2017年7月信息安全资讯与预警-信息技术中心

网络安全

2017年7月信息安全资讯与预警

发布时间：2017-07-07 阅读次数：246

我国首部网络安全法 6月 1日起正式施行

央广网 6 月 1 日消息从 6月 1日起《中华人民共和国网络安全法》正式施行，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，其中重要的一方面就是要打击防止公民个人信息数据被非法获取、泄露或者非法使用。作为我国网络安全领域的基础性法律，《中华人民共和国网络安全法》的出现在我国网络安全史上具有里程碑意义，明确加强了对个人信息的保护，打击网络诈骗。国家互联网信息办公室网络安全协调局局长赵泽良说： “中国经济和社会已经高度依赖于信息网络。我们制定网络安全法就是要维护网络空间的国家安全，维护公共利益。 ”网络安全法现有七章 79 条，内容涵盖了网络空间主权、关键信息个人信息保护规则、关键信息基础设施重要数据跨境传输的规则等。另外，它确立了保障网络的设备设施安全，网络运行安全、网络数据安全，以及网络信息安全等各方面的基本制度。其中，针对个人信息泄露问题规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

公安部制定网络安全条例关注大数据保护

金融界 6 月 1 日消息继网络安全法今起实施之后，我国还将进一步完善国家层面的大数据保护机制，加快推进大数据安全保护法律法规和制度建设。公安部网络安全保卫局副局长李彤透露，目前公安部正在制订网络安全保护条例，拟将大数据、云平台、物联网、工控系统纳入，并进一步完善等级保护措施，重点加强对国家关键基础设施和大数据的安全保护。据悉，公安部已经组织相关单位制订了网络安全等级保护技术标准中的大数据扩展要求，拟今年正式发布实施。在大数据安全检测方面，目前公安部门已经在全国审核推荐了 160 家审计保护的机构。下一步，公安部将依托等级保护、保护联盟等开展等级保护测试指导书，提高评测能力。上半年，公安部开展安全部署工作，下半年将采取技术检测，对大数据子单位履行保护业务。此外，公安机关将严厉打击网络违法犯罪活动，并继续开展专项行动，打击贩卖个人信息的活动，铲除地下产业链。同时，加强国际合作，打击网络犯罪国际合作。同时，密码法草案 4 月向公众征求意见。国家密码管理局副局长何良生表示，密码应用要服务大数据应用和安全保护的大局。 “十三五”国家密码发展中，已经有相关的研究，但在加密、数字签名等机制方面，还需要进行深入的研究和探讨。

Hadoop 服务器人为配置不当，或致全球数据泄露达 5,120 TB

HackerNews6月 4日消息网络犯罪分子近期开始针对配置不当的 Hadoop Clusters与 CouchDB 服务器展开攻击活动。目前全球因 Hadoop分布式文件系统（HDFS）配置不当导致的数据泄露或达 5,120 TB。据搜索引擎Shodan分析显示，全球将近 4500 台设备因使用 Hadoop分布式文件系统（HDFS）时配置不当，致使服务器出现数据泄露现象，这些服务器主要位于美国（1,900）、中国（1,426）、德国（129）与韩国（115）等。调查显示已暴露的 HDFS 多数托管于云端，其中涉及亚马逊的有 1,059 个服务器、阿里云 507 个服务器。据 Shodan创始人约翰·马瑟利（John Matherly）透露，今年早些时候出现的针对数据库的勒索软件仍在发生，不仅危害着MongoDB 同时也影响 HDFS 的部署。目前，约翰·马瑟利在线分享了如何使用搜索引擎 Shodan复制检测设备的所有必要步骤。此外，安全专家建议企业设备管理人员在安全模式下，按照指令说明正确配置 Hadoop 服务器。

四部门关于发布《网络关键设备和网络安全专用产品目录（第一批）》的公告

中国政府网 6 月 9 日消息为加强网络关键设备和网络安全专用产品安全管理，依据《中华人民共和国网络安全法》，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门制定了《网络关键设备和网络安全专用产品目录（第一批）》，现予以公布，自印发之日起施行。一、列入《网络关键设备和网络安全专用产品目录》的设备和产品，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。具备资格的机构指国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室按照国家有关规定共同认定的机构。二、网络关键设备和网络安全专用产品认证或者检测委托人，选择具备资格的机构进行安全认证或者安全检测。三、网络关键设备、网络安全专用产品选择安全检测方式的，经安全检测符合要求后，由检测机构将网络关键设备、网络安全专用产品检测结果（含本公告发布之前已经本机构安全检测符合要求、且在有效期内的设备与产品）依照相关规定分别报工业和信息化部、公安部。选择安全认证方式的，经安全认证合格后，由认证机构将认证结果（含本公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品）依照相关规定报国家认证认可监督管理委员会。国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一发布。

微软破例对 XP 等过时系统发补丁防范新一轮网络攻击

腾讯网 6 月 14 日消息上个月，全球 Windows电脑遭遇了 WannaCry 勒索病毒攻击，个人电脑安全再度引发舆论紧张。而据外媒最新消息，微软再次发布了多个安全补丁工具，甚至覆盖了早已停止技术支持的老版本 Windows，微软目的可能是防范未来大规模的网络黑客攻击。微软发布的多个补丁，涉及到了多款已经停止技术支持的操作系统，分别是 XP、Vista以及 Windows Server 2003，这些系统虽然微软不再提供官方技术支持，但是现实中依然拥有大量用户。微软表示，针对这些老旧系统的补丁必须手工安装。而在Windows 10、Windows 8.1、Windows 7 以及 2008 年以后的 Windows Server系统中，周二发送的补丁将会自动安装。微软提醒说，用户如果并未设置开启“Windows Update” ，则需要首先开启选项。