欢迎访问中国软件评测中心!

【指尖安全 · in资讯】4·15特辑:中国评测网安中心助你一屏掌握网络安全最in资讯

2020-04-24

您的安全,我来守护

4·15全民国家安全教育日

暨中国评测网络安全月主题活动

【in资讯 · 指尖安全】4·15特辑

让我们一起守护国家安全!

一、全民国家安全教育日

习近平指出:“没有网络安全就没有国家安全”,网络安全是国家安全的重要组成部分。正值4月15日全民国家安全教育日之际,包括网络安全在内的国家安全宣传教育将全面展开。我们综合相关资讯如下:

1. 司法部、全国普法办部署开展2020年全民国家安全教育日普法宣传活动

为贯彻落实习近平总书记重要指示精神,提高全民国家安全法治意识,营造维护国家安全的浓厚法治氛围,增强防范和抵御安全风险能力,司法部、全国普法办决定在全国开展2020年全民国家安全教育日普法宣传活动。

司法部、全国普法办印发《关于开展2020年全民国家安全教育日普法宣传活动》的通知,明确以习近平新时代中国特色社会主义思想为指导, 深入学习贯彻党的十九大和十九届二中、三中、四中全会精神,深入学习宣传习近平总书记全面依法治国新理念新思想新战略和坚持总体国家安全观的重要论述,大力宣传宪法规定的关于公民维护祖国的安全、荣誉和利益的基本义务,深入宣传国家安全法以及网络安全法、反恐怖主义法、反间谍法、核安全法等涉国家安全法律,紧紧围绕依法防控新冠肺炎疫情,广泛宣传传染病防治法、突发事件应对法、野生动物保护法、国境卫生检疫法等法律法规,积极组织特色鲜明的基层宣传活动,突出非传统安全内容,加大宣传力度,在全社会形成维护国家安全的浓厚氛围。

2. 全国普法办组织编制了2020年全民国家安全教育日法治宣传挂图

为提高全民国家安全法治意识,全国普法办组织编制了2020年全民国家安全教育日法治宣传挂图(一套6张),在智慧普法平台(中国普法网)发布。6幅挂图内容包括今年活动主题、国家安全法、网络安全法、核安全法、反恐怖主义法、反间谍法内容。其中关于网络安全法的挂图如下:

二、   行业资讯

(一)   政策法规标准

1.网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》发布

2020年3月30日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,面向社会公开征求意见,意见反馈截止时间是2020年4月13日。该指引依据法律法规和政策标准要求,基于相关评估工具数据统计和近期疫情防控App发现的问题,给出了当前App个人信息保护合规的常见问题和防范策略,建议App(含小程序)运营者和疫情防控App参考本实践指南,采取相应措施持续提升个人信息保护水平。

2. 市场监管总局、国家密码管理局就开展商用密码检测认证工作提出实施意见

2020年3月26日,为推进商用密码检测认证体系建设,促进商用密码产业健康有序发展,根据《中华人民共和国产品质量法》、《中华人民共和国密码法》和《中华人民共和国认证认可条例》,市场监管总局、国家密码管理局就商用密码检测认证工作从工作原则与机制、认证实施和监督管理三方面提出实施意见。

实施意见对商用密码认证机构提出4点要求:应当符合有关行政法规、规章规定的基本条件,具备从事商用密码认证活动的专业能力,并经市场监管总局征求国家密码管理局意见后批准取得资质;应当委托依法取得商用密码检测相关资质的检测机构开展与认证相关的检测活动,并明确各自权利义务和法律责任;商用密码认证机构应当公开认证收费标准,认证证书有效、暂停、注销或者撤销的状态等信息,接受社会的监督和查询;应当按照有关规定报送商用密码认证实施情况及认证证书信息。

实施意见要求商用密码检测、认证机构应当依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证,并建立可追溯工作机制对检测认证全过程完整记录并归档留存;应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

3. 中国人民银行发布《JR∕T 0184-2020 金融分布式账本技术安全规范》

近日,中国人民银行正式发布《JR∕T 0184-2020 金融分布式账本技术安全规范》(JR/T 0184—2020)金融行业标准。分布式账本技术是密码算法、共识机制、成对点通讯协议、分布式存储等多种核心技术体系高度融合形成的一种分布式基础架构与计算范式。该标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面,适用于在金融领域从事分布式账本系统建设或服务运营的机构。

(二)   产业动态

1. 北京网络安全大会(BCS 2020)启动并向全球征集议题

3月24日,北京网络安全大会(BCS)携手全球信息安全大会(RSA) 举行的“全球首场网络安全行业万人云峰会”正式召开,中、美、俄、以色列、日、韩等多国顶级网络安全专家跨越太平洋展开对话与合作,共同探讨疫情之下的信息安全与全球网络治理、新技术带来安全风险,以及数字经济与“新基建”赋能网络安全行业等焦点议题。万人云峰会为疫情下的全球网络安全行业交流碰撞,开辟了一个全新的形式。在本次云峰会上,BCS主席邀请业内人士参加8月在北京举办的BCS大会,并宣布BCS 2020正式启动,全球议题征集同步开启。

2. 网络安全行业全景图发布

经过近3个月的调研收集,3月31日,安全牛2020年中国网络安全行业全景图(基于2019年度申报数据)正式发布。本次发布的全景图,共分为16类一级安全领域(实际收录产品15类),100类二级细分领域(实际收录88类),共涉及313家国产网络安全企业和相关行业机构,完成实际收录1143项。

(三)   安全漏洞和事件

1. 工信部网络安全管理局就新浪微博App数据泄露问题开展问询约谈

3月21日,针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。

2. 微软警告Windows字体解析高危漏洞

3月25日消息,微软发布声明,称黑客正在利用Windows Adobe Type Manager库中的两个0day远程代码执行漏洞发起攻击,这些漏洞影响该库处理Adobe Type PostScript格式的特殊多主机字体的部分。目前,这两个高危漏洞会影响所有受支持的Windows版本,黑客可能会利用这一0day漏洞发起有针对性的攻击。

3. 台湾合勤和利凌物联网设备漏洞被利用发动DDos攻击

奇虎360报告台湾合勤(Zyxel)和利凌(LILIN)所生产 DVR 设备的高危漏洞正被攻击者利用去组建僵尸网络发动分布式拒绝服务攻击。从2019年8月30日起,多个攻击团伙使用 LILIN DVR 0day 漏洞传播 Chalubo,FBot,Moobot 僵尸网络。LILIN 0day 漏洞主要包括:硬编码登陆账号密码、命令注入漏洞和任意文件读取漏洞。国外Palo Alto Networks的研究人员报告合勤NAS设备预认证命令注入漏洞被利用安装Mirai变种 Mukashi。合勤的漏洞非常容易利用,其漏洞安全评分为高危(9.8/10)。

4. AMD GPU源代码泄露

美国AMD公司近日发布声明,2019年12月,有人联系他们并声称拿到了AMD当前和未发布的图形产品的部分测试文件,其中部分已经公开到网上。黑客声称通过远程攻击一台AMD服务器,发现了未加密的AMD Navi 10、Navi 21、Arden GPU的源代码,总价值1亿美元,正在寻求买家,如果没人要就会全部泄漏到网上。此前,这名黑客已经将部分源代码发布在了GitHub上,但在AMD的要求下很快就被删除,但随后黑客又在GitHub上发布了第二部分源代码。

(四)  研究报告

1.联通百度发布《2019年DDoS攻击态势分析报告》

3月23日,联通智慧安全科技有限公司携手百度安全正式发布主题为“联建网安 共度时艰”的《2019年DDoS攻击态势分析报告》。基于双方监测到的全网数据,从DDoS攻击事件的数量、强度、持续时长、受害者地域分布等多个维度总结了2019全年DDoS攻击态势,并就当前DDoS攻击、Web安全事件频发的安全形势给出相应的解决方案。《2019年DDoS攻击态势分析报告》也是国内首次由电信运营商与互联网公司在网络空间安全治理方面的跨行业报告。

2.  阿里云发布《2019云上企业安全指南》

近日,阿里云安全联合FreeBuf发布了《2019云上企业安全指南》,阿里云安全运营中心对2019年网络安全态势做了分析,并给出2020年云上安全运营建议。报告总结2019年云上网络安全四大威胁分别为:挖矿病毒、DDoS 攻击、暴力破解、恶意爬虫,最受企业关注的四大类安全问题分别为:合规、数据安全、IOT安全、云上安全运营,提出2020云上安全运营四大建议:合规建设、数据安全建设、IoT 安全能力建设、常态化安全运营。

3.  FreeBuf发布《2020国内WAF产品研究报告》

FreeBuf发布企业安全系列之《2020国内WAF产品研究报告》,报告分析了国内WAF产品的现状、主流WAF产品名录,从开发时期遗留问题、Web中间件漏洞问题、运维管理中的问题和破坏手段多样问题四个方面分析了企业面临的Web安全问题。

4. 美安全公司发布《2020年恶意软件威胁态势报告》

美国安全公司Malwarebytes Labs从产品遥测数据、蜜罐、威胁情报以及对2019年网络犯罪活动的调查结果中收集信息,发布了关于恶意软件威胁态势的年度研究成果《2020年恶意软件威胁态势报告》,报告提出了以下重点内容:

1)  针对macOS的威胁呈指数级增长。

2)  全球针对商业终端的恶意软件安全威胁数量同比增长了13%,其中攻击性广告软件、特洛伊木马和黑客工具居首位。

3)  Emotet和TrickBot木马病毒的危害巨大。这两个木马病毒几乎出现在了全球每个地区排名前五的网络威胁之中。

4)  针对商业领域的新型勒索软件活动创下了有史以来的新高。

三、中国评测资讯

1. 中国评测发布《医疗行业网络安全白皮书2020》

随着大数据、云计算、物联网在医疗行业的应用不断深入,越来越多的医疗卫生机构提供在线问诊、智能问药、药品快递到家等服务。然而,医疗行业面临的网络安全风险也逐渐增多,网络安全工作显得尤为重要。近几年评测人员在对医疗机构进行安全检查、等级保护测评时发现,各医疗机构对网络安全的重视程度参差不齐,网络安全防护水平仍有待快速提高。

中国评测网安中心在有关部门的指导下,结合丰富的一线实战经验,参照近三年的测试(脱敏后)数据,联合HC3i数字医疗网于4月2日推出《医疗行业网络安全白皮书2020》。白皮书客观呈现医疗行业网络安全发展的现状、存在的主要问题,并给出了医疗行业网络安全的实施建议。旨在保障医疗行业信息系统安全稳定可靠运行,帮助医疗行业网络运营者做好网络安全保障工作的同时供相关行业主管部门、疾控部门和企事业单位等参考。

2. 中国评测安全无小事免费云课堂完美收官

为贯彻工业与信息化部“摸清企业情况、突出工作重点、突出精准帮扶政策”的指导方针,响应赛迪研究院“驰援武汉、复工复产”的工作部署,进一步落实中国评测关于面向湖北地区提供29项免费服务的决议,中国评测网安中心面向武汉地区企业事业单位持续推出以“安全无小事”为主题的“免费云课堂”。目前,“免费云课堂”的五次在线授课已全部结束,内容涵盖网络安全政策、云计算安全、大数据安全、电信和互联网行业安全、关键信息基础设施安全保护、工控安全等方面,取得了良好的社会效益。