政府舉措

最高法發布《中國法院的互聯網司法》白皮書

關鍵詞：互聯網司法

12月初，最高人民法院在浙江烏鎮召開新聞發布會，發布了《中國法院的互聯網司法》白皮書。據介紹，這是中國法院發布的首部互聯網司法白皮書，也是世界範圍內首部介紹互聯網時代司法創新發展的白皮書。白皮書反映了中國法院互聯網司法發展的基本路徑、價值取向、主要舉措和重要成果，具體有以下五個方面：①機構職能有所創新，構建了專業化的審判體系；②司法裁判樹立了規則，促進網絡治理法治化；③訴訟規則不斷探索，推動了建構現代化訴訟制度；④技術應用注重實效，推動了訴訟模式的深層變革；⑤司法便民有所突破，打造了立體化的訴訟服務。（來源：中央網信辦）

中國信息通信研究院發布《大數據白皮書（2019）》

關鍵詞：大數據白皮書

12月9日，中國信息通信研究院發布《大數據白皮書(2019)》。該白皮書在前三版的基礎上，聚焦一年多來大數據各領域的進展和趨勢，梳理主要問題並進行展望。在技術方面，重點探討了近兩年最新的大數據技術及其融合發展趨勢；在産業方面，重點討論了我國大數據産品的發展情況；在數據資産管理方面，介紹了行業數據資産管理、數據資産管理工具的最新發展情況，並著重探討了數據資産化的關鍵問題；在安全方面，從多種角度分析了大數據面臨的安全問題和技術工具。（來源：信通院網站）

印度議會引入新的個人數據保護法案

關鍵詞：個人數據保護

上周，印度議會引入了最新的《個人數據保護法案》，該法案由印度政府專家委員會于2018年7月發布。更新後的法案保留之前草案的核心結構，其主要變化有：一是，放寬了數據本地化和數據傳輸限制，保留了關鍵的個人敏感數據；二是，放松刑事處罰，責任追究僅限于“重要的數據受托人”；三是，社交媒體平台必須允許身份驗證等。據悉，更新後的《個人數據保護法案》將會在2020年2月議會中討論。（來源：Digital Watch）

德國電信在新加坡設立網絡防禦和安全操作中心

關鍵詞：網絡防禦和安全操作

12月12日，德國電信(Deutsche Telekom)表示，已經在新加坡設立了一個綜合性的網絡防禦和安全操作中心。該中心組建了一個專家小組，該小組將全天候地對亞太地區的網絡進行監控，尋找異常情況和惡意軟件。此外，網絡防禦和安全操作中心還能夠檢測公司在新加坡和其他亞太地區可能面臨的潛在威脅，並由此針對不同的行業制定不同的安全策略。（來源：Telecompaper）

網絡安全事件

吉林省市場監管廳一領導出售公民個人信息被判刑

關鍵詞：出售公民個人信息

近日，一起出售公民個人信息案件在南京審判。南京市鼓樓區人民檢察院指控，2018年8月至2019年4月，被告人鄭某多次通過QQ，將其從吉林省市場監督管理廳的內網工作平台查詢到的企業信息出售給張某，獲取違法所得人民幣15萬余元。上述信息包含法定代表人和股東的身份證信息共計600余條，違法所得爲9000余元。

法院認爲，被告人鄭某違反國家有關規定，向他人出售公民個人信息，情節嚴重，其行爲已構成侵犯公民個人信息罪，依法應予懲處。鄭某將在履行職責過程中獲得的公民個人信息出售給他人，依法從重處罰。最終被告人鄭某犯侵犯公民個人信息罪，判處有期徒刑七個月，並處罰金人民幣三萬元。（來源：計算機與網絡安全）

68家電信和互聯網企業存網安違規，用友、順豐在列

關鍵詞：網安違規

近日，工業和信息化部網絡安全管理局發布公告稱，2019 年，工業和信息化部網絡安全管理局組織對部分電信和互聯網企業、域名機構的網絡安全防護工作情況、網絡與信息安全責任落實情況、網絡數據安全保護責任及管理措施落實情況、電話用戶真實身份信息登記情況等開展隨機抽查。

本次抽查共發現 68 家電信和互聯網企業、域名機構不同程度存在違規情況，網絡安全管理局已明確檢查整改要求並要求限期完成整改，涉及企業包括用友、順豐等。（來源：網絡安全管理局）

TrickBot 銀行木馬傳入我國，專門竊取國外銀行登錄憑據

關鍵詞：TrickBot銀行木馬

騰訊安全禦見威脅情報中心檢測到TrickBot銀行木馬活躍，黑客在釣魚文檔中嵌入惡意VBA代碼，宏代碼通過創建和執行CMD腳本以及VBS腳本下載和傳播銀行木馬TrickBot。監測數據顯示，該木馬已影響我國部分企業，中毒電腦系統信息及訪問國外銀行的登錄信息會被竊取，受TrickBot銀行木馬影響較嚴重的地區爲浙江，廣東，北京等地。

TrickBot在2016年左右被發現，會在受害者通過浏覽器訪問在線銀行時竊取網銀信息，攻擊目標包括澳大利亞、新西蘭、德國、英國、加拿大、美國、以色列和愛爾蘭等國銀行系統，有國外研究者認爲該組織已收集了2.5億個電子郵箱。

TrickBot首次感染系統後，會安裝計劃任務“Ms visual extension”反複執行木馬，然後將惡意代碼注入Svchost.exe，下載多個加密的DLL模塊，最終將injectdll32(64)注入浏覽器進程，捕獲與目標銀行相關的HTTP請求並複制發送至C&C服務器。（來源：hacknews）

Elasticsearch 27億數據泄露，波及中國大廠

關鍵詞：27億數據泄露

又是讓人無語的 Elasticsearch 服務器，不到兩周時間，新一輪的數據泄露事件便再度發生，這次，研究人員在不安全的雲存儲桶中，總共發現了 27 億個電子郵件地址， 10 億個電子郵件賬戶密碼以及一個裝載了近 80 萬份出生證明副本的應用程序。

研究人員稱，過去一年裏，一些企業無意識得讓他們的 Amazon Web 服務 S3 和基于雲計算的 ElasticSearch 存儲桶暴露出來。它們沒有任何適當的安全措施，也沒有被試圖鎖定的迹象。

SecurityDiscovery 網站的網絡威脅情報總監鮑勃·迪亞琴科（ Bob Diachenko ）稱，我們在上周發現了一個巨大的 ElasticSearch 數據庫，包含超過 27 億個電郵地址，其中有 10 個的密碼都是簡單的明文。大多數被盜的郵件域名都來自中國的郵件提供商，比如騰訊、新浪、搜狐和網易。當然，雅虎 gmail 和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與 2017 年那次大型的被盜事件有關，當時有黑客直接將它們放在暗網上售賣。（來源：雷鋒網）

Chrome新安全特性：檢測到賬號被泄露後向用戶發出提醒

關鍵詞：Chrome

在近日更新的官方博文中，谷歌詳細介紹了Chrome浏覽器在密碼保護和防釣魚上的各項舉措。其中一項最值得關注的新功能，就是一旦發現用戶密碼已經被竊取之後向用戶發出警告，從而阻止身份盜用和個人信息泄露造成的其他問題。

在線賬號包含了用戶的大量信息，例如用戶的網購習慣、醫療記錄和娛樂偏好等等。而更重要的是，某些賬號可能會包含身份證號碼、信用卡賬號等內容，因此如何保護用戶的個人隱私安全顯得尤爲重要。

爲此谷歌在Chrome中引入了一項新的功能，一旦發現用戶的個人信息已經被泄露就會立即提醒用戶。該警告會包含一個密碼是否已經被竊取的鏈接。該技術最初以“Password Checkup”擴展程序的方式出現，現在整合到谷歌賬號中。

除了密碼警告之外，谷歌表示用戶在桌面端使用Chrome浏覽器，現在能夠爲用戶提供實時的釣魚保護。最後，Google對Chrome中的頭像設計進行了調整，更加容易地查看當前登錄的帳戶。（來源：cnBeta）

新型惡意程序 Snatch 曝光：進入安全模式加密數據向受害者勒索比特幣

關鍵詞：惡意程序

Sophos的安全研究團隊近日發現了名爲Snatch的勒索軟件，利用Windows的功能來繞過安裝在PC上的安全軟件。這款勒索軟件會讓你的PC崩潰，並迫使受感染設備重新啓動進入安全模式。而在安全模式下，通常會禁用防病毒和其他安全軟件，從而允許該惡意程序作爲服務進行自啓，對PC進行全盤加密，最後向受害者勒索比特幣。

在過去3個月內，Sophos已經收到了12例關于該勒索軟件的反饋報告，要求比特幣贖金在2900美元至51,000美元之間。在安全公告中寫道：“Snatch可以在常見的Windows系統上運行，從Windows 7到Windows 10，所有32位和64位版本都受到影響。我們觀察到Snatch無法在Windows以外的平台上運行。”（來源：cnBeta）

數據統計

中國網絡安全産業有望達萬億元級規模

關鍵詞：網絡安全産業

據中國信息通信研究院預計，2019年，中國網絡安全産業規模預計超過631億元。2018年、2019年，中國網絡安全産業爆發式增長，規模增長均在20%左右。市場普遍認爲，網絡安全政策的不斷落實，推動了行業的發展。例如，網絡安全等級保護制度、關鍵信息基礎設施安全保護條例、國産化安全可控、個人信息保護、數據安全等政策實施，以及工業互聯網、車聯網等領域網絡安全頂層設計出台，促使政府和企業網絡安全預算增加。

資本市場對網絡安全産業的發展起到支撐作用。2018年至2019年，網絡安全市場有5家公司新上市融資，整個行業投融資次數76次，融資金額超過106億元。2018年到2019年，網絡安全行業投融資超過100億元，不降反升。其中重要的是，科創板增加了網絡安全企業的IPO(首次公開募股)。

根據預測，2017至2027年，網絡安全産業將以30%的年複合增長率高速增長，2032年將達萬億元規模。這一預測獲得部分與會人士認同。此外，産業的發展也需要人才支撐。據統計，網絡安全産業從業人員10萬多人，隨著産業增長，未來三至五年人才需求呈爆發式增長，特別是高端人才需求。（來源：中國新聞網）

中移動：已攔截騷擾電話253億次，封堵不良網站10萬個

關鍵詞：中國移動

在2019年中國網絡安全産業發展高峰論壇上，中國移動副總裁李慧镝發表演講。 他首先分享了中國移動在網絡安全方面的進展。組織制度方面中國移動已在集團公司和各省/專業公司/直屬單位成立了網絡安全領導小組；技術方面，通過大數據和人工智能的應用，攔截高頻騷擾電話8.1億次，呼死你電話20.1億次，短信炸彈2.5億條；標准方面，中國移動今年牽頭立項了首個5G安全國家標准立項。

李慧镝還透露，在打擊治理方面，截止今年11月，中國移動已處置垃圾短信41億條，國際詐騙電話1.08億次，騷擾電話253億次，封堵不良網站10萬個。

隨著5G時代的到來，他認爲5G發展已被提升至國家安全戰略層面，5G之爭除了企業之爭，更是國家未來網絡安全主導權的競爭。

不過5G也給網絡安全帶來新的挑戰。比如業務應用導致的安全風險，新技術引入導致的安全風險，不良信息治理風險等。李慧镝表示，5G安全出現複合型特征，僅靠運營商企業一己之力難免獨木難支，需要産業鏈各方協同推進。（來源：新浪科技）

人才培養

沈昌祥院士：面對重大挑戰和威脅 網絡空間安全人才培養亟需加強

關鍵詞：人才培養需加強

上周，主題爲“新時代、新計算、新教育”的2019中國計算機教育大會在廈門隆重舉行。會上，中國工程院院士沈昌祥作主題爲《以科學的網絡安全觀做好網絡空間安全學科建設與人才培養》的精彩報告。

沈昌祥院士表示，網絡空間安全人才培養要加強，因爲我們遇到了重大的挑戰和威脅，目前迫切需要解決三大問題：計算科學問題、體系結構問題、計算模式問題。這三大問題，如果沒有人才攻關，是無法解決的，網絡空間安全的專業學科建設就是要解決這三大問題，引入人才。

據介紹，網絡空間安全學科要求實踐能力體系包括：技術創新攻關能力、主動防護構建能力、安全綜合治理能力、複雜環境對抗能力、追蹤取證反擊能力。“

關于如何爭創一流網絡空間安全學院，做好網絡空間安全學科建設與人才培養，沈昌祥院士提到：首先，創一流學院目標和任務；其次要加強學科專業建設，開展高水平科學研究，完善本科、研究生教育和網絡安全人才培養體系；最後，改革創新，做好網絡安全普及教育。（來源：中國教育在線）

漏洞速遞

Google 修複了 Android 中的 DoS 漏洞

關鍵詞：DoS漏洞

Android系統發布了2019年12月的安全更新，此次解決的漏洞中包含一個可能導致DoS攻擊的嚴重漏洞（CVE-2019-2232）。

12月1日的補丁解決了Framework中的六個漏洞，兩個媒體框架漏洞，系統中的七個以及Google Play系統更新中的兩個漏洞。

CVE-2019-2232 DoS漏洞將會影響Framework組件，以及Android版本8.0、8.1、9和10。

Google發布安全公告稱：“黑客可能利用漏洞僞造特殊消息，進而導致永久拒絕服務。”。

Google還解決了Framework中的5個漏洞，三個特權提升漏洞（CVE-2019-9464，CVE-2019-2217，CVE-2019-2218），一個高風險信息泄露（CVE-2019-2220 ），以及一個中等級別的特權提升錯誤 （CVE-2019-2221）。

系統中修補的漏洞嚴重性較高，例如遠程執行代碼，特權提升和五個信息泄露漏洞。

12月5日的補丁各自解決了Framework和System中的一個高危信息泄露漏洞。它還修複了內核中的三個高風險特權提升漏洞以及高通組件中的十二個高危漏洞。

除此之外，Google還解決了Pixel設備上的一系列安全漏洞。（來源：SecurityAffairs）

免責聲明：

信息安全快訊的內容及圖片出于傳遞更多信息之目的，屬于非營利性的轉載。如無意中侵犯了某個媒體或個人的知識産權，請聯系我們，我們將立即刪除相關內容。其他媒體、網絡或個人從本網下載使用須自負版權等法律責任。