政府舉措

工信部發布《工業網際網路企業網路安全分類分級指南（試行）》（徵求意見稿）

關鍵詞：企業網路分類分級

12月17日，工業和資訊化部研究起草了《工業網際網路企業網路安全分類分級指南（試行）》（徵求意見稿）。徵求意見稿指出，工業網際網路企業主要包括三類：①應用工業網際網路的工業企業，主要涉及原材料工業、裝備工業、消費品工業和電子資訊製造業等行業；②工業網際網路平臺企業（簡稱平臺企業，主要指對外提供工業網際網路平臺等網際網路資訊服務的企業）；③工業網際網路基礎設施運營企業，主要包括基礎電信運營企業和標識解析系統建設運營機構。徵求意見稿要求，省、市、縣各級工業和資訊化主管部門指導本行政區域內聯網工業企業網路安全工作，省級通訊管理局對本行政區域內平臺企業、標識解析系統建設運營機構進行網路安全監督管理。（來源：工信部網站）

國家網信辦釋出《網路資訊內容生態治理規定》

關鍵詞：網路資訊治理

12月20日，國家網際網路資訊辦公室釋出了《網路資訊內容生態治理規定》，自2020年3月1日起施行，旨在營造良好網路生態，保障公民、法人和其他組織的合法權益，維護國家安全和公共利益。據悉，該規定要求網路資訊內容服務使用者應當文明健康使用網路，網路資訊內容服務使用者和生產者、平臺不得開展網路暴力、人肉搜尋、深度偽造、流量造假、操縱賬號等違法活動。（來源：國家網信辦）

俄羅斯將與全球斷網檢驗應對外部威脅能力

關鍵詞：斷網

俄羅斯通訊部表示，俄羅斯將在12月23日斷開與全球網際網路的連線，對國內網際網路基礎設施進行可靠性測試，檢測應對外部網際網路威脅的能力。此前，俄羅斯政府通過了《主權網際網路法》（Sovereign Internet Law），旨在通過國家當局控制的站點傳送俄羅斯的網路流量和資料，並建立一個全國性的域名系統，將會結束俄羅斯對外國網路系統的依賴。據悉，俄羅斯通訊部保證，威脅測試將會分階段進行，不會影響普通的網際網路使用者。（來源：E安全）

個人資訊保護法、資料安全法等列入2020年立法工作計劃

12月20日，全國人大常委會法工委舉行第三次記者會。會上，全國人大常委會法工委發言人嶽仲明向記者介紹了全國人大常委會2020年立法工作安排。其中，一項重要工作是民法典草案提請3月十三屆全國人大三次會議審議，這是新中國歷史上第一部法典化的法律。明年，全國人大常委會還將繼續審議專利法（修改）、固體廢物汙染環境防治法（修改）、檔案法（修改）、未成年人保護法（修改）、預防未成年人犯罪法（修改）、公職人員政務處分法、生物安全法等法律案。加強重要領域立法，服務黨和國家工作大局，明年還計劃修改全國人民代表大會組織法、全國人民代表大會議事規則、選舉法、國旗法、國徽法、著作權法、行政處罰法、行政複議法、治安管理處罰法、海上交通安全法、動物防疫法、安全生產法，審議刑法修正案（十一），制定監察官法、個人資訊保護法、資料安全法、鄉村振興促進法、社會救助法、法律援助法等。同時，貫徹黨的十九屆四中全會精神，落實黨中央決策部署，需要立改廢釋和作出授權決定的，適時安排審議。（來源：中國人大網）

網路安全事件

保護飛行安全，工信部要求嚴查非法無線電發射裝置

關鍵詞：飛行安全

中國工業和資訊化部無線電管理局近日下發通知，要求嚴查非法生產、銷售、使用無線電發射裝置。此前12月5日，工業和資訊化部無線電管理局就2018-2019年度第一次無線電發射裝置型號核准隨機抽查事宜，集體約談了11家所生產型號裝置不符合無線電管理規定及行業標準要求的企業。

非法無線電裝置已影響了民航安全。近期，民航部門集中反映多地民航飛機近地警告系統(GPWS)發生告警事件，影響飛行員對飛行高度的判斷，已造成數架航空器復飛，存在嚴重飛行安全隱患。

經過查處後，民航等部門反映在部分地區仍出現飛機GPS裝置受干擾的情況，同時在排查中也發現存在非法生產並且通過網上平臺等渠道銷售具有干擾GPS訊號等功能的、未取得型號核准的無線電發射裝置的情況。（來源：中新網）

蘋果開放漏洞懸賞計劃，最高獎勵達150萬美元

據外媒報道，蘋果已經向所有安全研究人員開放了它的漏洞懸賞計劃，為發現它的作業系統中的主要缺陷提供100萬美元或更多的獎勵。此前，蘋果只向選定的安全研究人員開放基於邀請的缺陷獎勵計劃，並且只接受iOS安全缺陷報告。

該計劃規定，接受漏洞報告的範圍包括iPadOS、macOS、tvOS、watchOS和iCloud的最新版本。此外，蘋果公司還將其最大獎金從20萬美元提升到150萬美元，評判標準基於開發鏈的複雜性和嚴重性。

蘋果公司今天還在其網站上釋出了一個新的頁面，詳細介紹了漏洞報告懸賞計劃的規則，並對研究人員提交的每一個漏洞所能獲得的獎勵進行了細分。

安全研究人員稱2.67億個 Facebook 使用者的資料遭洩露

據外媒CNET報道，近日安全研究人員發現了一個不安全的資料庫，其中洩露了超過2.67億個Facebook使用者的電話號碼、姓名和使用者ID，任何人都可以線上訪問該資料庫。這可能成為繼續困擾著世界上最大的社交網路的又一起隱私和安全事故。

安全研究員Bob Diachenko於12月14日發現了這批Facebook使用者資料。該資料庫（目前已被關閉）並未受到密碼或任何其他保護措施的保護。儘管該資料庫現已無法訪問，但是在安全研究人員發現時，這些資訊已經被公開了將近兩個星期。根據 Comparitech的說法，有人已經在一個黑客論壇上獲得了可供下載的資料。

一位Facebook發言人在一份宣告中說，該公司正在調查該問題，但認為該資料可能是在進行更改以更好地保護使用者資訊（例如限制訪問電話號碼）之前收集的。安全研究人員指出，使用者可以更改隱私設定，以使Facebook之外的搜尋引擎無法連結到他們的個人資料。使用者還可以停用或刪除他們的Facebook帳戶。（來源：cnBeta）

加拿大醫療實驗室LifeLabs被黑客攻擊，現決定支付贖金換回使用者資料

LifeLabs是一家位於加拿大、業內領先的醫療診斷和測試服務提供商。今天該公司宣佈向黑客支付贖金，以贖回上月安全洩露事件中被竊取的資料和資料。在新聞稿中寫道：“通過熟悉網路攻擊和談判的網路專家，我們和這些網路犯罪分子進行交易。”

目前尚不清楚公司為恢復這些資料支付了多少費用。外媒ZDNet通過電話聯絡LifeLabs發言人時，表示不會立即對此事發表評論。LifeLabs此前表示本次洩露事件覆蓋加拿大將近半數人口，超過1500萬人的資料可能已經洩露。

多數受影響客戶在安大略省（Ontario）和卑詩省（British Columbia）。LifeLabs 指出，安全專家經過調查，包括監視暗網和其他網路地址，並未看到任何客戶資料遭公開披露。

安大略省、卑詩省的資安專員畢米希（Brian Beamish）和麥克沃伊（Michael McEvoy）表示，他們在11 月1 日已被告知這起事件，現正聯合進行調查，稱攻擊規模“非常令人擔憂”。（來源：cnBeta）

NextDNS 與 Firefox 合作 幫助增強使用者隱私和安全性

關鍵詞：合作安全

Mozilla宣佈與NextDNS合作，以幫助提高其使用者的隱私和安全性。 NextDNS跟隨Cloudflare，成為Firefox的Trusted Recursive Resolver（TRR）計劃的成員，該計劃旨在增強DNS安全性和隱私性。

域名系統（DNS）會根據您鍵入的URL來確定將瀏覽器定向到哪個IP。這種舊技術有一些缺點，例如DNS提供商知道您正在瀏覽的內容以及中間人可能攔截該IP地址，然後請求並將您的瀏覽器指向其他位置，許多基於DNS的家長控制功能使用此技術來阻止對相關網站的訪問。

作為TRR的一部分，NextDNS必須遵守Mozilla制定的一些規則，包括資料將僅用於操作服務，並且必須在24小時後刪除。TRR還宣告，不能將資料出售、共享或授權給其他方，以確保使用者隱私。DNS反對者對HTTPS（DoH）提出的一個擔憂是，它干擾了家長的控制。根據TRR規則，Mozilla要求合作伙伴應該允許使用者選擇過濾，這樣父母就可以在孩子的裝置上設定家長控制。

Mozilla表示，它希望吸引更多合作伙伴加入TRR計劃，以將DNS系統提升到21世紀的水平，並提供使用者期望的隱私和安全保護。（來源：hackernews）

印度又“斷網”了：5年來網際網路服務關閉逾350次

關鍵詞：印度斷網

印度中央政府最近的一些決定，例如在查謨-克什米爾地區廢止第370條以及《公民身份（修訂）法》，導致該國部分地區發生了暴力抗議活動，迫使政府暫停網際網路服務，以防止散佈謠言，從而防止更多暴力。

India Today資料情報部門（DIU）分析了該國的網際網路關閉情況，發現恐怖活動和社群緊張局勢是造成服務中斷的最大原因。slfc.in和internetshutdowns.com編制的資料顯示，自2014年以來，印度關閉網際網路服務多達357次。

據悉，印度在2014年經歷了六次網際網路關閉，到2015年上升到14次。在2016年，增加了一倍多，達到31次，在2017年達到79次。這一數字在2018年達到峰值，達到134次，到2019年12月15日，達到93次。資料顯示，2018年世界上有67%的網際網路中斷在印度。2019年，印度宣佈關閉網際網路的次數為93次，總共影響了167個地區。（來源：IT之家）

資料統計

Malwarebytes報告：2019 Mac威脅檢測呈上升趨勢

根據 Malwarebytes 釋出的2019威脅檢測報告，今年針對Mac平臺的威脅有上升的趨勢。在排名前25的威脅檢測中，有六種針對Mac平臺，佔總量的16%。儘管看似並不嚴重，但鑑於Mac使用者基數只佔PC使用者群體的1 / 12，這項發現還是不由地讓我們提高了警惕。

回顧 2019 年，Mac惡意軟體首次闖入了前五，並在其中佔據了兩席（位列第二和第五）。

首先是被稱作NewTab的Mac廣告軟體，其佔據了跨平臺檢測總數的4%。

作為一款基於瀏覽器擴充套件程式來修改網頁內容的Adware，其可在Chrome瀏覽器中找到。

因蘋果修改了擴充套件程式的政策，因此其無法再安裝到Safari瀏覽器中。其次是佔總檢測量3%的PUP.PCVARK；

Malwarebytes 指出：2019 年，每臺Mac檢測了9.8次，而 Windows PC 僅為 4.2 次。問題在於，長期以來，許多 Mac 使用者以為自己並不需要防病毒軟體。若悲觀猜測，這些Mac可能已經受到了某種可疑的感染。

當然，資料僅採集自已經安裝了Malwarebytes的裝置。在現實生活中，所有Mac的總體威脅檢測率，可能不如樣本資料中那樣高。（來源：cnBeta）

人才培養

首屆網路空間安全人才培養高峰論壇在長沙舉行

12月18日-19日，首屆網路空間安全人才培養高峰論壇暨中國網路空間安全人才教育聯盟2019年會在長沙舉行。本次會議由中中國產學研合作促進會指導、中國網路空間安全人才教育聯盟主辦，從事網路空間安全的高校、科研學術機構、地方政府、企事業單位的100餘位代表參加會議。

“網路空間的競爭是人才競爭，從總體上看，中國網路安全人才存在數量缺口較大、能力素質不高等問題。”中國工程院院士方濱興指出，中國網路空間安全人才教育聯盟組織全國網安領域頂級高校、企業、事業單位等，從人才教育、培養、培訓、認證以及就業等環節，探索科學可行的網安人才培養新模式，為網安事業發展提供有力支撐。

此外，《網路空間安全工程技術人才培養體系指南2.0》提出的中國網安人才培養框架中，對院校層次化培養體系、職業化知識技能體系、實戰化認證體系等主體部分進行論述。

一是針對院校培養體系，如何補充強化其實踐化教學和實戰化能力培養環節；二是從從業人員職業標籤的角度，參考學科專業體系，提出了網安人才職業化知識技能體系，突出職業化的業務內容，為工程技術人才培養和考核認證提供參考；最後，在分析國外發達國家網安人才認證體系建設的基礎上，結合中國實情和人才渠道現實，提出網安人才認證體系建設思路。（來源：華聲線上）

漏洞速遞

Android端Twitter應用曝出安全漏洞：資訊恐已洩漏，推薦儘快更改密碼

今天早些時候，推特（Twitter）面向所有Android端推特使用者傳送了一封電子郵件，在確認公司已經修復Android端APP存在的嚴重漏洞之外，有黑客可能通過該漏洞獲取了部分使用者賬戶資訊。在公司釋出的詳細博文中，推特表示公司目前並沒有發現任何直接證據表明這些資料已經被使用，在暗網或者其他渠道上也沒有披露/出售的資訊。

但是作為預防措施，推特已經通過電子郵件和移動APP的方式通知使用者儘快更改密碼，從而確保自己的賬戶安全。此外該公司還向使用者釋出了相關說明和APP更新。（來源：cnBeta）

施耐德修復了 Modicon 和 EcoStruxure 產品中的 DoS 漏洞

關鍵詞：施耐德

施耐德電氣公司近期解決了Modicon M580，M340，Quantum和Premium控制器中的DoS漏洞，並表示這三個缺陷都是由於檢查不當造成的。

第一個是CVE-2019-6857，CVSS v3.0 的基本評分為 7.5，具有高危險性。使用Modbus TCP讀取特定的儲存器塊時，該漏洞可能導致控制器遭遇DoS攻擊。

第二個是CVE-2019-6856，CVSS v3.0 評分同樣為 7.5，具有高危險性。在使用Modbus TCP編寫特定的實體記憶體塊時可能會導致DoS 攻擊。

第三個漏洞編號為CVE-2018-7794，CVSS v3.0 評分為 5.9，為中度危險。當使用Modbus TCP讀取的資料的索引無效時，該漏洞可能導致DoS攻擊。（來源：SecurityAffairs）

免責宣告：

資訊保安快訊的內容及圖片出於傳遞更多資訊之目的，屬於非營利性的轉載。如無意中侵犯了某個媒體或個人的智慧財產權，請聯絡我們，我們將立即刪除相關內容。其他媒體、網路或個人從本網下載使用須自負版權等法律責任。