政府舉措

《信息安全技術移動互聯網應用收集個人信息基本規範（草案）》發布

《信息安全技術移動互聯網應用收集個人信息基本規範（草案）》近日發布，面向社會公開征求意見。移動應用程序提供服務調取用戶信息將有規範可依。

草案提出，App運營者應履行個人信息保護義務，采取必要安全措施，保障用戶個人信息安全。

草案對網貸App提出了要求，應允許用戶在金融借貸應用中手動輸入緊急聯系人信息，而不應強制讀取用戶的通訊錄。

草案提出，App不得收集與所提供的服務無關的個人信息。對外共享、轉讓個人信息前，App應事先征得用戶明示同意。App應對其使用的第三方代碼、插件的個人信息收集行爲負責。（來源：央廣網）

中國信通院：《人工智能數據安全白皮書（2019年）》

近日，中國信息通信研究院（以下簡稱“中國信通院”）安全研究所發布《人工智能數據安全白皮書（2019年）》。

本白皮書從人工智能數據安全的內涵出發，首次提出人工智能數據安全的體系架構，在系統梳理人工智能數據安全風險和安全應用情況的基礎上，總結了國內外人工智能數據安全治理現狀，研究提出了我國人工智能數據安全治理建議。（來源：中國信通院）

北約網絡空間戰備由防禦轉向進攻

據悉，歐洲國家眼下正在進行網絡戰演習活動，演習從2019年7月至9月，目的是應對俄羅斯等國的網絡空間混合威脅。此舉表明，以歐洲國家爲主體的北約正在逐步加強網絡空間的軍事能力建設，並以此配合美國在全球範圍內展開的大國競爭軍事戰略，從而在更大的範圍內發揮更廣泛的影響力。

北約先後發布《塔林手冊1.0》和《塔林手冊2.0》兩部網絡空間國際交戰規則。其中，包含“國際網絡安全法”和“網絡沖突法”兩部分內容，北約意圖搶先在網絡空間領域制訂于己有利的“網絡戰爭法則”。與此同時，北約成員國已經成功對活躍在伊拉克和敘利亞的“伊斯蘭國”實施了網絡攻擊，壓制了其展開的網絡恐怖宣傳，削弱了其恐怖襲擊協調能力，以及破壞其招募外國武裝人員的企圖，從而展現了強有力的網絡進攻能力。（來源：網信防務）

新加坡發布新的網絡安全法案

據外媒報道，新加坡金融管理局正式確立了旨在提高新加坡金融機構網絡安全態勢的新立法。

立法中規定金融機構必須遵守六項主要要求，如：爲著重確保IT系統的安全性，及時進行安全更新、並部署安全設備以限制未授權的網絡流量等。

此外，該立法還基本確定將強制要求企業執行現有的MAS技術風險管理指南中關鍵規定。據了解，該指南與2013年推出，提出了風險管理建議、安全實操建議和控制實操建議，以降低企業的技術風險。（來源：E安全）

網絡安全事件

美國聯邦通信委員會稱5G是安全的

美國聯邦通信委員會(FCC)官員對外公開表示，5G網絡是安全的，目前的無線電發射准則不需要爲了適應5G而改變。就在此次宣布之前，美國聯邦通信委員會主席Ajit Pai曾建議對目前的無線電波輻射是否安全的標准進行微小改動，但這些改變只是爲了增強規則在各種技術類型中的通用性，並不能使准則變得更嚴格。目前關于無線電的限制已經“是世界上最嚴格的限制之一”。

報道稱，雖然5G的頻率比4G更高，但仍屬于非電離輻射範疇。即使是5G中使用的高頻輻射仍比可見光的能量低。（來源：新浪VR）

單反相機已成爲勒索軟件攻擊目標

援引安全軟件公司發布的一份報告，說明了如何在數碼單反相機中遠程安裝惡意程序。研究人員Eyal Itkin發現，黑客可以輕易地在數碼相機上植入惡意軟件。

標准化的圖片傳輸協議是傳遞惡意軟件的理想途徑，因爲它是未經身份驗證的，可以與WiFi和USB一起使用。該報告中指出通過黑客可以在熱門景點部署有風險的WiFi熱點，只要單反連接到這些熱點之後就能進行攻擊，從而進一步感染用戶的PC。在真正的勒索軟件攻擊中，黑客設定的贖金往往不會太高，因此很多人會願意交付贖金來擺脫不便。

研究人員表示：“由于協議的複雜性，我們還認爲其他供應商也可能容易受到這種攻擊，但這取決于他們各自的實施情況。”（來源：cnBeta.COM）

數百個暴露的亞馬遜雲備份快照泄露了客戶的數據

如果您使用了亞馬遜的Elastic Block Storage快照，則可能需要評估一下數據安全。剛剛在Def Con安全會議上發布的新研究揭示了公司、初創公司和政府機構如何無意中從雲中泄露自己的文件。

網絡安全公司Bishop Fox的高級安全分析師Ben Morris表示，EBS快照存儲雲應用程序的所有數據，足以訪問到有用的信息。

Morris在一個地區發現了幾十份公開的快照，包括應用程序密鑰，關鍵用戶或管理憑據，源代碼等等，數據涉及幾家大公司，包括醫療保健提供商和科技公司。

最具破壞性的內容當屬一個政府承包商的快照他們確實爲聯邦機構提供了數據存儲服務，數據中包含收集的對外情報，以及有關邊境口岸的數據。

研究人員估計所有亞馬遜雲地區的數據暴露事件可能多達1250次。（來源：cnBeta.COM）

蘋果推出100萬美元漏洞攻擊報告賞金計劃

Apple宣布它已經擴展了現有的漏洞賞金計劃，包括macOS、tvOS、watchOS和iCloud；對于0Day攻擊、全鏈內核代碼執行攻擊等的發現都將包含進高達100萬美元的獎勵當中。

這筆100萬美元的獎金將會給予不需要用戶任何操作就能夠遠程進入iPhone內核的安全人員。蘋果之前提供的最高獎金是20萬美元，給予善意上報漏洞的人員，這樣公司就能在下次軟件升級中修複漏洞，不讓漏洞暴露給犯罪分子或間諜。

實際上，爲了能獲取iPhone中的信息，政府部門的承包商或中介代理已經爲最有效的黑客手段懸賞高達200萬美元。蘋果的新獎金只是與一些政府承包商提供的公開價格範圍差不多。（來源：澎湃新聞）

中國黑客以遊戲公司爲目標

美國安全公司 FireEye 發布了對中國黑客組織 APT41 的研究報告（PDF），稱其攻擊範圍極爲廣泛，除了使用現有的工具外，還有自己開發的獨有工具，還會用竊取的證書給惡意程序簽名。FireEye 還識別了與該組織相關的兩名成員 “Zhang Xuguang”和“Wolfzhi”。除了進行網絡間諜活動外，APT41 被還發現從事盈利性活動：攻擊遊戲公司，操縱虛擬貨幣，甚至嘗試部署勒索軟件。APT41 會在遊戲公司的網絡內移動，尋找到生産環境，竊取源代碼和數字證書，然後利用數字證書給惡意程序簽名。通過訪問生産環境，APT41 還會向合法文件內注入惡意代碼，在受害者組織內進行擴散，發動供應鏈攻擊。FireEye 根據黑客的活動時間認爲， Zhang 等 APT41 成員多數是晚上到淩晨活動的夜貓子。（來源：solidot.org）

數據統計

電信網絡詐騙中90後被騙概率最高，男性受害者占63%

近日，騰訊發布了《電信網絡詐騙治理研究報告》。報告顯示,2019上半年，交易詐騙、兼職詐騙、交友詐騙、返利詐騙合計占比70%；在各類電信網絡詐騙中，被害人性別男女比例分別爲63%和37%，男性受騙比例幾乎是女性兩倍。18-28歲之間的被害人所占比例高達54%。90後成爲被騙概率最高的群體。 （來源：freebuf.com）

調查顯示網絡安全人才市場需求比去年增長3倍

近日發布的《2019網絡安全人才市場狀況研究報告》顯示， 2019年6月網絡安全人才市場需求的規模達到2016年1月需求的24.6倍，相比2018年7月也增長了3倍。網絡安全人才需求規模呈現大幅增長態勢。

北京、深圳、上海、成都、廣州是網絡安全人才需求量最大的城市，這5個城市對網絡安全人才需求的總量占全國需求總量的48.8%。這一比例去年爲60.7%，今年降低了16.5個百分點，說明網絡安全人才需求不再集中于少數的幾個大城市。

對網絡安全人才需求量最大的行業是IT信息技術，其發布的網絡安全人才招聘數量占所有網絡安全人才招聘總人數的42.4%，其次爲互聯網，占13.7%。安全企業提供給網絡安全相關崗位的平均薪酬約爲12004.8元/月。

對全國範圍內超過600名95後新晉網安人才做專項調研發現，88.1%的新晉網絡安全人才更關注重大網絡安全事件；其次關注安全知識與技能，占84.1%。（來源：中國青年報中青在線）

人才培養

美國公司開始對安全培訓項目進行改革

公司內部的安全培訓通常缺乏衡量標准與反饋機制，而且培訓內容過于籠統，培訓結果通常並不理想。一直以來，員工們希望得到一個充分考慮到其技能水平、日程安排，並帶有激勵性質的安全培訓。爲實現這一目標，Autodesk與Elevate Security合作，制定了“個人安全快照”計劃。

該計劃的第一步是創建員工安全行爲清單，告訴他們哪些行爲可以提高安全性；第二步是要求團隊創建一個問題清單，以優先考慮員工活動；第三步是找到衡量進步的數據並以此制定未來的策略。（來源：E安全）

免責聲明：

信息安全快訊的內容及圖片出于傳遞更多信息之目的，屬于非營利性的轉載。如無意中侵犯了某個媒體或個人的知識産權，請聯系我們，我們將立即刪除相關內容。其他媒體、網絡或個人從本網下載使用須自負版權等法律責任。