《中華人民共和國(guó)數(shù)據(jù)安全法》已于2021年6月10日在十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議上表決通過(guò)，將于2021年9月1日起正式實(shí)施。

　　該法案貫徹落實(shí)總體國(guó)家安全觀，聚焦數(shù)據(jù)安全領(lǐng)域的風(fēng)險(xiǎn)隱患，以有效保障人民群眾合法權(quán)益為目標(biāo)提出：要深化建設(shè)數(shù)據(jù)安全體制；明確數(shù)據(jù)安全的監(jiān)管制約職責(zé)；建立健全數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、分類分級(jí)保護(hù)制度及數(shù)據(jù)交易管理制度。

　　該法案為合理合法地開(kāi)發(fā)利用數(shù)據(jù)提供了法律基礎(chǔ)，也為從嚴(yán)處置各類數(shù)據(jù)濫用違法行為提供了處罰的法律依據(jù)。

　　目前根據(jù)相關(guān)上位法的要求，各行業(yè)的具體數(shù)據(jù)安全管理實(shí)施細(xì)則都在抓緊制定中，各高校也應(yīng)該加強(qiáng)學(xué)習(xí)相關(guān)法律法規(guī)，提前謀劃做好相應(yīng)的安全工作準(zhǔn)備。

　　6月安全投訴事件數(shù)量與5月基本持平。從網(wǎng)絡(luò)流量監(jiān)測(cè)數(shù)據(jù)分析看，5月暴露出的VMware vCenter Server漏洞（CVE-2021-21985）目前正在被大規(guī)模掃描探測(cè)和利用，建議使用了該虛擬化平臺(tái)的管理員要注意防范。

　　2021年5月-6月CCERT安全投訴事件統(tǒng)計(jì)

　　近期新增嚴(yán)重漏洞評(píng)述：

　　1. 微軟2021年6月的例行安全公告修復(fù)了旗下多款產(chǎn)品中存在的50個(gè)安全漏洞，其中高危漏洞5個(gè)，中危漏洞45個(gè)。

　　在50個(gè)安全漏洞中，有7個(gè)屬于0day漏洞。包括Windows內(nèi)核信息泄露漏洞（CVE-2021-31955）、Windows NTFS特權(quán)提升漏洞（CVE-2021-31956）、微軟DWM核心庫(kù)權(quán)限提升漏洞（CVE-2021-33739）、Windows MSHTML平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-33742）和微軟增強(qiáng)型加密庫(kù)特權(quán)提升漏洞（CVE-2021-31199CVE-2021-31201）等6個(gè)0day漏洞已經(jīng)發(fā)現(xiàn)了在野的攻擊行為；還有1個(gè)0day漏洞是Windows遠(yuǎn)程桌面拒絕服務(wù)攻擊漏洞，其漏洞詳細(xì)信息已被公布，但未檢測(cè)到在野的攻擊行為。

　　鑒于這些漏洞帶來(lái)的風(fēng)險(xiǎn)，建議用戶盡快使用Windows自帶的更新功能進(jìn)行補(bǔ)丁更新。

　　2. Adobe公司發(fā)布了6月的安全公告（APSB21-37），用于修補(bǔ)Adobe Acrobat/Reader軟件中存在的5個(gè)安全漏洞（CVE-2021-28551、CVE-2021-28552、CVE-2021-28554、CVE-2021-28631、CVE-2021-28632），5個(gè)漏洞均屬于高危級(jí)別，可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。

　　攻擊者可以創(chuàng)建特殊構(gòu)造的PDF文件并引誘用戶點(diǎn)擊打開(kāi)，以此來(lái)利用相關(guān)漏洞。成功利用這些漏洞能以當(dāng)前用戶的權(quán)限在系統(tǒng)上執(zhí)行任意命令。建議用戶使用軟件自帶的更新功能進(jìn)行安全更新。

　　3. ThroughTek公司的P2P軟件開(kāi)發(fā)包(SDK)主要用于在互聯(lián)網(wǎng)上為音頻/視頻流提供遠(yuǎn)程訪問(wèn)權(quán)限控制，該開(kāi)發(fā)包被用在了很多的攝像頭和物聯(lián)網(wǎng)設(shè)備中。

　　6月15日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布預(yù)警，因?yàn)門hroughTek P2P開(kāi)發(fā)包中存在信息泄露漏洞（CVE-2021-32934），導(dǎo)致數(shù)以百萬(wàn)計(jì)使用了該開(kāi)發(fā)包的互聯(lián)網(wǎng)設(shè)備可能存在敏感信息泄露的風(fēng)險(xiǎn)，攻擊者可以未經(jīng)授權(quán)遠(yuǎn)程訪問(wèn)設(shè)備上的敏感信息，包括方位網(wǎng)絡(luò)攝像頭拍攝的視頻信息。

　　由于該開(kāi)發(fā)包是底層的開(kāi)發(fā)組件，要追蹤所有受此漏洞影響的互聯(lián)網(wǎng)設(shè)備非常困難，一個(gè)可行的辦法是不要把這些設(shè)備暴露在互聯(lián)網(wǎng)上，同時(shí)用戶也需要隨時(shí)關(guān)注相關(guān)設(shè)備廠商發(fā)布的安全公告和補(bǔ)丁程序。

　　4. 用友公司的NC產(chǎn)品是面向大型企業(yè)信息化需求，提供建模、開(kāi)發(fā)、集成、運(yùn)行和管理一體化的信息化解決方案。

　　用友NC存在一個(gè)遠(yuǎn)程任意代碼執(zhí)行漏洞，由于用友NC對(duì)外提供了BeanShell接口，任何無(wú)需身份驗(yàn)證的人都可以訪問(wèn)該接口并執(zhí)行命令進(jìn)而獲得對(duì)應(yīng)服務(wù)器的權(quán)限。

　　目前廠商已經(jīng)針對(duì)漏洞發(fā)布了緊急的補(bǔ)丁程序，建議相關(guān)系統(tǒng)管理員盡快進(jìn)行更新。在暫時(shí)無(wú)法更新之前，建議使用防火墻限制BeanShell服務(wù)的訪問(wèn)范圍。

　　安全提示

　　數(shù)據(jù)安全法的頒布實(shí)施，必然會(huì)給學(xué)校的安全工作帶來(lái)新的要求。因?yàn)閿?shù)據(jù)本身是流動(dòng)的，它在產(chǎn)生(收集)、訪問(wèn)、傳輸及存儲(chǔ)等各個(gè)階段都可能存在安全風(fēng)險(xiǎn)，傳統(tǒng)的以網(wǎng)絡(luò)和系統(tǒng)為防護(hù)目標(biāo)的安全體系已經(jīng)不能滿足新的安全需求，需要構(gòu)建以數(shù)據(jù)生命周期為導(dǎo)線的全范圍覆蓋的新安全防護(hù)體系。

　　作者：鄭先偉（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）