一、政策法规

1.《中华人民共和国个人信息保护法》正式实施

《中华人民共和国个人信息保护法》于2021年11月1日起施行。法律明确不得过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理作出规制，完善个人信息保护投诉、举报工作机制等，充分回应了社会关切，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。

来源：中国人大网

2.国家工信安全中心发布《数字化转型发展报告（2020-2021）》

第二届两化融合暨数字化转型大会上，国家工业信息安全发展研究中心发布《工业和信息化蓝皮书（2020-2021）》。本年度报告深入分析了我国数字化转型的发展现状、重点方向、面临挑战及未来趋势，主要从我国数字化转型的重大战略意义、总体发展情况、产业应用实践、区域特色化发展、重点领域探索创新等方面，总结归纳了近年来我国数字化转型的主要进展，并对未来发展趋势进行研判与展望。

来源：国家工信安全中心

3.《中国工业互联网发展成效评估报告》发布

2021年11月19-21日，由工业和信息化部与湖北省人民政府共同主办的“2021中国5G+工业互联网大会”在湖北省武汉市召开。在21日的成果发布会上，工业互联网产业联盟秘书长胡坚波发布了《中国工业互联网发展成效评估报告》。《报告》设置了1个工业互联网发展总指数以及4个分项指数，从基础设施的建设、融合应用发展、技术创新能力、产业发展生态方面设置了30个指标，基于全国总体数据和31个省市的地方数据以及企业调查数据进行综合测算，开展全面评估。

来源：中国信通院

4.工信部印发《“十四五”信息化和工业化深度融合发展规划》

11月30日，工业和信息化部印发了《“十四五”信息化和工业化深度融合发展规划》（以下简称《规划》）。《规划》指出，信息化和工业化深度融合是中国特色新型工业化道路的集中体现，是新发展阶段制造业数字化、网络化、智能化发展的必由之路，也是数字经济时代建设制造强国、网络强国和数字中国的扣合点。推动两化深度融合，对于加快新一代信息技术在制造业的深度融合，打造数据驱动、软件定义、平台支撑、服务增值、智能主导的现代化产业体系，推进制造强国、网络强国以及数字中国建设具有重要意义。

来源：工业和信息化部

5.腾讯安全发布《2021年勒索攻击特征与趋势研究白皮书》

腾讯安全与腾讯研究院联合中国信息安全战略研究院、中国产业互联网发展联盟重磅发布了《2021年勒索攻击特征与趋势研究白皮书》。白皮书重点分析了勒索攻击态势、演进路径及特征，并详细梳理了勒索攻击七大发展趋势，同时从安全前沿技术、安全意识及全球通力合作方面对防范勒索攻击提出了建议和思考。

来源：工业安全产业联盟

二、安全资讯

1.2021中国5G+工业互联网大会“工业互联网标识”专题会议暨中国工业互联网标识大会召开

2021年11月21日，2021中国5G+工业互联网大会“工业互联网标识”专题会议暨中国工业互联网标识大会（武汉）召开。工业互联网标识解析国家顶级节点（武汉）（以下简称“国家顶级节点（武汉）”）坚决贯彻习近平总书记致首届中国5G+工业互联网大会的贺信精神，牢牢把握5G+工业互联网发展的历史性机遇，通过发挥国家顶级节点潜力，创造性地解决产业痛点及转型难题，更好赋能传统产业跨越式发展，有力打造数字经济枢纽，进一步推动数字经济跃升发展。

来源：中国信通院

2.首届工业数字孪生大赛颁奖典礼圆满落幕

11月30日上午，由工业和信息化部等单位主办，中国信息通信研究院和芜湖市人民政府联合承办的首届工业数字孪生大赛（第三届中国工业互联网大赛-工业互联网+数字孪生专业赛）颁奖典礼在芜湖圆满落幕。

来源：九派新闻

3.第八届“创青春”中国青年创新创业大赛（互联网专项）圆满收官

11月23日-24日，第八届“创青春”中国青年创新创业大赛（互联网专项）半决赛、决赛，在杭州未来科技城举办。大赛共评选出金奖10个、银奖20个、铜奖70个，其中浙江省获得金奖5个、银奖5个、铜奖11个。获奖项目将获得全国组织委员会颁发的奖杯和证书，以及主办单位的相关政策奖励，部分获奖项目还将受邀参加在合肥举办的综合交流营活动，参与年度大奖评选。

来源：青春浙江

三、国际事件

1.维斯塔斯公司数据因网络攻击而 “被泄露”

11月19日，全球风电整机商巨头——维斯塔斯在发生网络安全事故后，被迫关闭了多个地点的IT系统。在一份简短通知中，维斯塔斯风能系统公司(Vestas Wind Systems)声称：“攻击发生在前一天，多个业务部门的 IT 服务受到影响。”

来源：北极星风力发电网

2.澳大利亚供水公司SunWater被黑客入侵长达9个月

根据澳大利亚昆士兰州审计署(Queensland audit Office)11月10日公布的年度财务审计报告，供水公司SunWater被黑客入侵，但其行为一直未被发现。黑客在这家供水公司的服务器上隐藏了9个月，尽管事后证实没有客户信息或财务信息被窃取。黑客在网络服务器上留下可疑文件，将访问者引导到在线视频平台。审计报告还发现，六分之三的水务部门在其系统中仍然存在“控制缺陷”。这表明关键基础设施的网络防御仍然面临艰巨的挑战。

来源：securityaffairs

四、漏洞观察

1.Google披露Zoom中2个漏洞的细节

Google Project Zero在发现视频会议软件Zoom中存在2个漏洞。第一个为缓冲区溢出漏洞，追踪为CVE-2021-34423，CVSS评分是7.3，攻击者利用该漏洞可导致服务或应用崩溃，或执行任意代码。第二个为内存损坏漏洞，追踪为CVE-2021-34424，CVSS评分是7.3，该漏洞可能会暴露进程内存的状态。Zoom已在11月24日修复了这2个漏洞。

来源：securityaffairs

2.统称为NUCLEUS:13的多个漏洞影响西门子RTOS

Forescout和Medigate的研究人员在11月9日披露了Nucleus中13个漏洞的细节。Nucleus是西门子的实时操作系统(RTOS)，通常运行在医疗设备、汽车、智能手机、物联网设备、工业plc等设备的片上系统(SoC)。这些漏洞统称为NUCLEUS:13，影响了Nucleus TCP/IP堆栈。其中，最严重的是影响了FTP服务器组件的远程代码执行漏洞（CVE-2021-31886），CVSS评分为9.8，是由于对USER命令长度的验证不正确导致的。

来源：The record