一周安全头条（20210503-0509）

• 安全牛
• 2021-05-10

政策法规 国家安全部 《反间谍安全防范工作规定》

2021年4月26日，国家安全部公布《反间谍安全防范工作规定》（以下简称《规定》）（中华人民共和国国家安全部令2021年第1号），自公布之日起施行。国家安全部有关负责人表示，制定《规定》是国家安全机关贯彻习近平法治思想的具体体现，对于完善国家安全法律制度保障，加强国家安全人民防线建设，规范和加强反间谍安全防范工作，具有重要意义。

原文：https://mp.weixin.qq.com/s/LnPXGtWHHl7ToVNrcaaWMA

政策法规 全国信安标委 《信息安全技术 网联汽车 采集数据的安全要求》

为落实《网络安全法》相关要求，加快网联汽车标准研制工作，全国信息安全标准化技术委员会组织起草形成了《信息安全技术 网联汽车 采集数据的安全要求》标准草案，面向社会公开征求意见。

原文：https://mp.weixin.qq.com/s/9Z4Xkugw47sr0WhIdohquw

行业动态 北京 2021首都网络安全日

4月28日，由北京市委网信办、市公安局联合举办的第八届“4.29首都网络安全日”系列活动正式召开。本次活动以“网络安全同担、网络生活共享”为口号，以迎接冬奥为年度主题，贴合时代发展蓝图、行业发展前景，围绕数据安全治理、人工智能、信息创新技术、新基建与安全、互联网科技安全应用等话题开展各项活动。

原文：https://mp.weixin.qq.com/s/2XD-n99BwUhxWJ44cG_TPQ

报告调研 国家互联网信息办公室 《数字中国发展报告》

4月25日上午，国家互联网信息办公室副主任盛荣华在第四届数字中国建设峰会主论坛上发布《数字中国发展报告（2020年）》。报告对2020年各地区信息化发展情况进行了评估，重点评估了信息服务应用、信息技术产业、产业数字化、信息基础设施、信息安全、发展环境等方面的发展水平。

原文：https://mp.weixin.qq.com/s/EmWAOnvCibxjNkAogqpE_g

报告调研 安全牛 《中小机构等保建设白皮书》

等保2.0虽然对等保各级机构提出了要求，但这种要求还不具备成为等保合规系统建设的直接导引。为了在中小企业等保合规建设方面提供解决思路，安全牛联合新华三共同编写推出《中小机构等保建设白皮书》，旨在指导中小企业选择合适的等保合规建设方案。

原文：https://mp.weixin.qq.com/s/VBRqoRrp7_Ja-WYftF-GYw

融资并购 长扬科技 E轮

2021年4月，长扬科技完成E轮战略融资，首批E1轮资金1.75亿元已于5月初到位。本轮融资由海淀国资委国新融智基金领投，深创投、基石基金、BV百度风投、京西文创基金、丰基资本、上海鼎璋跟投。据悉，本轮融资公司将主要用于核心技术创新、专业人才储备及培养等方面，致力于持续打造可信、可控、可靠的工业互联网安全保障能力。

原文：https://mp.weixin.qq.com/s/jPdsD1n_h_E-ENjjaggeTQ

融资并购 六方云 C轮

2021年4月28日，六方云再获1.5亿元C轮融资，本轮融资由中煤厚持、赞路基金、中关金信、天鹰合智以及老股东跟投等联合投资。在本次交易中，密码资本继续担任独家财务顾问。

原文：https://mp.weixin.qq.com/s/_nXAC12HxMku8j0qc5uQzQ

漏洞补丁 英特尔、AMD

5月4日，戴尔公司披露其上亿台电脑的固件升级驱动中存在一个长达12年的漏洞（已修复）。5月6日，英特尔、AMD等处理器巨头的处理器芯片再次发现新的高危漏洞。研究人员发现了一条新的攻击路线，绕过了芯片中内置的所有当前Spectre保护，可能导致几乎所有台式机、笔记本电脑、云服务器和智能手机再次像三年前一样处于危险之中。

原文：https://mp.weixin.qq.com/s/OCYnlvdxXMDSvWeab5g5ag

漏洞补丁 MSM

Checkpoint研究人员在高通Mobile Station Modem(MSM，移动站调制解调器)新浦中发现一个严重的安全漏洞，漏洞CVE编号为CVE-2020-11292。攻击者利用该漏洞可以将安卓系统作为攻击入口来注入恶意、不可见的代码到手机中。此外，攻击者还可以利用该漏洞来解锁移动设备用来进行安全存储网络认证信息和联系人信息的SIM。

原文：https://mp.weixin.qq.com/s/5Smnv-uAPnYIC-50GDWfVQ

漏洞补丁 Exim

Exim邮件服务器软件的维护人员发布更新，共修复21个漏洞，它们本可导致威胁人员通过本地和远程攻击向量接管服务器。这些漏洞被统称为“21Nails”，由安全公司Qualys发现。

这些漏洞影响Exim，它是一种邮件传输代理 (MTA)类型的邮件服务器，帮助邮件流量在互联网流动并到达目的地。

原文：https://mp.weixin.qq.com/s/LDL7Y6eYCAi7Sc7g5X-hWw

网络攻击 特斯拉

近日，安全研究者使用无人机远程利用“零点击漏洞”成功入侵了特斯拉，不但能够打开车门，而且还能完全控制车载娱乐系统。所谓的“零点击”利用，指的是无需用户交互的、最高效和危险的攻击手法（漏洞利用）。

原文：https://mp.weixin.qq.com/s/K7n5KUMz1xnxb4sPBqrI7Q

网络攻击 Colonial Pipeline

Colonial Pipeline（殖民地管道）公司在上周五表示，他们成为网络攻击的受害者，入侵迫使公司主动采取一定的系统离线或暂时停止所有的流水线作业。该公司表示，这次攻击已经影响了它的某些IT系统，但没有透露其任何运营技术（OT）系统是否受到直接影响。

原文：https://mp.weixin.qq.com/s/rxCBBcaB8SiUF0fNZTsrng