原文地址:http://drops.wooyun.org/news/1195

enter image description here

一. 业界要闻


1.1 信息安全成2014两会“热词”

enter image description here

新华网北京3月9日电(记者高立 侯丽军 叶前)信息技术高速发展,网络应用迅速普及,大数据时代已然来临。人们一边享受着信息的高效便捷,一边为信息安全隐患忧心忡忡。今年全国两会上,信息安全也成了人们关注的一大“热词”。记者了解到,目前已有全国人大财经委副主任委员吴晓灵、湖北省政协副主席吕忠梅、浪潮集团董事长孙丕恕、中国移动广东公司总经理钟天华等多位全国人大代表就信息安全问题提出建议。“随着信息大量集中以及个人隐私信息经济价值的提高,个人隐私遭受侵犯的可能性也在增大。”吴晓灵代表说。中国互联网信息中心去年12月发布的《2013年中国网民信息安全状况研究报告》显示,整体上我国信息安全环境不容乐观,有74.1%的网民在此前半年内遇到过安全事件,总人数达4.38亿。吴晓灵代表建议,我国应加快制定个人信息保护法,规范信息申报、信息收集行为,保护个人信息安全,建立社会诚信体系。吕忠梅代表也建议尽快制定个人信息保护法,以规范个人信息收集、保存和利用行为。“任何主体不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。”吕忠梅代表说。孙丕恕代表认为,个人信息安全涉及技术和管理制度两方面的问题。“用户电脑里的东西被黑客偷了,这是技术问题。另外还有信息的泄露,有些地方可能把你相关的信息拿出来卖,这就涉及管理问题。现在技术水准是够的,主要是管理怎么跟上。”孙丕恕代表说。除了个人信息安全,更重要的是国家信息安全。“提到信息安全,有两个重要事件。一个是2013年斯诺登事件,它使很多人都意识到了信息安全的重要性。另一个是今年2月中央网络安全和信息化领导小组成立,显示出信息安全已上升到国家战略。”孙丕恕代表说。 他指出,斯诺登事件暴露出美国可以通过借助后门、漏洞等手段,控制他国的信息设备、窃取核心数据、瘫痪业务系统。“我们依赖外国技术装备而构建的关键信息基础设施,一直在承受着严峻的安全威胁。”孙丕恕代表说。全国政协委员、神州数码董事局主席郭为也关注国家信息安全问题,他认为我国应因势而谋,应势而动,顺势而为,制定有针对性的国家信息安全战略。孙丕恕代表认为,我国应加快关键应用主机的国产化替代进程。“关键就是主机,在国家信息安全设施的保障上,这是根。得把这个根守住。”他说。孙丕恕代表建议,要遵循WTO非贸易壁垒原则和各国惯例,对于涉及国家安全的关键信息系统,原则上要使用能满足技术需求的自主知识产权的信息技术产品,不得以追求高水平技术为由屏蔽自主品牌产品。同时,要在国家关键行业基础信息系统内,选择金融、电信、能源、交通等行业,实施关键应用主机的国产化替代工程。

(来源:新华网 http://tc.people.com.cn/n/2014/0311/c183175-24597917.html)

1.2 美金融机构纷纷投建金融网络 加强信息安全

enter image description here

金融网络由中央银行、商业银行、企业、非营利性组织、个人以及机器等节点组成,它的存在使得各种形式资金得以在各节点之间流动。据美国《福布斯》杂志3月10日报道,上周包括美国银行在内六大银行,以及万事达卡均宣布将投入建设金融网络,强调了金融网络业务处于持续增长的势头,其扮演的角色也越来越重要。据报道,包括美国银行、花旗银行、德国商业银行、摩根大通、法国兴业和渣打银行在内的六大银行,近日发表声明称,他们正在建立一个共享客户数据库。据称,该数据库将交由比利时的经纪公司SWIFT创建和管理,以帮助各大银行实现所需信息共享,同时满足监管需求,以阻止洗钱及诈骗的产生。而有了单一集中的数据库之后也可以减少时间、精力和金钱。同时,万事达(MasterCard)和维萨(Visa)于3月7日也发表声明,宣布将新建一个集银行、信用合作社、零售商和行业贸易组织于一身的跨行业联盟,以加强现有支付系统的安全性。在初始阶段,这个尚未命名的联盟将会专注于引进和推动采用EMV芯片技术。报道指出,联盟的建立是世界两大支付网络巨头在加强安全方面的一步,以应对金融,尤其是零行业越来越多的交易资料泄露事件。报道指出,这两份声明均强调了加强金融网络内的合作,以提高网络内信息流动的安全性。两外,金融行业并不是可以从信息共享中获益的唯一部门。所有商业网络都应该要求成员组织之间实现信息自由、安全流动。通过分享信息、过程和技术,网络成员可以提高财务数据的安全性,也更加遵守法律法规。通过进一步密切合作,协调或消除冗余信息的收集、存储和检索流程,他们也能够降低运营成本。此外,占据北美市场的万事达卡公司总裁克里斯·麦克威尔顿(Chris McWilton)也强调说,“只有通过行业协作和合作,我们才能真正及时地解决安全性问题,维护消费者的信心和信任。”

(来源:环球网 http://finance.huanqiu.com/view/2014-03/4897839.html)

1.3 斯诺登谴责谷歌等收集数据

enter image description here

新浪科技讯 北京时间3月11日早间消息美国国家安全局(NSA)前雇员爱德华-斯诺登(Edward Snowden)呼吁,科技公司应当采取更好的加密手段,避免用户遭到政府的监控。斯诺登在近期于德州奥斯汀举行的“西南偏南”(SXSW)科技与音乐大会上通过视频发表了谈话。他表示,科技公司应采取更积极的行动,保护用户隐私。而政府在隐私保护领域的行动速度很慢,同时也很难改变情报机构的做法。斯诺登表示:“我们既需要政策方面的回应,也需要技术方面的回应。”斯诺登同时谴责了谷歌和Facebook等公司的数据收集行为。他表示,为了获得广告收入,这些公司收集了过多的数据并长时间保存。这是自去年6月以来斯诺登首次公开谈话。当时,他曝光了NSA的大规模数据监控项目,随后前往俄罗斯临时避难。斯诺登此次在莫斯科发表讲话,而视频背景是一部美国宪法。他接受了美国公民自由联盟两名人士的采访,他们是斯诺登的同情者。斯诺登曝光的信息促使谷歌等公司加强加密技术。不过他表示,这些公司采取的措施仍不足以保护美国和国外互联网用户的公民权利。斯诺登和采访者之一的克里斯-索霍安(Chris Soghoian)表示,互联网公司应当引入所谓的“端到端加密”系统,这将对电子邮件等通信的每个环节进行加密。斯诺登和索霍安表示,如果加密技术得到广泛应用,那么政府部门将很难大规模收集互联网通信数据,因为其中的大部分数据将无法阅读。这将迫使政府部门更精确地选择监控目标。索霍安表示:“加密技术能提升监控成本,导致全面监控所有人在经济上不可行。”斯诺登同时谴责,NSA有意削弱加密技术标准,使政府部门能更容易地获得用户通信数据。他表示,这样的做法不利于美国人的信息安全。这样做毫无意义,因为“当你为世界制定标准时,这实际上给所有人都留了一个后门”。NSA尚未对斯诺登的说法做出回应。斯诺登和索霍安同时批评了互联网公司依靠用户数据提供广告的商业模式。他们呼吁这些公司采取收费订购模式,类似移动消息应用WhatsApp。近期Facebook以190亿美元的价格收购了WhatsApp。谷歌去年秋季表示,将在所有数据中心增加或加强加密技术。此外根据消息人士的说法,谷歌目前也频繁更换安全密钥。去年12月,微软总法律顾问布拉德-史密斯(Brad Smith)表示,到今年底为止,微软将加密所有通过其数据中心的用户信息。Facebook发言人拒绝就这一方面的问题置评。在今年的SXSW大会上,隐私保护和政府监控成为了一个热门话题。过去几年,SXSW是最新社交网络和移动应用的展示舞台。上周六,维基解密创始人朱利安-阿桑奇(Julian Assange)也通过Skype批评了NSA及其在奥巴马政府中扮演的角色。特纳广播公司用户体验架构师道格-金(Doug Kim)表示,斯诺登的谈话让他更清楚地了解,企业应当如何去保护用户隐私。他表示:“只有一些大规模行动才能给大公司带来改变。”

(来源:新浪科技 http://tech.sina.cn/?sa=t84d21652599v44)

二. 互联网安全威胁态势


2.1 CVE统计

2.1.1 公告数量

enter image description here

最近一周CVE公告总数与前期相比明显上升。公告数量排名前五的厂商/项目为:Plone(12)、Microsoft(12)、Citrix(7)、Linux(5)、Wireshark(4)。

值得关注的高危漏洞如下:

enter image description here

2.2 威胁信息回顾

enter image description here

(数据来源:绿盟科技 威胁响应中心)

from:绿盟科技云安全中心