要闻速览

1、《政府采购合作创新采购方式管理暂行办法》印发

2、水利部召开水利网络安全工作座谈会

3、中国网络安全产业联盟发布《美国对全球网络空间安全与发展的威胁和破坏》报告

4、谷歌抗量子加密惹祸，大量防火墙TLS连接中断

5、日本警方为遏制支付卡诈骗，制作了“病毒木马清除卡”提醒用户

6、美国邮政服务（USPS）被冒名，用于网络钓鱼攻击

一周政策要闻

《政府采购合作创新采购方式管理暂行办法》印发

为贯彻落实《深化政府采购制度改革方案》，完善政府采购支持科技创新制度，财政部于近日发布了《政府采购合作创新采购方式管理暂行办法》（以下简称《办法》），本办法将于2024年6月1日起正式施行。

这一办法旨在通过合作创新采购方式，鼓励供应商与采购人共同研发创新产品，实现风险共担、利益共享，进而推动全社会的科技进步和经济发展。同时，该办法还将为供应商提供更大的市场机会和更好的激励机制，进一步促进全社会对应用技术研发的投入和支持。

水利部召开水利网络安全工作座谈会

近日，水利部召开水利网络安全工作座谈会。会议指出数字孪生水利建设背景下，网络安全形势严峻，需持续增强责任感。会议强调要提升防范化解重大网络安全风险能力。

一是聚焦薄弱环节，强化水利工控、物联网感知及数据安全保护，确保网络安全与工程建设同步，积极推进新建水利工程竣工验收同步交付数字孪生工程，数字孪生工程同步交付网络安全工程。二是加强指导监督，提升各级单位尤其是基层的网络安全能力，通过攻防演练等提升行业联防联控水平；三是全力保障安全，动态监测预警，及时处置事件，确保重要时期网络安全。

信息来源：中华人民共和国水利部  http://www.mwr.gov.cn/xw/sjzs/202404/t20240426_1709838.html

业内新闻速览

中国网络安全产业联盟发布《美国对全球网络空间安全与发展的威胁和破坏》报告

互联网是人类共同家园。美国为维护世界霸权，利用信息技术和资源优势肆意妄为，监听窃密、制造舆论、操纵民意、破坏规则、脱钩断链，与全球数字化进程背道而驰，已经成为世界上最大的网络攻击发起者、网络武器制造者、网络秩序破坏者。为揭露美国在网络空间的霸权霸道霸凌行为，中国网络安全产业联盟（CCIA）组织编制了《美国对全球网络空间安全与发展的威胁和破坏》（中英文版）（以下简称《报告》）。
《报告》立足网络安全专业视角，以实证分析的方式，密切跟踪美国对全球网络空间安全与发展的威胁和破坏的具体行为，结合近年来各国政府部门、全球网络安全企业、研究机构和新闻媒体发布的报告报道，综合各方分析过程和研究成果，系统梳理分析美国对全球网络空间安全与发展乃至世界和平与稳定、人类社会文明与进步造成的严重威胁和破坏。《报告》按照行为和时间脉络，共分为6篇，主要包括美国利用互联网渗透颠覆他国政权、实施无差别网络监控和窃密、对他国施行网络攻击与威慑、挑起网络空间军备竞赛、滥用政治手段扰乱全球产业链供应链、破坏网络空间规则与秩序等。

消息来源：CCIA网安产业联盟  https://mp.weixin.qq.com/s/elLxX1-bjV40DE1DHSFFGw

谷歌抗量子加密惹祸，大量防火墙TLS连接中断

安全内参4月29日消息，谷歌首个抗量子加密浏览器Chrome 124的发布意在保护用户免受量子破解威胁，但由于新技术与部分服务器和网络设备的兼容性问题，导致TLS连接中断，影响了用户访问网站、服务器和多家安全厂商的防火墙。

问题的根源在于部分网络服务器未能正确实现传输层安全性（TLS），无法处理用于后量子加密的较大ClientHello消息。这使得服务器在握手过程中无法识别客户端发送的额外数据，从而导致连接断开。受影响的不仅仅是网站，还包括了一些安全设备、防火墙、网络中间件等，如Fortinet、SonicWall、Palo Alto Networks、AWS等供应商的产品。

为了解决这个问题，谷歌提供了临时的规避方法，用户可以通过禁用混合式Kyber支持来暂时避免连接问题。系统管理员则可以通过禁用特定策略或联系设备供应商获取更新补丁来修复问题。

从长远来看，TLS协议需要采用抗量子安全密码来确保网络安全。谷歌未来也计划移除Chrome中禁用混合式Kyber支持的选项，以推动抗量子加密技术的应用。

消息来源：安全内参  https://www.secrss.com/articles/65710

日本警方为遏制支付卡诈骗，制作了“病毒木马清除卡”提醒用户

IT之家 4 月 28 日消息，日本警方为了遏制日益猖獗的支付卡诈骗，尤其为了提高老年人识别技术支持诈骗或欠款诈骗的能力，制作了一批特殊的支付卡，并分发到日本的各大便利店中。

日本福井县越前警察局目前创建了两种卡片，被标记为“病毒木马清除支付卡”和“未付账单滞纳金支付卡”，其目的是警告按照欺诈者的指示寻求支付卡的老年受害者。

福井县 2023 由于各种形式的网络欺诈，遭受了约 750 万美元（IT之家备注：当前约 5445 万元人民币）的经济损失。2024 年 1 月，共收到 14 起有关投资诈骗的投诉，预计损失达 70 万美元（当前约 508.2 万元人民币）。

警方向当地 34 家便利店的电子货币区投放虚拟支付卡，商店员工已了解假卡的用途，当顾客尝试购买假卡时，他们会向购买者解释说，他们是诈骗的目标。当警察部门奖励协助该计划的员工时，执法部门还可以识别受害者并进一步调查诈骗行为。当地媒体 Fukuishimbun 报道称，自 2023 年 11 月下旬以来，这种方式已经帮助了至少两名老年男子，他们被欺骗，认为自己的计算机感染了恶意软件，并被骗支付了清理系统的费用。

消息来源：IT之家  https://baijiahao.baidu.com/s?id=1797528921055966580&wfr=spider&for=pc

美国邮政服务（USPS）被冒名，用于网络钓鱼攻击

FREEBUF 4月30日消息，安全平台 Akamai 近日对美国邮政（United States Postal Service，USPS）官网进行调查，发现 2023 年 10 月到 2024 年 2 月间访问相关网站的用户中只有 51% 进入了正确的官网，剩下 49% 用户均访问了山寨钓鱼网站，而在特定的节日前后，相关网络钓鱼网站的 DNS 访问量据称大幅超过官网。

研究人员通过分析JavaScript文件和HTML模式，识别出与欺诈相关的恶意域名，尤其是含有“USPS”字符串的域名。这些域名利用了知名品牌名称来欺骗用户，其中“usps-post[.]world”和“uspspost[.]me”点击量超过10万次。

研究发现，威胁者偏好使用“.com”和“.top”作为顶级域名（TLDs），其中“.com”因其全球合法性而受青睐，而“.top”则成为恶意活动的常见选择。在IP地址上，网络犯罪分子采用不同策略，有的IP托管少量高流量域名，有的则托管多量低流量域名，以逃避检测。

专家提示，提高消费者的网络安全意识，特别是在网购和包裹追踪过程中，显得尤为重要。

消息来源：FREEBUF  https://www.freebuf.com/news/399846.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！