点击蓝字关注我们
图片/网络
见知行业微著,网络天下安全
安全动态
Security Trends
国 内
安全动态
《网络信息内容生态治理规定》3月1日施行
3月1日,国家互联网信息办公室发布的《网络信息内容生态治理规定》正式施行。标题党、炒绯闻、人肉搜索、流量造假等乱象都将是严厉打击的对象,不少新规都与新媒体从业者有关。
工信部:同意中国信息通信研究院设立域名根服务器
从工业和信息化部网站获悉,工信部宣布同意中国信息通信研究院设立域名根服务器(L根镜像服务器)及成为域名根服务器运行机构,负责运行、维护和管理编号为JX0013L的域名根服务器。(来源:环球网)
中国移动硬件防火墙产品新建部分集采6867台,总规模超5.98亿元
昨日,中国移动启动2020-2021年硬件防火墙产品新建部分集采,将采购高端硬件防火墙6867台,总预算达59854万元(不含税)。据了解,中国移动2019年曾两次对硬件防火墙产品进行了采购,包括2019-2020年硬件防火墙新建部分及补充采购部分。(来源:C114通信网)
IDC于日前发布了《IDC FutureScape:2020全球区块链市场预测——中国启示》报告
该报告对未来五年的中国区块链市场进行预测,覆盖宏观环境、市场热点、用户需求、产品和技术趋势等。在数字货币方面,IDC预计,到2023年,中国10%的城市将开始使用基于区块链的数字货币,以促进经济稳定性和电子商务发展。(来源:36氪)
国外
安全动态
美用情报共享威胁德国禁用华为 德媒:美从未公布证据
继英国、加拿大等盟友之后,美国又以类似理由威胁德国禁用华为。据彭博社17日报道,美国驻德国大使格雷内尔16日表示,总统特朗普明确指示他“任何选择使用不值得信任的5G供应商的国家”都有危及与美国共享情报和信息的风险。虽然格雷内尔没有提及华为,但舆论认为,这一要求明显指向华为。(来源:环球时报)
美国政府为国防部申请2021年网络预算数额达98亿美元
美国政府2021年国防部网络运营预算中要求拨款98亿美元,这一数据证实了网络战对美国政府的重要战略意义。今年提出的预算数额和去年申请的预算数额不相上下。该预算于2月10日发布,要求在2021财年用于网络活动的预算为98亿美元,而在2020财年的预算约为96亿美元。(来源:Freebuf)
思科疑似准备收购网络安全公司 FireEye,目前市值 35.7 亿美元
知情人士告诉西班牙新闻媒体《Okdiario》,思科和FireEye已进行了长期的谈判,双方的立场“比以往任何时候都更一致”,这意味着思科可能会在接下来几周发出正式的收购要约。他们谈判已进入到很后期的阶段,预计接下来几周会有报价。(来源:智通财经)
美国DHS计划建立“联合网络协调小组”
美国“fifthdomain”网站2月14日消息,在2021财年的预算申请中,美国国土安全部(DHS)要求国会拨款260万美元(约合人民币1814万元),成立“联合网络协调小组”(JCCG),专门协调DHS各部门之间的网络安全工作,并确定共同的工作重点。该小组将有6名全职员工,隶属于政策、战略和计划办公室(PLCY)。通过JCCG,各部门可以在运营规划、风险评估、调查、利益相关者参与、技术部署和国际参与等方面进行协调。它还将使DHS能够评估和执行整个部门的权力和能力,以应对关键基础设施面临的紧迫网络风险,以及外国对手获取或主导某些新兴技术所带来的风险。JCCG将确保在其他机构间努力进行协调和综合投入,积极应对这些风险并遏制对手。(来源:CNCERT)
美国华盛顿州参议院通过数据隐私法案
综合“美联社”和“美国全国广播公司”网站2月15日、16日消息,华盛顿州参议院2月14日投票通过了《华盛顿隐私法案》(Washington Privacy Act),并提交众议院审议。该法案赋予消费者对企业所持有其数据的使用方式的管理权,包括知情权、纠正权、删除权,以及限制和拒绝处理权等。该法案还将为企业的面部识别技术制定规则。该法案监管对象涵盖在本州开展业务、或生产针对本州居民的服务或产品,且控制或处理超过10万人的可识别数据的企业或其他实体。违反该法案的企业或实体最高可被处以7500美元(约合人民币5.3万元)的民事罚款。华盛顿州司法部长办公室是对违法行为采取强制执行的唯一权力机构。(来源:CNCERT)
美国海军网络战开发小组启用进攻性网络武器开发中心
综合美国“meritalk”和“cyberscoop”网站2月19日消息,美国海军网络战开发小组(NCWDG)2月18日启用了一个名为“网络制造厂”的研发进攻性赛博能力的武器开发中心。该中心拥有经验丰富的研发人员、现代化的基础设施和实验环境以及业内领先的新兴技术,旨在按照舰队网络司令部的联合和海上优先事项研发网络武器,并为联合和海上网络武器开发提供一个安全的协作环境。该中心的研发人员将通过逆向工程、漏洞检测和针对敌方网络系统的软件开发等工作,实现海军和联合作战需求的快速响应;并通过整合美国海军和海军陆战队的人员与资源,加强合作创新,应对网络空间挑战。该中心将为美国海军网络战发展小组成员和海军第10舰队的网络作战人员提供服务。(来源:CNCERT)
美国海军发布《首席信息官信息优势愿景》
美国“fedscoop”网站2月20日消息,美国海军2月19日发布了一份名为《美国海军首席信息官信息优势愿景》的备忘录,提出更新海军网络系统的行动计划。该行动计划第一步是“现代化”,要求重新设计海军IT系统,重点淘汰过时和无法进行有效防御的系统,创建能够超越对手的整合系统;第二步是“创新”,加快推进5G、人工智能技术发展,创建加快软件开发的“数字创新中心”;第三步是“保卫现代化的网络”,包括整合海军遍布全球的各种传感器、系统和位置数据,规避风险点等。备忘录指出,海军面临一些重大挑战,一是边缘计算,比如将计算能力部署到舰船上,开发能有效承载边缘计算的网络架构至关重要;二是网络带宽,备忘录称:“我们在转向云计算的过程中,需要更多带宽,以在战术优势和战略规划之间传输越来越多的信息。”(来源:CNCERT)
美国CISA发布《保护2020年选举安全战略计划》
综合美国“meritalk”和“美国国土安全部官网”2月10日消息,美国网络安全和基础设施安全局(CISA)2月7日发布了《保护2020年选举安全战略计划》,以确保美国选举过程的安全和弹性。该计划详细介绍了CISA的四项选举安全工作——选举基础设施、竞选和政治基础设施、美国选民、警告和回应,以及在每个领域的关键行动。在其目标中,CISA优先考虑了与私营部门的伙伴关系、与利益相关者的信息共享以及实时网络漏洞评估。随报告一起提供的应急响应海报、交互式清单和信息图表作为实时工具,州和地方选举官员可以使用它们为2020年的选举团队提供信息并做好准备。(来源:CNCERT)
美国众议院委员会通过两项法案强化能源网络安全
美国“meritalk”网站2月13日消息,美国众议院科学、航天与技术委员会2月12日批准了两项法案,旨在加强美国电网抵御网络攻击的能力。一是《电网安全研究与发展法案》,旨在加强能源部门防范和抵御网络攻击能力的研究、开发和示范,包括开展全面、协调的研究工作,提高跨部门的网络安全能力;开发技术以增强电网的弹性并改善相关的应急响应和管理活动;更新网络安全路线图,为实施网络安全实践提供指导;测试和改进网络安全设备、组件和流程;开展网络安全培训和课程;增加资金投入等。二是《2019年电网现代化研究与发展法案》,完善和扩大旨在提高电网可靠性和安全性的研究与发展项目,包括扩展智能电网区域示范计划;制定新的研究与开发规划;为电网设计和开发高级控件、操作、监控和可视化工具以及开发混合能源系统等。目前,两项法案都移至众议院审议。(来源:CNCERT)
美国总统特朗普签署行政令保护依赖PNT服务的关键基础设施
美国《国会山报》网站2月12日消息,美国总统特朗普2月12日签署了一项行政令,要求联邦机构采取措施加强对依赖PNT服务(即定位、导航和计时服务,如GPS)的关键基础设施的保护,提升关键基础设施的弹性,包括运输、电力输送和通信等系统。该行政令是首个关于PNT服务的行政命令。行政令指出,由于PNT服务的广泛应用,PNT服务的中断或被操控会对美国国家和经济安全产生不利影响。因此,联邦政府必须鼓励关键基础设施的所有者和运营者负责任地使用PNT服务。行政令要求商务部制定PNT服务简介,帮助公共和私营部门识别PNT服务对网络构成的风险,并识别什么是恰当的PNT服务。该命令还要求国土安全部在年内制定计划,测试关键基础设施系统和网络对PNT服务中断或被操控的脆弱性;同时要求国土安全部、交通部和能源部在180天内制定计划,说明各机构计划如何与关键基础设施合作伙伴合作,以确保PNT服务的安全使用。(来源:CNCERT)
巴西政府公布《国家网络安全战略(2020-2023)》
综合巴西“migalhas”和“segs”网站2月11日消息,2月6日,巴西总统府公布了《国家网络安全战略(2020-2023)》。该战略提出将巴西打造成为网络安全国家的战略愿景,并明确了网络安全三大战略目标:一是力求巴西在数字环境中更加繁荣和可靠;二是提高巴西应对网络威胁的能力;三是加强巴西在国际网络安全领域的行动。同时提出十项战略行动,包括:加强网络治理行动;创建全国一级的集中治理模式,并形成“一盘棋”思想;促进公共部门、私营部门和社会部门在网络治理领域的参与性和协作性,打造可靠和安全的环境;提高政府网络保护水平;提高国家关键基础设施的保护水平;加强网络安全法律框架建设;鼓励设计网络安全创新解决方案;深化巴西在网络安全方面的国际合作;深化公共部门、私营部门、学术界和社会之间在网络安全方面的伙伴关系;提高网络安全方面的成熟度。(来源:CNCERT)
美国政府2021财年计划投入188亿美元用于网络安全
美国《联邦计算机周刊》网站2月10日消息,特朗普政府日前公布了2021财年预算草案,计划在新的财年为网络安全设立188亿美元(约合人民币1310亿元)预算。其中,约90亿美元将用于民用机构的网络安全、保护关键基础设施等优先事项。国土安全部的网络安全资金总额为26亿美元,其中包括11亿美元用于国土安全部及其下属机构——网络安全和基础设施安全局,以保护政府网络和关键基础设施免受网络威胁。根据管理和预算办公室的说法,这笔资金将使由国土安全部领导的网络风险评估的数量从1800个增加到6500个,并使更多的州和地方政府能够利用该部的服务。能源部将获得6.65亿美元用于网络安全,包括1.85亿美元用于网络安全、能源安全和应急办公室,其中一部分将用于资助早期研究和开发更好地保护能源供应链的方法。(来源:CNCERT)
英国政府拟授权通信管理局监管社交媒体有害信息
英国“BBC”网站2月12日消息,英国政府拟授权英国通信管理局(OFCOM)监管社交媒体有害信息,以推动科技公司承担保护人们免受暴力、恐怖主义、网络欺凌和虐待儿童等有害信息折磨和伤害的责任。届时,互联网平台需确保其快速删除非法内容,使风险“最小化”。新规则将适用于包括以评论、论坛和视频共享等方式发布的信息,可能包括脸谱网、推特、抖音、Snapchat等平台。同时,新规则也给予OFCOM根据实际情况制定和修改规则细节的权力,以便监管机构具备应对层出不穷的网络威胁的能力。据悉,OFCOM已对包括BBC在内的电视和广播电台进行监管。这是2019年英国政府对其网络有害信息危害咨询的首次回应,该咨询收到2500份回复。目前,尚不清楚OFCOM将对不遵守这些规定的公司施加何种处罚。(来源:CNCERT)
美国参议院拟议《数据保护法案》将创建数据保护机构
美国“Tech Crunch”网站2月13日消息,美国是少数几个没有数据保护法的国家之一(如委内瑞拉、利比亚、苏丹和叙利亚)。在此背景下,美国民主党参议员Kirsten Gillibrand提交了《数据保护法案》。若该法案获通过,美国将创建一个旨在保护美国人隐私的联邦数据保护机构,并将联邦贸易委员会的一些权力移交给该机构。该机构将在联邦层面“创造并切实执行”数据保护和隐私权。它将有权听取并裁定消费者的投诉,对被指控有不当行为的公司展开调查,并宣布某些侵犯隐私的手段是不公平和具有欺骗性的。它还可以通过其执法部门对违反严重法律的公司提起民事诉讼或处以最高每天100万美元(约合人民币698万元)的罚款,但这需要得到法院的批准。该法案还特别针对“要么接受要么放弃”条款提出了质疑,尤其是那些迫使用户“同意”允许采集cookie文件而无法选择退出的网站。(来源:CNCERT)
俄罗斯法院因数据存储问题对推特和脸谱网处以罚款
美国“美联社”网站2月13日消息,莫斯科一家法院2月13日对推特和脸谱网处以400万卢布(约合人民币44万元)罚款,原因是其拒绝将俄罗斯公民的个人数据存储在俄罗斯的服务器上。自2012年俄罗斯通过一系列旨在加强政府对在线活动控制的立法以来,这是根据互联网使用法对西方科技公司实施的最大处罚。该法律规定科技公司需将服务器保留在俄罗斯,以存储从俄罗斯公民那里收集的个人信息。俄罗斯联邦电信信息技术和大众传媒监管局多年来一直未能成功使脸谱网、推特和谷歌等大型公司将俄罗斯用户数据转移至俄罗斯,其在评论法庭裁决时表示,如果推特和脸谱网今年仍不遵守规定,将分别被罚款1800万卢布(约合人民币198万元)。此外,这项法律允许俄罗斯禁止不符合数据存储要求的在线服务。至今只有社交网络领英被封锁,但人们普遍认为俄罗斯当局或不会封锁脸谱网或谷歌。(来源:CNCERT)
为解决平台政治虚假信息问题 美国官员正在接触TikTok
美国政府高级官员周二表示,为了对付下一代的虚假信息,美国政府已开始接触TikTok。这个由中国人拥有的平台在美国青少年中越来越受欢迎,经常被用来分享政治迷因。(来源:360官网)
在韩国政府之后,波兰政府也增加了对 Linux 的使用
前段时间, 韩国政府起草了一项战略,准备采用基于 Linux 的开源操作系统全面取代 Windows,以摆脱对其的依赖。目前,波兰的社会保险公司 ZUS( Zakład Ubezpieczeń Społecznych)也已宣布,与 Linux Polska 达成一项协议,以提供具有三年支持服务的集成服务器虚拟化解决方案,新的解决方案将允许 ZUS 开发和优化 IT 系统。(来源:开源中国)
欧盟要求员工放弃使用WhatsApp和Messenger
欧盟委员会(EC)已告知其所有员工,出于网络安全因素考虑,应放弃使用WhatsApp、Facebook Messenger和苹果Messages等即时通讯应用,转而使用另一款即时消息应用Signal。(来源:新浪科技)
因担心隐私,又一美国政府部门禁止使用抖音海外版
美国国家交通安全局表示,收到参议员Chuck Schumer信函后,已禁止员工利用抖音海外版为单位创作社交媒体内容。数月前就有媒体报道称,美国政府在对抖音海外版进行国家安全评估。舒默在信函中还表示,美国国土安全部已禁止员工在单位配发的设备上安装抖音海外版。(来源:凤凰科技)
谷歌拟让英用户数据脱离欧盟隐私监管 改用美国标准
谷歌计划让英国用户的账号脱离欧盟的隐私监管政策,改用美国司法标准。据路透社2月19日报道,这一转变由英国脱欧引发,一方面它让数千万英国用户的个人信息置于较少保护之下,另一方面也让这些信息更容易被英国执法部门获得。(来源:凤凰科技)
欧盟拟迫使科技巨头分享数据
欧盟委员会(European Commission)表示,占主导地位的科技公司将不得不向规模较小的竞争对手开放其海量数据,就像金融服务等其他行业已经采用的做法那样。这一提议旨在打破亚马逊(Amazon)和谷歌(Google)等巨擘的垄断地位。(来源:新京报)
白宫发布战略构想:美国将开辟量子互联网
美国白宫网站近日发布一份《美国量子网络战略构想》,提出美国将开辟量子互联网,确保量子信息科学(QIS)惠及大众。这份由白宫国家量子协调办公室撰写的文件提到,1969年,美国国防部高级研究计划局(DARPA)演示了首个计算机网络ARPANET,推动了后来的互联网诞生。“那时候,人们难以想象它会成为世界上推动经济增长和生活质量提高的最强大引擎。”
安全事件
Security Events
国 内
安全事件
微盟称数据已全面找回,并公布商家赔付计划
3月1日晚间消息,微盟发布公告, 在腾讯云团队协助下,数据已经全面找回。微盟表示,由于此次数据量规模非常大,为了保证数据一致性和线上体验,将于3月2日凌晨2点进行系统上线演练,将于3月3日上午9点数据恢复正式上线。(来源:新浪科技)
员工在家办公用VPN毁掉公司数据 微盟公司市值一天蒸发9亿
港股上市公司微盟集团今日在港交所公告称,SAAS业务数据遭到一名员工“人为破坏”,故障发生后排查发现大面积服务集群无法响应,生产环境及数据遭受严重破坏。截至2020年2月25日12点,微盟集团报5.660港元,跌幅为4.553%。从2月24日至2月25日员工恶意破坏事件的一天时间内,微盟集团市值约蒸发了约9.63亿港元。(来源:凤凰科技)
蚂蚁金服员工录屏从钉钉获取8万条个人信息被开除
2020年1月3日,中国裁判文书网公开披露的一份判决书显示,蚂蚁金服员工通过钉钉非法获取阿里、蚂蚁金服同事通讯录,其中个人及职务信息超8万条,被蚂蚁金服开除。(来源:新浪财经)
支付宝回应人脸识别“被骗”:极小概率事件
支付宝方面称,人脸识别认证目前的准确率为99.99%,2018年出现的这一案例为极小概率事件。案件发生后,经过技术升级支付宝对此类攻击形式已可防可控,至今没有再发现类似攻击案例。支付宝承诺,即便出现小概率的盗刷事件,也会全额赔付。(来源:21世纪经济报道)
国 外
安全事件
韩新天地教会网站一天被黑两次上热搜,黑客威胁将信徒住址信息交政府
该教会的网站一天内连续2次被黑客攻击。黑客还在网站留言称,如果3月5日前不向政府提交教会信徒名单,将把所有信徒住址信息交给政府。(来源:环球网)
因侵犯用户数据隐私 美国运营商或面临超2亿美元罚款
美国联邦通信委员会(FCC)一方面正计划通过频谱拍卖向美国国库注入数十亿美元的收入,另一方面则可能会对美国四大移动运营商处以2.08亿美元的罚款,原因是他们涉嫌侵犯用户数据隐私(实时定位数据)。(来源:C114通信网)
披露美国中央情报局CIA攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击
360安全大脑捕获了美国中央情报局CIA攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。(来源:新华网)
美智库高校专家称,2020年将是世界上第一次全面的网络战争的一年
一位曾预测2008年住房危机和经济衰退的经济学家现在预测,2020年将是全球第一次全面网络战的年份。(来源:雅虎财经)
英国多个火车站免费Wi-Fi暴露用户数据
Security Discovery的一名研究人员发现,与英国多个火车站的免费Wi-Fi热点连接的用户数据已存储在非密码保护的数据库中。该数据库包含1.46亿条记录,其中包括电子邮件地址、年龄范围、旅行原因、设备数据和其他日志。(来源:cnBeta.COM)
Android三月安全更新将全面修复MediaTek-SU权限漏洞
谷歌重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。(来源:cnBeta.COM)
瑞士对间谍丑闻涉事公司Crypto提起刑事诉讼
据外媒报道,瑞士总检察长办公室近日表示,瑞士政府已对美国中央情报局(CIA)涉嫌借助某加密公司来监视各国政府秘密通讯一事提起刑事诉讼。(来源:新浪科技)
Nemty勒索软件开展“ LOVE_YOU”恶意垃圾邮件活动
来自Malwarebytes和X-Force IRIS的研究人员发现了一个正在进行的恶意活动,该活动通过伪装成秘密情人的邮件,发送Nemty勒索软件。攻击者使用带有几行主题行和附件文件名的邮件,使用了诸如“不要告诉任何人”,“我爱你”,“将是我们的秘密”和“不能忘记你”等词句。(来源:Freebuf)
网上公开Straffic Marketing公司的4900万个电子邮件地址
以色列营销公司Straffic 意外暴露了Elasticsearch数据库中存储的4900万个电子邮件地址。公司档案的凭据以纯文本格式存储在不受保护的Web服务器上。Straffic将事件通知了受影响的用户,并补充说,数据泄漏是其一台服务器中的“安全漏洞”的结果。(来源:Freebuf)
美国立法禁用华为设备,斥资10亿美元补助小型电信运营商
美国参议院于2月28日批准了一项立案,该立案将禁止使用联邦资金从“被视为存在国家安全威胁的公司”(例如中国华为)购买电信设备。目前,该立案已发送给美国总统特朗普签字。(来源:凤凰网)
待 续。。。
往期精彩
【1】【行业动态】网安情报站03期
【2】【行业动态】网安情报站02期
【3】【行业动态】网安情报站
本图源于公众号“重庆信通院网安前沿”正文
閱讀更多 網小俠 的文章
關鍵字: 原汁原味的德系SUV 蓝字
