信息安全快訊2018年1月第2期

【信息安全快訊】匯總最新安全動態（信息安全事件、安全漏洞發布及預警），與e安在線相約每周一，不見不散！

目錄

政府舉措

工信部：加強工業互聯網安全保障工作 到2020年建成「一網一庫三平台」

印尼正式成立國家網路安全局

白宮禁止員工在工作中使用個人手機

德國網路仇恨言論大刪除啟動

網路安全事件

數據統計

廣州市統計局：市民關注個人信息安全的比例超過9成

互金專委會：互金行業仍存盜號、釣魚欺詐等高危漏洞

人才培養

預測：2018年多國將採取更多措施培養網路安全人才

漏洞速遞

漏洞速遞

政府舉措

工信部：加強工業互聯網安全保障工作 到2020年建成「一網一庫三平台」

為加快我國工業控制系統信息安全保障體系建設，提升工業企業工業控制系統信息安全防護能力，促進工業信息安全產業發展，工業和信息化部日前印發《工業控制系統信息安全行動計劃（2018—2020年）》。

《行動計劃》實施的主要目標包括，到2020年，建成工控安全管理工作體系，全系統、全行業工控安全意識普遍增強，建成「一網一庫三平台」。同時，促進工業信息安全產業發展，提升產業供給能力，培育一批龍頭骨幹企業，創建3個至5個國家新型工業化產業化產業示範基地。

對於「一網一庫三平台」，負責人解釋說，「一網」是指全國工控安全在線監測網路。「一庫」是指工控安全應急資源庫。「三平台」是指工控安全模擬測試平台、信息共享平台和信息通報平台。（來源：中國經濟網）

印尼正式成立國家網路安全局

1月3日，印尼政府宣布成立新的「國家網路安全局」（the National Cyber and Encryption Agency，簡稱BSSN），工作範圍包括取締恐怖分子網路、對付網上仇恨言論等。

目前，印尼的互聯網用戶估計超過1億5000萬個。佐科總統當天表示，「這是一個非常重要的政府部門，尤其是未來，隨著網路世界的快速發展，有必要採取相關預防措施。」佐科要求該機構既要履行保護國家機構的網路安全，也要關注私人部門甚至顧及到普通百姓。

現任印尼政法安全事務統籌部部長威蘭多也在當天表示，很高興印尼終於誕生了這個新的「國家網路安全局」機構，在應對全球、地區與國家發展面臨的新形勢下，網路安全對印尼來講至關重要。（來源：人民網）

白宮禁止員工在工作中使用個人手機

白宮新聞秘書上周發表聲明——白宮技術系統的安全和完整性是特朗普政府的首要任務。因此，在白宮西樓不再允許使用所有的個人用具和設施。

據新聞媒體報道，這項新規定是由總參謀長凱利（John Kelly）施加的。一些助手表示，這一規定將使他們難以與家人保持聯繫，彭博報道，白宮提供的手機不允許發簡訊，增加了工作人員的抱怨和不滿。特朗普總統自從任職以來，經常談到信息泄漏，這個問題從一開始就困擾著特朗普政府。（來源：cnbeta/ 國際）

德國網路仇恨言論大刪除啟動

德國《南德意志報》1月1日報道稱，該國從當天開始執行「網路仇恨言論法」。根據該法，相關社交媒體若未能及時刪除仇恨言論、假新聞以及其他違法內容，將可能被處以最高5000萬歐元的罰款。

報道稱，這項法律主要適用於在德國擁有至少200萬註冊用戶的社交網站，包括臉書、推特和YouTube等，但它也可能被應用於Reddit，Tumblr和俄羅斯社交網路VK。 Vimeo和 Flickr等其他網站也可能被納入其覆蓋的範圍之中。法律涵蓋的違法內容包括仇恨性和煽動性言論，以及侮辱、誹謗、威脅、虛假信息、恐怖主義犯罪和兒童色情等內容。社交網站需向用戶提供可24小時舉報非法內容的渠道，並在收到舉報後7日內刪除相關內容及其副本。明顯的違法言論需在舉報後24小時內刪除或屏蔽。（來源：新浪）

網路安全事件

Intel 因底層漏洞事件遭到多方起訴：未來可能面臨更多

Intel 目前面臨著因 CPU 底層漏洞事件的多起訴訟。據 Gizmodo 報告說，美國加利福尼亞州，俄勒岡州和印第安納州三個州的的法院已經接到了對 Intel 的起訴。這三個都是大規模的集體訴訟，理由包括英特爾延遲披露這些 CPU 底層漏洞/消費者受影響幾個月後才知道這些漏洞，以及隨後的安全補丁導致的電腦性能下降問題。該訴訟的報告指出，由於 Intel 的補丁導致性能下滑的 PC 可能高達五到三成。

英特爾表示，截止到本周末，受影響晶元的 90％ 應該都會被修補，而像微軟，谷歌和蘋果這樣的公司也會即時發布更新，以減輕 Spectre 和 Meltdown 漏洞的影響。

Intel CPU 漏洞問題衍生出來的安全事件已經波及全球，幾乎所有的手機、電腦、雲計算產品，Windows、Linux、macOS、亞馬遜 AWS、谷歌安卓均中招，這兩個漏洞都是越級訪問系統級內存，所以可能會造成受保護的密碼、敏感信息泄露。（來源：cnBeta、快科技）

美國土安全部超過24萬員工的個人數據被泄

美國國土安全部（DHS）於美國當地時間2018年1月3日發表聲明稱，其下屬監察長辦公室（OIG）2014年遭遇一起數據泄露事件，其案件管理系統逾24.7萬DHS員工和未知數量的其它相關人員的個人信息受到影響。據推測，這些個人信息可能包含普通信息和高度敏感信息，比如姓名、電話號碼、社保號和財務數據。

這起事故並非因外部黑客入侵所致，而是前僱員未經授權擅自轉移OIG案件管理系統的數據， DHS稱個人信息不是這起數據轉移的主要目標。DHS表示正在採取安全預防措施，以限制他人獲取這些信息。DHS向受影響的員工發出了通知信，並表示會為受影響的個人提供為期18個月的免費信用監控服務，但由於受「技術限制」，DHS不能直接通知受影響的非僱員。為此，DHS為非僱員提供了申請信用監控聯繫方式。（來源：E安全）

百度涉嫌侵害消費者個人信息安全被起訴 法院已立案

因涉嫌侵害消費者個人信息安全，江蘇省消保委對百度公司提起公益訴訟，法院已正式立案。

根據江蘇省消保委的消息，「手機百度」「百度瀏覽器」兩款手機APP在消費者安裝前，未告知其所獲取的各種許可權及目的，在未取得用戶同意的情況下，獲取諸如「監聽電話、定位、讀取短彩信、讀取聯繫人、修改系統設置」等各種許可權。

百度在隨後提交的整改方案中，對涉及消費者個人信息安全的相關許可權拒不整改，也未有明確措施提示消費者APP所申請獲取許可權的目的、方式和範圍並供消費者選擇，無法有效保障消費者知情權和選擇權。為維護廣大消費者的合法權益， 1月2日，南京市中級人民法院正式立案。

江蘇省消保委副秘書長居上在接受記者採訪時表示，就手機應用程序侵害個人信息安全，運用公益訴訟這一利器，旨在保護包括但不限於江蘇的眾多消費者的合法權益。（來源：中國消費者報）

但我們在玩得火熱、買得痛快的時候，也不能忽視「代玩」背後存在的安全風險。據調查，網上出售的代玩程序，在自動運行時需要玩家手機進入開發者模式，安裝存在風險的應用，可能給玩家的手機帶來風險；而購買人工「代玩」服務，需要商家登錄買家的微信賬號，也存在微信賬號泄露等安全問題。（來源：南方網）

黑客挑釁義大利警局，超39.4G測速攝像頭文件遭刪除

上周，義大利科雷吉奧（Correggio）警察局的計算機系統遭到了匿名黑客的入侵。黑客成功控制了警察局內部的測速攝像頭資料庫，並刪除了部分數據。

此外，黑客在電子郵件中發布了一條帶有挑釁性質的消息：「Ho Ho Ho, 聖誕節快樂！」，並宣布Concilia資料庫系統和Verbatel公司開發的系統也已經被入侵。黑客甚至還在郵件末尾提供了它們的鏈接和密碼。

另外值得關注的就是附件中的PDF文件，它顯示了當地警方與市政部門之間關於測速攝像頭開出的罰款利潤分配問題的討論。（來源：黑客視界）

印度10億公民個人信息遭泄露，售價不足6英鎊

根據印度《論壇報》(Tribune)進行的調查顯示，超過10億印度公民的個人身份信息（包括姓名、地址、電話號碼、指紋和虹膜等生物識別信息）被泄露，並已在線出售，售價不足6英鎊。

印度唯一身份認證機構否認Aadhaar系統出現數據泄露，但「論壇報」透露，在聯繫時，UIDAI在昌迪加爾的官員對所訪問的全部數據表示震驚，並承認這似乎是一個重大的國家安全漏洞。

印度政府為了把大量的印度公民納入數字經濟之中，下令強制該國公民必須在2017年12月31日之前將Aadhaar號碼與自己的銀行賬戶、手機號碼、保險賬戶、永久性賬號卡（PAN Card）以及其他服務綁定起來，現在系統的好處被誇大，並面臨不斷增長的安全風險。（來源：securityaffairs）

數據統計

廣州市統計局：市民關注個人信息安全的比例超過9成

廣州市統計局近期通過萬戶居民調查網，對1969名常住居民開展了一項關於提高信息安全意識、保障個人信息安全的看法和建議的電話調查。

調查顯示：

94.5%的受訪市民會關注或學習個人信息安全方面的知識、政策或技術，其中表示「非常關注」的有38.5%，「比較關注」的有37.2%，「偶爾關注」的有18.8%。僅有5.5% 的市民「從不關注」這方面的知識或政策。

為保障個人信息安全，有五成多的市民期盼通過「制定網路安全事件應急預案」、「支持網路安全產業發展」以及「培養安全技術人才」等措施加強對個人信息安全的保障。（來源：金羊網）

互金專委會：互金行業仍存盜號、釣魚欺詐等高危漏洞

1月2日，國家互聯網金融安全技術委員會（以下簡稱「專委會」）發布第二十七周-互聯網金融網站漏洞分析報告。報告公布了國家互聯網金融風險分析技術平台對互聯網金融行業的網站漏洞情況進行抽樣分析結果。

本次監測分析覆蓋北京、深圳、浙江等省市共1529家互聯網金融平台網站。按照風險的強弱等級進行統計：高危評級網站佔比12.4%，中危評級網站佔比52.5%。共發現漏洞7210個，其中高危漏洞451個，佔比6.2%，中危漏洞3395個，佔比47.1%。

出現最多的10種高危漏洞的分布情況，排名前三的是跨站腳本、PHP版本官方不提供安全補丁和SQL注入。

建議各企業切實加強安全防護意識和防護水平，建立健全信息安全管理體系，完善安全保障措施，定期開展網路信息安全風險評估，預警和防範內外部風險。（來源：新浪財經）

人才培養

預測：2018年多國將採取更多措施培養網路安全人才

隨著世界各國對網路空間的日益重視，網路空間已發展為繼海、陸、空、天之後的第五空間，成為影響國家安全、地緣政治、乃至國際政治格局的重要因素之一。因此，了解網路安全現狀及掌握其未來發展趨勢極其重要。回顧2017，全球的網路空間遭遇了巨大的安全挑戰，國家型黑客攻擊事件頻發、針對關鍵基礎設施與物聯網的攻擊不斷、勒索軟體盛行、數據泄露嚴重等等。

2018年，網路安全人才短缺依舊是阻礙網路安全產業發展的重要因素之一。鑒於不容樂觀的網路安全局勢，以及2017年發生了多起臭名昭著的網路攻擊事件，2018年網路安全人才的需求量將會劇增。為了彌補網路安全人才短缺的缺口，預計2018年多個國家的政府機構將會採取措施，開展相關項目，以培養網路安全專業人才，推動本國網路安全產業的發展以及維護網路空間安全。（來源：站長網）

漏洞速遞

最新漏洞

END

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！