河南键盘价格联盟

近期网安等保动态速览(5月28日-6月10日)

安全测评联盟2018-06-23 22:19:21

编者按

近期,四部委联合发布《关于进一步加强核电运行安全管理的指导意见》,将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。

网络安全法施行一周年,《人民日报》发文称,随着《网络安全法》的施行,恶意程序扰民乱象得到有效遏制,越来越多的企业开始主动进行“攻防演练”。世界领先的研究和报告发布平台 Cybersecurity Ventures公布了官方版2018全球最热门、最具创新网络安全公司500强名单,中国有8家公司上榜。

国外动态方面:一是美国参议院提出新决议,鼓励企业将欧盟GDPR的隐私保护要求适用于美国用户。二是美国众议院通过《2019财年国防授权法案》,对华为和中兴产品和服务的使用进行了明确限制。三是美国众议院正在试图扩大与“五眼联盟”成员国议会的网络威胁信息共享计划,以加强这些国家最高立法机关(国会或议会)的安全性。四是英国正式通过新修订的《数据保护法2018》。该法将废除1998年颁布的《数据保护法》,重新建立英国的数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出克减规定。五是越南国会当日审议通过了《网络安全法》草案。草案将给互联网公司增加新的限制,包括对本地数据存储的控制权,并加强对网上异见者的监管。

此外,近期以下网络安全漏洞和问题值得关注:一是尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机450台,近50个国家受害。二是区块链平台 EOS 现一系列高危安全漏洞,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。三是Facebook由于软件漏洞,1400万用户的私密帖子被公开。四是Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击。

国内动态

NEW


1
   
  四部委发文:将网络安全纳入核电安全管理体系

据国家发改委网站消息,国家发展改革委、国家能源局、生态环境部、国防科工局四部委近日联合发布《关于进一步加强核电运行安全管理的指导意见》。《意见》指出,将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。开展网络安全能力建设,做好网络等级保护测评,开展网络安全培训及评估工作。此次意见出台,旨在总结核电行业安全管理经验和“核电安全管理提升年”专项行动工作基础上,聚焦核电运行关键环节,进一步加强安全管理,保障核电机组安全稳定运行,促进核电安全高效发展。


   
  信安标委发布《网络安全实践指南—欧盟GDPR关注点》

据信安标委消息,5月25日,全国信息安全标准化技术委员会发布了《网络安全实践指南—欧盟GDPR关注点》,简要介绍了GDPR适用的场景、核心内容和关注点。

指南共总结了十四项关注点,分别为适用GDPR的场景、适用的数据范围、数据处理的基本原则、数据处理的合法正当性事由、对儿童的特别保护规定、数据主体权利、对用户画像的规定、对数据处理者的规定、对数据保护官、欧盟境内法律代表的规定、对数据保护影响评估的规定、通过设计实现数据保护的规定、数据泄露强制通知的规定、数据跨境传输的规定、处罚规定。


   
  网络安全法施行一周年 多项顽疾仍亟待根治

据《人民日报》5月31日报道,2017年,我国境内感染计算机恶意程序的主机数量减少了26.1%,移动互联网恶意程序数量增速减缓,国家互联网应急中心协调下架8364个移动互联网恶意程序。随着《网络安全法》的施行,恶意程序扰民乱象得到有效遏制。越来越多的企业开始主动进行“攻防演练”,邀请能发现安全漏洞而不会恶意利用的“白帽黑客”找到漏洞、及时修补,不给恶意攻击留下机会。

“《网络安全法》从网络管理的角度进一步明确分工,强化了网络基础设施建设,提升了对抗恶意攻击的能力。”北京大学网络与信息安全实验室主任陈钟说。“要让《网络安全法》发挥更大作用,应做好‘后处理’工作,帮助受到网络安全攻击的企业和用户回归正轨,并用好法律武器,对违法者追责到底。”陈钟建议。


4
   
  2018全球网络安全创新500企业:中国八家

据E安全6月5日消息,世界领先的研究和报告发布平台 Cybersecurity Ventures 在2018年5月15日美国纽约所举行的网络投资峰会上公布了官方版2018全球最热门、最具创新网络安全公司500强名单。亚洲地区有20家公司上榜:中国8家公司;印度4家公司;日本和韩国各有3家公司;新加坡2家公司。中国公司有:安天、奇虎360、安恒信息、Nexusguard(耐誉斯凯)、瀚思、绿盟、深信服、微步在线。

国外动态

NEW



1
   
  美国参议院提出新决议,鼓励企业将欧盟GDPR的隐私保护要求适用于美国用户

5月24日,美国参议院提出一项新决议,鼓励企业将欧盟《通用数据保护条例》(GDPR)中的隐私保护要求适用于美国用户。为加强美国的隐私保护水平,决议对数据控制者和处理者的义务和数据主体的权利做出了规定。

对于数据控制者和处理者,决议建议宽带服务提供者、数据经纪人等为美国用户提供服务时,在与美国现行法一致的基础上将GDPR的隐私保护规则纳入其中。包括:1)数据处理者的数据处理行为应当有合法性基础;2)数据处理行为首要的合法性基础为数据主体的同意;3)数据处理者在其系统设计过程中就应当考虑隐私保护,包括遵循数据处理的最小化和必要原则,默认的隐私保护原则;4)给予儿童以特殊保护,尤其是基于营销目的;5)数据处理者和控制者应当确保遵循GDPR中隐私保护规则;6)数据处理者对于第三方的数据处理行为应当进行适当的监督。(公安部第三研究所网络安全法律研究中心编译)


2
   
  美国众议院通过《2019财年国防授权法案》,禁止华为和中兴产品与服务的使用

5月24日,美国众议院通过《2019财年国防授权法案》(National Defense Authorization Act for Fiscal Year 2019)。其中,对华为和中兴产品和服务的使用进行了明确限制。

法案要求,不迟于2021年1月1日,政府部门负责人应禁止采购或获取、禁止通过续签或签订新合同采购或获取、禁止与使用或承包了以下企业的设备、系统或服务作为实质性或必要组件,或作为系统的核心技术:1)华为技术有限公司或中兴通讯股份有限公司(包括子公司、后继实体和附属机构)生产的电信设备;2)由这些实体提供或使用此类设备的电信服务;3)政府部门负责人有合理理由认为生产或提供电信设备或服务的实体由所涵盖的外国政府(即“中华人民共和国”)拥有、控制或有所联系。另外,在不迟于本法颁布的180天内,政府部门应制定一项贯穿机构供应链的计划以实现前述要求,并提交给相关国会委员会。

此外,法案还要求国家情报局长,与FBI局长、国务卿、国土安全部和国防部磋商后,在本法颁布后180天内向相关国会委员会提交一份报告。报告内容包括,使用华为和中兴技术对国家安全的风险,特别是会导致未经授权的网络访问或控制的恶意软件或硬件的证据,以及相关风险的类型和水平。(公安部第三研究所网络安全法律研究中心编译)


3
  美将利用“五眼联盟”信息共享计划抵御俄罗斯黑客攻击

E安全6月4日消息,美国众议院首席信息安全官兰迪·维克斯透露,美国众议院正在试图扩大与“五眼联盟”成员国议会的网络威胁信息共享计划,以加强这些国家最高立法机关(国会或议会)的安全性。共享的信息可能是指非保密性威胁情报。维克斯表示,“五眼联盟”的最高立法机关已经维系了牢固的信息共享关系,但美国众议院的目标是能更充分地利用这种关系,且目前正在研究如何更有效、更频繁地共享信息,但需确保“五眼联盟”达成共识,以充分了解网络威胁形势。


4
  英国正式通过《数据保护法2018》

5月23日,英国正式通过新修订的《数据保护法2018》( Data Protection Act 2018)。该法将废除1998年颁布的《数据保护法》,重新建立英国的数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出克减规定。同时,确保英国在脱欧之后与欧盟在个人数据保护方面保持一致,以促进英国与欧盟国家的数据流动。该法的主要内容包括:加强数据主体对其个人数据的控制权;加强数据控制者义务。此外,该法还为刑事司法机构出于执法目的而处理数据设计了专门的执法框架,要求在执法过程中同样需要保护个人数据。


5
  越南国会通过《网络安全法(草案)》

据互联网研究前沿消息,越南之声5月21日报道,越南国会当日审议通过了《网络安全法》草案。草案将给互联网公司增加新的限制,包括对本地数据存储的控制权,并加强对网上异见者的监管。越南政府希望通过新草案加强国内的网络监管力度。草案将会赋予越南公安部更多权力,打压政治异见者。同时,该草案还要求互联网企业在越南本地储存用户的数据,并在当地设立办公点,以便协助政府的网络监管。脸书、谷歌等企业对此持反对意见。美国国贸易代表杰弗里·格里什(Jeffrey Gerrish)在与越南副总理吴廷华(Vuong Dinh Hue)的会晤中表达了美国对越南提出网络安全法的担忧。认为新草案将对越南的言论自由和网络经济造成损害和打击。据悉,该草案将在6月15日进行最终的投票。

漏洞提示

NEW


1
  尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

据雷锋网5 月 28 日消息,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过“web”、“smtp”和“ftp”等三种方式回传数据。

安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。

安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。


2
  区块链平台 EOS 现系列高危安全漏洞

据雷锋网5月29日消息,5 月 29 日,360 公司宣布,Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。29 日凌晨,360 已将该类漏洞上报 EOS 官方,并协助其修复安全隐患。在修复这些问题之前,不会将 EOS 网络正式上线。

在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS 超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。360 方面称,这类型的安全问题不仅仅影响 EOS,也可能影响其他类型的区块链平台与虚拟货币应用。


3
  由于软件漏洞 1400 万 Facebook 用户的私密帖子被公开

新浪科技6月8日消息,本周四,Facebook向约1400万用户发出通知,称发现了一个软件漏洞,导致用户发表的认为只有朋友可见的私密帖子实际上所有人都看得到。一般来说,一个Facebook用户发布的帖子都是预先设置好可见范围的,并不是所有用户都能看到。然而,今年5月18日到5月27日间出现的一个软件漏洞导致这些用户发布的帖子都默认对所有用户可见。Facebook表示已经对受影响的帖子进行了修复,即把可见范围从“公开”变回用户的默认可见设置。目前为止,该项修复工作已经完成了。另外,Facebook还通知了约1400万受此软件漏洞影响的用户,给他们都发送了一个警示通知。


4
  Git 曝任意代码执行漏洞,所有使用者都受影响

据hackernews5月31日消息, Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。

Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。





▲向上滑动


安全测评联盟


更多关于安全测评资讯



长按右方二维码

关注我们ˉ►