欢迎访问中国软件评测中心!

【in资讯】第三期:中国评测网安中心助你一屏掌握网络安全新资讯

2020-04-24

中国软件评测中心今日推出【in资讯】栏目,我们在这里与你同屏共享热门行业最in资讯。从此不必费力翻阅查找,一键get行业内你不知道的那些大事件、大举措。

【in资讯】做你简单可依赖的同行者。

第三期网络安全领域资讯火热来袭,一起去看看!

一、行业资讯

(一)、政策法规标准


1.工信部就《网络数据安全标准体系建设指南》(征求意见稿)公开征求意见

       为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,有效提升电信和互联网行业网络数据安全保护能力,充分发挥标准在保障网络数据安全、推动行业健康有序发展中的引领和支撑作用,助力数字经济高质量发展,有关单位编制完成了《网络数据安全标准体系建设指南》。为进一步听取社会各界意见,现予以公示,公示日期截止2020年5月9日。《建设指南》(征求意见稿)提出,到2021年,初步建立网络数据安全标准体系,有效落实网络数据安全管理要求,基本满足行业网络数据安全保护需要,推进标准在重点企业、重点领域中的应用,研制网络数据安全行业标准20项以上。到2023年,健全完善网络数据安全标准体系,标准技术水平、应用水平和国际化水平显著提高,有力促进行业网络数据安全保护能力提升,研制网络数据安全行业标准50项以上。

2.最高检成立惩治网络犯罪维护网络安全研究指导

       4月7日,最高人民检察院召开党组会,深入学习习近平总书记关于打击网络违法犯罪行为、依法治网、建设网络强国的重要讲话精神,结合疫情时期办案情况,提出检察机关抓好落实的具体举措。会议指出,惩治和防范网络犯罪,维护网络安全,推进网络治理体系和治理能力现代化,是检察机关义不容辞的政治责任和法治责任。为更有力地依法惩治网络犯罪,最高检成立由三名院领导分别担任组长、副组长,机关多个部门参加的惩治网络犯罪维护网络安全研究指导组,并在最高检检察理论研究所设立网络犯罪理论研究中心,统筹协调做好深化打击惩治网络犯罪的各项工作,加强检察机关打击网络犯罪的研究和指导。

3.中国船级社《船舶网络系统要求及安全评估指南》改版发布

       近日,中国船级社(CCS)《船舶网络系统要求及安全评估指南》改版发布。基于提升应对网络风险威胁意识的迫切需求,转化国际海事组织(IMO)提出的对网络风险的应对措施,以及国际船级社协会于2018年发布针对船舶网络安全的12项建议案,CCS对2017版指南进行了改版。此次改版旨在规范船舶网络的设计、建设、运维及检验工作,使有关管理人员和技术人员理解船舶网络安全的重要性,形成综合提升船舶网络系统建设水平、威胁防御能力的新观念,保障船舶网络环境的稳定性,并为船舶的智能化、数字化、网络化提供基本的条件与保障。改版后的指南面向船舶网络系统的设计、实施、运行、退役等环节,针对操作、集成、维护、设计、安全意识、管理水平等方面的风险点,规范船舶网络的设计、建设、运维及检验工作,使有关的管理人员和技术人员理解船舶网络安全的重要性,为船东/船舶管理公司、系统开发方等提供指导。

4.欧委会发布关于新冠疫情中利用移动数据和应用官方建议

       4月8日,欧盟委员会建议采取步骤和措施,以制定欧盟使用移动应用程序和移动数据应对冠状病毒大流行病的共同办法。欧盟委员会认为:如果数字工具符合欧盟的规则并得到很好的协调应用,且在时机成熟时,数字工具可以在逐步解除遏制措施方面(gradual lifting of containment measure)发挥重要作用。欧盟委员会发布的建议,提出了一个与成员国共同采用工具箱的进程,重点是两个方面:(1)对使用移动应用程序,采取泛欧协调的方法,以使公民有能力采取有效和更有针对性的社会疏远措施,并进行警告、预防和接触追踪(contract tracing);以及(2)通过匿名和汇总(anonymised and aggregated)的移动位置数据,为建模和预测病毒的演变提供了一个共同的方法。
 

1.CNNIC实行IPv6申请新规支持新型基础设施建设

       随着“新基建”的加速推进,5G、云计算、工业互联网的繁荣发展,对我国IP地址资源提出了新的要求。为支持新型基础设施建设,加快推进我国IPv6规模部署,鼓励广大互联网服务提供商和相关企事业单位申请并使用IPv6地址,中国互联网络信息中心(CNNIC)将于5月1日起,实行新规加大IPv6地址申请支持力度。(一)大幅降低新用户办理IPv6地址年费。支持IPv6地址独立开户,将每一级别地址量年费降为当前年费的50%。(二)加快IPv6地址申请办理进度。对于默认/32地址空间的IPv6地址申请,随时申请随时办理。(三)加大对IPv6规划指导和培训力度。对于有较大块IPv6地址申请需求的单位进行免费规划指导。优先向新申请IPv6地址的单位提供IPv6培训。

2.国家网信办因百度App部分频道严重违规约谈百度相关负责人

       4月7日,国家互联网信息办公室指导北京市互联网信息办公室,针对百度App多个频道存在严重违规问题,严肃约谈百度公司负责人,要求立即停止违规行为。百度App推荐频道、图片频道、视频频道、财经频道、科技频道自4月8日上午9时起暂停更新,清理违规内容,开展深入整改。北京市互联网信息办公室有关负责人指出,百度APP违反国家有关互联网法律法规和管理要求,落实主体责任不力,大量传播低俗庸俗信息、密集发布“标题党”文章、公众账号注册管理及内容审核不严,传播秩序和生态问题突出,社会影响恶劣。百度公司负责人表示,将严格落实管理要求,切实履行主体责任,对违规问题进行全面整改,暂停有关频道更新,关闭违规账号,严肃处理责任人。同时,加强内部管理,健全完善信息安全管理机制,确保类似问题不再发生。

3.Google 公布 130 多个国家的手机位置数据

       Google 发布了《COVID-19 Community Mobility Reports》。该报告包括了用户手机位置数据,数据来源为Google从运行 Android系统的智能手机及其地图服务中匿名聚合的数据。Google表示这些数据并不能识别个人身份,但能显示特定地点的忙碌程度,可以帮助公共卫生官员制定减缓病毒传播的重要决策。位置数据目前共包含131个国家和地区,不包括中国大陆,但有香港和台湾。Google表示未来会增加更多国家、地区和语言。
 

(三)、安全漏洞事件

1.福特、大众被曝网络安全漏洞,黑客还能禁用车辆的刹车系统

       近日,一份来自国外独立消费者组织“Which?”的最新报告显示,欧洲最受欢迎的两款汽车福特福克斯和大众Polo存在网络安全漏洞,这些漏洞可能会遭到黑客的攻击。“Which?”购买了福克斯和大众Polo两款汽油版车型,并与网络安全专家合作检测这两款车型。他们在入侵大众Polo具备部分中控功能的信息娱乐系统后,发现启动或禁用车辆制动控制系统存在漏洞,该漏洞能够使黑客控制车辆的刹车系统并使之失效,存在较大的安全风险。同时,他们还发现车辆的信息娱乐系统中包含有丰富的个人数据,包括用户的电话联系人和历史位置信息,暴露了许多个人隐私信息。

       针对福克斯车辆的入侵检测,安全专家发现,通过拦截其胎压监测系统发送的信息后发现,黑客可以欺骗车辆控制系统,即使轮胎处于没气状态,仍可伪造数据显示胎压正常,这也会给车辆带来安全隐患。此外,他们还发现,福克斯的“WIFI细节”可显示详细的WIFI信息,包括车辆制造时的生产线上的计算机系统密码。

2.抖音海外版(TikTok)漏洞可向用户推送虚假视频

       近日,抖音海外版(TikTok)披露了一个安全隐患,当部分视频没有启用HTTPS链接时,容易受到黑客拦截追踪、甚至是进行篡改攻击。开发人员Talal Haj Baktry和Tommy Mysk两人发现了TikTok这一漏洞,并进行了验证。结果发现安卓或者iOS客户端的TikTok用户的历史观看记录泄露,并且可以通过入侵本地网络,将客户端的视频换成其他的虚假视频。

3.警方抓获非法破解百度网盘的软件Pandownload开发者

       今年2月,受害人刘某报案称其下载的“Pandownload”软件会在未授权的情况下,将自己百度网盘的数据共享出去,导致隐私照片和文件泄露。江苏省扬州网安民警立即开展案情分析研判,经过梳理,发现该软件可以以非会员权限突破百度网盘官方设定,实现高速下载,系侵入、非法控制计算机信息系统的程序、工具,并且该软件的使用者达到数万人,犯罪嫌疑人非法获利30万余元,致使北京百度网讯科技有限公司损失高达上千万元。根据警方公布的消息,百度网盘破解版Pandownload开发者已被抓获。

4.20余款App违规 瑞幸每日优鲜必胜客春雨医生等被点名

       近日,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,20余款外卖、医疗和在线教育类App涉嫌隐私不合规行为,瑞幸、每日优鲜、必胜客、春雨医生等被点名。其违法违规行为大致可以分为三类:一是未向用户明示申请的全部隐私权限,二是未说明收集使用个人信息规则,三是未提供有效的更正、删除个人信息及注销用户账号功能。
 

(四)、研究报告

1.赛迪顾问发布《2019中国网络安全发展白皮书》

       近日,赛迪顾问发布《2019中国网络安全发展白皮书》,主要内容如下:

第一,从网络安全产业生态、市场规模与结构、新兴领域应用、投融资与并购情况等几个方面展开详细分析;

第二,对网络安全发展趋势进行前景展望,同时梳理并发布赛迪网络安全潜力企业榜80强;

第三,总结推举未上市但具备成功经验与发展潜力的网络安全企业,为新形势下网络安全企业发展提供参考借鉴。

2.深信服发布2019年网络安全态势报告

       近日,深信服千里目安全实验室从恶意软件、网站安全、漏洞、APT攻击等方面分析整体网络安全态势情况,发布《2019年网络安全态势报告》,该报告在恶意软件态势、网络安全态势、漏洞态势、高级持续威胁分析做了研究分析,并对2020年网络安全威胁趋势进行了展望及建议。

       在恶意软件态势方面,2019年检测到的活跃恶意程序拦截量为181.07亿次。其中挖矿类恶意软件感染占比最多(占58%),其次为远控木马(占14%),供应链感染是2019年远控木马传播的一大特点。在网络安全态势方面,大规模、持续的恶意软件活动不断发展,攻击者利用流行的第三方组件中的漏洞来攻击网站。在漏洞态势方面,漏洞利用攻击的网络安全事件高发,航空、医疗、保险、电信、酒店、零售等行业均受影响。
 

二、中国软件评测中心网安咨询
  1. 赛迪院长张立发表《强化网络安全评测能力,为国家安全保驾护航》

       在4月15日第5个全民国家安全教育日之际,赛迪院长张立发表《强化网络安全评测能力,为国家安全保驾护航》,文章指出,近年来,国内外网络安全事件频发,网络入侵、数据泄露问题凸显,网络安全成为国家安全的重要组成。文章提出,保障网络安全,成为维护国家安全的重要内容;保障信息基础设施安全,成为筑牢“新基建”的重要基石;保障数据要素安全,成为畅通社会经济血液循环的重要保证。文章强调,强化评测支撑力量,为国家网络安全保驾护航,从几方面着手:一是面向关键信息基础设施领域提供全方位服务,站好两化深度融合的安全岗,二是强化行业监管,丰富安全服务,推进数据安全保护与软件安全评测工作,三是强化能力整合和输出,构造网络安全生态圈。