日前，中国信通院发布《数据安全治理实践指南（1.0）》，根据多家企业数据安全治理最佳实践，首次从广义、狭义角度对数据安全治理进行定义，提炼出了数据安全治理的总体视图，并给出了具体的实践路径。从国家、行业、企业等多个角度入手，围绕数据安全治理的两个核心内容，提出发展建议。

7月20日，国家计算机网络应急技术处理协调中心（CNCERT CC）发布《2020年中国互联网网络安全报告》，涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面，并对 2020年的典型网络安全事件进行了专题介绍，对2021年网络安全关注方向进行预测。报告政府部门提供监管支撑，为互联网企业提供运行管理技术支持，具有重要的参考价值。     原文链接

近日，CheckPoint发布了2021年Q2品牌网络钓鱼分析报告。报告指出，与2020年Q4和2021年Q1一样，Microsoft再次成为网络犯罪分子最常针对的品牌，45%的品牌网络钓鱼尝试都与Microsoft有关，比Q1增加了6%。航运公司DHL为第二大目标，占比为26%。其次为亚马逊(11%)、Bestbuy(4%)、谷歌(3%)、领英(3%)、Dropbox(1%)、Chase(1%)、苹果(%)和Paypal(0.5%)。此外，科技仍然是品牌网络钓鱼攻击最主要的目标行业，其次是运输和零售行业。

SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在，追踪为CVE-2021-3438，CVSS评分为8.8，影响超过380款的惠普和三星打印机，以及12种Xerox打印机。该漏洞位于打印驱动程序安装程序包SSPORT.SYS中，本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码，来安装、查看、更改、加密或删除数据等。目前，该漏洞已经修复。

黑客最近在暗网上公开了2021年的整个墨西哥选民数据库，包含9100万条记录。国家选举研究所(INE)称他们已经向当局报告此事件，并表示其在2020年5月8日就向选举犯罪特别检察官(FEDE)报告了访问和不当使用与选举登记册相关数据的问题。据悉，这已不是INE第一次发生数据泄露事件，INE早在2016年就曾泄露过93424710名墨西哥公民的选民登记信息。

据网信中国消息，为营造未成年人良好上网环境，有效解决网络生态突出问题，中央网信办决定即日起启动“清朗·暑期未成年人网络环境整治”专项行动。专项行动聚焦解决包括直播短视频平台存不良导向，未成年人在线教育平台存不良内容，儿童不良动漫动画作品，论坛社区、群圈等环节危害未成年人身心健康，网络“饭圈”乱象，不良社交行为和不良文化，防沉迷系统和“青少年模式”效能发挥不足在内的7类网上危害未成年人身心健康的突出问题。

7月21日，由中国信息通信研究院指导、悬镜安全主办、腾讯安全协办的中国首届DevSecOps敏捷安全大会2021在北京举行。悬镜创始人兼CEO子芽在大会现场正式发布了DevSecOps敏捷安全技术金字塔2.0版本，阐述了悬镜对DevSecOps敏捷开发技术未来演进方向的思考。同时，悬镜安全与信通院在现场正式发布了《软件供应链安全白皮书（2021年）》，悬镜安全COO董毅在现场也针对该白皮书进行了详细的解读。

7月14日，深圳市人大常委会办公厅发布关于《深圳经济特区人工智能产业促进条例（草案）》公开征求意见的公告。这是全国人工智能领域的首部地方性法规，共七章八十三条。《草案》还明确了深圳人工智能产业的治理原则和措施，确立多元主体协调共治的治理机制，设立人工智能伦理委员会，并明确规定禁止侵犯个人隐私和个人信息保护、损害国家安全和社会公共利益、算法歧视等一系列行为，划定了行为底线。

外媒BleepingComputer报道，一个名为ZeroX的黑客组织窃取了属于沙特阿拉伯国家石油公司(Saudi Aramco)1TB的专有数据并在暗网上以500万美元的价格出售。据ZeroX组织透露，1TB数据包括Saudi Aramco位于多个沙特城市的炼油厂的相关文件，14254名员工的全部信息，内部分析报告、协议、信件、价目表；规划IP地址、Scada点、Wi-Fi接入点、IP摄像头、IoT设备的网络布局；位置地图和精确坐标；Aramco的客户名单及发票和合同等。

近日，下架整改近一个多月的“搜狗输入法”和“讯飞输入法”已在各大安卓应用商店内重新上架。重新上架的搜狗输入法和讯飞输入法有着明显的改变。以搜狗输入法为例，用户使用新版输入法需要进行“完全体验模式”或“基础打字模式”的选择，前者需要将拼音、文字等上传至云端，后者则不收集任何数据即可使用文字、符号等基本打字服务，但会导致诸如皮肤、表情等服务的缺失。

针对Amnesty International发布的苹果iPhone存在漏洞的报告，苹果公司在一份声明中表示，上述攻击非常复杂，通常需要数百万美元开发，被用来针对特定的人。苹果公司对类似的网络攻击表示强烈谴责。

国外研究组织发布报告称，苹果iPhone存在漏洞，可以通过黑客软件窃取敏感数据，而且不需要点击未知链接或者钓鱼链接，iPhone如果感染NSO Group的Pegasus恶意软件，攻击者就能窃取信息和邮件，甚至可以控制手机麦克风摄像头。NSO Group是一家以色列公司，它向政府、执法部门出售软件，同时还发现，该软件可以入侵iOS 14.6系统的iPhone 12，周一时苹果已经推出iOS 14.7系统，不知道漏洞是否已经修复。同样Android系统也不安全，NSO Group的攻击对其同样有效。

据凤凰网《风暴眼》统计，包括美团、淘宝、微信、网易云音乐、饿了么、58同城、小红书、交通银行、中信银行、广发银行、招商银行等在内的常用APP，都存在用户必须同意《隐私协议》和《服务协议》条款才能使用的情况。另外，百度输入法、搜狗输入法、手心输入法等输入法软件，在使用时还被手机系统提示：“可能会收集您输入的所有文字，包括密码和信用卡号等个人数据。”

Honeywell《2021工业网络安全USB威胁报告》基于该公司产品所收集的数据。该产品要求用户在将U盘连接到公司内任何端点之前使用专用设备检查U盘，从而保护工业设施免遭通过USB传播的威胁伤害。报告显示，2020年，其USB安全产品在客户扫描的驱动器上发现的恶意软件中，有79%都能够中断运营技术（OT）系统，相比2019年的59%上升了近乎一半。报告称，这些恶意软件能够直接影响目标系统（20%）、下载第二阶段攻击载荷（9%），或者打开后门、建立直接远程访问，以及执行命令与控制（52%）。

在媒体报道以色列公司NSO Group的间谍软件被用于入侵世界各地的记者和活动人士的智能手机之后，亚马逊AWS服务发表声明宣布关闭与NSO Group相关的网络基础设施及其账号。有技术人员在分析NSO间谍软件Pegasus之后发现它使用了亚马逊的CloudFront服务。它在其发表的调查报告中包含了亚马逊的声明，显示在发表前联系了亚马逊公司。另一家调查间谍软件的加拿大多伦多大学公民实验室指出NSO Group是在 2021 年广泛使用亚马逊的服务。

加拿大多伦多大学Munk全球事务学院旗下跨学科实验室Citizen Lab与微软本周披露了另一个来自以色列的间谍软件DevilsTongue，它能够感染与监控iPhone、Android手机、Mac、Windows PC及云计算账号，全球已有超过100名受害者，是由一家神秘的黑客公司Candiru所打造。

据BBC报道，世界各地的维权人士、记者和律师可能已成为以色列公司开发的用于监控犯罪分子的手机软件的监控目标，而这背后可能存在着黑客活动。这个软件是由以色列公司NSO开发的。最近，这些维权人士、记者和律师的联系方式出现在一份“NSO公司潜在客户名单”上，这意味着他们的信息遭到了泄露。有人怀疑这和上述监控软件有关。NSO公司对此表示：他们否认有过任何不当行为。目前尚不清楚这份名单上的数据是如何收集的。也有说法称：该软件可能已被黑客利用。

中国信通院云计算与大数据研究所所长何宝宏在接受人民网专访时表示，网络安全的最终目的是防止数据被泄露和篡改。“总体而言，我国数据安全治理能力还处于一个起步的阶段。其中，数据安全的技术工具不成熟，人才匮乏。”何宝宏指出，数据安全是持续改进的过程，要追求发展与安全的最佳平衡，在合法合规的基础上激发数据的要素价值。何宝宏透露，未来数据安全治理将在行业化、场景化两个方面有针对的开展工作，同时也将促进离散化制定方式到体系化制定模式的转变。

据Dark Reading报道，为了应对外国黑客针对美国主要机构发起的违反美国反黑客法的攻击，美国国务院愿意支付高达1000万美元的价格购买有价值的信息。美国当局是在美国和欧洲关键基础设施和企业受到的网络攻击激增后提出这一解决方案的。据报道，最近的一次网络攻击也是最强大的一次是由REvil通过Kaseya软件中的一个零日漏洞发起的，其影响了全球超1500家公司。在遭受勒索软件攻击后，这一网络犯罪团伙成功地削弱了肉类制造商JBS的业务并推迟了食品配送。

EA在上个月遭遇了黑客的攻击，大量的机密数据被窃取，其中包括还不限于《FIFA 21》的源代码，寒霜游戏引擎的源代码和工具的数据也被窃取了。黑客当时还有意在网络上兜售数据，但如今他们决定把数据上传到网络。目前黑客已经在网上分享了1.3GB的数据块，其中包含前面提到的内部工具和EA Origin商店数据。根据黑客提供的附带信息，他们已经在几周前与EA联系并索要赎金，但EA官方并未回应，因此他们决定将部分数据进行分享。如果EA不支付赎金的话，他们威胁将继续公开数据。