信息安全快讯丨生日快乐，我的国

 

政府举措

个人信息保护将立法

关键词：个人信息保护

近日，中国人大网公布了《十三届全国人大常委会立法规划》，69件法律草案列入第一类项目。其中，个人信息保护法是第一类项目中的第61个项目，也就是即条件比较成熟、任期内拟提请审议，这也这意味着个人信息保护将迎来专门立法。

在互联网时代，相信每个人都会或多或少的遇到莫名其妙的电话骚扰或者垃圾短信，一些黑色产业已经瞄准了个人信息，将之作为自己作恶的资产形成了一条产业链。个人信息保护立法，是遵循历史发展的趋势应运而生，它不仅要保护广大人民群众的个人隐私，而且还要严惩出卖个人隐私的违法分子，严惩制造骚扰电话和垃圾短信的相关责任人。（来源：中国人大网）

 

国家能源局印发《关于加强电力行业网络安全工作的指导意见》

 

关键词：电力行业网络安全

近日，国家能源局印发《关于加强电力行业网络安全工作的指导意见》，从电力行业全局的角度指导、推进网络安全工作。《意见》围绕进一步落实电力企业网络安全主题责任，完善网络安全监督管理体制机制，加强全方位网络安全管理，强化关键信息基础设施安全保护，加强行业网络安全基础设施建设，加强电力企业数据安全保护，提高网络安全态势感知、预警及应急处置能力，支持网络安全自主创新与安全可控。（来源：国家能源局）

 

美国政府跟进欧洲GDPR

关键词：美国互联网企业新规

美国政府于近日呼吁公众就“新的消费者数据隐私方案”发表评论，而这意味着未来可能出台面向互联网企业的一系列新规定。

美国商务部表示，此项公告属于“二十一世纪美国数据隐私政策现代化实施”项目中的组成部分。在此之前，2018年已经有欧盟及加利福尼亚州相继出台数据保护法规以及新的州隐私法律。这两项措施都将影响到下辖可供全球范围访问的各互联网企业网站。

美国商务部下辖国家电信与信息管理局（NTIA）负责人 David Redl 指出，随着技术变得越来越复杂、相互关联性持续增强以及对日常生活的融入度不断提升，美国在保护个人隐私方面面临的挑战也愈发严峻。特朗普政府正在开展这方面讨论，希望征求意见以确保新的隐私政策能够适应当今以数据为核心驱动力这一时代趋势。（来源：E安全）

 

德国最大电信运营商:将与军方合作 共同应对网络袭击

关键词：网络袭击

德国最大的电信运营商德国电信公司近日宣布，将与德国联邦国防军开展紧密合作，共同应对网络袭击。

据了解，双方合作的主要形式为定期交换专业人员，相互交流学习。双方还将在信息技术安全培训领域展开合作，并开设相关课程。

德国电信内部安全与网络防御部门负责人托马斯·切尔西希说，双方的网络专家将从交流中获益，并共同为德国的网络安全做出重要贡献。

德国于2016年发布国家网络安全战略，强调要扩大政府机构与企业在这一领域的合作。（来源：新华社）

 

网络安全事件

腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 美元

关键词：入侵WiFi

腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣，他还写了一篇博客介绍了入侵经过。通过搜索 Google 他发现酒店管理系统使用的默认账号密码 console / admin 和 ftponly / antlab 没有被禁用，使用默认账号他找到了系统的更多信息，并搜索到了数据库密码，登录数据库后找到了管理员密码，他把这些信息都公布在了个人博客上。他的博客引起了新加坡网络安全局的注意，新加坡检方称公开这些信息意味着酒店的 WiFi 系统可能会被其他人用于恶意目的。这名工程师承认了罪名，由于他是出于好奇而且没有造成有形的伤害，他免于刑期只被罚了 5000 美元。（来源：solidot）

 

优步将为2016年的数据泄露事件支付1.48亿美元赔偿金

关键词：数据泄露

美国当地时间周三，优步同意为2016年的数据泄露和之后的掩盖行为支付1.48亿美元赔偿金。这笔资金将用于赔偿50个州和哥伦比亚特区的员工和乘客。

优步还同意采取额外措施改变其公司政策，包括保护存储在第三方平台上的用户数据，为员工实施部署的密码解决方案，为收集的数据制定强有力的整体安全政策，实施企业诚信计划，以及聘请外部人员定期评估优步的数据安全工作。（来源：zdnet）

 

比特币核心团队修复钱包软件中的严重 DDoS 漏洞

关键词：比特币漏洞

比特币核心团队近日发布了一项重要更新，修复了底层钱包软件中的可能会影响底层比特币网络和整个区块链安全的 DDoS 漏洞（CVE-2018-17144）。一旦漏洞被利用成功，就会导致运行 0.14.0 和 0.16.2 软件版本的比特币核心节点出现问题。也就是说，比特币挖矿者可以利用重复交易造成区块过度利用，导致他人交易确认受阻；也可以滥用比特币 P2P 网络节点已经过度利用带宽。这两种途径都会让整个区块链崩溃。区块链核心团队开发者表示，所有最近的比特币系统都可能受到这个漏洞影响。目前，这个漏洞已经修复。（来源：TheHackerNews）

 

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

关键词：僵尸勒索软件

根据趋势实验室披露的安全报告，一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征，在微软Outlook上以垃圾邮件的方式进行传播。

报告中写道：“Virobot首次发现于2018年9月17日，是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot，它就会检查注册表键值（计算机GUID和产品秘钥）来确认系统是否应该加密。然后通过加密随机数生成器（Random Number Generator）来生成加密和解密密钥。此外伴随着生成的秘钥，Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。”

趋势科技还表示Virobot还可以记录用户敲击键盘的次数，并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染，请确保你不要打开非可靠源的附件。（来源：hackernews）

 

应对移动应用安全挑战 网络安全专家支招

关键词：移动应用安全

9月27日，由国家信息中心国信卫士网络空间安全研究院主办的第六期网络安全创新发展高端论坛——移动应用安全主题论坛在北京举行。

会议以移动应用安全为主题展开了研讨，从移动互联的密码技术、移动应用数据安全治理、移动通信安全技术演进与5G安全等方面进行了交流。

国家信息中心信息与网络安全部主任杨绍亮称，当前移动应用面临着安全漏洞问题形势严峻，各种盗版、仿冒、恶意应用层出不穷以及移动办公安全风险正在上升等诸多问题。中国科学院院士郑建华则表示，要创新SOTP新型密码体制，将密码算法与密匙融合，利用终端密码个性化、动态更新的“一人一密”加“一次一密”保证移动互联的安全性。另外，国家信息技术安全研究中心原总工程师李京春表示，要摸清家底资产，进行深度安全监测，采用威胁情报大数据等技术，智能防范并发现网络威胁，做好应急处置工作。（来源：新浪科技）

 

数据统计

2018 年已有价值 8.54 亿美元的加密货币被盗

关键词：加密货币

近日，Hackmageddon 的一份报告指出，加密货币盗窃事件在 2018 年持续高发。在 18 次大型攻击中，黑客们至少窃取了 854,182,000 美元的加密货币。其中仅日本 Coincheck 被入侵一事，就导致了 5.24 亿美元的损失。分析还指出，恶意行为者在一年内疯狂作案近 10 亿美元。目前，损失最大的十大加密货币交易所分别为：Coincheck（5.24 亿美元）、BitGrail（1.7 亿美元）、Zaif 攻击（6000 万美元）、Coinrail（3720万美元）、Bithumb（3150万美元）、Michael Terpin（ 2400 万美元）、Bitcoin Gold（1800万美元）、Bancor（1350万美元）、一个价值 1000 万美元的未披露的日本钱包，以及 KICKICO（ICO 后丢了 770万美元）。（来源：softpedia）

 

浙江超70%网民个人信息被泄漏 警方通报三大犯罪特点

关键词：个人信息泄露

据《浙江省互联网发展报告》显示，仅2017年，浙江有72.8%的网民经历过个人信息泄露。截止目前，浙江省公安机关共清理网上买卖公民个人信息等相关违法信息2405条，处罚网站、网络服务提供商209家。破获侵犯公民个人信息类刑事案件447起，抓获犯罪嫌疑人1863名,查获泄漏公民个人信息22.8亿余条。通过侦办案件，打处泄露信息的单位“内鬼”33名，网络黑客107名，发现并督促整改安全隐患6788起。

浙江省侵犯公民个人信息犯罪活动存在以下特点：一是泄露信息涉及面广，社会危害大；二是犯罪手段不断翻新，发现预警难；三是利益链错综复杂，源头追溯难。

警方呼吁广大人民群众切实增加安全意识，养成良好的上网习惯，切莫贪图小利而因小失大，谨防钓鱼网站或软件APP，不轻易透露提交个人信息。与此同时对发现的网上违法犯罪线索，请及时向公安机关举报。（来源：cnBeta）

 

人才培养

人才培养是网络安全第一要务

关键词：安全第一要务

2018年国家网络安全宣传周开幕式19日在成都举行。与往年相比，今年更多融合了网络安全人才培养、技术创新、产业发展等多项内容。

网络空间安全问题，关涉公共秩序的构建，但归根结底是人才的竞争。近年来，我国高等教育培养的信息安全及相关专业人才每年不到10万人，而目前网络安全人才总需求量则超过70万人，预计到2020年，相关人才需求量将达到140万至200万人。需求与供给之间的缺口，客观上要求必须以时不我待的紧迫感，把网络安全人才的教育培养放到十分突出的战略位置。

网络安全人才分工将越来越细，需要国家层面尽快出台网络安全领域的专门人才计划，通过提升网络安全教育培养质量，夯实网络安全工作的基础。应强化网络安全专业和学科体系建设，加快网络安全人才与创新基地建设，尽快形成校企合作的持续培养机制，推动网络安全高层次人才队伍不断壮大。（来源：西安网）

 

一线城市网络安全人才缺口明显 对出类拔萃者不能“唯学历论”

关键词：唯学历论

9月19日，网络安全先进典型表彰仪式在成都举行。获奖者分别为网络安全优秀人才10名、优秀教师10名，所获奖金为优秀人才每人50万元、优秀教师每人20万元。

在培养体系化的网络安全人才上，学历教育是网络安全人才培养的重要环节。

在四川大学网络空间安全学院副院长刘嘉勇看来，网络安全人才培养有一定特点，特别是攻防博弈性，导致与其他学科相比最大的不同是，有攻击和防御技术，并且在相互的博弈中对抗、促进发展；另外，网络安全人才需求一定是多元化、多层次的，既要考虑专业化的系统培养，也要考虑兼顾一些特殊人才脱颖而出。

“创新网络安全人才评价机制，这一点非常重要。”在中国工程院院士沈昌祥看来，网络安全人才培养要不唯学历、不唯资历，以实际能力为衡量标准，突出专业性、创新性、实用性。（来源：光明网）

 

漏洞速递

Linux爆出严重内核漏洞，可为攻击者提供Root访问权限

关键词：Linux

所有版本的Red Hat Enterprise Linux和CentOS都容易受到该整数溢出漏洞（CVE-2018-14634）的影响。它为攻击者提供了一种获取系统完整root访问权限的方法。

整数溢出漏洞（CVE-2018-14634）存在于用于内存管理的关键Linux内核函数create_elf_tables（）中。在64位系统上，本地攻击者可以 通过SUID root二进制文件利用此漏洞并获取完整的root特权。（来源：DARKreading）

 

其他漏洞

9月25日-9月29日：

国家信息安全漏洞共享平台（简称 CNVD）共收集、整理信息安全漏洞155个，其中高危漏洞62个，中危漏洞90个，低危漏洞3个。

 

免责声明：

信息安全快讯的内容及图片出于传递更多信息之目的，属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权，请联系我们，我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。

 

获取更多网络安全行业资讯，请关注e安在线微信公众号：