1、第二届内地-香港
网络安全论坛成功举办 中国网 10 月 18 日消息 2017 年 10 月 15 日,第二届内地-香港
网络安全论坛在厦门市成功举办,中央网信 办网络安全协调局局长赵泽良、香港特区政府资讯科技总监杨德斌出席,来自两地政府、高校和产业界的约 150 名专家代表参加了论坛。论坛邀请了北京大学、四川大学、中国电子
技术标准化研究院,以及香港个人资料私 隐专员公署、智能城市联盟数据产业委员会的专家,围绕两地数据安全保护政策法律、个人信息保护标准与实 践、网络安全人才培养等共同关心的话题,同两地代表进行了交流讨论,分享了经验做法。
2、美国联邦能源监管机构(FERC)将采取行动改善电网安全 HackerNews.cc10 月 21 日消息 随着国家对网络
攻击的日益关注,其关键基础设施越来越需要保护。美国 能源部曾于 2017 年 1 月发布的《Quadrennial Energy Review》中写道:“
黑客对电力系统的威胁日益复杂,模和频率都在不断增加。目前,电力系统的可靠性几乎支撑了现代美国经济的每一个领域。为应对此类
攻击, 美国联邦能源管理委员会(FERC)近期提出新网络安全管理控制措施,以增强国家电力系统的可靠性与弹性。 目前,FERC 提议批准关键基础设施保护(CIP)的可靠性指标 CIP-003-7(网络安全-安全管理控制),旨在降 低可能影响电力系统运行的网络安全风险。据悉,新指标将特别改进现有的访问控制标准:阐明适用于低影响 网络系统的电子访问控制义务,对临时电子设备(如 thumb 驱动器和笔记本电脑)采取强制性安全控制,制定 实体宣传和回应 CIP 与低影响网络系统有关的特殊政策。
3、美国土安全局要求所有联邦机构在其电邮系统中部署 DMARC cnBeta.COM10 月 17 日消息 据外媒报道,当地时间周一,美国国土安全局(DHS)宣布了一项针对冒名 顶替的政府电子邮件的举措。在未来的 90 天内,所有联邦机构都将要在其系统内部署 DMARC 邮件安全功能。 DMARC 全称 Domain-based Message Authentication, Reporting and Conformance,即基于
域名的消息认证、报告 以及一致性。大多数消费类电子邮件系统都采用了这项功能。今年 7 月,俄勒冈州民主党参议员 Ron Wyden 就 曾写信给 DHS 网络安全与通信办公室的 Jeanett Manfra 要求在联邦机构中部署 DMARC。今年 5 月,一起假装 五角大楼的欺诈邮件网络攻击发生。而在 2015 年至 2016 年之间,国税局遭到的冒名网络攻击事件数量增加了 4 倍。Manfra 指出,DMARC 将能阻止这种冒名邮件的网络攻击。另外,DHS 还要求所有联邦机构的
网站都用 上 HTTPS。获悉,仍有近 1/4 的联邦政府
网站还没有开始使用 HTTPS。
4、俄罗斯将开始对虚拟货币挖矿行为展开监管 cnBeta.COM10 月 18 日消息 据外媒报道,在决定推出自己的虚拟货币 CryptoRuble 之后,现在,俄罗斯联 邦政府又作出了禁止虚拟货币挖矿行为的决定。俄通信部长 Nikolay Nikiforov 指出,虚拟货币必须不能作为私 人货币存在,它将由国家发行、控制,与此同时它能够在数字经济中提供数字货币流通。目前还不清楚这一决 定将对比特币等虚拟货币的影响。不过由于俄罗斯方面并没有以禁止其他虚拟货币的使用,所以它带来的影响 范围可能不会太大。据了解,实体卢比和虚拟货币 CryptoRuble 将能相互兑换,但如果兑换者无法解释来源的 话政府将需要对其征收 13%的税收。此外,如果两者之间出现价格差,那么政府将通过征税的形式弥补这一差 价,进而使这两者保持在同一水平。
5、南非史上最大数据泄露事件:3000 万公民信息暴露于
互联网上 E 安全 20 月 20 日消息 据外媒 10 月 18 日报道,网络安全专家近期发现一份逾 27G 转储文件,其包含 3000 万南非公民的身份号码、个人收入、年龄、就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家 庭地址等敏感信息。知名媒体 iafrikan 透露,该批数据来源于 Dracore Data Sciences 企业的 GoVault 平台,其公 司客户包括南非最大的金融信贷机构——TransUnion。随后,安全研究人员经调查后发现该公司将用户数据发 布到一台完全未经保护的 Web 服务器上,其允许任意用户进行访问。研究人员表示,这可能是南非最大的一次 数据泄露事件。虽然尚未发现数据已被黑客利用,但这可能只是时间上的问题。
6、WiFi
漏洞几乎影响所有无线设备 新浪网 10 月 17 日消息 北京时间 10 月 17 日早间消息,有计算机安全专家发现了 WiFi 设备的安全协议存 7 在
漏洞。这个漏洞影响许多设备,比如计算机、手机、路由器,几乎每一款无线设备都有可能被攻击。漏洞名 叫“KRACK”,也就是“Key Reinstallation Attack”(密钥重安装攻击)的缩写,它曝露了 WPA2 的一个基本漏 洞,WPA2 是一个通用协议,大多现代无线网络都用到了该协议。计算机安全学者马蒂·凡赫尔夫(Mathy Vanhoef) 发现了漏洞,他说漏洞存在于四路握手(four-way handshake)机制中,四路握手允许拥有预共享密码的新设备 加入网络。在最糟糕的情况下,攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量 中。换言之,攻击者通过漏洞可以获得一个万能密钥,不需要密码就可以访问任何 WAP2 网络。一旦拿到密钥, 他们就可以窃听你的网络信息。漏洞的存在意味着 WAP2 协议完全崩溃,影响个人设备和企业设备,几乎每一 台设备都受到威胁。
国家互联网应急中心(CNCERT)