关注↑↑↑我们获得更多精彩瞬间
一、政策要闻
中共中央政治局12月11日下午就切实做好国家安全工作举行第二十六次集体学习。中共中央总书记习近平在主持学习时强调,国家安全工作是党治国理政一项十分重要的工作,也是保障国泰民安一项十分重要的工作。习近平就贯彻总体国家安全观提出10点要求,其中提到“坚持统筹推进各领域安全,统筹应对传统安全和非传统安全,发挥国家安全工作协调机制作用,用好国家安全政策工具箱”。
证监会就《证券期货业网络安全事件报告与调查处理办法(征求意见稿)》征求意见,拟从四大方面完善证券期货业网络安全:第一,对信息系统进行统一分类;第二,增加定量描述系统服务能力异常方法,并提出统一的网络安全事件分级方法;第三,完善网络安全事件报告流程;第四,处罚更具针对性和灵活性。
四川省发布应对新型冠状病毒肺炎疫情应急指挥部公告(第15号)。公告要求加强新冠肺炎疫情防控期间公民个人信息和隐私权的保护。明确为疫情防控收集的公民个人信息,不得作为其他用途。任何国家机关、社会组织和个人未经被收集者或其监护人同意,不得公开公民个人姓名、身份证号码、电话号码、家庭详细住址等信息。因疫情防控工作确需公开的,应当经过加工处理,确保无法识别特定个人且不能复原。
4.澳门举行首次网络安全事故演习
澳门12月11日举行“2020年度网络安全事故演习”。这是澳门《网络安全法》生效以来首次举行网络安全演习。此次演习由澳门网络安全事故预警及应急中心联同负责网络安全监管工作的特区政府部门,以及澳门自来水股份有限公司、澳门电力股份有限公司等共15个机构共同组织,旨在加强各方在应对网络安全事故时的沟通协调和技术处理能力。演习模拟澳门发生大型网络安全事故,大量关键基础设施营运者的电脑系统遭受黑客入侵,网络安全事故预警及应急中心、监管实体和各营运者在短时间内共同作出应对,通过“网络安全事故预警及通报平台”,以电子化方式对事故进行预警、通报及更新处理进展。
《中国网络安全产业分析报告(2020年)》(以下简称《报告》)由中国网络安全产业联盟(CCIA)发布。《报告》以真实调研数据为基础,客观分析得出我国网络安全产业发展最新情况,结合产业发展面临的新形势、新挑战、新机遇,对网络安全市场、竞争格局、技术创新和资本市场进行了全面分析,最后对我国网络安全产业发展进行了展望。《报告》旨在客观、真实准确反映当前我国网络安全产业现状,分析未来发展趋势,希望能够为监管部门、投资机构、甲方客户和产业相关从业者等提供有效参考。
二、技术资讯
6.Adobe发布flash的最后一次更新
日前Adobe发布了Flash版本更新,同时在更新说明中附上,此次是最后一次更新,感谢用户的创作与支持。在今年年底(本月31日),Adobe将会彻底停止Flash的技术支持,而在明年的1月12日后,还将阻止Flash Player播放Flash内容。最后,Adobe建议所有用户尽快卸载Flash以保护计算机安全。
7.OpenSSL中发现严重DoS漏洞
OpnSSL在其代码库中修复了十几个安全漏洞,其中一个极为严重的bug可被利用发起DoS攻击。前述漏洞存在于OpenSSL的1.0.1、1.0.2和1.1.0版本中,并分别在1.1.0a、1.0.2、1.0.1u版本中被修复。OpneSSL项目组说,攻击者可以利用一个被评级为“严重”的bug(CVE-2016-6304),在连接磋商时向目标服务器发送一个大的OCSP状态请求扩展,这会导致服务器内存耗尽,由此引发DoS攻击。
三、国际视野
2020年12月15日,历经两次推迟颁布的欧盟《数字服务法》与《数字市场法》终于揭开面纱,为包括社交媒体、在线市场和其他在欧盟运营的在线平台引入全面的新规则。其中,《数字服务法》将迫使科技公司为其平台上的非法行为承担更多责任,而《数字市场法》则旨在解决该行业的不公平竞争问题。对于企业的违规行为,《数字服务法》的最高处罚金额为全球营业额的6%,而《数字市场法》则为全球营业额的10%。
美国联邦贸易委员会(FTC)于2020年12月14日宣布,将要求一些科技公司提供它们如何收集和使用用户数据的情况。这些公司包括亚马逊、Discord、Facebook及其子公司WhatsApp、Reddit、Snap、Twitter和谷歌旗下YouTube等。从收到命令之日起,这些公司有45天的时间来做出回应。除此之外,FTC还希望知道,这些公司如何决定向用户展示哪些广告,是否对用户个人信息使用了算法或数据分析技术,如何衡量用户参与度,以及关于数据的做法对少年儿童造成了什么样的影响。
美国国防信息系统局(DISA)计划于明年发布一份零信任指南,这也是美国国防部推动整体网络迈向全新安全配置的重要一步。这份参考指南将为美国国防机构及IT部门提供一份指导性蓝图,推动网络体系过渡到新的模式,尝试对所有人采取相同的安全控制级别。换言之,新的安全体系将对所有用户都实施“零信任”策略。本次计划发布的参考指南是DISA、美国国家安全局(NSA)、美国网络司令部以及网络私营部门之间长期合作的产物。DISA副局长Nancy Norton在12月初的AFCEA技术网络大会上首次提到这份参考指南,称草案初稿已经在10月份完成。
2020年12月13日,据海外媒体报告,某黑客组织掌控了美财政部电子邮件系统进行间谍活动(Suspected Russian hackers spied on U.S. Treasury emails - sources)。
知情人士称,该黑客组织一直在监视美财政部、商务部的内部电子邮件流量。并表示,到目前为止发现的黑客攻击可能只是冰山一角,白宫于上周六召开国家安全委员会会议讨论此问题。据外媒报告,网络间谍通过暗中篡改IT公司SolarWinds发布的软件更新而获得的,该公司为美政府客户提供服务。该技巧通常称为“供应链攻击”,其作用是将恶意代码隐藏在第三方提供给目标的合法软件包内投放。Fireeye把本次攻击行动命名为UNC2452,传播的后门被命名为SUNBURST后门。
12月14日,谷歌在全球范围内遭遇了服务宕机,旗下Gmail, YouTube等应用无法正常访问。美东时间早晨6:30,纽约地区用户登录Gmail时,页面出现了错误提示。YouTube主页被换成了一只拿着锤子的猴子插图,标题是“出错了”;谷歌浏览器上,“谷歌宕机了吗?”的搜索量飙升。美国、英国和欧洲等地都出现了Google应用加载失败的现象,但大约一个小时之后,访问恢复了正常。在公司发言人的回应邮件中,Google承认,他们监控自家产品运行情况的系统显示,旗下大部分应用出现了“罢工”情况,但罢工事件在早上8点前就得到了平息。目前,绝大多数的用户都可以正常使用Google应用。工程师们追踪到问题出在内部服务器上,这些宕机问题并不是受网络攻击后产生的。谷歌承诺,将 “进行彻底的后续审查,以确保此类问题今后不再发生”。
END
地址:北京市西城区大木仓胡同37号
电话:010-66157615/66092043