1、北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 免责声明免责声明 本报告由北京瑞星网安技术股份有限公司发布，综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台的数据及资料进行收集和整理，针对中国2022 年 1 至 12 月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有

2、限公司 目录 一、恶意软件与恶意网址.2（一）恶意软件.2（二）恶意网址.7 二、移动安全.9（一）2022 年手机病毒概述.9（二）2022 年 1 至 12 月手机病毒 Top5.10（三）2022 年手机漏洞 Top5.10 三、企业安全.11（一）2022 年重大企业网络安全事件.11（二）2022 年漏洞分析.24（三）2022 年全球 APT 攻击事件解读.29 四、勒索软件分析.38（一）勒索软件概述.38（二）2022 年度十大勒索软件.38 五、2023 年网络安全趋势预测.58（一）APT 组织攻击活动频繁.58（二）企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取

3、能力.58（三）电子邮件依然是网络攻击的重要窗口.58（四）高可利用性的“老”漏洞备受攻击者青睐.59（五）对抗技术演变持续发展，传统技术备受挑战.59（六）开源软件生态投毒现象严重.60 附：2022 年国内重大网络安全政策法规.60 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 1 报告摘要 2022 年瑞星“云安全”系统共截获病毒样本总量 7,355 万个，病毒感染次数 1.24 亿次，病毒总体数量比 2021 年同期下降了 62.19%。广东省病毒感染人次为 1,209 万次，位列全国第一，其次为山东省及江苏省，分别为 965.14 万次及 836.56 万次。2022 年

4、瑞星“云安全”系统共截获勒索软件样本 57.92 万个，感染次数为 19.49 万次；挖矿病毒样本总体数量为 261 万个，感染次数为 79.75 万次。勒索软件感染人次按地域分析，广东省排名第一，为 2.27 万次；挖矿病毒感染人次按地域分析，广西省以 17.39 万次位列第一。2022 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 9,336 万个，其中挂马类网站 5,913 万个，钓鱼类网站 3,422 万个。在中国范围内排名第一位为河南省，总量为 62.31万个，其次为香港和广东省，分别为 49.91 万个和 28.19 万个。2022 年瑞星“云安全”系统共截获手机病

5、毒样本 152.05 万个，病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主，其中信息窃取类病毒占比 36.21%，位居第一。2022 年重大企业安全事件包括：加拿大外交部被黑，部分服务中断；北京健康宝遭受网络攻击，源头来自境外；瑞星监测到利用微软最新高危漏洞的恶意代码；新型病毒仿冒 Python 数字签名 诱骗用户下后门；西北工业大学遭受境外网络攻击等。2022 年 CVE 漏洞利用率 Top10 包括：CVE-2017-11882 Office 远程代码执行漏洞；CVE-2018-0802 公式编辑器漏洞；CVE-2017-17215 HG532 远程命令执行漏洞等；年度最热漏洞

6、有 CVE-2022-30190 Microsoft Office MSDT 远程代码执行漏洞；CVE-2022-0847 Linux 内核提权漏洞；CVE-2022-22965 Spring 远程代码执行漏洞等。2022 年全球 APT 攻击事件解读：威胁组织 APT-C-23；威胁组织 Lazarus Group；威胁组织Patchwork；威胁组织 MuddyWater；威胁组织 Bitter 等。2022 年勒索软件分析：勒索软件随着云计算业务的发展趋势而转移目标，有越来越多公司业务迁移到虚拟机，而诸如 BlackBasta、Hive 等勒索家族瞄准 Linux 服务器下虚拟机的勒索攻

7、击活动也会在未来逐渐形成流行事态。不仅如此，一些勒索病毒还参与到地缘性政治与军事战争中，而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目标。趋势展望：APT 组织攻击活动频繁；企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取能力；高可利用性的“老”漏洞备受攻击者青睐；电子邮件依然是网络攻击的重要窗口；高可利用性的“老”漏洞备受攻击者青睐；对抗技术演变持续发展，传统技术备受挑战；开源软件生态投毒现象严重。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 2 一、恶意软件与恶意网址一、恶意软件与恶意网址 （一）恶意软件（一）恶意软件 1.1.20222022 年年病毒概

8、述病毒概述 (1)(1)病毒总体概述病毒总体概述 2022 年瑞星“云安全”系统共截获病毒样本总量 7,355 万个，病毒感染次数 1.24 亿次，病毒总体数量比 2021 年同期下降了 62.19%。报告期内，新增木马病毒 4,515 万个，为第一大种类病毒，占到总体数量的 61.39%；排名第二的为蠕虫病毒，数量为 1,392 万个，占总体数量的 18.93%；后门、感染型病毒、灰色软件分别占到总体数量的 6.99%、6.49%和 5.19%，位列第三、第四和第五，除此以外还包括漏洞攻击和其他类型病毒。图：2022 年病毒类型统计 根据瑞星“云安全”系统显示，2022 年 3 至 5 月份

9、为病毒感染高发期，在 1,300 万至 1,400 万左右，即使在较低的 11 月份，也有近 800 万的病毒感染量。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 3 图：2022 年病毒样本数量及感染次数 (2)(2)病毒感染地域分析病毒感染地域分析 报告期内，广东省病毒感染人次为 1,209 万次，位列全国第一，其次为山东省及江苏省，分别为 965.14 万次及 836.56 万次。图：2022 年病毒感染地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 4 2.2.20222022 年年病毒病毒 TopTop1010 根据病毒感染人数、变种数量和

10、代表性综合评估，瑞星评选出 2022 年 1 至 12 月病毒 Top10：3.3.勒索软件和挖矿病毒勒索软件和挖矿病毒 勒索软件和挖矿病毒在 2022 年依旧活跃，报告期内瑞星“云安全”系统共截获勒索软件样本57.92 万个，感染次数为 19.49 万次，比 2021 年同期下降了 68.77%；挖矿病毒样本总体数量为 261万个，感染次数为 79.75 万次，与 2021 年同期相比，下降了 56.68%。瑞星通过对捕获的勒索软件样本进行分析后发现，Agent 家族占比 51.98%，成为第一大类勒索软件，其次是 Blocker 家族，占到总量的 12.76%，第三是 Filecoder

11、家族，占到总量的 9.31%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 5 图：2022 年勒索软件家族分类 勒索软件感染人次按地域分析，广东省排名第一，为 2.27 万次，第二为山东省 1.82 万次，第三为江苏省 1.81 万次。图：2022 年勒索软件感染地域分布 Top10 根据瑞星“云安全”系统显示，2022 年 11 月份捕获的勒索软件样本数量最多，达到 10 万个以上，3 至 4 月份勒索软件感染次数较多，均在 2 万以上。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 6 图：2022 年勒索软件样本数量及感染次数 挖矿病毒数量虽然比 2021 年有所

12、减少，但依然是企业网络安全的主要威胁，瑞星根据病毒行为进行统计，评出 2022 年挖矿病毒 Top10：挖矿病毒感染人次按地域分析，广西省以 17.39 万次位列第一，山东省和江苏省分别位列二、三位，为 6.11 万次和 5.4 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 7 图：2022 年挖矿病毒感染地域分布 Top10 （二）恶意网址（二）恶意网址 1.1.20222022 年年全球恶意网址全球恶意网址概述概述 2022 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 9,336 万个，其中挂马类网站 5,913 万个，钓鱼类网站 3,422 万个。美国

13、恶意 URL 总量为 3,568 万个，位列全球第一，其次是加拿大 288.69 万个和中国 281.91 万个，分别排在第二、三位。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 8 图：2022 年全球恶意 URL 地域分布 Top10 2.2.20222022 年年中国恶意网址概述中国恶意网址概述 报告期内，瑞星“云安全”系统所截获的恶意网址（URL）在中国范围内排名，第一位为河南省，总量为 62.31 万个，其次为香港和广东省，分别为 49.91 万个和 28.19 万个。图：2022 年中国恶意 URL 地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术股份

14、有限公司 9 二、移动安全二、移动安全 （一）（一）20222022 年年手机病毒概述手机病毒概述 2022 年瑞星“云安全”系统共截获手机病毒样本 152.05 万个，病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主，其中信息窃取类病毒占比 36.21%，位居第一；其次是远程控制类病毒占比 20.50%，第三名是恶意扣费类病毒占比 13.45%。图：2022 年手机病毒类型比例 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 10 （二）（二）20222022 年年 1 1 至至 1212 月手机病毒月手机病毒 Top5Top5 （三）（三）20222022 年年手机漏洞

15、手机漏洞 Top5Top5 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 11 三、企业安全三、企业安全 （一一）20222022 年年重大企业网络安全事件重大企业网络安全事件 2022 年，国内外企业重大网络安全事件频发，网络攻击威胁着政府、企业、医疗、金融、教育等各个领域，勒索软件、数据泄露、黑客入侵等攻击接连不断，且危害深远，严重影响着各国的关键信息基础设施建设和经济民生。同时，由于俄乌战争带来的影响，导致网络空间对抗加剧，全球网络安全形势严峻，各国对于网络空间威胁都面临着极大的挑战。瑞星根据行业特性、威胁影响及损失程度，列举出在 2022 年发生的 25 个重大网络安全攻击

16、事件：1.1.红十字国际委员会遭受网络攻击红十字国际委员会遭受网络攻击 2022 年 1 月 19 日，红十字国际委员会晚间的一份声明称，红十字国际委员会遭受网络攻击，超过 51.5 万人的个人数据和机密信息遭入侵。声明称：“攻击造成超过 51.5 万名极其脆弱人群的个人数据和机密信息遭入侵，包括因冲突、移民和自然灾害而与家人失散的人、失踪人员及其家人以及被监禁的人。”红十字国际委员会没有任何关于究竟谁发动了这一网络攻击的信息。暂还没有遭入侵信息的泄露或公开传播的任何迹象。这次袭击迫使红十字国际委员会暂停了其“重建家庭联系”计划。图：“家庭团聚”项目系统和网站被迫关闭 2.2.加拿大外交部被黑

17、，部分服务中断加拿大外交部被黑，部分服务中断 2022 年 1 月 19 日，加拿大全球事务部(GAC)系统遭到网络攻击后面临网络中断。GAC 是加拿大政府部门，负责处理该国的外交和领事关系、国际贸易以及领导国际发展和人道主义援助计划。加拿大政府声明说，网络威胁可能来自系统或应用程序的漏洞，或来自外部行为者为获取信息而进行 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 12 的蓄意、持续、有针对性的攻击。遭受网络攻击的当天晚上，加拿大数字防御和间谍机构通信安全机构(CSE)发布了一份威胁公告，警告加拿大组织，特别是“关键基础设施”提供商，可能受到俄罗斯支持的网络威胁参与者的攻击。3

18、.3.沃达丰葡萄牙分公司遭大规模网络攻击沃达丰葡萄牙分公司遭大规模网络攻击 2022 年 2 月 8 日，国际电信巨头沃达丰的葡萄牙公司表示，由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”，其大部分客户数据服务被迫下线。此次事件导致 4G/5G、固话、电视等网络全部中断，只有 3G 网络勉强恢复可用，给葡萄牙数百万用户造成了不便甚至混乱。该公司表示，他们正在与政府当局合作对事件开展调查。根据目前搜集到的证据，客户数据似乎并未泄露或遭到攻击者访问。图：名为迈克的葡萄牙摄影师在推特上吐槽说沃达丰网络中断 4.4.顶级后门“顶级后门“Bvp47Bvp47”被详细披露”被详细披露 始作俑者为始作

19、俑者为 NSANSA 2022 年 2 月 23 日，中国盘古实验室的研究人员披露了由方程式集团（Equation Group）使用的“顶级”后门的细节，这是一种先进的持续威胁（APT），据称与美国国家安全局（NSA）的网络战情报收集部门有联系。报告显示,“Bvp47”已在全球肆虐十余年,入侵中国、俄罗斯、日本、德国、西班牙、意大利等 45 个国家和地区,涉及 287 个重要机构目标,其中日本作为受害者,还被利用作为跳板针对其他国家发起攻击。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 13 图：中国盘古实验室报告 5.5.乌克兰电信运营商遭遇最严重网络中断攻击乌克兰电信运营商遭遇

20、最严重网络中断攻击 2022 年 3 月 28 日，乌克兰最大的固网电信运营商 Ukrtelecom 遭遇一波强大的网络攻击。据称这是自 2 月俄乌开战以来最严重的网络攻击，已经导致 Ukrtelecom 发生全国性的服务中断。乌克兰国家特殊通信与信息保护局副局长 Victor Zhora 证实，政府正在调查这起攻击事件。Ukrtelecom 是乌克兰国内重要的固话、互联网与移动服务运营商，目前尚不清楚它受到的是分布式拒绝服务（DDoS）攻击，还是层次更深、复杂度更高的其他形式入侵。图：外媒针对乌克兰通信商 Ukrtelecom 遭遇网络攻击的报道 6.6.300300 块一天块一天 国内黑客

21、售卖新型远控工具国内黑客售卖新型远控工具 2022 年 4 月 25 日，瑞星威胁情报平台捕获到一批攻击流程异常复杂的.NET 恶意程序，经分析 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 14 发现，这些恶意程序实则是一整套黑产工具，名为“FastDesktop”，该工具可以通过衍生出的病毒及变种远程控制用户主机，并上传用户隐私信息。经溯源发现该病毒作者疑为国内黑客，通过售卖这套黑产工具牟取利益，定价为 300 块/天。图：“FastDesktop”制作者兜售远控恶意软件 7.7.北京健康宝遭受网络攻击，源北京健康宝遭受网络攻击，源头来自境外头来自境外 2022 年 4 月 2

22、8 日，北京市第 318 场新冠病毒肺炎疫情防控工作新闻发布会召开。北京市委宣传部对外新闻处副处长隗斌表示，4 月 28 日，北京健康宝使用高峰期遭受网络攻击，经初步分析，网络攻击源头来自境外，北京健康宝保障团队进行及时有效应对，受攻击期间，北京健康宝相关服务未受影响。图：微博关于北京健康宝遭受网络攻击的话题 8.8.意大利多个重要政府网站遭新型意大利多个重要政府网站遭新型 DDoSDDoS 攻击瘫痪攻击瘫痪 2022 年 5 月 11 日，意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击，网站无 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 15 法访问至少 1 个小时

23、，受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。意大利计算机安全事件响应小组（CSIRT）称，此次攻击使用了“慢速 HTTP”的新型 DDoS 手法，传统防御措施较难抵御，需要针对性处置。亲俄黑客团伙 Killnet 声称对本次攻击负责。图：CSIRT 发布的公告 9.9.通用汽车透露其遭到撞库攻击导致部分客户的信息泄露通用汽车透露其遭到撞库攻击导致部分客户的信息泄露 2022 年 5 月底，美国通用汽车称其在 4 月 11 日至 29 日检测到了恶意登录的活动，发现攻击者已将部分用户的奖励积分兑换为礼品卡。该公司表示，此次违规事件并不是源于通用汽车的系统遭到入侵，而是

24、针对其平台上客户的一波撞库攻击导致的，他们将为所有受影响的用户恢复积分，并建议用户在登录账户之前重置密码。10.10.瑞星监测到利用微软最新高危漏洞的恶意代码瑞星监测到利用微软最新高危漏洞的恶意代码 2022 年 6 月 9 日，瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞（CVE-2022-30190，又名“Follina”），在开源代码平台上已经存在该漏洞的概念验证代码，同时捕获到相关漏洞的在野利用样本。该样本为 Microsoft Word 文档，当用户打开该文档后，攻击者便可利用CVE-2022-30190 漏洞与 Microsoft Office 的远程模板加载功能

25、进行配合，由 Office 从远程网络服务器获取恶意 HTML 文件，HTML 文件则会唤起 MSDT 工具应用程序并由其执行恶意 PowerShell 代码，该恶意代码将会在用户主机上从指定链接中下载 Qakbot 木马并执行，从而窃取用户隐私信息。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 16 图：病毒样本相关代码 11.11.新型病新型病毒仿冒毒仿冒 PythonPython 数字签名数字签名 诱骗用户下后门诱骗用户下后门 2022 年 6 月 13 日，瑞星安全研究院捕获到一批假冒 Python 数字签名的恶意软件，攻击者将这些恶意软件在签署者名称和 UAC 弹窗等方面

26、进行伪装，再通过网址、邮件链接等方式，诱导用户下载含有正常的 exe 文件、dll 恶意文件，以及加密的 Farfli 后门程序的压缩包，只要用户点击执行exe，便会加载 dll，该 dll 会解密这个 Farfli 后门程序使其在内存中隐秘运行，而用户电脑将面临文件被窃、远程控制、键盘记录、摄像头被查看等风险。图：数字签名对比 12.12.西北工业大学遭受境外网络攻击西北工业大学遭受境外网络攻击 2022 年 6 月 22 日，西北工业大学官方声明称，该校电子邮件系统遭受网络攻击，对学校正常教学生活造成负面影响。警方称，该校电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件

27、，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据出现被窃取风险。9 月份经调查发现，美国国家安全局（NSA）下属的特定入侵行动 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 17 办公室（TAO）使用了 40 余种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。图：国家计算机病毒应急处理中心发布的相关报告 13.13.ITIT 服务巨头服务巨头 SHISHI 遭受“专业恶意软件攻击”遭受“专业恶意软件攻击”2022年7月初，总部位于新泽西州的信息技术(IT)产品和服务提供商SHI

28、 International证实，其网络遭受到恶意软件攻击。SHI 在声明中表示：“在 7 月 4 日美国国庆日假期的周末，SHI 成为了专业恶意软件协同攻击的目标。由于 SHI 的安全性和 IT 团队的快速反应，该事件被迅速发现并采取了相应的措施，从而将本次攻击对 SHI 系统和运营的影响降到了最低。”在评估其系统的完整性和调查安全事件时，SHI 被迫将其部分系统下线，包括公司的公共网站和电子邮件。图：SHI 官方维护信息 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 18 14.14.阿尔巴尼亚遭网络攻击关闭政府网站阿尔巴尼亚遭网络攻击关闭政府网站 2022 年 7 月中旬，阿

29、尔巴尼亚国家信息社会局（AKSHI）发表声明，称由于遭受大规模网络攻击，被迫关闭所有提供在线公共服务的网站和政府官方网站。其后，阿尔巴尼亚政府表示因反应及时，政府信息系统未受影响，且所有数据都有备份。7 月 21 日，阿尔巴尼亚政府称大多数公共网站已恢复运行，而有关网络攻击源头的调查仍在进行中。此次网络攻击所依赖的技术与近期在乌克兰、德国、立陶宛、荷兰等国家发生的网络攻击的技术性质类似。15.15.网络攻击致使英国医疗急救热线网络攻击致使英国医疗急救热线“120”“120”发生重大中断发生重大中断 2022 年 8 月 4 日，英国 111 医疗急救热线外包供应商遭受网络攻击，导致英国国家医疗

30、服务体系（NHS）的 111 急救热线发生重大持续性中断。此次网络攻击袭击了 NHS 的本地托管服务提供商Advanced，令 Adastra 解决方案以及 Advanced 提供的其他几项服务同时陷入重大中断。威尔士救护车服务中心表示，“当地用于将 111 急救热线患者转诊给急诊全科医师的计算机系统，近期出现了重大故障。”图：NHS 发布的官方通告 16.16.400400 万条万条 2K Games2K Games 用户数据正在暗网上出售用户数据正在暗网上出售 2022 年 10 月 6 日，视频游戏发行商 2K 向用户发送电子邮件称，用户个人信息已在 9 月 19 日的攻击事件中被盗并在

31、网上出售。9 月下旬，2K 就表示，其用户支持服务系统遭到了入侵，并被通 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 19 过嵌入式链接向用户推送含有 Redline Stealer 恶意软件的虚假支持票。随后，2K 关闭了其支持门户网站以调查违规行为，建议收到电子邮件并点击链接的用户重置浏览器存储密码，检查其账户是否存在可疑活动。图：被出售的用户信息 17.17.丰田：约丰田：约 296000296000 条客户信息可能已被泄露条客户信息可能已被泄露 2022 年 10 月 7 日，丰田汽车发布声明称，使用其 T-connect 服务的 296019 名客户的个人信息可能已被泄

32、露，包括电子邮箱地址和客户管理号码等，但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响，对 T-Connect 服务本身也没有影响。T-Connect 是一种通过网络连接车辆的远程信息服务，受影响的客户是自 2017 年 7 月以来使用电子邮件地址注册该服务网站的个人用户。图：丰田汽车发布的声明 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 20 18.18.零售巨头泄露零售巨头泄露 220220 万用户数据，并被黑客在线出售万用户数据，并被黑客在线出售 2022 年 10 月中旬，澳大利亚零售巨头 Woolworths 批露了旗下子公司 MyDeal 数据泄露事件，攻击者

33、使用泄露的用户凭证访问了公司客户关系管理(CRM)系统，查看并导出了 220 万条用户信息。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息，部分还涉及用户的出生日期。10 月 16 日，黑客已开始在一个黑客论坛上以 600 美元的价格出售被盗数据，声称该数据目前包含 100 万个条目，其他数据还在逐步解析中。图：黑客论坛上出售的 MyDeal 数据 19.19.欧洲超市巨头麦德龙遭网络攻击，欧洲超市巨头麦德龙遭网络攻击，ITIT 和支付服务中断已超和支付服务中断已超过一周过一周 2022 年 10 月下旬，国际批发和超市巨头麦德龙遭遇网络攻击，其 IT 基础设施内有多项技术服务处于

34、中断状态，并且商店支付系统瘫痪。据技术博主 Gnter Born 发布的报告，至少自 10 月 17日以来，IT 中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。麦德龙的 IT 团队立即与外部专家一起展开彻底调查，以确定服务中断的原因。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 21 图：麦德龙发布的公告 20.20.美国百年老报美国百年老报“被黑被黑”，发布大量攻击性政治言论，发布大量攻击性政治言论 2022 年 10 月 27 日，纽约邮报证实公司遭遇了黑客攻击，其网站和推特账户被攻击者利用，发布了一系列针对美国政客的攻击性内容。这些攻击性的头条新闻和推文打击面极广，涉

35、及纽约州多位政客以及拜登总统的儿子亨特拜登。纽约邮报事后调查发现，当天早上在其网站和推特发布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。图：纽约邮报发布的官方信息 21.21.波音子公司遭网络攻击，致使全球多家航司航班规划中断波音子公司遭网络攻击，致使全球多家航司航班规划中断 2022 年 11 月 2 日，导航与航班规划工具供应商 Jeppesen 公司发生网络安全事件，导致部分航班被迫中断。该公司网站上出现了红色提示条幅，警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。此次事件影响到当前及后续空中任务通知（NOTAM）的接收和处理。伊拉克航空、沙特 Fl

36、ynas 航空、加拿大太阳之翼航空均发布公告，称 Jeppesen 系统发生了中断。Flynas 表示部分航班被重新调整，太阳之翼还称北美多家航司受影响。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 22 图：航空公司发布的公告 22.22.网络攻击迫使丹麦最大铁路公司火车全部停运网络攻击迫使丹麦最大铁路公司火车全部停运 2022 年 11 月 5 日，丹麦最大的铁路运营公司 DSB 受到网络攻击影响，旗下所有列车均陷入停运，连续数个小时未能恢复。遭受攻击的是丹麦公司 Supeo，该公司是专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。在发现黑客攻击之后，Supe

37、o 关闭其服务器，导致列车司机们使用的一款软件无法正常工作，最终引发了列车运营中断。23.23.俄罗斯企业频发数据泄露事件，俄罗斯企业频发数据泄露事件，720720 万用户数据在黑客论坛万用户数据在黑客论坛出售出售 2022 年 11 月 11 日，有人在“Breached”黑客论坛上出售包含 720 万 Whoosh 客户详细信息的数据库，包括电子邮件地址、电话号码和名字。该数据库还包含 1,900,000 名用户子集的部分支付卡详细信息。卖家还声称，被盗数据包括 3,000,000 个促销代码，人们可以使用这些代码免费租用Whoosh 滑板车。而后，俄罗斯踏板车共享服务 Whoosh 公司

38、确认发生数据泄露，并告知其用户群他们正在与执法当局合作，采取一切措施阻止数据的分发。图：Whoosh 数据在 Breached 论坛上被出售 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 23 24.24.俄罗斯第二大银俄罗斯第二大银行行 VTBVTB 遭攻击离线遭攻击离线 2022 年 12 月 6 日，据塔斯社报道，俄罗斯第二大金融机构 VTB 银行披露遭遇公司历史上最严重的网络攻击，持续的 DDoS（分布式拒绝服务）攻击导致其网站和移动应用程序离线。“目前，VTB技术基础设施正受到来自国外的前所未有的网络攻击”，VTB 发言人向塔斯社表示，“这不仅是今年有记录的最大网络攻击，

39、而且是该银行整个历史上最大的网络攻击”。亲乌克兰的黑客组织“乌克兰IT 军”声称对此次网络攻击负责，并于 11 月底在 Telegram 上宣布了这一活动。图：“乌克兰 IT 军”宣布 VTB 为目标 25.25.蔚来汽车数据泄露被勒索，官方回应属实蔚来汽车数据泄露被勒索，官方回应属实 2022 年 12 月 20 日，网络上有人称破解了蔚来大量数据，包括蔚来内部员工数据 22800 条、车主用户身份证数据 399000 条。随后，蔚来官方发布关于数据安全事件的声明：2022 年 12 月 11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索 225 万美元等额比特币。在收到勒

40、索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。根据声明显示，经初步调查被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 24 （二二）20222022 年年漏洞分析漏洞分析 1.1.20222022 年年 CVECVE 漏洞利用率漏洞利用率 TopTop1010 报告期内，从收集到的病毒样本分析来看，微软 Office 漏洞依然稳居首位。长久以来 CVE-2017-11882、CVE-2018-0802 以漏洞稳定性、易用性和用户群体广泛性一直是钓鱼邮件攻击者首选的利用漏洞。随

41、着物联网的应用和推广，物联网设备漏洞也备受关注，其中 CVE-2017-17215 备受众多 IOT僵尸网络病毒青睐，曾在 2018 年黑客利用该漏洞在一天之内建立了 18000 台设备构成的僵尸网路。Mirai、Satori、Brickerbot、Mozi 至今仍将该漏洞作为传播利用的一种方式。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 25 CVE-2017-0147 Windows SMB 协议漏洞（MS17-010 永恒之蓝漏洞）在 2017 年爆发，至今已经过去 5 年时间，然而它仍是目前被病毒利用最多的安全漏洞之一。该漏洞之所以有着居高不下的利用率，是由于在大多数企业

42、内网环境中依然存在大量的终端设备尚未修复该漏洞，进入内网环境的病毒程序仍可透过该漏洞轻松地在内网环境中传播。CVE-2022-30190 Microsoft Office MSDT 远程代码执行漏洞，是 2022 年最热门的利用漏洞，该漏洞可使用 Microsoft Word 远程模板功能链接到恶意 HTML 文件，通常被用于钓鱼邮件攻击。Sandworm、UAC-0098 和 APT28 等 APT 攻击组织均利用过该漏洞，对乌克兰和欧美等政府机构发起多次网络钓鱼攻击。瑞星根据漏洞被黑客利用程度进行分析，评选出 2022 年 1 至 12 月份漏洞 Top10：1.1 1.1 CVECVE-

43、20 OfficeOffice 远程代码执行漏洞远程代码执行漏洞 又称公式编辑器漏洞，为 Office 内存破坏漏洞，影响目前流行的所有 Office 版本，攻击者可利用该漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块 EQNEDT32.EXE 中，该模块为公式编辑器，在 Office 的安装过程中被默认安装，该模块以 OLE 技术将公式嵌入在 Office 文档内。由于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环境中执行任意命令。1.2 1.2 CVECVE-20182

44、 公式编辑器漏洞公式编辑器漏洞 该漏洞与它的上一代 CVE-2017-11882 一脉相承，同属于 Microsoft Office 中的 EQNEDT32.EXE 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 26 公式编辑器的漏洞。该漏洞又被称为“噩梦公式”,源于对象在内存中的处理不当（微软 Office 内存破坏漏洞），当用户打开特制的嵌有公式编辑器对象的 Office 文档时会直接触发漏洞导致任意代码执行。1.1.3 3 CVECVE-20172017-17215 HG53217215 HG532 远程命令执行漏洞远程命令执行漏洞 2017 年 11

45、 月份 Check Point 团队报告了国内某产品的远程命令执行漏洞(CVE-2017-17215),漏洞原理是利用 upnp 服务器中的注入漏洞来实现远程执行任意代码，已发现的针对该漏洞的攻击利用是 Mirai 的升级变种。1.4 1.4 CVECVE-2 2017017-0147 Windows SMB0147 Windows SMB 协议漏洞协议漏洞 MS17MS17-010010 2017 年 5 月份 Shadow Brokers 公布了他们从 Equation Group 窃取的黑客工具，其中包含“永恒之蓝”等多个 MS17-010 漏洞利用工具。MS17-010 对应 CVE-

46、2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多个 SMB 漏洞。这份工具的泄露直接导致了后来 WannaCry 病毒的全球爆发，包括中国在内的至少 150 多个国家，30 多万用户中招，并且金融、能源、医疗等众多行业皆受影响，据统计其造成损失高达 80 亿美元。此后各种利用 MS17-010 漏洞的病毒疯狂增长，影响深远。1.5 1.5 CVECVE-20102010-2568 2568 WindowsWindows LNKLNK 快捷方式漏洞快捷方式漏洞 该漏洞影响 Wind

47、ows XP SP3、Server 2003 SP2、Vista SP1 和 SP2、Server 2008 SP2 和 R2 及Windows 7。Windows 没有正确地处理 LNK 文件，特制的 LNK 文件可能导致 Windows 自动执行快捷方式文件所指定的代码。1.6 1.6 CVECVE-20152015-0003 Win32k0003 Win32k 提权漏洞提权漏洞 该漏洞是由于 Windows 的 win32k.sys 模块存在对用户层参数验证不完全，导致其存在窗口处理函数的空指针解引用(Null Pointer Dereference)异常问题。如果对漏洞有效利用，攻击者

48、可以实现权限提升。1.7 1.7 CVECVE-20172017-0199 Microsoft Office0199 Microsoft Office 逻辑漏洞逻辑漏洞 该漏洞主要是 Word 在处理内嵌 OLE2Link 对象，并通过网络更新对象时，没有正确处理 Content-Type 所导致的一个逻辑漏洞。其利用 Office OLE 对象链接技术，将包裹的恶意链接对象嵌在文档中，Office 调用 URL Moniker 将恶意链接指向的 HTA 文件下载到本地，URL Moniker 通过识别响应 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 27 头中 Content-

49、type 的字段信息，调用 mshta.exe，执行已下载到的 HTA 文件。1.8 1.8 C CVEVE-2 2016016-7255 Win32k 7255 Win32k 特权提升漏洞特权提升漏洞 如果 Windows 内核模式驱动程序无法正确处理内存中对象，则会存在多个特权提升漏洞。成功利用该漏洞的攻击者，可以在内核模式下运行任意代码并安装恶意程序，查看、更改或删除用户数据，同时创建拥有完全用户权限的新账户。1.9 1.9 CVECVE-20222022-30190 Microsoft Office MSDT30190 Microsoft Office MSDT 远程代码执行漏洞远程代

50、码执行漏洞 2022 年 5 月 30 日微软公布 CVE-2022-30190 漏洞，该漏洞使用 Microsoft Word 远程模板功能链接到恶意 HTML 文件，当 Winword.exe 程序处理恶意 HTML 文件中 JS 代码时，认定使用到“ms-msdt”协议 URL，转而启动 msdt.exe 程序处理该 URL，从而导致 URL 中 powershell 命令执行。1.10 1.10 CVECVE-20 Microsoft Exchange Server Microsoft Exchange Server 远程代码执行漏洞远程代码执行漏洞

51、该漏洞是 Exchange 中的任意文件输入漏洞。在需要进行身份认证后，攻击者可以利用该漏洞将文件写入服务器上的任何路径，并结合利用 CVE-2021-26855 SSRF 漏洞绕过权限认证，构造恶意请求，在系统上写入任意文件。2.2.20222022 年年最热漏洞分析最热漏洞分析 2.1 2.1 CVECVE-20222022-30190 Microsoft Office MSDT30190 Microsoft Office MSDT 远程代码执行漏洞远程代码执行漏洞 2022 年 5 月 30 日微软公布 CVE-2022-30190 漏洞，该漏洞使用 Microsoft Word 远程模

52、板功能链接到恶意 HTML 文件，当 Winword.exe 程序处理恶意 HTML 文件中 JS 代码时，认定使用到“ms-msdt”协议 URL，转而启动 msdt.exe 程序处理该 URL，从而导致 URL 中 powershell 命令执行。2.2 2.2 CVECVE-20222022-0847 Linux0847 Linux 内核提权漏洞内核提权漏洞 Linux 内核中的一个权限提升漏洞（CVE-2022-0847，也称为“Dirty Pipe”），允许非特权用户注入和覆盖任意只读文件中的数据，导致权限提升，并最终获得 root 权限。该漏洞影响了 Linux Kernel 5.

53、8 及更高版本，甚至影响了 Android 设备。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 28 2.3 2.3 CVECVE-20222022-22965 Spring22965 Spring 远程代码执行漏洞远程代码执行漏洞 2022 年 3 月，VMware Tanzu 发布漏洞报告，Spring Framework 存在远程代码执行漏洞。Spring是一个开源框架，由 Rod Johnson 创建,用于简化 Java 企业级应用的开发难度和开发周期。该漏洞在 JDK 9+上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的

54、远程代码执行(RCE)的攻击。2.4 2.4 CVECVE-20 打印服务特权提升漏洞打印服务特权提升漏洞 2022 年 2 月，微软修补了 CVE-2022-21999 漏洞。Windows Print Spooler 打印机的本地提权漏洞，在目标主机有 spoolsv.exe 进程的情况下，经过身份认证的本地攻击者可通过在目标系统上运行特制程序来利用此漏洞，能获取到 system 权限。2.5 2.5 CVECVE-20 打印服务特权提升漏洞打印服务特权提升漏洞 2022 年 2 月，微软修补了 CVE-2022-2271

55、8 漏洞，该漏洞会影响未知部件的组件 Print Spooler。手动调试的不合法输入可导致一个未知缺陷，从而引发 Windows Print Spooler 打印机的本地提权。2.6 2.6 CVECVE-20222022-21882 Windows21882 Windows 权限提升权限提升漏洞漏洞 该漏洞为 Windows 系统的一个本地提权漏洞，由于 Win32k 驱动程序下的一个类型混淆所导致的引用到错误的数据，从而产生内存读写越界，攻击者可以利用该漏洞在获得权限的情况下，构造恶意数据执行本地权限提升攻击，最终获得服务器最高权限。2.7 2.7 CVECVE-20222022-261

56、34 Confluence 26134 Confluence 远程代码执行漏洞远程代码执行漏洞 2022 年 6 月 3 日，Atlassian 官方发布官方公告，披露 CVE-2022-26134 Confluence 远程代码执行漏洞。该漏洞允许远程攻击者在未经身份验证的情况下，构造 OGNL 表达式进行注入，实现在Confluence Server 或 Data Center 执行任意代码。2.8 2.8 CVECVE-20222022-1985 WordPress Plugin 1985 WordPress Plugin 跨站脚本漏洞跨站脚本漏洞 WordPress plugin Wo

57、rdPress Download Manager 3.2.00 到 3.2.42 版本存在跨站脚本漏洞，该漏洞源于对/src/Package/views/shortcode-iframe.php 脚本中 frameid 参数中用户提供的数据的清理不足。远程攻击者利用该漏洞可执行跨站点脚本（XSS）攻击。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 29 2.9 2.9 CVECVE-20222022-29464 WSO229464 WSO2 文件上传漏洞文件上传漏洞 WSO2 文件上传漏洞（CVE-2022-29464）是 Orange Tsai 发现的 WSO2 上的严重漏洞。该

58、漏洞是由于 WSO2 存在路由对输入的内容过滤不严格，攻击者可以利用该漏洞在未授权的情况下，构造恶意数据执行文件上传攻击，最终获取服务器最高权限。2.10 2.10 CVECVE-20222022-24521 Windows 24521 Windows 通用日志文件系统权限提升漏洞通用日志文件系统权限提升漏洞 Windows Common Log File System Driver 中存在权限提升漏洞，普通用户权限的本地攻击者可利用该漏洞提升至 SYSTEM 权限，最终可实现在目标系统上任意执行代码，且无需用户交互。目前该漏洞已被监测到存在在野利用。CVSS 评分为 7.8。（三三）2022

59、2022 年年全球全球 APTAPT 攻击事件解读攻击事件解读 1.1.威胁组织威胁组织 APTAPT-C C-2323 1 1.1.1 介绍介绍 APT-C-23（中文名：双尾蝎）是一个至少从 2016 年开始对目标进行网络攻击的威胁组织。该组织主要目的是信息盗窃和间谍活动，具备针对 Windows 与 Android 双平台的攻击能力。该组织长期针对中东地区，特别是巴勒斯坦进行攻击，涉及行业多为政府、教育、军事等重要领域。2022 年 1月份，瑞星威胁情报中心捕获到了一起与该组织相关的攻击事件。1 1.2.2 攻击事件攻击事件 此次攻击事件是以中东地区阿拉伯语国家为目标，通过以互联网盈利为

60、噱头展开的攻击行动。攻击者利用社交媒体或自建的钓鱼网站对目标投递了名为“Profit from the Internet.docx”的诱饵文档，文档内容显示为阿拉伯语文字，因此猜测攻击目标为阿拉伯语国家。该文档内容主要是关于“如何通过互联网盈利”，以此来诱骗目标用户点击运行，一旦诱饵文档被打开，恶意程序便会在后台开展信息收集、远程服务器通信等恶意行为，从而达到窃取机密信息的目的。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 30 图：诱饵文档内容及译文 2.2.威胁组织威胁组织 LazarusLazarus GroupGroup 2 2.1.1 介绍介绍 Lazarus Group

61、是一个自2007 年就开始对目标进行网络攻击的威胁组织，该组织又被称为 Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc 和 Nickel Academy 等，是现今最活跃的威胁组织之一。Lazarus Group 来自朝鲜，具有国家背景。其除了擅长信息盗取、间谍活动外，还会蓄意破坏受害者操作系统以此来获取经济利益，已经攻击过的国家包括中国、德国、澳大利亚、日本等，涉及的领域有航空航天、政府、医疗、金融和媒体等。2022 年 4 月份，瑞星威胁情报平台捕获到了一起与该组织相关的攻击事件。2 2.1.1 攻击事件攻击事件 在此次

62、攻击事件中，Lazarus 组织通过伪造的国际知名军工企业洛克希德 马丁公司的高级职务招聘文件作为诱饵，向军工领域从业人员投放名为“LMCO_Senior Systems Engineer_BR09.doc”的文档，以此诱骗目标用户点击查看。而该文档内容则显示为乱码，其目的就是为了诱导用户点击“启用内容”，一旦用户点击启动了这个宏代码，后台就会释放并执行内嵌于文档中的恶意程序，开启攻击行为。攻击者最终达到窃取机密信息、远程控制的目的。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 31 图：诱饵文档 3.3.威胁组织威胁组织 PatchworkPatchwork 3 3.1.1 介绍

63、介绍 Patchwork 是一个至少从 2015 年就开始进行网络攻击的 APT 组织，疑似来自印度。这个 APT 组织还有“摩诃草”、Dropping Elephant、Chinastrats、APT-C-09、Quilted Tiger 和 ATK 11 等称谓。该组织主要从事信息窃取和间谍活动，其针对的目标包含了中国，巴基斯坦、日本、英国和美国等多个国家，涉及的目标行业多为航空、国防、能源、金融、IT 和政府等。攻击手法有投递恶意宏文档，利用钓鱼网站和使用 esp 漏洞（CVE-2017-0261）等。2022 年 6 月份，瑞星威胁情报平台捕获到了两起与该组织相关的攻击事件，针对目标均

64、为巴基斯坦旁遮普政府。3 3.2.2 攻击事件攻击事件 在这两起攻击行动中，攻击者通过钓鱼邮件向目标发送名为Reduction of working days.rtf和Recruitment of officials on deputation basis2.rtf的诱饵文档，内容为旁遮普政府劳动和人力资源部，及总监测评估规划与发展委员会的登记表，表内不仅需要填写姓名、CNIC 编号、邮箱以及联系方式等隐私信息，还带有 CVE-2017-11882 Office 远程代码执行漏洞。利用假冒的旁遮普政府劳动和人力资源部、规划与发展委员会登记表，诱使目标打开并释放远程控制木马，以达到窃密及远控的目

65、的。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 32 图：诱饵文档 4.4.威胁组织威胁组织 MuddyWaterMuddyWater 4 4.1.1 介绍介绍 MuddyWater 是伊朗的 APT 组织，主要针对中东地区、欧洲和北美地区，目标主要是政府、电信和石油部门，具有强烈的政治目的。该 APT 组织显著的攻击特点为善于利用 Powershell 等脚本后门，通过 Powershell 在内存中执行，可以减少恶意文件落地执行。据悉，该组织自 2017 年 11 月被曝光以来，不但没有停止攻击，反而更加积极地改进攻击武器，在土耳其等国家持续活跃。2022 年2 月份，有安全

66、研究人员捕获到该组织针对土耳其政府部门最新的攻击行动。4 4.2.2 攻击事件攻击事件 此次攻击事件中，MuddyWater 组织使用恶意的 PDF 和 Office 文档作为初始攻击武器，将这些恶意文档伪装成土耳其卫生和内政部的合法文件，通过鱼叉式钓鱼邮件等方式进行投递。Office 文档内嵌有恶意的 VBA 宏，而 PDF 文档则包含一个嵌入式按键，诱骗用户单击该按键以获取位于远程服务器上的 XLS 文件，而此文件同样带有恶意的 VBA 宏。宏代码则负责实现下载，部署攻击者分发的其他恶意程序，同时攻击者在此活动中使用了 canary 令牌来跟踪代码执行和邻近系统上的后续感染情况。一旦诱饵文

67、档内嵌的恶意宏代码启动后，将从远程服务器下载并执行 Powershell 脚本程序，该脚本负责本地信息窃取、内部横向感染等功能。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 33 图：攻击流程图 5.5.威胁组织威胁组织 BitterBitter 5 5.1.1 介绍介绍 Bitter 是一个至少从 2013 年就开始进行网络攻击的 APT 组织，疑似来自南亚。该组织又称 TAPT-17，主要是从事信息窃取和间谍活动，其针对的目标包含中国、巴基斯坦、沙特阿拉伯、印度等多个国家，涉及的目标行业多为能源、工程和政府部门等。2022 年 5 月份，有安全厂商报道了与其相关的安全事件。5

68、5.2.2 攻击事件攻击事件 此次攻击事件中，研究人员发现了一起长期针对孟加拉国政府的攻击活动，根据相关 C2 地址与过去的活动重叠、字符串加密共性和模块命名方案等特性将此活动归咎于 Bitter 组织。攻击者在活动中均以鱼叉式钓鱼邮件为初始攻击武器，通过伪装成巴基斯坦政府组织的邮箱发送给孟加拉国政府部门。其中，向孟加拉国警察快速行动营(RAB)的高级官员发送的邮件中，附带有恶意代码的 RTF文档和含有漏洞的 Excel 文档，一旦受害者打开恶意文档，攻击者便会利用文档漏洞成功执行恶意的 shellcode，进而从托管服务器下载一款名为“ZxxZ”的木马，在受害者的主机上运行。该木马伪装成 W

69、indows 安全更新服务，攻击者可利用其远程执行任意代码，并安装其他远程控制工具。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 34 图：钓鱼邮件内容 6.6.威胁组织威胁组织 KimsukyKimsuky 6.16.1 介绍介绍 Kimsuky 是一个至少从 2012 年就开始对目标进行网络攻击的威胁组织，该组织又名 Velvet Chollima、Thallium、Black Banshee 以及 ITG16。Kimsuky 组织疑似来自朝鲜，背后由国家支持。这个组织主要目的是信息盗窃和间谍活动，其攻击目标包括韩国和美国等，涉及行业多为国防、教育、能源、政府、保健等领域。20

70、22 年 8 月份，有安全厂商报道了与其相关的安全事件。6 6.2.2 攻击事件攻击事件 在此次攻击事件中，研究人员发现 Kimsuky 组织使用了被命名为 GoldDragon 的攻击武器，攻击了韩国的媒体和智囊机构。攻击者通过钓鱼邮件等方式向目标发送嵌入宏的 Word 文档，宏文档内容大多都与朝鲜半岛地缘政治问题相关。宏代码会利用 mshta.exe 进程执行 HTML 应用程序，以获取恶意的 Visual Basic 脚本。在此过程中，攻击者滥用合法的博客站点来托管恶意的 Visual Basic 脚本。这些 VBS 文件能够收集有关受感染机器的信息并下载其他有效载荷，最后释放一个 Wi

71、ndows 可执行文件格式的恶意软件，该软件可以窃取受害者各类信息，如文件列表、键盘记录和存储的 Web 浏览器登录凭据等。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 35 图：GoldDragon 感染链 7.7.威胁组织威胁组织 SideWinderSideWinder 7 7.1.1 介绍介绍 SideWinder，也称为 APT-C-17、响尾蛇。该 APT 组织疑似来源于印度，由国家支持，其最早活动可追溯到 2012 年。主要利用鱼叉式钓鱼、宏病毒文档等多种攻击手段，实现信息窃取和间谍活动。其目标主要针对亚洲国家，特别是巴基斯坦政府、军队和大型企业。2022 年 10

72、月份，有安全厂商披露了与该组织相关的攻击事件。7 7.2.2 攻击事件攻击事件 在此次攻击事件中，安全研究人员从巴基斯坦国家电力监管局（NEPRA）的官网上发现了一个名为“32-Advisory-No-32.iso”的 ISO 压缩文件，该文件由三个子文件组成，分别是：32-Advisory-No-32-2022.lnk、32-Advisory-No-32.2022.pdf 和 RtlAudioDriver.exe。其中 lnk 文件伪装成 pdf 图标以引诱受害者执行，在 lnk 文件执行后，将同时运行内容为巴基斯坦政府公文的诱饵 pdf 文件和恶意的 EXE 程序。其中名为 RtlAudi

73、oDriver.exe 的恶意程序被发现是 SideWinder 组织的新型攻击武器，被命名为 WarHawk 后门。该后门由四个模块组成，分别是下载和执行模块、命令执行模块、文件管理器 InfoExfil 模块和 C2 模块。该后门的主要特点是通过利用KernelCallBackTable 实现内核注入，以此躲过传统的安全防御技术，最终实现信息窃取和远程控制等功能。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 36 图：通过 LNK 文件执行恶意二进制和诱饵 PDF 8.8.威胁组织威胁组织 BlueNoroffBlueNoroff 8 8.1.1 介绍介绍 BlueNoroff

74、（又名：APT38）是一个专门以金融单位为目标，以窃取金钱为目的的攻击组织，疑似属于 Lazarus 组织的下属组织，最早于 2016 年被安全研究人员发现并命名。该组织通常利用 Word文档和快捷方式进行初步入侵，自被发现以来，其攻击活动持续活跃中。2022 年 12 月份，有安全研究人员捕获到该组织的攻击行动。8 8.2.2 攻击事件攻击事件 在此次攻击事件中，研究人员发现 APT38 组织采用了能够绕过 Windows Mark of the Web(MotW)保护的新技术。MotW 是指当用户试图打开从互联网下载的 Office 文件时，Windows 系统会在受保护的视图中打开它，这

75、会限制嵌入式宏的执行。但此次 APT38 通过使用光盘映像（.iso文件）和虚拟硬盘（.vhd 文件）来规避这项安全机制。本次事件发现的初始样本名为“Job_Description.vhd”的虚拟硬盘文件，该文件内嵌同名的.exe 和.pdf 文件，其中 exe 可执行文件为恶意程序，启动后可实现下载和 C2 通信功能，攻击者以此窃取目标信息。图：初始文件包含的恶意载荷 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 37 9.9.威胁组织威胁组织 APT37APT37 9 9.1.1 介绍介绍 APT37 组织是疑似由政府支持的攻击组织，至少从 2012 年开始就持续活跃。该组织长

76、期针对俄罗斯、韩国、日本等地区进行定向攻击活动，擅长使用社会热点话题对目标进行鱼叉式网络钓鱼攻击，如在 2016-2018 年间进行的破晓行动、黑夜行动、黄金事件等都归属于该组织。2022 年 12 月，有安全研究人员捕获到该组织利用韩国普通用户个人信息文件进行攻击的相关事件。9 9.2.2 攻击事件攻击事件 由于 Office 程序使用 IE 引擎来渲染 HTML 内容，所以当引擎中出现漏洞时，攻击者可利用相关漏洞在内存中执行任意的 HTML 代码，而在此次捕获到的攻击事件中，攻击者就是利用了 IE 浏览器漏洞 CVE-2022-41128 来针对韩国普通用户展开攻击。此次捕获的名为“221

77、031 Seoul Yongsan Itaewon accident response situation(06:00).docx”的文档，利用了当前韩国热门的梨泰院踩踏事件，通过鱼叉式钓鱼邮件、网络公共平台、个人通讯软件等手段进行分发。文档启动后会从远程服务器下载一个 RTF 远程模板，此模板为 CVE-2022-41128 漏洞利用程序，负责下载位于远程服务器上的 HTML 代码，之后利用漏洞在内存中执行以此实现信息窃取、远程控制等功能。图：诱饵文档 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 38 四、四、勒索勒索软件软件分析分析 （一）（一）勒索勒索软件软件概述概述 自

78、2017 年 5 月 WannaCry 勒索软件在全球范围大爆发后，勒索攻击就成为了企业面临的重大网络安全风险之一，勒索也就成为了黑客及攻击组织最常使用的攻击手段。越来越多的威胁组织在勒索的同时，采取文件窃取的方式来“绑架”企业的隐私文件，以历史攻击事件梳理来看这类“双重勒索”的方式确实卓有成效，极大提高了勒索软件敲诈赎金的得手机会。得益于产业链的分发模式以及勒索病毒惹眼的高额赎金，使得勒索病毒新晋家族层出不穷，而那些长久以来“霸榜”的勒索家族如 Lockbit 更是行动不断，攻击频发。在 2022 年，勒索软件随着云计算业务的发展趋势而转移目标，有越来越多公司业务迁移到虚拟机，而诸如 Bla

79、ckBasta、Hive 等勒索家族瞄准 Linux 服务器下虚拟机的勒索攻击活动也会在未来逐渐形成流行事态。不仅如此一些勒索病毒还参与到地缘性政治与军事战争中，而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目标。（二）（二）20222022 年度年度十大十大勒索软件勒索软件 2022 年，全球频发勒索攻击事件，政府、企业、教育、医疗、金融、航空等领域都成为勒索组织的攻击目标，以 Lapsus$、LockBit 为代表的勒索组织在过去的 12 个月里，发动了多起轰动全球的勒索攻击。瑞星根据勒索组织的破坏性、威胁性，以及企业的损失程度，评选出 2022 年十大勒索软件，并详细介绍这些

80、勒索软件的技术手段、攻击手法及相关勒索事件。1.1.Lapsus$Lapsus$1.11.1 介绍介绍 Lapsus$最早出现于 2021 年末，主要目标针对于大型企业。一经出现便展开狂热的攻势，一年之内数家知名企业“惨遭毒手”。该勒索在加密企业用户重要资料的同时还将窃取大量机密文件以及隐私信息并以此敲诈勒索受害企业。大量知名企业如英伟达、三星、微软等均遭受危害。1 1.2.2 攻击方式攻击方式 Lapsus$组织擅长通过暴破攻击、网络钓鱼、DDoS 攻击、注入攻击等手段进行入侵。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 39 1 1.3.3 攻击事件攻击事件 葡萄牙最大媒体集

81、团葡萄牙最大媒体集团 ImpresaImpresa 遭遭 Lapsus$Lapsus$勒索软件攻击勒索软件攻击 2022 年 1 月 2 日，葡萄牙最大的媒体公司 Impresa 遭到 Lapsus$组织的勒索攻击。此次被攻击的是 Impresa 旗下的网站 Expresso、报纸和电视台 SIC，受影响的是对 Impresa 运营至关重要的服务器基础设施，这导致该国最主要的电视频道 SIC 和周报 Expresso 服务暂时中断。Lapsus$组织声称勒索软件攻击已经导致 Impresa 的所有网站下线，而且还获得了 Impresa 的亚马逊网络服务账户的访问权限。图：Lapsus$组织发布

82、的勒索信 英伟达英伟达 7100071000 名员工凭证被泄露名员工凭证被泄露 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 40 2022 年 2 月 26 日，英国每日电讯报首先披露，英伟达遭重大网络攻击，内部网络已被渗透。与此同时黑客组织 Lapsus$在推特上承认对这次攻击事件负责,并向英伟达索取金钱。3 月 1 日Lapsus$发声要求英伟达将所有显卡的 Windows、MacOS 以及 Linux 版本驱动永久开源，如果英伟达不配合,Lapsus$就公开英伟达现有以及之后显卡的所有信息。3月2日数据泄露检测网站HIBP证实，黑客窃取的 7 万多份员工信息已经被完全泄露。

83、图：英伟达官方确认员工信息遭到泄露 三星遭黑客攻击三星遭黑客攻击 190G190G 机密数据泄露机密数据泄露 2022 年 3 月 7 日，三星电子遭南美黑客组织 Lapsus$攻击,导致大量机密数据外泄。报道称，该批资料近 190GB，被拆分为三个压缩文件，通过点对点网络供外界下载。该黑客组织称，泄露的数据包括：用于敏感操作的三星 TrustZone 环境中安装的每个受信任小程序（TA）的源代码（例如硬件加密、二进制加密、访问控制）、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码等。三星发言人表示：“我们最近被告知存在与某些公司内部数据相关的安全漏洞。发现事件后，我们立即加强

84、了安全系统。根据我们的初步分析，此次泄露涉及一些与 Galaxy 设备运行相关的源代码，但不包括我们消费者或员工的个人信息。”北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 41 图：Lapsus$勒索团伙分享三星被盗数据中源代码图像 微软证实遭黑客微软证实遭黑客 Lapsus$Lapsus$入侵入侵 2022 年 3 月 22 日，微软公司证实，黑客组织 Lapsus$获得了该公司系统的有限访问权限。此前，Lapsus$声称成功入侵了微软的系统，并获得了 Bing、Cortana 和其他项目的源代码。而后，该黑客组织发布了一份 9gb 7zip 压缩包的种子文件，其中包含了他们声称

85、属于微软的 250 多个项目的源代码。相关人士称，这个未压缩的存档文件大约有 37GB。微软表示，他们正在调查 Lapsus$数据勒索黑客组织入侵其内部 Azure DevOps 源代码库并窃取数据的指控。图：Lapsus$泄露的微软 Azure DevOps 账户屏幕截图 UberUber 指控近期发生的安全事件是曾黑入微软及三星的指控近期发生的安全事件是曾黑入微软及三星的 Lapsus$Lapsus$所为所为 2022 年 9 月 15 日，一名 18 岁的黑客称成功入侵 Uber 系统，下载了 HackerOne 的漏洞报告，并分享了 Uber 内部系统、邮件和 slack 服务器的截图

86、。Uber 说明，整起事件是一名 Uber EXT 约聘人员账号被黑而起。根据 Uber 说明，可能是该约聘员工个人设备感染恶意程序，致其账密外流，而后被黑客自地下网站购得。19 日，Uber 称，此事是由 Lapsus$黑客组织所为，该公司强调黑客并未访问对外运营系统或用户账号，也未访问该公司存储的用户个人信息。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 42 图：Uber 发布的声明 盗取盗取GTA6GTA6代码或为黑客组织代码或为黑客组织 Lapsus$Lapsus$行为行为 2022 年 9 月 18 日，美国游戏公司 Rockstar Games（即“R 星”）正在开发

87、的游戏侠盗猎车手6（GTA6）中大量情报遭到了泄露。泄露者 teapotuberhacker 在海外论坛公开了多达 90 多段、总计 3.4GB 的GTA6视频片段，以及近 1 万行源代码。随后，R 星发布公告，证实其的确遭到网络入侵，并称黑客非法访问和下载了机密信息，其中就包含了GTA6的早期开发视频。一名 17 岁的英国少年被认为是攻击GTA6的犯罪嫌疑人，并已被伦敦警方逮捕并出庭受审。据悉，该少年是Lapsus$黑客组织的成员，该组织曾攻击了微软、三星、Uber 等大型公司。2.2.LockbitLockbit 2 2.1.1 介绍介绍 LockBit最早出现在 2019年下半年，使用

88、Raas商业模式推广勒索，在 LockBit2.0 使用 StealBit窃密木马进行数据窃取，建立属于自己的数据泄露网站，最快可从受感染的主机 20 分钟下载近 100GB数据。LockBit3.0 中提高了对抗安全软件的能力。后期又采用“双重勒索”的策略来敲诈受害者。2 2.2.2 攻击方式攻击方式 LockBit 通常使用 RDP 弱口令爆破的方式进行入侵，通过钓鱼邮件以及程序漏洞进行攻击。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 43 2 2.3.3 攻击事件攻击事件 加拿大空军关键供应商加拿大空军关键供应商遭勒索攻击，疑泄露遭勒索攻击，疑泄露 44GB44GB 内部数

89、据内部数据 2022 年 5 月 11 日，加拿大、德国军方的独家战机培训供应商 Top Aces 透露，已遭到 LockBit勒索软件攻击；LockBit 团伙的官方网站已经放出要求，如不支付赎金将公布窃取的 44GB 内部数据。安全专家称，针对国防相关企业的攻击令人担忧，即使当前攻击背后只是一群以营利为目的的黑客，他们仍有可能将数据以出售或其他形式提供给对手国家政府。图：LockBit 发布的受害者信息 富士康墨西哥工厂遭勒索软件攻击富士康墨西哥工厂遭勒索软件攻击 2022 年 6 月 3 日，富士康公司确认其位于墨西哥的一家生产工厂在 5 月下旬受到勒索软件攻击 北京瑞星网安技术股份有限

90、公司北京瑞星网安技术股份有限公司 44 的影响，勒索软件组织 LockBit 声称对此负责。根据富士康的通告，勒索软件组织 LockBit 在 5 月31 日发起了攻击，威胁要泄露从富士康窃取的数据，除非富士康在 6 月 11 日之前支付赎金。LockBit的赎金要求未知，也没有透露任何失窃数据的信息，由于富士康为许多品牌代工各种消费电子产品，LockBit2.0 很可能已经窃取了技术原理图和图纸等机密知识产权信息。图：LockBit 网站显示数据泄露倒计时 数字安全巨头数字安全巨头 EntrustEntrust 被勒索软件团伙攻陷被勒索软件团伙攻陷 2022 年 7 月 21 日，据 Ble

91、epingComputer 最新报道，数字安全巨头 Entrust 已经证实遭受了网络攻击，威胁者破坏了他们的网络并从内部系统窃取了数据。根据被盗的数据，这种攻击可能会影响大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。而后，LockBit 组织宣布对本次攻击负责。因双方谈判破裂，LockBit 计划泄露从 Entrust 窃取到的 30 张截图，包括法律文件、会计和营销数据。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 45 图：Entrust 公司 CEO 发给客户的安全事件通告 意大利税务局疑遭勒索软件攻击，意大利税务局疑遭勒索软件攻击，78GB78GB 数

92、据失窃数据失窃 2022 年 7 月 25 日，意大利晚邮报报道，勒索软件团伙 Lockbit 声称已经入侵了意大利税务局（Agenzia delle Entrate），从中窃取了约 78GB 数据，其中包括公司文件、扫描件、财务报告和合同，并发布了文件和样本截图，并威胁意大利税务局在 5 天内支付赎金，否则他们就将公布盗取的全部数据。图：LockBit 发布在网站上的通告 洲际酒店集团遭网络攻击预订系统瘫痪洲际酒店集团遭网络攻击预订系统瘫痪 2022 年 9 月 7 日，酒店业巨头洲际酒店集团（IHG）发布公告称其信息技术系统自本周初遭到破坏后已中断。虽然洲际酒店集团没有透露有关攻击的任何细

93、节，但在报告中提到了正在努力恢复受影响的系统。这表明洲际酒店集团遭受的可能是勒索软件攻击，而且攻击者已经在其网络上成功部署了勒索软件有效负载和加密系统。8 月份，Lockbit 勒索软件组织曾声称对洲际酒店集团旗下酒店之一伊斯坦布尔卡德柯伊假日酒店发起了攻击，并窃取了数据。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 46 图：LockBit 发布的通告 勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据 2022 年 11 月初，法国航空航天、国防与安全巨头泰雷兹集团发布声明称，勒索软件团伙 LockBit公布了与该公司有关的数 GB 数

94、据，但集团自身并未发现 IT 系统遭受入侵的证据。网络犯罪组织LockBit 于 10 月 31 日发布了一个 9.5GB 大小的归档文件，其中明确包含来自泰雷兹集团的信息。黑客此前曾宣布，除非泰雷兹方面支付赎金，否则他们将公开文件内容。泄露的文件似乎包含技术和集团业务文件。黑客方面称已掌握涉及公司运营的高度敏感信息，以及商业文件、会计文件、客户文件、客户结构图和软件。图：LockBit 组织发布的泰雷兹集团信息 德国汽车巨头大陆集团遭德国汽车巨头大陆集团遭 LockBitLockBit 勒索软件组织攻击勒索软件组织攻击 2022 年 11 月 3 日，勒索软件组织 LockBit 宣布对德国

95、跨国汽车集团大陆集团（Continental）发动了网络攻击。LockBit 声称，他们窃取了大陆集团系统中的一些数据，如果不能在 11 月 4 日 15:45:36（北京时间 23:45:36）之前收到赎金，他们将在数据泄露网站上公开这些数据，LockBit 尚未透露赎金的具体金额，以及窃取数据的具体时间及其他任何细节。图：LockBit 发布在网站上的通告 勒索软件组织控制加拿大城镇勒索软件组织控制加拿大城镇 WestmountWestmount 以索取赎金以索取赎金 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 47 2022 年 11 月 21 日，加拿大魁北克小城 Wes

96、tmount 发布消息称，由于不明原因的计算机中断，该市的电子邮件服务无法使用。后证实此次中断还影响了其他市政服务，并且源于有针对性的网络攻击。LockBit 组织声称对此次攻击负责，并表示已成功下载 14TB 的敏感数据，该组织表示如果在接下来的两周内未支付赎金，他们将公布被盗数据。图：LockBit 组织发布的通告 3.3.HiveHive 3.13.1 介绍介绍 Hive 最早活跃于 2021 年 6 月，其攻击主要针对于政府机构、通信、关键制造、信息技术以及医疗和公共健康。Hive 采用“双重勒索”的方式实施敲诈。最新的变种已有针对于 Linux VMware ESXi加密的能力。3.

97、23.2 攻击方式攻击方式 Hive 通常使用 RDP 弱口令爆破的方式进行入侵，并通过钓鱼邮件以及利用程序漏洞传播。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 48 3.33.3 攻击事件攻击事件 某汽车供应商系统在两周内被某汽车供应商系统在两周内被 HiveHive 等三个勒索团伙攻击等三个勒索团伙攻击 2022 年 8 月 10 日，Sophos 透露某汽车供应商的系统在两周内被三个勒索团伙 LockBit、Hive 和BlackCat攻击。LockBit和Hive勒索软件的有效载荷在两小时内利用合法的PsExec和PDQ Deploy 工具在整个网络中分发，在每次攻击中加

98、密了十多个系统，与 LockBit 关联的攻击组织还窃取了数据并将其外流到 Mega 云存储服务。两周后，BlackCat 攻击者也连接到了被 LockBit 和 Hive 入侵的同一管理服务器。在安装了合法的 Atera Agent 远程访问解决方案后，攻击者获得了网络上的持久性，加密了六台机器，并删除了 Sophos 用来追溯这三个勒索软件团伙在受害者网络中活动的证据。图：被加密了 5 次的文件 印度塔塔电力公司遭网络攻击，部分印度塔塔电力公司遭网络攻击，部分 ITIT 系统受影响系统受影响 2022 年 10 月 14 日，印度头部电力企业塔塔电力证实其遭遇了网络攻击，对部分 IT 系统

99、造成了影响。10 月 25 日，Hive 勒索组织宣称对此次网络攻击负责，其成员声称从塔塔电力窃取了数据并对外公布数据截图，截图信息显示，被盗数据包括塔塔电力员工个人身份信息（PII）、国民身份 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 49 证（Aadhar）卡号、PAN（税务账户）号、工资信息、工程图纸、财务、银行记录和客户信息等。图：Hive 勒索组织泄露的塔塔电力信息 HiveHive 勒索组织公开受害者数据，法国体育零售商勒索组织公开受害者数据，法国体育零售商 IntersportIntersport 遭攻击遭攻击 2022 年 12 月 5 日，Hive 勒索组织对

100、外公布了在 11 月份对法国体育零售商 Intersport 的攻击中获得的客户数据。据法国世界报报道，黑客攻击数据包括法国北部商店的 Intersport 员工的护照信息、工资单、其他商店的离职和在职员工名单以及社会保险号码。La Voix Du Nord 报道说，黑客攻击发生在“黑色星期五”销售期间，使员工无法进入收银系统，迫使商店进行人工操作。图：Hive 勒索组织发布的通告 美国路易斯安那美国路易斯安那州医院遭勒索攻击，州医院遭勒索攻击，2727 万名患者信息泄露万名患者信息泄露 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 50 2022 年 12 月 28 日，美国路易

101、斯安那州的查尔斯湖纪念医院(LCMHS)发出通告称，该院近期发生了一起网络勒索攻击事件，近 27 万名患者信息遭到泄露。LCMHS 网站公告称，数据泄露发生在 2022年 10 月 21 日，当时安全团队检测到了计算机网络上存在异常活动。在 10 月 25 日结束的一项内部调查显示，攻击者获得了对 LCMHS 网络的未授权访问权限，并窃取了敏感文件。这些文件包含患者信息，如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。Hive 勒索软件组织于 2022 年 11 月 15 日在其数据泄露网站上列出了 LCMHS，声称加密发生在 2022 年 10 月 25 日，即 LCMH

102、S 报告首次检测到网络入侵的四天后。图：Hive 勒索软件组织发布的通告 4.4.RansomHouseRansomHouse 4 4.1.1 介绍介绍 RansomHouse 最早活跃于 2021 年，该组织采用“双重勒索”的敲诈模式，主要针对攻击目标有医疗机构、制造业以及 IT 大型企业。同时开发有针对于 WMware ESXi 虚拟机的勒索软件的 Linux 版本加密软件。4 4.2.2 攻击方式攻击方式 RansomHouse 通常使用 RDP 弱口令爆破件以及通过钓鱼邮件、程序漏洞的方式进行入侵。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 51 4 4.3.3 攻击事件

103、攻击事件 非洲最大连锁超市遭勒索团伙敲诈：非洲最大连锁超市遭勒索团伙敲诈：600GB600GB 数据失窃数据失窃 2022 年 6 月 10 日，非洲最大的连锁超市零售商 Shoprite 公司透露遭遇了一起安全事件，并向斯威士兰、纳米比亚及赞比亚的客户发出警告，表示他们的个人信息可能因此受到损害。该公司在声明中表示，此次泄露的数据包括个人姓名和身份证号码，但不涉及财务信息或银行账号。6 月 14 日，勒索软件团伙 RansomHouse 声称对此次攻击负责，并发布了一份据称从 Shoprite 窃取到的 600GB 数据的样本。图：RansomHouse 勒索网站已将 Shoprite 列为

104、受害者 RansomHouseRansomHouse 宣布盗取芯片制造巨头宣布盗取芯片制造巨头 AMD 450GBAMD 450GB 数据数据 2022 年 6 月底，RansomHouse 黑客组织声称，轻松登进了半导体巨头 AMD 的系统，并窃取了450GB 的数据，其中包括：网络文件、系统信息以及 AMD 密码。该勒索团伙已将 AMD 添加到了其数据泄露网站上，并表示 AMD 只使用了“简单的密码”来保护其网络。该团伙不加密数据，而是专注于数据盗窃以加快其活动，这意味着没有感染 AMD 系统，而一旦获得对其网络的访问权，就会窃取内部数据。图：RansomHouse 团伙公开 AMD 泄露

105、数据 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 52 5.5.BlackCBlackCatat 5 5.1.1 介绍介绍 BlackCat 于 2021 年 11 月首次被发现，该勒索病毒曾在俄语黑客论坛进行过公开推广。使用RaaS 商业模式进行分发，同时使用“双重勒索”的敲诈手法，该勒索软件通过命令行调用，可灵活配置绝大部分参数。最新的变种已有针对于 Linux VMware ESXi 加密的能力。5 5.2.2 攻击方式攻击方式 BlackCat 通常使用 RDP 弱口令爆破的方式以及程序漏洞进行入侵。5 5.3.3 攻击事件攻击事件 国际航空重要供应商遭勒索软件攻击，航空

106、业已成为勒索主要目标国际航空重要供应商遭勒索软件攻击，航空业已成为勒索主要目标 2022 年 8 月 23 日，作为服务全球多家大型航空公司的技术提供商 Accelya 表示，近期刚刚遭遇勒索软件攻击，部分系统已经受到影响，内部数据已被发布至专门的勒索泄密网站。Accelya 的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。8 月 18 日，AlphV/BlackCat 勒索软件团伙公布了据称窃取自 Accelya 的数据，包含电子邮件、员工合同等内容。哥伦比亚能源供应商哥伦比亚能源供应商 EPMEPM 遭受遭受 BlackCatBlackCat

107、勒索软件攻击勒索软件攻击 2022 年 12 月 12 日，哥伦比亚能源公司 Empresas Pblicas de Medelln(EPM)遭受了BlackCat/ALPHV 勒索软件攻击，扰乱了公司的运营并中断了在线服务。BleepingComputer 看到了来自 EPM 攻击的加密器样本和赎金记录，确认它们来自 BlackCat 勒索软件操作。智利安全研究员 Germn Fernndez 发现了 BlackCat 的“ExMatter”数据窃取工具的最新样本，该样本是从哥伦比亚上传到恶意软件分析站点的。当该工具运行时，它会从网络上的设备窃取数据，并将其存储在攻击者控制的服务器上的文件夹

108、中，该文件夹以被盗的 Windows 计算机名称命名。在来自哥伦比亚的 ExMatter变体中，数据被上传到以“EPM-”开头的各种文件夹中。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 53 图：BlackCat 勒索软件的赎金记录 6.6.MauiMaui 6 6.1.1 介绍介绍 Maui 勒索软件最早发现于 2021 年 4 月，重点针对美国的医疗保健组织。主要加密医疗行业的服务器，其中包含大量电子健康记录，医疗成像和所有内部网络资源。该勒索目前疑似与朝鲜 APT 组织 Andariel 有所关联。6 6.2.2 攻击方式攻击方式 Maui 通过钓鱼邮件、漏洞利用和远程桌面

109、协议（RDP）暴力破解等方式传播，并利用漏洞及黑客工具实现内网横向移动。6 6.3.3 攻击事件攻击事件 美声称朝鲜黑客正利用美声称朝鲜黑客正利用 MauiMaui 勒索软件攻击医疗保健机构勒索软件攻击医疗保健机构 2022 年 7 月 6 日，美联邦调查局（FBI）、网络与基础设施安全局（CISA）和财政部（DoT）警告称，有朝方背景的黑客组织，正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在发布的联合公告中，美政府机构指出，其发现相关黑客活动至少可追溯至 2021 年 5 月开始部署的 Maui 勒索软件。据悉，受害医疗保健机构的服务器资料会被加密，并波及电子健康记录、医

110、学成像和整个内网。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 54 图：网络与基础设施安全局（CISA）公告 7.7.Black BastaBlack Basta 7 7.1.1 介绍介绍 Balck Basta 发现自 2022 年 4 月，该组织曾在黑客地下论坛寻求美国、英国、加拉达、澳大利亚和新西兰的企业网络访问凭证相关交易，除此之外该组织可能与 Qakbot 木马存在一定关联性。而在 2022 年 6 月相继发现针对于 WMware ESXi 虚拟机的勒索软件的 Linux 版本。7 7.2.2 攻击方式攻击方式 Balck Basta 主要通过钓鱼邮件、漏洞利用和远程桌

111、面协议（RDP）暴力破解等方式传播，并利用漏洞及黑客工具实现内网横向移动。7 7.3.3 攻击事件攻击事件 跨国巨头遭勒索软件攻击：所有工厂正常运转，所有业务离线进行跨国巨头遭勒索软件攻击：所有工厂正常运转，所有业务离线进行 2022 年 7 月 21 日，德国建材巨头可耐福集团（Knauf Group）宣布已成网络攻击目标。其业务运营被攻击扰乱，迫使全球 IT 团队关闭了所有 IT 系统以隔离事件影响。名为 Black Basta 的勒索 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 55 软件团伙在其网站上发布公告，于 7 月 16 日将可耐福列为受害者。该勒索软件团伙还公布了

112、一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的 20%。目前已经有超过 350 名访问者访问了这些文件。图：Black Basta 勒索网站将可耐福列为攻击受害者 8.8.ContiConti 8 8.1.1 介绍介绍 Conti 最早发现于 2019 年，通过 Tor 建立网站，发布受害者信息以及窃取的数据文件。攻击所涉行业有制造、服务、建筑、金融、能源、医疗和政府组织机构。主要攻击集中在美国、意大利、德国、澳大利亚和法国。最初通过在黑客地下论坛以 RaaS 形式运营。8 8.2.2 攻击方式攻击方式 Conti 主要通过钓鱼邮件、漏洞利用和远程桌面协议（RDP）暴力破解等方式传播，

113、并利用漏洞及黑客工具实现内网横向移动。8 8.3.3 攻击事件攻击事件 苹果和特斯拉供应商台达电子遭勒索攻击苹果和特斯拉供应商台达电子遭勒索攻击 2022 年 1 月 21 日,苹果、特斯拉供应商台达电子（Delta Electronics）发布声明称受到一起勒索软件攻击，此次攻击与 Conti 勒索软件团伙有关，尽管台达电子方面宣称攻击并未影响其核心生产系统，然而有记者已获得一份内部事件报告副本，报告数据显示台达电子 1500 台服务器和 12000 台计算机已被攻击者加密，受影响设备占比约 20.8%，攻击者要求支付赎金 1500 万美元（约 9540 万元人民币）北京瑞星网安技术股份有限

114、公司北京瑞星网安技术股份有限公司 56 9.9.QuantumQuantum 9 9.1.1 介绍介绍 Quantum Locker 于 2021 年 7 月首次被发现。Quantum 勒索软件是 MountLocker 勒索软件的又一次更名，后者于2020年9月推出。从那时起，勒索团伙已将其行动进行多次重命名，包括AstroLocker、XingLocker，以及现在阶段的 Quantum Locker。采用“双重勒索”的敲诈模式，其拥有自己的数据泄露 TOR 网站 Quantum Blog。9 9.2.2 攻击方式攻击方式 Quantum 通常使用 RDP 弱口令爆破的方式以及程序漏洞进行

115、入侵。9 9.3.3 攻击事件攻击事件 北美国家政务机构遭勒索软件攻击，内部数据全部泄露北美国家政务机构遭勒索软件攻击，内部数据全部泄露 2022 年 8 月 18 日，北美洲的多米尼加共和国农业部下属机构 Instituto Agrario Dominicano（IAD）受到 Quantum 勒索软件攻击，导致该机构内多个服务及工作站被加密锁定。调查发现，本次攻击的幕后黑手是 Quantum 勒索团伙，他们最初开出 65 万美元赎金。黑客声称已经窃取到超过 1TB数据，并威胁称如果 IAD 不支付赎金，他们就把数据发布出去。图：Quantum 勒索组织发布的通告 北京瑞星网安技术股份有限公司

116、北京瑞星网安技术股份有限公司 57 10.10.PLAYPLAY 1 10.10.1 介绍介绍 PLAY 勒索软件（又名 PlayCrypt），至少从 2022 年 7 月中旬以来一直处于活动状态。该组织在世界各地积累了源源不断的受害者。Play因攻击阿根廷科尔多瓦司法机构和德国连锁酒店“H-Hotels”而闻名。攻击主要针对拉丁美洲地区，巴西是他们的主要目标。此外还被观察到对印度、匈牙利、西班牙和荷兰发动攻击。1 10.20.2 攻击方式攻击方式 PLAY 通常使用 RDP 弱口令爆破的方式进行入侵，通过钓鱼邮件以及利用程序漏洞传播。1 10.30.3 攻击事件攻击事件 阿根廷司法机关遭史诗

117、级勒索攻击阿根廷司法机关遭史诗级勒索攻击 2022 年 8 月 13 日，阿根廷科尔多瓦法院的技术基础设施遭受了“Play”勒索软件攻击，攻击导致该司法机构关闭 IT 系统及其在线门户，停电还迫使该法院使用笔和纸来提交官方文件。消息人士称，这次攻击影响了司法机构的 IT 系统及其数据库，使其成为“历史上对公共机构最严重的攻击”。图：阿根廷科尔多瓦法院网站被关闭 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 58 五五、2 2023023 年网络安全年网络安全趋势趋势预测预测 （一）（一）APTAPT 组织攻击活动频繁组织攻击活动频繁 随着全球网络安全企业对 APT 攻击组织和 AP

118、T 攻击活动的持续关注，越来越多的国家级网络攻击被披露，从侧面反映出国家级 APT 攻击的活动频繁，通过捍卫网络安全来保护国家安全任重而道远。如何更早地、准确地在 APT 攻击的各个阶段中发现攻击者的痕迹，是未来网络安全行业重点要解决的问题。（二）企业成为勒索软件的最大受害者，勒索软件或全面附加数（二）企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取能力据盗取能力 2022 年，勒索软件的整体活跃度较去年有所下降，但仍有众多的国家政府及企业受到了勒索软件攻击，著名的勒索软件 BlackCat 和 LockBit 甚至在暗网罗列了受害者名单以昭告天下，这都表明勒索软件的攻击目标已经由个人

119、全面变成企业。这些企业一旦遭遇勒索软件攻击，轻则导致业务系统瘫痪、经济损失，重则带来社会性服务的停止，影响城市甚至国家正常运行。而企业迫于压力，只能尽快支付赎金寻求业务恢复，这对于攻击者来说，勒索的成功率和收益率都会明显提升。另外，从国内某企业遭遇勒索软件攻击的事件中可以看出，勒索软件为了保障自己的利益，已经将数据窃取作为辅助手段，一旦勒索不成功，便通过售卖数据获利。因此，以攻击企业为主、同时具备数据加密和数据盗取的勒索软件，已成为未来勒索攻击的主流。勒索软件针对组织的攻击，一般都伴随着前期的网络渗透，由于组织的攻击面远大于个人，做好网络安全防护工作难度也远高于个人，必须通过持续的网络安全投入

120、，建立网络安全综合治理体系，做好事前预防、事中阻断、事后调查三项工作，才能不断提高整体安全性。（三）（三）电子邮件依然是网络攻击的重要窗口电子邮件依然是网络攻击的重要窗口 电子邮件作为最为便捷、覆盖度和精准度都能兼顾的远程网络攻击手段，每年攻击案例持续保持在高位，2022 年也不例外。根据截获的恶意电子邮件统计显示，基于电子邮件的攻击目前主要集中于以下几个阶段：环境侦察(TA0043)：通过电子邮件以确定目标的活跃邮箱。资源开发(TA0042)：通过钓鱼邮件诱骗攻击目标泄露邮箱账户。初始访问(TA0001)：通过鱼叉攻击向目标投递恶意软件，试图由此获取控制权。目前，大部分的互联网电子邮件供应商

121、，都具备了此类恶意邮件的侦测能力，使用这些邮箱服务的企业或个人受到的威胁会有所缓解。但对于使用私有化企业邮箱服务的企业来说，提高电子邮 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 59 件基础设施的网络安全威胁侦测能力，及时发现和阻断恶意的、异常的电子邮件活动等方面，仍有待提升和加强改进，与时俱进地做好电子邮件安全。（四）高可利用性的“老”漏洞备受攻击者青睐（四）高可利用性的“老”漏洞备受攻击者青睐 根据 2022 年 CVE 漏洞利用率显示，利用简单、攻击成功率高的漏洞最为攻击者所青睐，攻击者选择的目标漏洞通常与漏洞的新老程度无关。这种现象的发生常与受害者没有及时更新带有漏洞的

122、软件有关，大量未更新的老旧软件会成为攻击者的首选利用目标。政府或企业应全面部署软件资产清点类的安全基础设施，掌握内部各类软件的使用和版本情况，及时更新或替换携带高危漏洞的老旧软件，一定程度上减小攻击面，从而减小网络安全风险。（五）对抗技术演变持续发展，传统技术备受挑战（五）对抗技术演变持续发展，传统技术备受挑战 面对越来越多样性的攻击形式，传统检测手段疲态尽显，目前大多数主流的安全公司已经分领域研究和应用人工智能技术，在未来五年内，人工智能技术将取代传统的特征、规则技术，成为主流的网络安全事件检测和风险评估技术，而攻击者也将从传统的对抗技术，转向同人工智能技术的对抗。北京瑞星网安技术股份有限公

123、司北京瑞星网安技术股份有限公司 60 （六）（六）开源软件生态投毒现象严重开源软件生态投毒现象严重 在 2022 年，全球最大的开源社区 Github 和 Python 官方软件包仓库都出现被“投毒”事件，而类似案例在这几年频繁出现，导致大量的开源软件中包含了“恶意”源代码，开源软件生态的可靠性、安全性引起了广泛的关注。目前主要的开源软件生态“投毒”现象包括：开源软件在某次更新后包含恶意代码，通过开源社区和软件仓库向开发者分发。开源社区和软件仓库被攻击，导致大量可靠的开源软件项目被植入恶意代码或被替换。宽松管理的软件仓库被包含恶意代码的软件包侵占，导致开发者接收到错误的软件包。由于开源软件及其

124、生态已成为现阶段软件开发过程中最重要的基础组件和设施，融入到了各个行业的软件开发过程中，因此软件开发者在自身软件中引入开源项目时务必谨慎，要确保开源软件的来源可靠，并保持持续性监测。相关行业也应积极推动开源生态监测系统、软件成分分析(SCA)、软件物料清单(SBOM)等安全手段和安全措施的应用，以帮助企业和开发者更好地规避、更快地解决开源软件带来的软件安全风险。附：附：20222022 年年国内重大网络安全政策法规国内重大网络安全政策法规 1.1.工业互工业互联网创新发展行动计划联网创新发展行动计划(2021( 年年)2022 年 1 月 13 日，工业和信息化部印发

125、工业互联网创新发展行动计划(2021-2023 年)，计划指出，我国工业互联网发展成效显著，2018-2020 年起步期的行动计划全部完成，部分重点任务和工程超预期，网络基础、平台中枢、数据要素、安全保障作用进一步显现。2021-2023 年是我国工业互联网的快速成长期。同时，计划提出工业互联网创新发展目标，其中包括新型基础设施进一步完善、融合应用成效进一步彰显、技术创新能力进一步提升、产业发展生态进一步健全和安全保障能力进一步增强。相关链接：https:/ 2.2.四部门发布互联网信息服务算法推荐管理规定四部门发布互联网信息服务算法推荐管理规定 2022 年 1 月 4 日，国家互联网信息办

126、公室、工业和信息化部、公安部、国家市场监督管理总局联合发布互联网信息服务算法推荐管理规定，自 2022 年 3 月 1 日起施行。规定明确了算法推荐服务提供者的信息服务规范，要求算法推荐服务提供者应当坚持主流价值导向，积极传播正能量，不得利用算法推荐服务从事违法活动或者传播违法信息，应当采取措施防范和抵制传播不良信息；规范开展互联网新闻信息服务，不得生成合成虚假新闻信息或者传播非国家规定范围内的单位发布 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 61 的新闻信息；不得利用算法实施影响网络舆论、规避监督管理以及垄断和不正当竞争行为。相关链接：https:/ 3.3.移动互联网应用

127、程序信息服务管理规定公开征求意见移动互联网应用程序信息服务管理规定公开征求意见 2022 年 1 月 5 日，国家互联网信息办公室对 2016 年 8 月 1 日正式施行的移动互联网应用程序信息服务管理规定进行了修订，并向社会公开征求意见。征求意见稿规定，应用程序提供者应当规范经营管理行为，不得通过虚假宣传、捆绑下载等行为，或者利用违法和不良信息诱导用户下载，不得通过机器或人工方式刷榜、刷量、控评，营造虚假流量；并提出，应用程序提供者应当坚持最有利于未成年人的原则，关注未成年人健康成长，履行未成年人网络保护各项义务，严格落实未成年用户账号实名注册和登录要求，不得以任何形式向未成年用户提供诱导其

128、沉迷的相关产品和服务。相关链接：http:/ 4.4.关于关于 IPv6IPv6 技术创新和融合应用试点名单的公示技术创新和融合应用试点名单的公示 2022 年 1 月 18 日，中央网信办、国家发展改革委、工业和信息化部、教育部、科技部、公安部、财政部、住房和城乡建设部、水利部、中国人民银行、国务院国资委、广电总局等部门共同组织开展 IPv6 技术创新和融合应用试点工作。经各省、自治区、直辖市和新疆生产建设兵团以及相关部门组织推荐、专家评审及复核，十二个部门确定了拟作为 IPv6 技术创新和融合应用综合试点城市和试点项目名单。鼓励此次未入选的申报城市和项目，继续探索创新，加快推动 IPv6

129、规模部署和应用。相关链接：http:/ 5.5.互联网信息服务深度合成管理规互联网信息服务深度合成管理规定公开征求意见定公开征求意见 2022 年 1 月 28 日，国家互联网信息办公室发布关于互联网信息服务深度合成管理规定（征求意见稿）公开征求意见的通知。意见提出，深度合成服务提供者应当加强深度合成信息内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核；建立健全用于识别违法和不良深度合成信息内容的特征库，完善入库标准、规则和程序；对违法和不良信息依法采取相应处置措施，并对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。相关链接：ht

130、tp:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 62 6.6.网络安全审查办法施行网络安全审查办法施行 2022 年 2 月 15 日，国家互联网信息办公室等十三部门联合修订发布的网络安全审查办法（以下简称办法）正式施行。办法将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确要求掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，同时完善了国家安全风险评估因素等内容。相关链接：http:/ 7.7.关于进一步规范移动智能终端应用软件预置行为的通告公关

131、于进一步规范移动智能终端应用软件预置行为的通告公开征求意见开征求意见 2022 年 2 月 16 日，工业和信息化部信息通信管理局会同国家互联网信息办公室网络安全协调局起草了关于进一步规范移动智能终端应用软件预置行为的通告（征求意见稿）。征求意见稿提出，移动智能终端预置应用软件应遵循依法合规、用户至上、安全便捷、最小必要的原则，按谁预置、谁负责的要求落实企业主体责任，依法维护用户知情权、选择权，保障用户合法权益。生产企业应确保除基本功能软件外的预置应用软件均可卸载，并提供安全便捷的卸载方式供用户选择。相关链接：https:/ 8.8.互联网弹窗信息推送服务管理规定（征求意见稿）互联网弹窗信息推

132、送服务管理规定（征求意见稿）公开征求公开征求意见意见 2022 年 3 月 2 日，国家互联网信息办公室发布关于互联网弹窗信息推送服务管理规定（征求意见稿）公开征求意见的通知。规定共计十条，并明确指出，在我国境内提供操作系统、终端设备、应用软件、网站等服务的，开展互联网弹窗信息推送服务时应当遵守本规定。根据规定，互联网弹窗信息推送服务，是指通过操作系统、终端设备、应用软件、网站等，以弹出消息窗口页面形式向互联网用户提供的信息推送服务。互联网弹窗信息推送服务提供者，是指提供互联网弹窗信息推送服务的操作系统、终端设备、应用软件、网站等所有者或者运营者。相关链接：http:/ 北京瑞星网安技术股份有

133、限公司北京瑞星网安技术股份有限公司 63 9.9.全国信安标委公布全国信安标委公布20222022 年网络安全国家标准需求清单年网络安全国家标准需求清单 2022 年 3 月 6 日，全国信息安全标准化技术委员会发布关于发布 2022 年度网络安全国家标准需求的通知。通知显示，为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国信息安全标准化技术委员会秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了 2022 年网络安全国家标准需求清单。清单共包含 34 项标准，其中制定标准 20 项，修订标准 14 项。相关链接：https:/ 10.1

134、0.车联网网络安全和数据安全标准体系建设指南发布车联网网络安全和数据安全标准体系建设指南发布 2022 年 3 月 7 日，工信部发布车联网网络安全和数据安全标准体系建设指南（以下简称指南），提出到 2023 年底，初步构建起车联网网络安全和数据安全标准体系；到 2025 年，形成较为完善的车联网网络安全和数据安全标准体系。根据指南，车联网网络安全和数据安全标准体系包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等 6 个部分共 20 类标准。相关链接：https:/ 11.11.未成年人网络保护条例（征求意见稿）公开征求意见未成年人网络保护条例（征

135、求意见稿）公开征求意见 2022 年 3 月 14 日，国家互联网信息办公室就未成年人网络保护条例（征求意见稿）（以下简称条例）再次公开征求意见。条例共七章六十七条，指出家庭、学校和其他教育机构应当教育引导未成年人参加有益身心健康的活动，科学、文明、安全、合理使用网络，预防和干预未成年人沉迷网络。网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当遵守法律法规规章，尊重社会公德，遵守商业道德，诚实信用，履行未成年人网络保护义务，承担社会责任。相关链接：http:/ 12.12.网络安全标准实践指南网络安全标准实践指南Windows 7Windows 7 操作系统安全加固指操作系

136、统安全加固指引（征求意见稿）公开征求意见引（征求意见稿）公开征求意见 2022 年 4 月 11 日，全国信息安全标准化技术委员会秘书处发布关于对网络安全标准实践指南Windows 7 操作系统安全加固指引（征求意见稿）公开征求意见的通知。通知指出，为帮助用 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 64 户降低 Windows 7 操作系统停服后仍须使用该操作系统应用场景下的网络安全风险，秘书处组织编制了网络安全标准实践指南Windows 7 操作系统安全加固指引（征求意见稿）。根据全国信息安全标准化技术委员会管理办法（暂行）要求，秘书处现组织对 网络安全标准实践指南Wind

137、ows 7 操作系统安全加固指引（征求意见稿）面向社会公开征求意见。相关链接：https:/ 13.13.工信部等五部门：进一步加强新能源汽车企业安全体系建设工信部等五部门：进一步加强新能源汽车企业安全体系建设 2022 年 4 月 8 日，工业和信息化部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门近日联合印发 关于进一步加强新能源汽车企业安全体系建设的指导意见。指导意见要求新能源汽车企业加快构建系统、科学、规范的安全体系，全面增强企业在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的安全保障能力，提升新能源汽车安全水平，推动新能源汽车产业高质量发展

138、。相关链接：https:/ 14.14.工业互联网专项工作组工业互联网专项工作组 20222022 年工作计划发布年工作计划发布 2022 年 4 月 13 日，工业和信息化部印发工业互联网专项工作组 2022 年工作计划，从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面，提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等 15 大类任务 83 项具体举措。相关链接：https:/ 15.15.工信部：开展汽车软件在线升级备案工信部：开展汽车软件在线升级备案 2022 年 4 月 15 日，工业和信息化部装备

139、工业发展中心发布了关于开展汽车软件在线升级备案的通知。通知明确，进一步规范汽车软件在线升级（又称 OTA 升级），对获得道路机动车辆生产准入许可的汽车整车生产企业及其生产的具备 OTA 升级功能的汽车整车产品和实施的 OTA 升级活动，应进行备案。申请主体应是汽车整车生产企业。相关链接：http:/www.miit- 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 65 16.16.中央网信办等三部门印发深入推进中央网信办等三部门印发深入推进 IPv6IPv6 规模部署和应用规模部署和应用20222022 年工作安排年工作安排 2022 年 4 月 25 日，中央网信办、国家发展改革

140、委、工业和信息化部联合印发深入推进 IPv6规模部署和应用 2022 年工作安排。通知要求，坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，深入实施 关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知，突出创新赋能，激发主体活力，打通关键环节，夯实产业基础，增强内生动力，完善安全保障，扎实推动 IPv6 规模部署和应用向纵深发展，加快实现网络性能从趋同向优化转变、从端到端能用向好用转变、从表层改造向深度支持转变，从用户数量向使用质量转变、从外部推动向内生驱动转变，全面提升 IPv6 发展水平，以实际行动迎接党的二十大胜利召开。相关链接：htt

141、p:/ 17.17.国家药监局发布 药品监管网络安全与信息化建设“十四五”国家药监局发布 药品监管网络安全与信息化建设“十四五”规划规划 2022 年 5 月 11 日，国家药监局发布药品监管网络安全与信息化建设“十四五”规划，规划提出，展望“十四五”和 2035 年远景目标，中国要实现从制药大国向制药强国的跨越式发展，这对于药品审评审批效率和药品安全风险管理能力提出了更高的要求，其中重点提及要“完善网络安全防护与信息安全建设”。规划提出升级“两品一械”智慧监管能力、提升政务一体化服务能力、推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力 5 个重点任务，同时以任务专

142、栏形式提出了 16 个重点建设项目。相关链接：https:/ 18.18.国家市场监督管理总局国家市场监督管理总局 国家互联网信息办公室关于开展数国家互联网信息办公室关于开展数据安全管理认证工作的公告据安全管理认证工作的公告 2022 年 6 月 5 日，国家市场监督管理总局、国家互联网信息办公室发布关于开展数据安全管理认证工作的公告，决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立，并按照 数据安全管理认证实施规则 实施认证。规则 对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开

143、等处理活动进行认证的基本原则和要求。数据安全管理认证的认证模式为:技术验证+现场审核+获证后监督。相关链接：http:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 66 19.19.信安标委发布信安标委发布APPAPP 个人信息处理活动管理指南征求意见个人信息处理活动管理指南征求意见稿稿 2022 年 6 月 13 日，全国信息安全标准化技术委员会发布了信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南（征求意见稿）。征求意见稿按照移动互联网应用程序在移动智能终端上的生命周期节点，提出移动智能终端的个人信息安全管理措施，增强 App 处理个人信息行

144、为明示程度，为 App 用户提供更多个人信息保护控制机制，以加强移动终端操作系统上运行的移动互联网应用程序的个人信息安全。相关链接：https:/ 20.20.国家能源局综合司关于公开征求 电力行业网络安全管理办国家能源局综合司关于公开征求 电力行业网络安全管理办法（修订征求意见稿法（修订征求意见稿）电力行业网络安全等级保护管理办法）电力行业网络安全等级保护管理办法（修订征求意见稿）（修订征求意见稿）2022 年 6 月 14 日，国家能源局对电力行业网络与信息安全管理办法、电力行业信息安全等级保护管理办法进行修订，形成了电力行业网络安全管理办法（修订征求意见稿）电力行业网络安全等级保护管理办

145、法（修订征求意见稿），现向社会公开征求意见。电力行业网络安全管理办法(修订征求意见稿)提出，电力行业网络安全工作的目标是建立健全网络安全保障体系和工作责任体系，提高网络安全防护能力，保障网络安全，保障电力系统的安全稳定运行，促进信息化健康发展。电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应当及时进行整改。相关链接：http:/ 21.21.习近平主持召开中央全面深化改革委员会第二十六次会议习近平主持召开中央全面深化改革委员会第二十六次会议 2022 年 6 月 22

146、日，中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平主持召开中央全面深化改革委员会第二十六次会议，审议通过了关于构建数据基础制度更好发挥数据要素作用的意见、关于加强和改进行政区划工作的意见、关于开展科技人才评价改革试点的工作方案、强化大型支付平台企业监管促进支付和金融科技规范健康发展工作方案。习近平在主持会议时强调，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。相关链接：http:/ 北京瑞星网安技术股份有限公司北京瑞星网安

147、技术股份有限公司 67 22.22.国务院印发关于加强数字政府建设的指导意见国务院印发关于加强数字政府建设的指导意见 2022 年 6 月 23 日，国务院印发关于加强数字政府建设的指导意见。指导意见要求，要高举中国特色社会主义伟大旗帜，坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届历次全会精神，深入贯彻习近平总书记关于网络强国的重要思想，认真落实党中央、国务院决策部署，立足新发展阶段，完整、准确、全面贯彻新发展理念，构建新发展格局，将数字技术广泛应用于政府管理服务，推进政府治理流程优化、模式创新和履职能力提升，构建数字化、智能化的政府运行新形态，充分发挥数字政府建设

148、对数字经济、数字社会、数字生态的引领作用，促进经济社会高质量发展，不断增强人民群众获得感、幸福感、安全感，为推进国家治理体系和治理能力现代化提供有力支撑。相关链接：http:/ 23.23.信安标委信安标委发布 网络安发布 网络安全标准实践指南全标准实践指南个人信息跨境处理个人信息跨境处理活动安全认证规范活动安全认证规范 2022 年 6 月 24 日，全国信息安全标准化技术委员会发布网络安全标准实践指南个人信息跨境处理活动安全认证规范的通知。认证规范从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息保护认证提供跨境

149、处理活动认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。相关链接：https:/ 24.24.国家互联网信息办公室公布数据出境安全评估办法国家互联网信息办公室公布数据出境安全评估办法 2022 年 7 月 7 日，国家互联网信息办公室公布数据出境安全评估办法，自 2022 年 9 月 1 日起施行。办法规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供了具体指引。办法明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。相关链接：

150、http:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 68 25.25.市场监管总局公布 关于开展网络安全服务认证工作的实施市场监管总局公布 关于开展网络安全服务认证工作的实施意见意见(征求意见稿征求意见稿)2022 年 7 月 21 日，市场监管总局公布关于开展网络安全服务认证工作的实施意见（征求意见稿）。实施意见提出，将确定并适时调整网络安全服务认证目录，组建网络安全服务认证技术委员会，从事网络安全服务认证活动的认证机构应当依法设立，具备从事网络安全服务认证活动的专业能力，并经市场监管总局征求中央网信办、公安部意见后批准取得资质等 9 项意见。相关链接：https:/ 2

151、6.26.国务院办公厅关于同意建立数字经济发展部际联席会议制国务院办公厅关于同意建立数字经济发展部际联席会议制度的函度的函 2022 年 7 月 25 日，国务院办公厅发布关于同意建立数字经济发展部际联席会议制度的函，根据“十四五”数字经济发展规划部署，为加强统筹协调，不断做强做优做大我国数字经济，经国务院同意，建立数字经济发展部际联席会议（以下简称联席会议）制度。数字经济发展部际联席会议由国家发展改革委、中央网信办、教育部、科技部、工业和信息化部、公安部、民政部、财政部、人力资源社会保障部、住房城乡建设部、交通运输部、农业农村部、商务部、国家卫生健康委、人民银行、国务院国资委、税务总局、市场

152、监管总局、银保监会、证监会等 20 个部门组成，国家发展改革委为牵头单位。相关链接：http:/ 27.27.国家互联网信息办公室发布 数字中国发展报告（国家互联网信息办公室发布 数字中国发展报告（20212021 年）年）2022 年 8 月 2 日，国家互联网信息办公室发布数字中国发展报告（2021 年）（以下简称报告）。报告总结了党的十九大以来数字中国建设取得的显著成就和 2021 年的重要进展成效，评估了 2021 年各地区数字化发展水平，并对 2022 年数字中国建设进行了展望。报告显示，我国夯实国家网络安全和数据安全保障体系，制定实施网络安全法、数据安全法等。网络安全标准体系日益完

153、善，制定发布 300 余项国家标准，主导和参与发布 10 余项国际标准。相关链接：http:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 69 28.28.工信安全中心发布工信安全中心发布20222022 年上半年我国网络安全产融合作年上半年我国网络安全产融合作发展报告发展报告 2022 年 8 月 8 日，第二十三场“工信安全智库”系列报告在线发布活动成功举办。信息政策所网络安全研究室工程师李晓婷发布了洞察系列报告2022 年上半年我国网络安全产融合作发展报告。报告阐述了 2022 年上半年我国网络安全领域非上市投融资总体情况，分析当前产业发展优势和存在的问题挑战，预判未来发

154、展趋势，并提出相关对策建议，旨在为产业界提供了解我国网络安全创新发展的全新视角。相关链接：http:/www.cics- 29.29.网信办发布互联网信息服务算法备案信息清单网信办发布互联网信息服务算法备案信息清单 2022 年 8 月 12 日，国家互联网信息办公室发布互联网信息服务算法备案信息公告。公告称根据互联网信息服务算法推荐管理规定，国家网信办现公开发布境内互联网信息服务算法名称及备案编号，相关信息可通过互联网信息服务算法备案系统进行查询。此次公告清单中，包括多个大型企业和产品的相关算法，例如网易、360、快手、微博、美团、优酷、百度、抖音、小米、天猫、淘宝、聚好看、苏宁易购、富途牛

155、牛、微信、腾讯等等。相关链接：http:/ 30.30.网络安全标准实践指南网络安全标准实践指南健康码防伪技术指南（征求意健康码防伪技术指南（征求意见稿）发布见稿）发布 2022 年 8 月 16 日，为指导健康码技术提供方提升健康码技术防伪能力，全国信息安全标准化技术委员会秘书处发布了网络安全标准实践指南健康码防伪技术指南（征求意见稿），面向社会公开征求意见。指南依据有关政策法规要求，做好支撑疫情防控工作，防止健康码伪造安全风险，对健康码防伪提供技术实践参考。相关链接：https:/ 31.31.国国家卫健委等三部门发布 医疗卫生机构网络安全管理办法家卫健委等三部门发布 医疗卫生机构网络安全

156、管理办法 2022 年 8 月 29 日，国家卫生健康委、国家中医药局、国家疾控局印发医疗卫生机构网络安全管理办法（以下简称办法），自印发之日起开始实施。办法指出新建网络应在规划和申报阶 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 70 段确定网络安全保护等级。各医疗卫生机构应全面梳理本单位各类网络，特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况，并根据网络的功能、服务范围、服务对象和处理数据等情况，依据相关标准科学确定网络的安全保护等级，并报上级主管部门审核同意等。相关链接：http:/ 32.32.网信办发布网信部门行政执法程序规定（征求意见稿）网信办发布网

157、信部门行政执法程序规定（征求意见稿）2022 年 9 月 8 日，国家互联网信息办公室发布关于 网信部门行政执法程序规定（征求意见稿）（以下简称征求意见稿）公开征求意见的通知。征求意见稿提出，网信部门建立行政执法监督制度，上级网信部门对下级网信部门实施的行政执法进行监督。征求意见稿要求，网信部门实施行政处罚，应当遵循公正公开原则，坚持处罚与教育相结合，做到事实清楚、证据确凿、适用依据准确、程序合法、处罚适当、执法文书使用规范。相关链接：http:/ 33.33.三部门联合发布互联网弹窗信息推送服务管理规定三部门联合发布互联网弹窗信息推送服务管理规定 2022 年 9 月 9 日，国家互联网信息

158、办公室、工业和信息化部、国家市场监督管理总局联合发布互联网弹窗信息推送服务管理规定，自 2022 年 9 月 30 日起施行。规定旨在加强对弹窗信息推送服务的规范管理，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展。相关链接：http:/ 34.34.关于修改中华人民共和国网络安全法的决定（征求意关于修改中华人民共和国网络安全法的决定（征求意见稿）公开征求意见见稿）公开征求意见 2022 年 9 月 14 日，为了做好网络安全法与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，国家网信办会同相关部

159、门起草了关于修改中华人民共和国网络安全法的决定（征求意见稿），向社会公开征求意见。中华人民共和国网络安全法自 2017 年施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力的法律保障。相关链接：http:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 71 35.35.信息安全技术信息安全技术 网络数据分类分级要求公开征求意见网络数据分类分级要求公开征求意见 2022 年 9 月 14 日，全国信息安全标准化技术委员会秘书处发布了信息安全技术 网络数据分类分级要求（征求意见稿）。分类分级要求给出了数据分类分级的原则和方法，包括数据

160、分类分级基本原则、数据分类框架和方法、数据分级框架和方法等。适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地方、各部门开展本地区、本部门的数据分类分级工作，同时还可为数据处理者进行数据分类分级提供参考。相关链接：https:/ 36.36.全国信安标委发布 信息安全技术全国信安标委发布 信息安全技术 网络安全众测服务要求网络安全众测服务要求（征求意见稿）（征求意见稿）2022 年 9 月 27 日，全国信息安全标准化技术委员会信息安全技术 网络安全众测服务要求（征求意见稿），面向社会征求意见。众测要求确立了网络安全众测服务的角色及其职责，描述了服务流程，规

161、定了服务要求，众测需求方、众测组织方、授权测试方和众测审计方开展网络安全众测服务时使用。相关链接：https:/ 37.37.国家标准信息安全技术国家标准信息安全技术 网络安全信息报送指南（征求意网络安全信息报送指南（征求意见稿）发布见稿）发布 2022 年 9 月 28 日，全国信息安全标准化技术委员会发布了信息安全技术 网络安全信息报送指南（征求意见稿）。报送指南描述了网络安全信息报送的信息类型、要素、格式规范，以及网络安全信息报送活动的参与角色、基本流程、报送方式；为网络安全信息报送活动中的各参与角色提供参考。报送指南指出，报送的网络安全信息类型包括脆弱性信息、网络安全威胁信息、网络安全

162、事态信息、网络安全事件信息、网络安全态势信息、网络安全资讯、其他信息等，并对信息类型进行了详细的叙述。相关链接：https:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 72 38.38.国家标准智能手机预装应用程序基本安全要求公开征求国家标准智能手机预装应用程序基本安全要求公开征求意见意见 2022 年 10 月 9 日，全国信息安全标准化技术委员会发布国家标准信息安全技术智能手机预装应用程序基本安全要求(征求意见稿)并向社会公开征求意见。征求意见稿明确了可卸载范围，指出除系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等直接支撑操作系统运行或实现

163、智能手机基本功能所必须的基本功能应用程序外，智能手机中其他预装应用程序均应可卸载。相关链接：https:/ 39.39.国办印发全国一体化政务大数据体系建设指南国办印发全国一体化政务大数据体系建设指南 2022 年 10 月 28 日，国务院办公厅印发全国一体化政务大数据体系建设指南，这是深入贯彻落实习近平总书记关于网络强国的重要思想，加快数字中国建设的重要举措。指南构建了全国一体化政务大数据体系总体架构，为着力解决政务数据体系建设中的问题提供了系统方案，为如何充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化的重要作用指明了方向。相关链接：http:/

164、40.40.工信部印发网工信部印发网络产品安全漏洞收集平台备案管理办法络产品安全漏洞收集平台备案管理办法 2022 年 10 月 28 日，工业和信息化部印发网络产品安全漏洞收集平台备案管理办法的通知。办法明确，所称网络产品安全漏洞收集平台（以下简称漏洞收集平台），是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台，仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。办法指出，漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展，采用网上备案方式进行。拟设立漏洞收集平台的组织或个人，应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞

165、收集平台备案登记信息。办法自 2023 年 1 月 1 日起施行。相关链接：https:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 73 41.41.工信部工信部:发布关于促进网络安全保险规范健康发展的意见发布关于促进网络安全保险规范健康发展的意见（征求意见稿）（征求意见稿）2022 年 11 月 7 日，工信部会同银保监会起草的关于促进网络安全保险规范健康发展的意见（征求意见稿）公开发布并征求意见。意见稿提出，加强网络安全产业政策对网络安全保险的支持，推动网络安全技术服务赋能网络安全保险发展，引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险

166、业政策对网络安全保险的支持，指导网络安全保险创新发展，引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策，鼓励提供保险减税、保险购买补贴等政策。相关链接：https:/ 42.42.国务院新闻办公室发布携手构建网络空间命运共同体白国务院新闻办公室发布携手构建网络空间命运共同体白皮书皮书 2022 年 11 月 7 日，国务院新闻办公室发布携手构建网络空间命运共同体白皮书。白皮书介绍了新时代中国互联网发展和治理理念与实践，分享中国推动构建网络空间命运共同体的积极成果，展望网络空间国际合作前景。其中提到，加强网络安全顶层设计，网络安全法 数据安全法 个人信息保护法等法律框架基本形成，网络

167、安全保障能力不断提升，全社会网络安全防线进一步筑牢。相关链接：http:/ 43.43.三部门印发“十四五”全民健康信息化规划三部门印发“十四五”全民健康信息化规划 2022 年 11 月 9 日，国家卫健委、国家中医药局、国家疾控局联合发布“十四五”全民健康信息化规划。规划提出，到 2025 年，初步建设形成统一权威、互联互通的全民健康信息平台支撑保障体系，基本实现公立医疗卫生机构与全民健康信息平台联通全覆盖。规划提出 8 项主要任务：集约建设信息化基础设施支撑体系，健全全民健康信息化标准体系，深化“互联网+医疗健康”服务体系，完善健康医疗大数据资源要素体系，推进数字健康融合创新发展体系，拓

168、展基层信息化保障服务体系，强化卫生健康统计调查分析应用体系，夯实网络与数据安全保障体系。相关链接：http:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 74 44.44.两部门发布关于实施个人信息保护认证的公告两部门发布关于实施个人信息保护认证的公告 2022 年 11 月 18 日，国家市场监督管理总局、国家互联网信息办公室发布个人信息保护认证实施规则，鼓励个人信息处理者通过认证方式提升个人信息保护能力。规则规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。根据规则，个人信息保护认证的认证模式为：技术

169、验证现场审核获证后监督。认证证书有效期为 3 年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。相关链接：https:/ 45.45.国家能源局印发电力行业网络安全等级保护管理办法国家能源局印发电力行业网络安全等级保护管理办法 2022 年 12 月 12 日，国家能源局修订印发了电力行业网络安全等级保护管理办法，新修订的 管理办法 重点围绕电力行业网络安全等级保护各环节，将全文划分为总则、等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理、法律责任、附则等 6 个章节，阐述了制定目的、适用范围和职责，明确了电力行业网络安全保护等级划分和等级保护工作原则，规定了国家

170、能源局及其派出机构、电力企业及网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核、建设、测评、检查及密码管理等方面的有关要求，以及法律责任。相关链接：http:/ 46.46.工信部印发 工业和信息化领域数据安全管理办法（试行）工信部印发 工业和信息化领域数据安全管理办法（试行）2022 年 12 月 13 日，工业和信息化部发布工业和信息化领域数据安全管理办法（试行），以规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益。管理办法将于 2023 年 1 月 1 日起施行。根据管理办法，工业和信息化领域

171、数据包括工业数据、电信数据和无线电数据等。按照管理办法，工信部督促指导地方工信主管部门、地方通信管理局、地方无线电管理机构分别对工业数据、电信数据、无线电数据处理者实施数据处理活动和安全保护进行监督管理。相关链接：https:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 75 47.47.工信部、网信办：进一步规范移动智能终端应用软件预置行工信部、网信办：进一步规范移动智能终端应用软件预置行为为 12 月 14 日，工信部、国家网信办发布关于进一步规范移动智能终端应用软件预置行为的通告，生产企业应按照移动智能终端应用软件预置和分发管理暂行规定有关规定，保证预置应用软件安全合规，明示所提供预置应用软件的相关信息，履行登记、审核、监测、留存、下架等全链条管理责任，完善投诉受理制度等服务保障措施，及时处理用户投诉，落实个人信息保护责任。生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载，并提供安全便捷的卸载方式供用户选择。相关链接：https:/ 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 76