提升漏洞，普通用戶權限的本地攻擊者可利用該漏洞提升至 SYSTEM 權限，最終可實現在目標系統上任意執行代碼，且無需用戶交互。目前該漏洞已被監測到存在在野利用。CVSS 評分為 7.8。（三三）2022

59、2022 年年全球全球 APTAPT 攻擊事件解讀攻擊事件解讀 1.1.威脅組織威脅組織 APTAPT-C C-2323 1 1.1.1 介紹介紹 APT-C-23（中文名：雙尾蝎）是一個至少從 2016 年開始對目標進行網絡攻擊的威脅組織。該組織主要目的是信息盜竊和間諜活動，具備針對 Windows 與 Android 雙平臺的攻擊能力。該組織長期針對中東地區，特別是巴勒斯坦進行攻擊，涉及行業多為政府、教育、軍事等重要領域。2022 年 1月份，瑞星威脅情報中心捕獲到了一起與該組織相關的攻擊事件。1 1.2.2 攻擊事件攻擊事件 此次攻擊事件是以中東地區阿拉伯語國家為目標，通過以互聯網盈利為

60、噱頭展開的攻擊行動。攻擊者利用社交媒體或自建的釣魚網站對目標投遞了名為“Profit from the Internet.docx”的誘餌文檔，文檔內容顯示為阿拉伯語文字，因此猜測攻擊目標為阿拉伯語國家。該文檔內容主要是關于“如何通過互聯網盈利”，以此來誘騙目標用戶點擊運行，一旦誘餌文檔被打開，惡意程序便會在后臺開展信息收集、遠程服務器通信等惡意行為，從而達到竊取機密信息的目的。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 30 圖：誘餌文檔內容及譯文 2.2.威脅組織威脅組織 LazarusLazarus GroupGroup 2 2.1.1 介紹介紹 Lazarus Group

61、是一個自2007 年就開始對目標進行網絡攻擊的威脅組織，該組織又被稱為 Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc 和 Nickel Academy 等，是現今最活躍的威脅組織之一。Lazarus Group 來自朝鮮，具有國家背景。其除了擅長信息盜取、間諜活動外，還會蓄意破壞受害者操作系統以此來獲取經濟利益，已經攻擊過的國家包括中國、德國、澳大利亞、日本等，涉及的領域有航空航天、政府、醫療、金融和媒體等。2022 年 4 月份，瑞星威脅情報平臺捕獲到了一起與該組織相關的攻擊事件。2 2.1.1 攻擊事件攻擊事件 在此次

62、攻擊事件中，Lazarus 組織通過偽造的國際知名軍工企業洛克希德 馬丁公司的高級職務招聘文件作為誘餌，向軍工領域從業人員投放名為“LMCO_Senior Systems Engineer_BR09.doc”的文檔，以此誘騙目標用戶點擊查看。而該文檔內容則顯示為亂碼，其目的就是為了誘導用戶點擊“啟用內容”，一旦用戶點擊啟動了這個宏代碼，后臺就會釋放并執行內嵌于文檔中的惡意程序，開啟攻擊行為。攻擊者最終達到竊取機密信息、遠程控制的目的。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 31 圖：誘餌文檔 3.3.威脅組織威脅組織 PatchworkPatchwork 3 3.1.1 介紹

63、介紹 Patchwork 是一個至少從 2015 年就開始進行網絡攻擊的 APT 組織，疑似來自印度。這個 APT 組織還有“摩訶草”、Dropping Elephant、Chinastrats、APT-C-09、Quilted Tiger 和 ATK 11 等稱謂。該組織主要從事信息竊取和間諜活動，其針對的目標包含了中國，巴基斯坦、日本、英國和美國等多個國家，涉及的目標行業多為航空、國防、能源、金融、IT 和政府等。攻擊手法有投遞惡意宏文檔，利用釣魚網站和使用 esp 漏洞（CVE-2017-0261）等。2022 年 6 月份，瑞星威脅情報平臺捕獲到了兩起與該組織相關的攻擊事件，針對目標均

64、為巴基斯坦旁遮普政府。3 3.2.2 攻擊事件攻擊事件 在這兩起攻擊行動中，攻擊者通過釣魚郵件向目標發送名為Reduction of working days.rtf和Recruitment of officials on deputation basis2.rtf的誘餌文檔，內容為旁遮普政府勞動和人力資源部，及總監測評估規劃與發展委員會的登記表，表內不僅需要填寫姓名、CNIC 編號、郵箱以及聯系方式等隱私信息，還帶有 CVE-2017-11882 Office 遠程代碼執行漏洞。利用假冒的旁遮普政府勞動和人力資源部、規劃與發展委員會登記表，誘使目標打開并釋放遠程控制木馬，以達到竊密及遠控的目

65、的。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 32 圖：誘餌文檔 4.4.威脅組織威脅組織 MuddyWaterMuddyWater 4 4.1.1 介紹介紹 MuddyWater 是伊朗的 APT 組織，主要針對中東地區、歐洲和北美地區，目標主要是政府、電信和石油部門，具有強烈的政治目的。該 APT 組織顯著的攻擊特點為善于利用 Powershell 等腳本后門，通過 Powershell 在內存中執行，可以減少惡意文件落地執行。據悉，該組織自 2017 年 11 月被曝光以來，不但沒有停止攻擊，反而更加積極地改進攻擊武器，在土耳其等國家持續活躍。2022 年2 月份，有安全

66、研究人員捕獲到該組織針對土耳其政府部門最新的攻擊行動。4 4.2.2 攻擊事件攻擊事件 此次攻擊事件中，MuddyWater 組織使用惡意的 PDF 和 Office 文檔作為初始攻擊武器，將這些惡意文檔偽裝成土耳其衛生和內政部的合法文件，通過魚叉式釣魚郵件等方式進行投遞。Office 文檔內嵌有惡意的 VBA 宏，而 PDF 文檔則包含一個嵌入式按鍵，誘騙用戶單擊該按鍵以獲取位于遠程服務器上的 XLS 文件，而此文件同樣帶有惡意的 VBA 宏。宏代碼則負責實現下載，部署攻擊者分發的其他惡意程序，同時攻擊者在此活動中使用了 canary 令牌來跟蹤代碼執行和鄰近系統上的后續感染情況。一旦誘餌文

67、檔內嵌的惡意宏代碼啟動后，將從遠程服務器下載并執行 Powershell 腳本程序，該腳本負責本地信息竊取、內部橫向感染等功能。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 33 圖：攻擊流程圖 5.5.威脅組織威脅組織 BitterBitter 5 5.1.1 介紹介紹 Bitter 是一個至少從 2013 年就開始進行網絡攻擊的 APT 組織，疑似來自南亞。該組織又稱 TAPT-17，主要是從事信息竊取和間諜活動，其針對的目標包含中國、巴基斯坦、沙特阿拉伯、印度等多個國家，涉及的目標行業多為能源、工程和政府部門等。2022 年 5 月份，有安全廠商報道了與其相關的安全事件。5

68、5.2.2 攻擊事件攻擊事件 此次攻擊事件中，研究人員發現了一起長期針對孟加拉國政府的攻擊活動，根據相關 C2 地址與過去的活動重疊、字符串加密共性和模塊命名方案等特性將此活動歸咎于 Bitter 組織。攻擊者在活動中均以魚叉式釣魚郵件為初始攻擊武器，通過偽裝成巴基斯坦政府組織的郵箱發送給孟加拉國政府部門。其中，向孟加拉國警察快速行動營(RAB)的高級官員發送的郵件中，附帶有惡意代碼的 RTF文檔和含有漏洞的 Excel 文檔，一旦受害者打開惡意文檔，攻擊者便會利用文檔漏洞成功執行惡意的 shellcode，進而從托管服務器下載一款名為“ZxxZ”的木馬，在受害者的主機上運行。該木馬偽裝成 W

69、indows 安全更新服務，攻擊者可利用其遠程執行任意代碼，并安裝其他遠程控制工具。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 34 圖：釣魚郵件內容 6.6.威脅組織威脅組織 KimsukyKimsuky 6.16.1 介紹介紹 Kimsuky 是一個至少從 2012 年就開始對目標進行網絡攻擊的威脅組織，該組織又名 Velvet Chollima、Thallium、Black Banshee 以及 ITG16。Kimsuky 組織疑似來自朝鮮，背后由國家支持。這個組織主要目的是信息盜竊和間諜活動，其攻擊目標包括韓國和美國等，涉及行業多為國防、教育、能源、政府、保健等領域。20

70、22 年 8 月份，有安全廠商報道了與其相關的安全事件。6 6.2.2 攻擊事件攻擊事件 在此次攻擊事件中，研究人員發現 Kimsuky 組織使用了被命名為 GoldDragon 的攻擊武器，攻擊了韓國的媒體和智囊機構。攻擊者通過釣魚郵件等方式向目標發送嵌入宏的 Word 文檔，宏文檔內容大多都與朝鮮半島地緣政治問題相關。宏代碼會利用 mshta.exe 進程執行 HTML 應用程序，以獲取惡意的 Visual Basic 腳本。在此過程中，攻擊者濫用合法的博客站點來托管惡意的 Visual Basic 腳本。這些 VBS 文件能夠收集有關受感染機器的信息并下載其他有效載荷，最后釋放一個 Wi

71、ndows 可執行文件格式的惡意軟件，該軟件可以竊取受害者各類信息，如文件列表、鍵盤記錄和存儲的 Web 瀏覽器登錄憑據等。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 35 圖：GoldDragon 感染鏈 7.7.威脅組織威脅組織 SideWinderSideWinder 7 7.1.1 介紹介紹 SideWinder，也稱為 APT-C-17、響尾蛇。該 APT 組織疑似來源于印度，由國家支持，其最早活動可追溯到 2012 年。主要利用魚叉式釣魚、宏病毒文檔等多種攻擊手段，實現信息竊取和間諜活動。其目標主要針對亞洲國家，特別是巴基斯坦政府、軍隊和大型企業。2022 年 10

72、月份，有安全廠商披露了與該組織相關的攻擊事件。7 7.2.2 攻擊事件攻擊事件 在此次攻擊事件中，安全研究人員從巴基斯坦國家電力監管局（NEPRA）的官網上發現了一個名為“32-Advisory-No-32.iso”的 ISO 壓縮文件，該文件由三個子文件組成，分別是：32-Advisory-No-32-2022.lnk、32-Advisory-No-32.2022.pdf 和 RtlAudioDriver.exe。其中 lnk 文件偽裝成 pdf 圖標以引誘受害者執行，在 lnk 文件執行后，將同時運行內容為巴基斯坦政府公文的誘餌 pdf 文件和惡意的 EXE 程序。其中名為 RtlAudi

73、oDriver.exe 的惡意程序被發現是 SideWinder 組織的新型攻擊武器，被命名為 WarHawk 后門。該后門由四個模塊組成，分別是下載和執行模塊、命令執行模塊、文件管理器 InfoExfil 模塊和 C2 模塊。該后門的主要特點是通過利用KernelCallBackTable 實現內核注入，以此躲過傳統的安全防御技術，最終實現信息竊取和遠程控制等功能。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 36 圖：通過 LNK 文件執行惡意二進制和誘餌 PDF 8.8.威脅組織威脅組織 BlueNoroffBlueNoroff 8 8.1.1 介紹介紹 BlueNoroff

74、（又名：APT38）是一個專門以金融單位為目標，以竊取金錢為目的的攻擊組織，疑似屬于 Lazarus 組織的下屬組織，最早于 2016 年被安全研究人員發現并命名。該組織通常利用 Word文檔和快捷方式進行初步入侵，自被發現以來，其攻擊活動持續活躍中。2022 年 12 月份，有安全研究人員捕獲到該組織的攻擊行動。8 8.2.2 攻擊事件攻擊事件 在此次攻擊事件中，研究人員發現 APT38 組織采用了能夠繞過 Windows Mark of the Web(MotW)保護的新技術。MotW 是指當用戶試圖打開從互聯網下載的 Office 文件時，Windows 系統會在受保護的視圖中打開它，這

75、會限制嵌入式宏的執行。但此次 APT38 通過使用光盤映像（.iso文件）和虛擬硬盤（.vhd 文件）來規避這項安全機制。本次事件發現的初始樣本名為“Job_Description.vhd”的虛擬硬盤文件，該文件內嵌同名的.exe 和.pdf 文件，其中 exe 可執行文件為惡意程序，啟動后可實現下載和 C2 通信功能，攻擊者以此竊取目標信息。圖：初始文件包含的惡意載荷 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 37 9.9.威脅組織威脅組織 APT37APT37 9 9.1.1 介紹介紹 APT37 組織是疑似由政府支持的攻擊組織，至少從 2012 年開始就持續活躍。該組織長

76、期針對俄羅斯、韓國、日本等地區進行定向攻擊活動，擅長使用社會熱點話題對目標進行魚叉式網絡釣魚攻擊，如在 2016-2018 年間進行的破曉行動、黑夜行動、黃金事件等都歸屬于該組織。2022 年 12 月，有安全研究人員捕獲到該組織利用韓國普通用戶個人信息文件進行攻擊的相關事件。9 9.2.2 攻擊事件攻擊事件 由于 Office 程序使用 IE 引擎來渲染 HTML 內容，所以當引擎中出現漏洞時，攻擊者可利用相關漏洞在內存中執行任意的 HTML 代碼，而在此次捕獲到的攻擊事件中，攻擊者就是利用了 IE 瀏覽器漏洞 CVE-2022-41128 來針對韓國普通用戶展開攻擊。此次捕獲的名為“221

77、031 Seoul Yongsan Itaewon accident response situation(06:00).docx”的文檔，利用了當前韓國熱門的梨泰院踩踏事件，通過魚叉式釣魚郵件、網絡公共平臺、個人通訊軟件等手段進行分發。文檔啟動后會從遠程服務器下載一個 RTF 遠程模板，此模板為 CVE-2022-41128 漏洞利用程序，負責下載位于遠程服務器上的 HTML 代碼，之后利用漏洞在內存中執行以此實現信息竊取、遠程控制等功能。圖：誘餌文檔 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 38 四、四、勒索勒索軟件軟件分析分析 （一）（一）勒索勒索軟件軟件概述概述 自

78、2017 年 5 月 WannaCry 勒索軟件在全球范圍大爆發后，勒索攻擊就成為了企業面臨的重大網絡安全風險之一，勒索也就成為了黑客及攻擊組織最常使用的攻擊手段。越來越多的威脅組織在勒索的同時，采取文件竊取的方式來“綁架”企業的隱私文件，以歷史攻擊事件梳理來看這類“雙重勒索”的方式確實卓有成效，極大提高了勒索軟件敲詐贖金的得手機會。得益于產業鏈的分發模式以及勒索病毒惹眼的高額贖金，使得勒索病毒新晉家族層出不窮，而那些長久以來“霸榜”的勒索家族如 Lockbit 更是行動不斷，攻擊頻發。在 2022 年，勒索軟件隨著云計算業務的發展趨勢而轉移目標，有越來越多公司業務遷移到虛擬機，而諸如 Bla

79、ckBasta、Hive 等勒索家族瞄準 Linux 服務器下虛擬機的勒索攻擊活動也會在未來逐漸形成流行事態。不僅如此一些勒索病毒還參與到地緣性政治與軍事戰爭中，而未來技術型企業、醫療機構、政務機構依然是勒索病毒主要攻擊目標。（二）（二）20222022 年度年度十大十大勒索軟件勒索軟件 2022 年，全球頻發勒索攻擊事件，政府、企業、教育、醫療、金融、航空等領域都成為勒索組織的攻擊目標，以 Lapsus$、LockBit 為代表的勒索組織在過去的 12 個月里，發動了多起轟動全球的勒索攻擊。瑞星根據勒索組織的破壞性、威脅性，以及企業的損失程度，評選出 2022 年十大勒索軟件，并詳細介紹這些

80、勒索軟件的技術手段、攻擊手法及相關勒索事件。1.1.Lapsus$Lapsus$1.11.1 介紹介紹 Lapsus$最早出現于 2021 年末，主要目標針對于大型企業。一經出現便展開狂熱的攻勢，一年之內數家知名企業“慘遭毒手”。該勒索在加密企業用戶重要資料的同時還將竊取大量機密文件以及隱私信息并以此敲詐勒索受害企業。大量知名企業如英偉達、三星、微軟等均遭受危害。1 1.2.2 攻擊方式攻擊方式 Lapsus$組織擅長通過暴破攻擊、網絡釣魚、DDoS 攻擊、注入攻擊等手段進行入侵。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 39 1 1.3.3 攻擊事件攻擊事件 葡萄牙最大媒體集

81、團葡萄牙最大媒體集團 ImpresaImpresa 遭遭 Lapsus$Lapsus$勒索軟件攻擊勒索軟件攻擊 2022 年 1 月 2 日，葡萄牙最大的媒體公司 Impresa 遭到 Lapsus$組織的勒索攻擊。此次被攻擊的是 Impresa 旗下的網站 Expresso、報紙和電視臺 SIC，受影響的是對 Impresa 運營至關重要的服務器基礎設施，這導致該國最主要的電視頻道 SIC 和周報 Expresso 服務暫時中斷。Lapsus$組織聲稱勒索軟件攻擊已經導致 Impresa 的所有網站下線，而且還獲得了 Impresa 的亞馬遜網絡服務賬戶的訪問權限。圖：Lapsus$組織發布

82、的勒索信 英偉達英偉達 7100071000 名員工憑證被泄露名員工憑證被泄露 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 40 2022 年 2 月 26 日，英國每日電訊報首先披露，英偉達遭重大網絡攻擊，內部網絡已被滲透。與此同時黑客組織 Lapsus$在推特上承認對這次攻擊事件負責,并向英偉達索取金錢。3 月 1 日Lapsus$發聲要求英偉達將所有顯卡的 Windows、MacOS 以及 Linux 版本驅動永久開源，如果英偉達不配合,Lapsus$就公開英偉達現有以及之后顯卡的所有信息。3月2日數據泄露檢測網站HIBP證實，黑客竊取的 7 萬多份員工信息已經被完全泄露。

83、圖：英偉達官方確認員工信息遭到泄露 三星遭黑客攻擊三星遭黑客攻擊 190G190G 機密數據泄露機密數據泄露 2022 年 3 月 7 日，三星電子遭南美黑客組織 Lapsus$攻擊,導致大量機密數據外泄。報道稱，該批資料近 190GB，被拆分為三個壓縮文件，通過點對點網絡供外界下載。該黑客組織稱，泄露的數據包括：用于敏感操作的三星 TrustZone 環境中安裝的每個受信任小程序（TA）的源代碼（例如硬件加密、二進制加密、訪問控制）、所有生物特征解鎖設備算法、所有最新三星設備的引導加載程序源代碼等。三星發言人表示：“我們最近被告知存在與某些公司內部數據相關的安全漏洞。發現事件后，我們立即加強

84、了安全系統。根據我們的初步分析，此次泄露涉及一些與 Galaxy 設備運行相關的源代碼，但不包括我們消費者或員工的個人信息?！北本┤鹦蔷W安技術股份有限公司北京瑞星網安技術股份有限公司 41 圖：Lapsus$勒索團伙分享三星被盜數據中源代碼圖像 微軟證實遭黑客微軟證實遭黑客 Lapsus$Lapsus$入侵入侵 2022 年 3 月 22 日，微軟公司證實，黑客組織 Lapsus$獲得了該公司系統的有限訪問權限。此前，Lapsus$聲稱成功入侵了微軟的系統，并獲得了 Bing、Cortana 和其他項目的源代碼。而后，該黑客組織發布了一份 9gb 7zip 壓縮包的種子文件，其中包含了他們聲稱

85、屬于微軟的 250 多個項目的源代碼。相關人士稱，這個未壓縮的存檔文件大約有 37GB。微軟表示，他們正在調查 Lapsus$數據勒索黑客組織入侵其內部 Azure DevOps 源代碼庫并竊取數據的指控。圖：Lapsus$泄露的微軟 Azure DevOps 賬戶屏幕截圖 UberUber 指控近期發生的安全事件是曾黑入微軟及三星的指控近期發生的安全事件是曾黑入微軟及三星的 Lapsus$Lapsus$所為所為 2022 年 9 月 15 日，一名 18 歲的黑客稱成功入侵 Uber 系統，下載了 HackerOne 的漏洞報告，并分享了 Uber 內部系統、郵件和 slack 服務器的截圖

86、。Uber 說明，整起事件是一名 Uber EXT 約聘人員賬號被黑而起。根據 Uber 說明，可能是該約聘員工個人設備感染惡意程序，致其賬密外流，而后被黑客自地下網站購得。19 日，Uber 稱，此事是由 Lapsus$黑客組織所為，該公司強調黑客并未訪問對外運營系統或用戶賬號，也未訪問該公司存儲的用戶個人信息。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 42 圖：Uber 發布的聲明 盜取盜取GTA6GTA6代碼或為黑客組織代碼或為黑客組織 Lapsus$Lapsus$行為行為 2022 年 9 月 18 日，美國游戲公司 Rockstar Games（即“R 星”）正在開發

87、的游戲俠盜獵車手6（GTA6）中大量情報遭到了泄露。泄露者 teapotuberhacker 在海外論壇公開了多達 90 多段、總計 3.4GB 的GTA6視頻片段，以及近 1 萬行源代碼。隨后，R 星發布公告，證實其的確遭到網絡入侵，并稱黑客非法訪問和下載了機密信息，其中就包含了GTA6的早期開發視頻。一名 17 歲的英國少年被認為是攻擊GTA6的犯罪嫌疑人，并已被倫敦警方逮捕并出庭受審。據悉，該少年是Lapsus$黑客組織的成員，該組織曾攻擊了微軟、三星、Uber 等大型公司。2.2.LockbitLockbit 2 2.1.1 介紹介紹 LockBit最早出現在 2019年下半年，使用

88、Raas商業模式推廣勒索，在 LockBit2.0 使用 StealBit竊密木馬進行數據竊取，建立屬于自己的數據泄露網站，最快可從受感染的主機 20 分鐘下載近 100GB數據。LockBit3.0 中提高了對抗安全軟件的能力。后期又采用“雙重勒索”的策略來敲詐受害者。2 2.2.2 攻擊方式攻擊方式 LockBit 通常使用 RDP 弱口令爆破的方式進行入侵，通過釣魚郵件以及程序漏洞進行攻擊。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 43 2 2.3.3 攻擊事件攻擊事件 加拿大空軍關鍵供應商加拿大空軍關鍵供應商遭勒索攻擊，疑泄露遭勒索攻擊，疑泄露 44GB44GB 內部數

89、據內部數據 2022 年 5 月 11 日，加拿大、德國軍方的獨家戰機培訓供應商 Top Aces 透露，已遭到 LockBit勒索軟件攻擊；LockBit 團伙的官方網站已經放出要求，如不支付贖金將公布竊取的 44GB 內部數據。安全專家稱，針對國防相關企業的攻擊令人擔憂，即使當前攻擊背后只是一群以營利為目的的黑客，他們仍有可能將數據以出售或其他形式提供給對手國家政府。圖：LockBit 發布的受害者信息 富士康墨西哥工廠遭勒索軟件攻擊富士康墨西哥工廠遭勒索軟件攻擊 2022 年 6 月 3 日，富士康公司確認其位于墨西哥的一家生產工廠在 5 月下旬受到勒索軟件攻擊 北京瑞星網安技術股份有限

90、公司北京瑞星網安技術股份有限公司 44 的影響，勒索軟件組織 LockBit 聲稱對此負責。根據富士康的通告，勒索軟件組織 LockBit 在 5 月31 日發起了攻擊，威脅要泄露從富士康竊取的數據，除非富士康在 6 月 11 日之前支付贖金。LockBit的贖金要求未知，也沒有透露任何失竊數據的信息，由于富士康為許多品牌代工各種消費電子產品，LockBit2.0 很可能已經竊取了技術原理圖和圖紙等機密知識產權信息。圖：LockBit 網站顯示數據泄露倒計時 數字安全巨頭數字安全巨頭 EntrustEntrust 被勒索軟件團伙攻陷被勒索軟件團伙攻陷 2022 年 7 月 21 日，據 Ble

91、epingComputer 最新報道，數字安全巨頭 Entrust 已經證實遭受了網絡攻擊，威脅者破壞了他們的網絡并從內部系統竊取了數據。根據被盜的數據，這種攻擊可能會影響大量使用 Entrust 進行身份管理和身份驗證的關鍵和敏感組織。而后，LockBit 組織宣布對本次攻擊負責。因雙方談判破裂，LockBit 計劃泄露從 Entrust 竊取到的 30 張截圖，包括法律文件、會計和營銷數據。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 45 圖：Entrust 公司 CEO 發給客戶的安全事件通告 意大利稅務局疑遭勒索軟件攻擊，意大利稅務局疑遭勒索軟件攻擊，78GB78GB 數

92、據失竊數據失竊 2022 年 7 月 25 日，意大利晚郵報報道，勒索軟件團伙 Lockbit 聲稱已經入侵了意大利稅務局（Agenzia delle Entrate），從中竊取了約 78GB 數據，其中包括公司文件、掃描件、財務報告和合同，并發布了文件和樣本截圖，并威脅意大利稅務局在 5 天內支付贖金，否則他們就將公布盜取的全部數據。圖：LockBit 發布在網站上的通告 洲際酒店集團遭網絡攻擊預訂系統癱瘓洲際酒店集團遭網絡攻擊預訂系統癱瘓 2022 年 9 月 7 日，酒店業巨頭洲際酒店集團（IHG）發布公告稱其信息技術系統自本周初遭到破壞后已中斷。雖然洲際酒店集團沒有透露有關攻擊的任何細

93、節，但在報告中提到了正在努力恢復受影響的系統。這表明洲際酒店集團遭受的可能是勒索軟件攻擊，而且攻擊者已經在其網絡上成功部署了勒索軟件有效負載和加密系統。8 月份，Lockbit 勒索軟件組織曾聲稱對洲際酒店集團旗下酒店之一伊斯坦布爾卡德柯伊假日酒店發起了攻擊，并竊取了數據。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 46 圖：LockBit 發布的通告 勒索軟件團伙公布法國軍工巨頭泰雷茲內部敏感數據勒索軟件團伙公布法國軍工巨頭泰雷茲內部敏感數據 2022 年 11 月初，法國航空航天、國防與安全巨頭泰雷茲集團發布聲明稱，勒索軟件團伙 LockBit公布了與該公司有關的數 GB 數

94、據，但集團自身并未發現 IT 系統遭受入侵的證據。網絡犯罪組織LockBit 于 10 月 31 日發布了一個 9.5GB 大小的歸檔文件，其中明確包含來自泰雷茲集團的信息。黑客此前曾宣布，除非泰雷茲方面支付贖金，否則他們將公開文件內容。泄露的文件似乎包含技術和集團業務文件。黑客方面稱已掌握涉及公司運營的高度敏感信息，以及商業文件、會計文件、客戶文件、客戶結構圖和軟件。圖：LockBit 組織發布的泰雷茲集團信息 德國汽車巨頭大陸集團遭德國汽車巨頭大陸集團遭 LockBitLockBit 勒索軟件組織攻擊勒索軟件組織攻擊 2022 年 11 月 3 日，勒索軟件組織 LockBit 宣布對德國

95、跨國汽車集團大陸集團（Continental）發動了網絡攻擊。LockBit 聲稱，他們竊取了大陸集團系統中的一些數據，如果不能在 11 月 4 日 15:45:36（北京時間 23:45:36）之前收到贖金，他們將在數據泄露網站上公開這些數據，LockBit 尚未透露贖金的具體金額，以及竊取數據的具體時間及其他任何細節。圖：LockBit 發布在網站上的通告 勒索軟件組織控制加拿大城鎮勒索軟件組織控制加拿大城鎮 WestmountWestmount 以索取贖金以索取贖金 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 47 2022 年 11 月 21 日，加拿大魁北克小城 Wes

96、tmount 發布消息稱，由于不明原因的計算機中斷，該市的電子郵件服務無法使用。后證實此次中斷還影響了其他市政服務，并且源于有針對性的網絡攻擊。LockBit 組織聲稱對此次攻擊負責，并表示已成功下載 14TB 的敏感數據，該組織表示如果在接下來的兩周內未支付贖金，他們將公布被盜數據。圖：LockBit 組織發布的通告 3.3.HiveHive 3.13.1 介紹介紹 Hive 最早活躍于 2021 年 6 月，其攻擊主要針對于政府機構、通信、關鍵制造、信息技術以及醫療和公共健康。Hive 采用“雙重勒索”的方式實施敲詐。最新的變種已有針對于 Linux VMware ESXi加密的能力。3.

97、23.2 攻擊方式攻擊方式 Hive 通常使用 RDP 弱口令爆破的方式進行入侵，并通過釣魚郵件以及利用程序漏洞傳播。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 48 3.33.3 攻擊事件攻擊事件 某汽車供應商系統在兩周內被某汽車供應商系統在兩周內被 HiveHive 等三個勒索團伙攻擊等三個勒索團伙攻擊 2022 年 8 月 10 日，Sophos 透露某汽車供應商的系統在兩周內被三個勒索團伙 LockBit、Hive 和BlackCat攻擊。LockBit和Hive勒索軟件的有效載荷在兩小時內利用合法的PsExec和PDQ Deploy 工具在整個網絡中分發，在每次攻擊中加

98、密了十多個系統，與 LockBit 關聯的攻擊組織還竊取了數據并將其外流到 Mega 云存儲服務。兩周后，BlackCat 攻擊者也連接到了被 LockBit 和 Hive 入侵的同一管理服務器。在安裝了合法的 Atera Agent 遠程訪問解決方案后，攻擊者獲得了網絡上的持久性，加密了六臺機器，并刪除了 Sophos 用來追溯這三個勒索軟件團伙在受害者網絡中活動的證據。圖：被加密了 5 次的文件 印度塔塔電力公司遭網絡攻擊，部分印度塔塔電力公司遭網絡攻擊，部分 ITIT 系統受影響系統受影響 2022 年 10 月 14 日，印度頭部電力企業塔塔電力證實其遭遇了網絡攻擊，對部分 IT 系統

99、造成了影響。10 月 25 日，Hive 勒索組織宣稱對此次網絡攻擊負責，其成員聲稱從塔塔電力竊取了數據并對外公布數據截圖，截圖信息顯示，被盜數據包括塔塔電力員工個人身份信息（PII）、國民身份 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 49 證（Aadhar）卡號、PAN（稅務賬戶）號、工資信息、工程圖紙、財務、銀行記錄和客戶信息等。圖：Hive 勒索組織泄露的塔塔電力信息 HiveHive 勒索組織公開受害者數據，法國體育零售商勒索組織公開受害者數據，法國體育零售商 IntersportIntersport 遭攻擊遭攻擊 2022 年 12 月 5 日，Hive 勒索組織對

100、外公布了在 11 月份對法國體育零售商 Intersport 的攻擊中獲得的客戶數據。據法國世界報報道，黑客攻擊數據包括法國北部商店的 Intersport 員工的護照信息、工資單、其他商店的離職和在職員工名單以及社會保險號碼。La Voix Du Nord 報道說，黑客攻擊發生在“黑色星期五”銷售期間，使員工無法進入收銀系統，迫使商店進行人工操作。圖：Hive 勒索組織發布的通告 美國路易斯安那美國路易斯安那州醫院遭勒索攻擊，州醫院遭勒索攻擊，2727 萬名患者信息泄露萬名患者信息泄露 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 50 2022 年 12 月 28 日，美國路易

101、斯安那州的查爾斯湖紀念醫院(LCMHS)發出通告稱，該院近期發生了一起網絡勒索攻擊事件，近 27 萬名患者信息遭到泄露。LCMHS 網站公告稱，數據泄露發生在 2022年 10 月 21 日，當時安全團隊檢測到了計算機網絡上存在異?；顒?。在 10 月 25 日結束的一項內部調查顯示，攻擊者獲得了對 LCMHS 網絡的未授權訪問權限，并竊取了敏感文件。這些文件包含患者信息，如患者姓名、出生日期、住址、病例、患者識別號、醫保信息、支付信息等。Hive 勒索軟件組織于 2022 年 11 月 15 日在其數據泄露網站上列出了 LCMHS，聲稱加密發生在 2022 年 10 月 25 日，即 LCMH

102、S 報告首次檢測到網絡入侵的四天后。圖：Hive 勒索軟件組織發布的通告 4.4.RansomHouseRansomHouse 4 4.1.1 介紹介紹 RansomHouse 最早活躍于 2021 年，該組織采用“雙重勒索”的敲詐模式，主要針對攻擊目標有醫療機構、制造業以及 IT 大型企業。同時開發有針對于 WMware ESXi 虛擬機的勒索軟件的 Linux 版本加密軟件。4 4.2.2 攻擊方式攻擊方式 RansomHouse 通常使用 RDP 弱口令爆破件以及通過釣魚郵件、程序漏洞的方式進行入侵。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 51 4 4.3.3 攻擊事件

103、攻擊事件 非洲最大連鎖超市遭勒索團伙敲詐：非洲最大連鎖超市遭勒索團伙敲詐：600GB600GB 數據失竊數據失竊 2022 年 6 月 10 日，非洲最大的連鎖超市零售商 Shoprite 公司透露遭遇了一起安全事件，并向斯威士蘭、納米比亞及贊比亞的客戶發出警告，表示他們的個人信息可能因此受到損害。該公司在聲明中表示，此次泄露的數據包括個人姓名和身份證號碼，但不涉及財務信息或銀行賬號。6 月 14 日，勒索軟件團伙 RansomHouse 聲稱對此次攻擊負責，并發布了一份據稱從 Shoprite 竊取到的 600GB 數據的樣本。圖：RansomHouse 勒索網站已將 Shoprite 列為

104、受害者 RansomHouseRansomHouse 宣布盜取芯片制造巨頭宣布盜取芯片制造巨頭 AMD 450GBAMD 450GB 數據數據 2022 年 6 月底，RansomHouse 黑客組織聲稱，輕松登進了半導體巨頭 AMD 的系統，并竊取了450GB 的數據，其中包括：網絡文件、系統信息以及 AMD 密碼。該勒索團伙已將 AMD 添加到了其數據泄露網站上，并表示 AMD 只使用了“簡單的密碼”來保護其網絡。該團伙不加密數據，而是專注于數據盜竊以加快其活動，這意味著沒有感染 AMD 系統，而一旦獲得對其網絡的訪問權，就會竊取內部數據。圖：RansomHouse 團伙公開 AMD 泄露

105、數據 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 52 5.5.BlackCBlackCatat 5 5.1.1 介紹介紹 BlackCat 于 2021 年 11 月首次被發現，該勒索病毒曾在俄語黑客論壇進行過公開推廣。使用RaaS 商業模式進行分發，同時使用“雙重勒索”的敲詐手法，該勒索軟件通過命令行調用，可靈活配置絕大部分參數。最新的變種已有針對于 Linux VMware ESXi 加密的能力。5 5.2.2 攻擊方式攻擊方式 BlackCat 通常使用 RDP 弱口令爆破的方式以及程序漏洞進行入侵。5 5.3.3 攻擊事件攻擊事件 國際航空重要供應商遭勒索軟件攻擊，航空

106、業已成為勒索主要目標國際航空重要供應商遭勒索軟件攻擊，航空業已成為勒索主要目標 2022 年 8 月 23 日，作為服務全球多家大型航空公司的技術提供商 Accelya 表示，近期剛剛遭遇勒索軟件攻擊，部分系統已經受到影響，內部數據已被發布至專門的勒索泄密網站。Accelya 的客戶包括達美航空、英國航空、捷藍航空、聯合航空、維珍大西洋航空、美國航空等多家知名航空企業。8 月 18 日，AlphV/BlackCat 勒索軟件團伙公布了據稱竊取自 Accelya 的數據，包含電子郵件、員工合同等內容。哥倫比亞能源供應商哥倫比亞能源供應商 EPMEPM 遭受遭受 BlackCatBlackCat

107、勒索軟件攻擊勒索軟件攻擊 2022 年 12 月 12 日，哥倫比亞能源公司 Empresas Pblicas de Medelln(EPM)遭受了BlackCat/ALPHV 勒索軟件攻擊，擾亂了公司的運營并中斷了在線服務。BleepingComputer 看到了來自 EPM 攻擊的加密器樣本和贖金記錄，確認它們來自 BlackCat 勒索軟件操作。智利安全研究員 Germn Fernndez 發現了 BlackCat 的“ExMatter”數據竊取工具的最新樣本，該樣本是從哥倫比亞上傳到惡意軟件分析站點的。當該工具運行時，它會從網絡上的設備竊取數據，并將其存儲在攻擊者控制的服務器上的文件夾

108、中，該文件夾以被盜的 Windows 計算機名稱命名。在來自哥倫比亞的 ExMatter變體中，數據被上傳到以“EPM-”開頭的各種文件夾中。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 53 圖：BlackCat 勒索軟件的贖金記錄 6.6.MauiMaui 6 6.1.1 介紹介紹 Maui 勒索軟件最早發現于 2021 年 4 月，重點針對美國的醫療保健組織。主要加密醫療行業的服務器，其中包含大量電子健康記錄，醫療成像和所有內部網絡資源。該勒索目前疑似與朝鮮 APT 組織 Andariel 有所關聯。6 6.2.2 攻擊方式攻擊方式 Maui 通過釣魚郵件、漏洞利用和遠程桌面

109、協議（RDP）暴力破解等方式傳播，并利用漏洞及黑客工具實現內網橫向移動。6 6.3.3 攻擊事件攻擊事件 美聲稱朝鮮黑客正利用美聲稱朝鮮黑客正利用 MauiMaui 勒索軟件攻擊醫療保健機構勒索軟件攻擊醫療保健機構 2022 年 7 月 6 日，美聯邦調查局（FBI）、網絡與基礎設施安全局（CISA）和財政部（DoT）警告稱，有朝方背景的黑客組織，正在利用勒索軟件向美國各地的醫療保健機構和公共衛生部門發起攻擊。在發布的聯合公告中，美政府機構指出，其發現相關黑客活動至少可追溯至 2021 年 5 月開始部署的 Maui 勒索軟件。據悉，受害醫療保健機構的服務器資料會被加密，并波及電子健康記錄、醫

110、學成像和整個內網。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 54 圖：網絡與基礎設施安全局（CISA）公告 7.7.Black BastaBlack Basta 7 7.1.1 介紹介紹 Balck Basta 發現自 2022 年 4 月，該組織曾在黑客地下論壇尋求美國、英國、加拉達、澳大利亞和新西蘭的企業網絡訪問憑證相關交易，除此之外該組織可能與 Qakbot 木馬存在一定關聯性。而在 2022 年 6 月相繼發現針對于 WMware ESXi 虛擬機的勒索軟件的 Linux 版本。7 7.2.2 攻擊方式攻擊方式 Balck Basta 主要通過釣魚郵件、漏洞利用和遠程桌

111、面協議（RDP）暴力破解等方式傳播，并利用漏洞及黑客工具實現內網橫向移動。7 7.3.3 攻擊事件攻擊事件 跨國巨頭遭勒索軟件攻擊：所有工廠正常運轉，所有業務離線進行跨國巨頭遭勒索軟件攻擊：所有工廠正常運轉，所有業務離線進行 2022 年 7 月 21 日，德國建材巨頭可耐福集團（Knauf Group）宣布已成網絡攻擊目標。其業務運營被攻擊擾亂，迫使全球 IT 團隊關閉了所有 IT 系統以隔離事件影響。名為 Black Basta 的勒索 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 55 軟件團伙在其網站上發布公告，于 7 月 16 日將可耐福列為受害者。該勒索軟件團伙還公布了

112、一批數據，據稱是攻擊期間從可耐福處竊取到的全部文件中的 20%。目前已經有超過 350 名訪問者訪問了這些文件。圖：Black Basta 勒索網站將可耐福列為攻擊受害者 8.8.ContiConti 8 8.1.1 介紹介紹 Conti 最早發現于 2019 年，通過 Tor 建立網站，發布受害者信息以及竊取的數據文件。攻擊所涉行業有制造、服務、建筑、金融、能源、醫療和政府組織機構。主要攻擊集中在美國、意大利、德國、澳大利亞和法國。最初通過在黑客地下論壇以 RaaS 形式運營。8 8.2.2 攻擊方式攻擊方式 Conti 主要通過釣魚郵件、漏洞利用和遠程桌面協議（RDP）暴力破解等方式傳播，

113、并利用漏洞及黑客工具實現內網橫向移動。8 8.3.3 攻擊事件攻擊事件 蘋果和特斯拉供應商臺達電子遭勒索攻擊蘋果和特斯拉供應商臺達電子遭勒索攻擊 2022 年 1 月 21 日,蘋果、特斯拉供應商臺達電子（Delta Electronics）發布聲明稱受到一起勒索軟件攻擊，此次攻擊與 Conti 勒索軟件團伙有關，盡管臺達電子方面宣稱攻擊并未影響其核心生產系統，然而有記者已獲得一份內部事件報告副本，報告數據顯示臺達電子 1500 臺服務器和 12000 臺計算機已被攻擊者加密，受影響設備占比約 20.8%，攻擊者要求支付贖金 1500 萬美元（約 9540 萬元人民幣）北京瑞星網安技術股份有限

114、公司北京瑞星網安技術股份有限公司 56 9.9.QuantumQuantum 9 9.1.1 介紹介紹 Quantum Locker 于 2021 年 7 月首次被發現。Quantum 勒索軟件是 MountLocker 勒索軟件的又一次更名，后者于2020年9月推出。從那時起，勒索團伙已將其行動進行多次重命名，包括AstroLocker、XingLocker，以及現在階段的 Quantum Locker。采用“雙重勒索”的敲詐模式，其擁有自己的數據泄露 TOR 網站 Quantum Blog。9 9.2.2 攻擊方式攻擊方式 Quantum 通常使用 RDP 弱口令爆破的方式以及程序漏洞進行

115、入侵。9 9.3.3 攻擊事件攻擊事件 北美國家政務機構遭勒索軟件攻擊，內部數據全部泄露北美國家政務機構遭勒索軟件攻擊，內部數據全部泄露 2022 年 8 月 18 日，北美洲的多米尼加共和國農業部下屬機構 Instituto Agrario Dominicano（IAD）受到 Quantum 勒索軟件攻擊，導致該機構內多個服務及工作站被加密鎖定。調查發現，本次攻擊的幕后黑手是 Quantum 勒索團伙，他們最初開出 65 萬美元贖金。黑客聲稱已經竊取到超過 1TB數據，并威脅稱如果 IAD 不支付贖金，他們就把數據發布出去。圖：Quantum 勒索組織發布的通告 北京瑞星網安技術股份有限公司

116、北京瑞星網安技術股份有限公司 57 10.10.PLAYPLAY 1 10.10.1 介紹介紹 PLAY 勒索軟件（又名 PlayCrypt），至少從 2022 年 7 月中旬以來一直處于活動狀態。該組織在世界各地積累了源源不斷的受害者。Play因攻擊阿根廷科爾多瓦司法機構和德國連鎖酒店“H-Hotels”而聞名。攻擊主要針對拉丁美洲地區，巴西是他們的主要目標。此外還被觀察到對印度、匈牙利、西班牙和荷蘭發動攻擊。1 10.20.2 攻擊方式攻擊方式 PLAY 通常使用 RDP 弱口令爆破的方式進行入侵，通過釣魚郵件以及利用程序漏洞傳播。1 10.30.3 攻擊事件攻擊事件 阿根廷司法機關遭史詩

117、級勒索攻擊阿根廷司法機關遭史詩級勒索攻擊 2022 年 8 月 13 日，阿根廷科爾多瓦法院的技術基礎設施遭受了“Play”勒索軟件攻擊，攻擊導致該司法機構關閉 IT 系統及其在線門戶，停電還迫使該法院使用筆和紙來提交官方文件。消息人士稱，這次攻擊影響了司法機構的 IT 系統及其數據庫，使其成為“歷史上對公共機構最嚴重的攻擊”。圖：阿根廷科爾多瓦法院網站被關閉 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 58 五五、2 2023023 年網絡安全年網絡安全趨勢趨勢預測預測 （一）（一）APTAPT 組織攻擊活動頻繁組織攻擊活動頻繁 隨著全球網絡安全企業對 APT 攻擊組織和 AP

118、T 攻擊活動的持續關注，越來越多的國家級網絡攻擊被披露，從側面反映出國家級 APT 攻擊的活動頻繁，通過捍衛網絡安全來保護國家安全任重而道遠。如何更早地、準確地在 APT 攻擊的各個階段中發現攻擊者的痕跡，是未來網絡安全行業重點要解決的問題。（二）企業成為勒索軟件的最大受害者，勒索軟件或全面附加數（二）企業成為勒索軟件的最大受害者，勒索軟件或全面附加數據盜取能力據盜取能力 2022 年，勒索軟件的整體活躍度較去年有所下降，但仍有眾多的國家政府及企業受到了勒索軟件攻擊，著名的勒索軟件 BlackCat 和 LockBit 甚至在暗網羅列了受害者名單以昭告天下，這都表明勒索軟件的攻擊目標已經由個人

119、全面變成企業。這些企業一旦遭遇勒索軟件攻擊，輕則導致業務系統癱瘓、經濟損失，重則帶來社會性服務的停止，影響城市甚至國家正常運行。而企業迫于壓力，只能盡快支付贖金尋求業務恢復，這對于攻擊者來說，勒索的成功率和收益率都會明顯提升。另外，從國內某企業遭遇勒索軟件攻擊的事件中可以看出，勒索軟件為了保障自己的利益，已經將數據竊取作為輔助手段，一旦勒索不成功，便通過售賣數據獲利。因此，以攻擊企業為主、同時具備數據加密和數據盜取的勒索軟件，已成為未來勒索攻擊的主流。勒索軟件針對組織的攻擊，一般都伴隨著前期的網絡滲透，由于組織的攻擊面遠大于個人，做好網絡安全防護工作難度也遠高于個人，必須通過持續的網絡安全投入

120、，建立網絡安全綜合治理體系，做好事前預防、事中阻斷、事后調查三項工作，才能不斷提高整體安全性。（三）（三）電子郵件依然是網絡攻擊的重要窗口電子郵件依然是網絡攻擊的重要窗口 電子郵件作為最為便捷、覆蓋度和精準度都能兼顧的遠程網絡攻擊手段，每年攻擊案例持續保持在高位，2022 年也不例外。根據截獲的惡意電子郵件統計顯示，基于電子郵件的攻擊目前主要集中于以下幾個階段：環境偵察(TA0043)：通過電子郵件以確定目標的活躍郵箱。資源開發(TA0042)：通過釣魚郵件誘騙攻擊目標泄露郵箱賬戶。初始訪問(TA0001)：通過魚叉攻擊向目標投遞惡意軟件，試圖由此獲取控制權。目前，大部分的互聯網電子郵件供應商

121、，都具備了此類惡意郵件的偵測能力，使用這些郵箱服務的企業或個人受到的威脅會有所緩解。但對于使用私有化企業郵箱服務的企業來說，提高電子郵 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 59 件基礎設施的網絡安全威脅偵測能力，及時發現和阻斷惡意的、異常的電子郵件活動等方面，仍有待提升和加強改進，與時俱進地做好電子郵件安全。（四）高可利用性的“老”漏洞備受攻擊者青睞（四）高可利用性的“老”漏洞備受攻擊者青睞 根據 2022 年 CVE 漏洞利用率顯示，利用簡單、攻擊成功率高的漏洞最為攻擊者所青睞，攻擊者選擇的目標漏洞通常與漏洞的新老程度無關。這種現象的發生常與受害者沒有及時更新帶有漏洞的

122、軟件有關，大量未更新的老舊軟件會成為攻擊者的首選利用目標。政府或企業應全面部署軟件資產清點類的安全基礎設施，掌握內部各類軟件的使用和版本情況，及時更新或替換攜帶高危漏洞的老舊軟件，一定程度上減小攻擊面，從而減小網絡安全風險。（五）對抗技術演變持續發展，傳統技術備受挑戰（五）對抗技術演變持續發展，傳統技術備受挑戰 面對越來越多樣性的攻擊形式，傳統檢測手段疲態盡顯，目前大多數主流的安全公司已經分領域研究和應用人工智能技術，在未來五年內，人工智能技術將取代傳統的特征、規則技術，成為主流的網絡安全事件檢測和風險評估技術，而攻擊者也將從傳統的對抗技術，轉向同人工智能技術的對抗。北京瑞星網安技術股份有限公

123、司北京瑞星網安技術股份有限公司 60 （六）（六）開源軟件生態投毒現象嚴重開源軟件生態投毒現象嚴重 在 2022 年，全球最大的開源社區 Github 和 Python 官方軟件包倉庫都出現被“投毒”事件，而類似案例在這幾年頻繁出現，導致大量的開源軟件中包含了“惡意”源代碼，開源軟件生態的可靠性、安全性引起了廣泛的關注。目前主要的開源軟件生態“投毒”現象包括：開源軟件在某次更新后包含惡意代碼，通過開源社區和軟件倉庫向開發者分發。開源社區和軟件倉庫被攻擊，導致大量可靠的開源軟件項目被植入惡意代碼或被替換。寬松管理的軟件倉庫被包含惡意代碼的軟件包侵占，導致開發者接收到錯誤的軟件包。由于開源軟件及其

124、生態已成為現階段軟件開發過程中最重要的基礎組件和設施，融入到了各個行業的軟件開發過程中，因此軟件開發者在自身軟件中引入開源項目時務必謹慎，要確保開源軟件的來源可靠，并保持持續性監測。相關行業也應積極推動開源生態監測系統、軟件成分分析(SCA)、軟件物料清單(SBOM)等安全手段和安全措施的應用，以幫助企業和開發者更好地規避、更快地解決開源軟件帶來的軟件安全風險。附：附：20222022 年年國內重大網絡安全政策法規國內重大網絡安全政策法規 1.1.工業互工業互聯網創新發展行動計劃聯網創新發展行動計劃(2021(2021-20232023 年年)2022 年 1 月 13 日，工業和信息化部印發

125、工業互聯網創新發展行動計劃(2021-2023 年)，計劃指出，我國工業互聯網發展成效顯著，2018-2020 年起步期的行動計劃全部完成，部分重點任務和工程超預期，網絡基礎、平臺中樞、數據要素、安全保障作用進一步顯現。2021-2023 年是我國工業互聯網的快速成長期。同時，計劃提出工業互聯網創新發展目標，其中包括新型基礎設施進一步完善、融合應用成效進一步彰顯、技術創新能力進一步提升、產業發展生態進一步健全和安全保障能力進一步增強。相關鏈接：https:/ 2.2.四部門發布互聯網信息服務算法推薦管理規定四部門發布互聯網信息服務算法推薦管理規定 2022 年 1 月 4 日，國家互聯網信息辦

126、公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布互聯網信息服務算法推薦管理規定，自 2022 年 3 月 1 日起施行。規定明確了算法推薦服務提供者的信息服務規范，要求算法推薦服務提供者應當堅持主流價值導向，積極傳播正能量，不得利用算法推薦服務從事違法活動或者傳播違法信息，應當采取措施防范和抵制傳播不良信息；規范開展互聯網新聞信息服務，不得生成合成虛假新聞信息或者傳播非國家規定范圍內的單位發布 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 61 的新聞信息；不得利用算法實施影響網絡輿論、規避監督管理以及壟斷和不正當競爭行為。相關鏈接：https:/ 3.3.移動互聯網應用

127、程序信息服務管理規定公開征求意見移動互聯網應用程序信息服務管理規定公開征求意見 2022 年 1 月 5 日，國家互聯網信息辦公室對 2016 年 8 月 1 日正式施行的移動互聯網應用程序信息服務管理規定進行了修訂，并向社會公開征求意見。征求意見稿規定，應用程序提供者應當規范經營管理行為，不得通過虛假宣傳、捆綁下載等行為，或者利用違法和不良信息誘導用戶下載，不得通過機器或人工方式刷榜、刷量、控評，營造虛假流量；并提出，應用程序提供者應當堅持最有利于未成年人的原則，關注未成年人健康成長，履行未成年人網絡保護各項義務，嚴格落實未成年用戶賬號實名注冊和登錄要求，不得以任何形式向未成年用戶提供誘導其

128、沉迷的相關產品和服務。相關鏈接：http:/ 4.4.關于關于 IPv6IPv6 技術創新和融合應用試點名單的公示技術創新和融合應用試點名單的公示 2022 年 1 月 18 日，中央網信辦、國家發展改革委、工業和信息化部、教育部、科技部、公安部、財政部、住房和城鄉建設部、水利部、中國人民銀行、國務院國資委、廣電總局等部門共同組織開展 IPv6 技術創新和融合應用試點工作。經各省、自治區、直轄市和新疆生產建設兵團以及相關部門組織推薦、專家評審及復核，十二個部門確定了擬作為 IPv6 技術創新和融合應用綜合試點城市和試點項目名單。鼓勵此次未入選的申報城市和項目，繼續探索創新，加快推動 IPv6

129、規模部署和應用。相關鏈接：http:/ 5.5.互聯網信息服務深度合成管理規互聯網信息服務深度合成管理規定公開征求意見定公開征求意見 2022 年 1 月 28 日，國家互聯網信息辦公室發布關于互聯網信息服務深度合成管理規定（征求意見稿）公開征求意見的通知。意見提出，深度合成服務提供者應當加強深度合成信息內容管理，采取技術或者人工方式對深度合成服務使用者的輸入數據和合成結果進行審核；建立健全用于識別違法和不良深度合成信息內容的特征庫，完善入庫標準、規則和程序；對違法和不良信息依法采取相應處置措施，并對相關深度合成服務使用者依法依約采取警示、限制功能、暫停服務、關閉賬號等處置措施。相關鏈接：ht

130、tp:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 62 6.6.網絡安全審查辦法施行網絡安全審查辦法施行 2022 年 2 月 15 日，國家互聯網信息辦公室等十三部門聯合修訂發布的網絡安全審查辦法（以下簡稱辦法）正式施行。辦法將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查，并明確要求掌握超過 100 萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。根據審查實際需要，增加證監會作為網絡安全審查工作機制成員單位，同時完善了國家安全風險評估因素等內容。相關鏈接：http:/ 7.7.關于進一步規范移動智能終端應用軟件預置行為的通告公關

131、于進一步規范移動智能終端應用軟件預置行為的通告公開征求意見開征求意見 2022 年 2 月 16 日，工業和信息化部信息通信管理局會同國家互聯網信息辦公室網絡安全協調局起草了關于進一步規范移動智能終端應用軟件預置行為的通告（征求意見稿）。征求意見稿提出，移動智能終端預置應用軟件應遵循依法合規、用戶至上、安全便捷、最小必要的原則，按誰預置、誰負責的要求落實企業主體責任，依法維護用戶知情權、選擇權，保障用戶合法權益。生產企業應確保除基本功能軟件外的預置應用軟件均可卸載，并提供安全便捷的卸載方式供用戶選擇。相關鏈接：https:/ 8.8.互聯網彈窗信息推送服務管理規定（征求意見稿）互聯網彈窗信息推

132、送服務管理規定（征求意見稿）公開征求公開征求意見意見 2022 年 3 月 2 日，國家互聯網信息辦公室發布關于互聯網彈窗信息推送服務管理規定（征求意見稿）公開征求意見的通知。規定共計十條，并明確指出，在我國境內提供操作系統、終端設備、應用軟件、網站等服務的，開展互聯網彈窗信息推送服務時應當遵守本規定。根據規定，互聯網彈窗信息推送服務，是指通過操作系統、終端設備、應用軟件、網站等，以彈出消息窗口頁面形式向互聯網用戶提供的信息推送服務?；ヂ摼W彈窗信息推送服務提供者，是指提供互聯網彈窗信息推送服務的操作系統、終端設備、應用軟件、網站等所有者或者運營者。相關鏈接：http:/ 北京瑞星網安技術股份有

133、限公司北京瑞星網安技術股份有限公司 63 9.9.全國信安標委公布全國信安標委公布20222022 年網絡安全國家標準需求清單年網絡安全國家標準需求清單 2022 年 3 月 6 日，全國信息安全標準化技術委員會發布關于發布 2022 年度網絡安全國家標準需求的通知。通知顯示，為加強網絡安全國家標準在國家網絡安全保障工作中的基礎性、規范性、引領性作用，全國信息安全標準化技術委員會秘書處堅持問題導向，調研國家網絡安全重點工作和技術產業發展需求，研究形成了 2022 年網絡安全國家標準需求清單。清單共包含 34 項標準，其中制定標準 20 項，修訂標準 14 項。相關鏈接：https:/ 10.1

134、0.車聯網網絡安全和數據安全標準體系建設指南發布車聯網網絡安全和數據安全標準體系建設指南發布 2022 年 3 月 7 日，工信部發布車聯網網絡安全和數據安全標準體系建設指南（以下簡稱指南），提出到 2023 年底，初步構建起車聯網網絡安全和數據安全標準體系；到 2025 年，形成較為完善的車聯網網絡安全和數據安全標準體系。根據指南，車聯網網絡安全和數據安全標準體系包括總體與基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等 6 個部分共 20 類標準。相關鏈接：https:/ 11.11.未成年人網絡保護條例（征求意見稿）公開征求意見未成年人網絡保護條例（征

135、求意見稿）公開征求意見 2022 年 3 月 14 日，國家互聯網信息辦公室就未成年人網絡保護條例（征求意見稿）（以下簡稱條例）再次公開征求意見。條例共七章六十七條，指出家庭、學校和其他教育機構應當教育引導未成年人參加有益身心健康的活動，科學、文明、安全、合理使用網絡，預防和干預未成年人沉迷網絡。網絡產品和服務提供者、個人信息處理者、智能終端產品制造者和銷售者應當遵守法律法規規章，尊重社會公德，遵守商業道德，誠實信用，履行未成年人網絡保護義務，承擔社會責任。相關鏈接：http:/ 12.12.網絡安全標準實踐指南網絡安全標準實踐指南Windows 7Windows 7 操作系統安全加固指操作系

136、統安全加固指引（征求意見稿）公開征求意見引（征求意見稿）公開征求意見 2022 年 4 月 11 日，全國信息安全標準化技術委員會秘書處發布關于對網絡安全標準實踐指南Windows 7 操作系統安全加固指引（征求意見稿）公開征求意見的通知。通知指出，為幫助用 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 64 戶降低 Windows 7 操作系統停服后仍須使用該操作系統應用場景下的網絡安全風險，秘書處組織編制了網絡安全標準實踐指南Windows 7 操作系統安全加固指引（征求意見稿）。根據全國信息安全標準化技術委員會管理辦法（暫行）要求，秘書處現組織對 網絡安全標準實踐指南Wind

137、ows 7 操作系統安全加固指引（征求意見稿）面向社會公開征求意見。相關鏈接：https:/ 13.13.工信部等五部門：進一步加強新能源汽車企業安全體系建設工信部等五部門：進一步加強新能源汽車企業安全體系建設 2022 年 4 月 8 日，工業和信息化部、公安部、交通運輸部、應急管理部、國家市場監督管理總局等五部門近日聯合印發 關于進一步加強新能源汽車企業安全體系建設的指導意見。指導意見要求新能源汽車企業加快構建系統、科學、規范的安全體系，全面增強企業在安全管理機制、產品質量、運行監測、售后服務、事故響應處置、網絡安全等方面的安全保障能力，提升新能源汽車安全水平，推動新能源汽車產業高質量發展

138、。相關鏈接：https:/ 14.14.工業互聯網專項工作組工業互聯網專項工作組 20222022 年工作計劃發布年工作計劃發布 2022 年 4 月 13 日，工業和信息化部印發工業互聯網專項工作組 2022 年工作計劃，從夯實基礎設施、深化融合應用、強化技術創新、培育產業生態、提升安全保障、完善要素保障等方面，提出了網絡體系強基、標識解析增強、平臺體系壯大、數據匯聚賦能、新型模式培育、融通賦能“牽手”等 15 大類任務 83 項具體舉措。相關鏈接：https:/ 15.15.工信部：開展汽車軟件在線升級備案工信部：開展汽車軟件在線升級備案 2022 年 4 月 15 日，工業和信息化部裝備

139、工業發展中心發布了關于開展汽車軟件在線升級備案的通知。通知明確，進一步規范汽車軟件在線升級（又稱 OTA 升級），對獲得道路機動車輛生產準入許可的汽車整車生產企業及其生產的具備 OTA 升級功能的汽車整車產品和實施的 OTA 升級活動，應進行備案。申請主體應是汽車整車生產企業。相關鏈接：http:/www.miit- 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 65 16.16.中央網信辦等三部門印發深入推進中央網信辦等三部門印發深入推進 IPv6IPv6 規模部署和應用規模部署和應用20222022 年工作安排年工作安排 2022 年 4 月 25 日，中央網信辦、國家發展改革

140、委、工業和信息化部聯合印發深入推進 IPv6規模部署和應用 2022 年工作安排。通知要求，堅持以習近平新時代中國特色社會主義思想特別是習近平總書記關于網絡強國的重要思想為指導，深入實施 關于加快推進互聯網協議第六版（IPv6）規模部署和應用工作的通知，突出創新賦能，激發主體活力，打通關鍵環節，夯實產業基礎，增強內生動力，完善安全保障，扎實推動 IPv6 規模部署和應用向縱深發展，加快實現網絡性能從趨同向優化轉變、從端到端能用向好用轉變、從表層改造向深度支持轉變，從用戶數量向使用質量轉變、從外部推動向內生驅動轉變，全面提升 IPv6 發展水平，以實際行動迎接黨的二十大勝利召開。相關鏈接：htt

141、p:/ 17.17.國家藥監局發布 藥品監管網絡安全與信息化建設“十四五”國家藥監局發布 藥品監管網絡安全與信息化建設“十四五”規劃規劃 2022 年 5 月 11 日，國家藥監局發布藥品監管網絡安全與信息化建設“十四五”規劃，規劃提出，展望“十四五”和 2035 年遠景目標，中國要實現從制藥大國向制藥強國的跨越式發展，這對于藥品審評審批效率和藥品安全風險管理能力提出了更高的要求，其中重點提及要“完善網絡安全防護與信息安全建設”。規劃提出升級“兩品一械”智慧監管能力、提升政務一體化服務能力、推進監管數據融合與驅動、筑牢藥品智慧監管數字底座、夯實網絡安全綜合保障能力 5 個重點任務，同時以任務專

142、欄形式提出了 16 個重點建設項目。相關鏈接：https:/ 18.18.國家市場監督管理總局國家市場監督管理總局 國家互聯網信息辦公室關于開展數國家互聯網信息辦公室關于開展數據安全管理認證工作的公告據安全管理認證工作的公告 2022 年 6 月 5 日，國家市場監督管理總局、國家互聯網信息辦公室發布關于開展數據安全管理認證工作的公告，決定開展數據安全管理認證工作，鼓勵網絡運營者通過認證方式規范網絡數據處理活動，加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立，并按照 數據安全管理認證實施規則 實施認證。規則 對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開

143、等處理活動進行認證的基本原則和要求。數據安全管理認證的認證模式為:技術驗證+現場審核+獲證后監督。相關鏈接：http:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 66 19.19.信安標委發布信安標委發布APPAPP 個人信息處理活動管理指南征求意見個人信息處理活動管理指南征求意見稿稿 2022 年 6 月 13 日，全國信息安全標準化技術委員會發布了信息安全技術 移動智能終端的移動互聯網應用程序(App)個人信息處理活動管理指南（征求意見稿）。征求意見稿按照移動互聯網應用程序在移動智能終端上的生命周期節點，提出移動智能終端的個人信息安全管理措施，增強 App 處理個人信息行

144、為明示程度，為 App 用戶提供更多個人信息保護控制機制，以加強移動終端操作系統上運行的移動互聯網應用程序的個人信息安全。相關鏈接：https:/ 20.20.國家能源局綜合司關于公開征求 電力行業網絡安全管理辦國家能源局綜合司關于公開征求 電力行業網絡安全管理辦法（修訂征求意見稿法（修訂征求意見稿）電力行業網絡安全等級保護管理辦法）電力行業網絡安全等級保護管理辦法（修訂征求意見稿）（修訂征求意見稿）2022 年 6 月 14 日，國家能源局對電力行業網絡與信息安全管理辦法、電力行業信息安全等級保護管理辦法進行修訂，形成了電力行業網絡安全管理辦法（修訂征求意見稿）電力行業網絡安全等級保護管理辦

145、法（修訂征求意見稿），現向社會公開征求意見。電力行業網絡安全管理辦法(修訂征求意見稿)提出，電力行業網絡安全工作的目標是建立健全網絡安全保障體系和工作責任體系，提高網絡安全防護能力，保障網絡安全，保障電力系統的安全穩定運行，促進信息化健康發展。電力企業應當按照國家有關規定開展電力監控系統安全防護評估、網絡安全等級保護測評、關鍵信息基礎設施安全檢測和風險評估、商用密碼應用安全性評估和網絡安全審查等工作，未達到要求的應當及時進行整改。相關鏈接：http:/ 21.21.習近平主持召開中央全面深化改革委員會第二十六次會議習近平主持召開中央全面深化改革委員會第二十六次會議 2022 年 6 月 22

146、日，中共中央總書記、國家主席、中央軍委主席、中央全面深化改革委員會主任習近平主持召開中央全面深化改革委員會第二十六次會議，審議通過了關于構建數據基礎制度更好發揮數據要素作用的意見、關于加強和改進行政區劃工作的意見、關于開展科技人才評價改革試點的工作方案、強化大型支付平臺企業監管促進支付和金融科技規范健康發展工作方案。習近平在主持會議時強調，數據基礎制度建設事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。相關鏈接：http:/ 北京瑞星網安技術股份有限公司北京瑞星網安

147、技術股份有限公司 67 22.22.國務院印發關于加強數字政府建設的指導意見國務院印發關于加強數字政府建設的指導意見 2022 年 6 月 23 日，國務院印發關于加強數字政府建設的指導意見。指導意見要求，要高舉中國特色社會主義偉大旗幟，堅持以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆歷次全會精神，深入貫徹習近平總書記關于網絡強國的重要思想，認真落實黨中央、國務院決策部署，立足新發展階段，完整、準確、全面貫徹新發展理念，構建新發展格局，將數字技術廣泛應用于政府管理服務，推進政府治理流程優化、模式創新和履職能力提升，構建數字化、智能化的政府運行新形態，充分發揮數字政府建設

148、對數字經濟、數字社會、數字生態的引領作用，促進經濟社會高質量發展，不斷增強人民群眾獲得感、幸福感、安全感，為推進國家治理體系和治理能力現代化提供有力支撐。相關鏈接：http:/ 23.23.信安標委信安標委發布 網絡安發布 網絡安全標準實踐指南全標準實踐指南個人信息跨境處理個人信息跨境處理活動安全認證規范活動安全認證規范 2022 年 6 月 24 日，全國信息安全標準化技術委員會發布網絡安全標準實踐指南個人信息跨境處理活動安全認證規范的通知。認證規范從基本原則、個人信息處理者和境外接收方在跨境處理活動中應遵循的要求、個人信息主體權益保障等方面提出了要求，為認證機構實施個人信息保護認證提供跨境

149、處理活動認證依據，也為個人信息處理者規范個人信息跨境處理活動提供參考。相關鏈接：https:/ 24.24.國家互聯網信息辦公室公布數據出境安全評估辦法國家互聯網信息辦公室公布數據出境安全評估辦法 2022 年 7 月 7 日，國家互聯網信息辦公室公布數據出境安全評估辦法，自 2022 年 9 月 1 日起施行。辦法規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供了具體指引。辦法明確，數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。相關鏈接：

150、http:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 68 25.25.市場監管總局公布 關于開展網絡安全服務認證工作的實施市場監管總局公布 關于開展網絡安全服務認證工作的實施意見意見(征求意見稿征求意見稿)2022 年 7 月 21 日，市場監管總局公布關于開展網絡安全服務認證工作的實施意見（征求意見稿）。實施意見提出，將確定并適時調整網絡安全服務認證目錄，組建網絡安全服務認證技術委員會，從事網絡安全服務認證活動的認證機構應當依法設立，具備從事網絡安全服務認證活動的專業能力，并經市場監管總局征求中央網信辦、公安部意見后批準取得資質等 9 項意見。相關鏈接：https:/ 2

151、6.26.國務院辦公廳關于同意建立數字經濟發展部際聯席會議制國務院辦公廳關于同意建立數字經濟發展部際聯席會議制度的函度的函 2022 年 7 月 25 日，國務院辦公廳發布關于同意建立數字經濟發展部際聯席會議制度的函，根據“十四五”數字經濟發展規劃部署，為加強統籌協調，不斷做強做優做大我國數字經濟，經國務院同意，建立數字經濟發展部際聯席會議（以下簡稱聯席會議）制度。數字經濟發展部際聯席會議由國家發展改革委、中央網信辦、教育部、科技部、工業和信息化部、公安部、民政部、財政部、人力資源社會保障部、住房城鄉建設部、交通運輸部、農業農村部、商務部、國家衛生健康委、人民銀行、國務院國資委、稅務總局、市場

152、監管總局、銀保監會、證監會等 20 個部門組成，國家發展改革委為牽頭單位。相關鏈接：http:/ 27.27.國家互聯網信息辦公室發布 數字中國發展報告（國家互聯網信息辦公室發布 數字中國發展報告（20212021 年）年）2022 年 8 月 2 日，國家互聯網信息辦公室發布數字中國發展報告（2021 年）（以下簡稱報告）。報告總結了黨的十九大以來數字中國建設取得的顯著成就和 2021 年的重要進展成效，評估了 2021 年各地區數字化發展水平，并對 2022 年數字中國建設進行了展望。報告顯示，我國夯實國家網絡安全和數據安全保障體系，制定實施網絡安全法、數據安全法等。網絡安全標準體系日益完

153、善，制定發布 300 余項國家標準，主導和參與發布 10 余項國際標準。相關鏈接：http:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 69 28.28.工信安全中心發布工信安全中心發布20222022 年上半年我國網絡安全產融合作年上半年我國網絡安全產融合作發展報告發展報告 2022 年 8 月 8 日，第二十三場“工信安全智庫”系列報告在線發布活動成功舉辦。信息政策所網絡安全研究室工程師李曉婷發布了洞察系列報告2022 年上半年我國網絡安全產融合作發展報告。報告闡述了 2022 年上半年我國網絡安全領域非上市投融資總體情況，分析當前產業發展優勢和存在的問題挑戰，預判未來發

154、展趨勢，并提出相關對策建議，旨在為產業界提供了解我國網絡安全創新發展的全新視角。相關鏈接：http:/www.cics- 29.29.網信辦發布互聯網信息服務算法備案信息清單網信辦發布互聯網信息服務算法備案信息清單 2022 年 8 月 12 日，國家互聯網信息辦公室發布互聯網信息服務算法備案信息公告。公告稱根據互聯網信息服務算法推薦管理規定，國家網信辦現公開發布境內互聯網信息服務算法名稱及備案編號，相關信息可通過互聯網信息服務算法備案系統進行查詢。此次公告清單中，包括多個大型企業和產品的相關算法，例如網易、360、快手、微博、美團、優酷、百度、抖音、小米、天貓、淘寶、聚好看、蘇寧易購、富途牛

155、牛、微信、騰訊等等。相關鏈接：http:/ 30.30.網絡安全標準實踐指南網絡安全標準實踐指南健康碼防偽技術指南（征求意健康碼防偽技術指南（征求意見稿）發布見稿）發布 2022 年 8 月 16 日，為指導健康碼技術提供方提升健康碼技術防偽能力，全國信息安全標準化技術委員會秘書處發布了網絡安全標準實踐指南健康碼防偽技術指南（征求意見稿），面向社會公開征求意見。指南依據有關政策法規要求，做好支撐疫情防控工作，防止健康碼偽造安全風險，對健康碼防偽提供技術實踐參考。相關鏈接：https:/ 31.31.國國家衛健委等三部門發布 醫療衛生機構網絡安全管理辦法家衛健委等三部門發布 醫療衛生機構網絡安全

156、管理辦法 2022 年 8 月 29 日，國家衛生健康委、國家中醫藥局、國家疾控局印發醫療衛生機構網絡安全管理辦法（以下簡稱辦法），自印發之日起開始實施。辦法指出新建網絡應在規劃和申報階 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 70 段確定網絡安全保護等級。各醫療衛生機構應全面梳理本單位各類網絡，特別是云計算、物聯網、區塊鏈、5G、大數據等新技術應用的基本情況，并根據網絡的功能、服務范圍、服務對象和處理數據等情況，依據相關標準科學確定網絡的安全保護等級，并報上級主管部門審核同意等。相關鏈接：http:/ 32.32.網信辦發布網信部門行政執法程序規定（征求意見稿）網信辦發布網

157、信部門行政執法程序規定（征求意見稿）2022 年 9 月 8 日，國家互聯網信息辦公室發布關于 網信部門行政執法程序規定（征求意見稿）（以下簡稱征求意見稿）公開征求意見的通知。征求意見稿提出，網信部門建立行政執法監督制度，上級網信部門對下級網信部門實施的行政執法進行監督。征求意見稿要求，網信部門實施行政處罰，應當遵循公正公開原則，堅持處罰與教育相結合，做到事實清楚、證據確鑿、適用依據準確、程序合法、處罰適當、執法文書使用規范。相關鏈接：http:/ 33.33.三部門聯合發布互聯網彈窗信息推送服務管理規定三部門聯合發布互聯網彈窗信息推送服務管理規定 2022 年 9 月 9 日，國家互聯網信息

158、辦公室、工業和信息化部、國家市場監督管理總局聯合發布互聯網彈窗信息推送服務管理規定，自 2022 年 9 月 30 日起施行。規定旨在加強對彈窗信息推送服務的規范管理，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，促進互聯網信息服務健康有序發展。相關鏈接：http:/ 34.34.關于修改中華人民共和國網絡安全法的決定（征求意關于修改中華人民共和國網絡安全法的決定（征求意見稿）公開征求意見見稿）公開征求意見 2022 年 9 月 14 日，為了做好網絡安全法與相關法律的銜接協調，完善法律責任制度，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，國家網信辦會同相關部

159、門起草了關于修改中華人民共和國網絡安全法的決定（征求意見稿），向社會公開征求意見。中華人民共和國網絡安全法自 2017 年施行以來，為維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，提供了有力的法律保障。相關鏈接：http:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 71 35.35.信息安全技術信息安全技術 網絡數據分類分級要求公開征求意見網絡數據分類分級要求公開征求意見 2022 年 9 月 14 日，全國信息安全標準化技術委員會秘書處發布了信息安全技術 網絡數據分類分級要求（征求意見稿）。分類分級要求給出了數據分類分級的原則和方法，包括數據

160、分類分級基本原則、數據分類框架和方法、數據分級框架和方法等。適用于行業領域主管（監管）部門參考制定本行業本領域的數據分類分級標準規范，也適用于各地方、各部門開展本地區、本部門的數據分類分級工作，同時還可為數據處理者進行數據分類分級提供參考。相關鏈接：https:/ 36.36.全國信安標委發布 信息安全技術全國信安標委發布 信息安全技術 網絡安全眾測服務要求網絡安全眾測服務要求（征求意見稿）（征求意見稿）2022 年 9 月 27 日，全國信息安全標準化技術委員會信息安全技術 網絡安全眾測服務要求（征求意見稿），面向社會征求意見。眾測要求確立了網絡安全眾測服務的角色及其職責，描述了服務流程，規

161、定了服務要求，眾測需求方、眾測組織方、授權測試方和眾測審計方開展網絡安全眾測服務時使用。相關鏈接：https:/ 37.37.國家標準信息安全技術國家標準信息安全技術 網絡安全信息報送指南（征求意網絡安全信息報送指南（征求意見稿）發布見稿）發布 2022 年 9 月 28 日，全國信息安全標準化技術委員會發布了信息安全技術 網絡安全信息報送指南（征求意見稿）。報送指南描述了網絡安全信息報送的信息類型、要素、格式規范，以及網絡安全信息報送活動的參與角色、基本流程、報送方式；為網絡安全信息報送活動中的各參與角色提供參考。報送指南指出，報送的網絡安全信息類型包括脆弱性信息、網絡安全威脅信息、網絡安全

162、事態信息、網絡安全事件信息、網絡安全態勢信息、網絡安全資訊、其他信息等，并對信息類型進行了詳細的敘述。相關鏈接：https:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 72 38.38.國家標準智能手機預裝應用程序基本安全要求公開征求國家標準智能手機預裝應用程序基本安全要求公開征求意見意見 2022 年 10 月 9 日，全國信息安全標準化技術委員會發布國家標準信息安全技術智能手機預裝應用程序基本安全要求(征求意見稿)并向社會公開征求意見。征求意見稿明確了可卸載范圍，指出除系統設置、文件管理、多媒體攝錄、接打電話、收發短信、通訊錄、瀏覽器、應用商店等直接支撐操作系統運行或實現

163、智能手機基本功能所必須的基本功能應用程序外，智能手機中其他預裝應用程序均應可卸載。相關鏈接：https:/ 39.39.國辦印發全國一體化政務大數據體系建設指南國辦印發全國一體化政務大數據體系建設指南 2022 年 10 月 28 日，國務院辦公廳印發全國一體化政務大數據體系建設指南，這是深入貫徹落實習近平總書記關于網絡強國的重要思想，加快數字中國建設的重要舉措。指南構建了全國一體化政務大數據體系總體架構，為著力解決政務數據體系建設中的問題提供了系統方案，為如何充分發揮政務數據在提升政府履職能力、支撐數字政府建設以及推進國家治理體系和治理能力現代化的重要作用指明了方向。相關鏈接：http:/

164、40.40.工信部印發網工信部印發網絡產品安全漏洞收集平臺備案管理辦法絡產品安全漏洞收集平臺備案管理辦法 2022 年 10 月 28 日，工業和信息化部印發網絡產品安全漏洞收集平臺備案管理辦法的通知。辦法明確，所稱網絡產品安全漏洞收集平臺（以下簡稱漏洞收集平臺），是指相關組織或者個人設立的收集非自身網絡產品安全漏洞的公共互聯網平臺，僅用于修補自身網絡產品、網絡和系統安全漏洞用途的除外。辦法指出，漏洞收集平臺備案通過工業和信息化部網絡安全威脅和漏洞信息共享平臺開展，采用網上備案方式進行。擬設立漏洞收集平臺的組織或個人，應當通過工業和信息化部網絡安全威脅和漏洞信息共享平臺如實填報網絡產品安全漏洞

165、收集平臺備案登記信息。辦法自 2023 年 1 月 1 日起施行。相關鏈接：https:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 73 41.41.工信部工信部:發布關于促進網絡安全保險規范健康發展的意見發布關于促進網絡安全保險規范健康發展的意見（征求意見稿）（征求意見稿）2022 年 11 月 7 日，工信部會同銀保監會起草的關于促進網絡安全保險規范健康發展的意見（征求意見稿）公開發布并征求意見。意見稿提出，加強網絡安全產業政策對網絡安全保險的支持，推動網絡安全技術服務賦能網絡安全保險發展，引導關鍵信息基礎設施保護、新興融合領域網絡安全保障等充分運用網絡安全保險。加強保險

166、業政策對網絡安全保險的支持，指導網絡安全保險創新發展，引導開發符合網絡安全特點規律的保險產品。推動健全完善財政政策，鼓勵提供保險減稅、保險購買補貼等政策。相關鏈接：https:/ 42.42.國務院新聞辦公室發布攜手構建網絡空間命運共同體白國務院新聞辦公室發布攜手構建網絡空間命運共同體白皮書皮書 2022 年 11 月 7 日，國務院新聞辦公室發布攜手構建網絡空間命運共同體白皮書。白皮書介紹了新時代中國互聯網發展和治理理念與實踐，分享中國推動構建網絡空間命運共同體的積極成果，展望網絡空間國際合作前景。其中提到，加強網絡安全頂層設計，網絡安全法 數據安全法 個人信息保護法等法律框架基本形成，網絡

167、安全保障能力不斷提升，全社會網絡安全防線進一步筑牢。相關鏈接：http:/ 43.43.三部門印發“十四五”全民健康信息化規劃三部門印發“十四五”全民健康信息化規劃 2022 年 11 月 9 日，國家衛健委、國家中醫藥局、國家疾控局聯合發布“十四五”全民健康信息化規劃。規劃提出，到 2025 年，初步建設形成統一權威、互聯互通的全民健康信息平臺支撐保障體系，基本實現公立醫療衛生機構與全民健康信息平臺聯通全覆蓋。規劃提出 8 項主要任務：集約建設信息化基礎設施支撐體系，健全全民健康信息化標準體系，深化“互聯網+醫療健康”服務體系，完善健康醫療大數據資源要素體系，推進數字健康融合創新發展體系，拓

168、展基層信息化保障服務體系，強化衛生健康統計調查分析應用體系，夯實網絡與數據安全保障體系。相關鏈接：http:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 74 44.44.兩部門發布關于實施個人信息保護認證的公告兩部門發布關于實施個人信息保護認證的公告 2022 年 11 月 18 日，國家市場監督管理總局、國家互聯網信息辦公室發布個人信息保護認證實施規則，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。規則規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。根據規則，個人信息保護認證的認證模式為：技術

169、驗證現場審核獲證后監督。認證證書有效期為 3 年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。相關鏈接：https:/ 45.45.國家能源局印發電力行業網絡安全等級保護管理辦法國家能源局印發電力行業網絡安全等級保護管理辦法 2022 年 12 月 12 日，國家能源局修訂印發了電力行業網絡安全等級保護管理辦法，新修訂的 管理辦法 重點圍繞電力行業網絡安全等級保護各環節，將全文劃分為總則、等級劃分與保護、等級保護的實施與管理、網絡安全等級保護的密碼管理、法律責任、附則等 6 個章節，闡述了制定目的、適用范圍和職責，明確了電力行業網絡安全保護等級劃分和等級保護工作原則，規定了國家

170、能源局及其派出機構、電力企業及網絡安全等級保護測評機構在電力行業網絡安全等級保護定級、審核、建設、測評、檢查及密碼管理等方面的有關要求，以及法律責任。相關鏈接：http:/ 46.46.工信部印發 工業和信息化領域數據安全管理辦法（試行）工信部印發 工業和信息化領域數據安全管理辦法（試行）2022 年 12 月 13 日，工業和信息化部發布工業和信息化領域數據安全管理辦法（試行），以規范工業和信息化領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家安全和發展利益。管理辦法將于 2023 年 1 月 1 日起施行。根據管理辦法，工業和信息化領域

171、數據包括工業數據、電信數據和無線電數據等。按照管理辦法，工信部督促指導地方工信主管部門、地方通信管理局、地方無線電管理機構分別對工業數據、電信數據、無線電數據處理者實施數據處理活動和安全保護進行監督管理。相關鏈接：https:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 75 47.47.工信部、網信辦：進一步規范移動智能終端應用軟件預置行工信部、網信辦：進一步規范移動智能終端應用軟件預置行為為 12 月 14 日，工信部、國家網信辦發布關于進一步規范移動智能終端應用軟件預置行為的通告，生產企業應按照移動智能終端應用軟件預置和分發管理暫行規定有關規定，保證預置應用軟件安全合規，明示所提供預置應用軟件的相關信息，履行登記、審核、監測、留存、下架等全鏈條管理責任，完善投訴受理制度等服務保障措施，及時處理用戶投訴，落實個人信息保護責任。生產企業應確保移動智能終端中除基本功能軟件外的預置應用軟件均可卸載，并提供安全便捷的卸載方式供用戶選擇。相關鏈接：https:/ 北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司 76