保障疫情防控下的数据安全

文/郑先伟

由于国内疫情的反复，很多高校都进入了校园封闭管理状态。各类信息化管理手段大幅提升了管控的效率，信息系统收集了大量用户信息进行分析，为精准的防控提供了数据依据。但校园网的管理者在做好防疫工作支持的同时，也要做好数据安全防护工作，尤其是与个人身份信息及隐私信息相关的防护工作。在与第三方公司合作时，需要事先签署数据管理协议，明确数据的收集和使用范围，保障数据安全及个人隐私信息安全。

安全投诉事件数量整体保持稳中有降的趋势。随着各类针对挖矿行为的封禁措施生效，各类挖矿木马的功能也得到了抑制，但木马传播途径还在，需警惕相关木马被转换成勒索病毒。

近期新增严重漏洞评述：

1. 微软2022 年4 月的例行安全更新共涉及漏洞数118 个，其中严重等级的漏洞2 个，重要等级的漏洞87 个，中危等级的漏洞29 个。涉及的产品包括Windows 系统和Windows 组件、Microsoft Lightweight Directory Access、微软DNS 服务、Microsoft Dynamics 365 和Microsoft Dynamics、Microsoft Windows Local Security Authority Subsystem Service、Microsoft Windows File 等产品。两个高危漏洞为Windows Network File System 代码注入漏洞（CVE-2022-24491）和Windows Remote Procedure Call Runtime 代码注入漏洞（CVE-2022-26809）。鉴于上述漏洞带来的风险，建议用户尽快使用Windows 自带的更新功能进行更新。

2022 年3 月～2022 年4 月CCERT 安全投诉事件统计

2. Oracle 今年二季度的安全公告，修复了其多款产品存在的520 个安全漏洞，其中包括近300 个可以在没有身份验证的情况下远程利用的漏洞。这些漏洞中有75 个被评为“严重程度”，包括三个CVSS 得分为10 的漏洞，其余40 多个漏洞的CVSS 得分在8～9 之间。值得关注的是，公告里也包含了多个补丁用来修补之前的Spring 框架漏洞（CVE-2022-22965和CVE-2022-22963）。建议用户根据使用情况尽快进行补丁更新。

3. 本月Apache 官方发布了新版本（2.5.30），用于修补一个Apache Struts2中的代码注入漏洞（CVE-2021-31805），该漏洞是由于前两年Struts2 代码注入漏洞（CVE-2020-17530）的修补不够完整而导致的。攻击者利用该漏洞可以在目标服务器上执行任意代码，建议相关管理员根据使用情况进行升级，升级的信息可以参见：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30。

4. VMware 发布了安全更新，用于修补部分产品中涉及的Spring4Shell 远程代码执行漏洞（CVE-2022-22965），影响的产品包括WMware TAS，WMware Ops Manager 和VMware TKGI。由于Spring 是嵌入到软件中的，所以用户只能通过升级相关产品才能防范相关漏洞。建议使用WMware 产品的管理员尽快根据使用情况进行版本更新。

5. Chrome 浏览器发布最新的版本，用于修补之前版本中存在的多个漏洞，其中包括一个在野被利用的0day 漏洞（CVE-2022-1364）,该漏洞存在于V8 引擎中，这是今年以来Chrome 修补的第三个0day 漏洞。建议用户开启Chrome 浏览器的自动更新功能及时进行更新，并尽量不要点击来历不明的网页链接。