国盟信息安全通报2019年4月29日第191期.pdf

资源描述

1、国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 1 http:/ 2019 年 4 月 29 日第 191 期国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报（第第 191 期期）国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 230 个，其中高危漏洞 96 个、中危漏洞 115 个、低危漏洞 19 个。漏洞平均分值为 6.13。本周收录的漏洞中，涉及 0day 漏洞122 个（占 53%），其中互联网上出现“ApacheAxis 代码执

2、行漏洞、QCMS 跨站请求伪造漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1994与上周（1755个）环比增长 14%。国际国际信息安全信息安全学习联学习联盟盟 2019 年年 4 月月 29 日日国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 3 http:/ 主要内主要内容容一、一、概述概述 . 4 4 二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况 . 4 4 漏洞产生原因（2019 年 4 月 15 日2019 年 4 月 29 日） . 4 漏洞引发的威胁（2019

3、年 4 月 15 日2019 年 4 月 29 日） . 5 漏洞影响对象类型（2019 年 4 月 15 日2019 年 4 月 29 日） . 5 三、三、安全产业动态安全产业动态 . 6 6 确保网信事业始终沿着正确方向前进 . 6 互联网个人信息安全保护指南若干要点解读 . 8 证券期货监管数据脱敏方案研究与实践 . 12 2018 年我国互联网网络安全态势综述报告发布 . 18 四、四、政府之声政府之声 . 2020 工信部部署开展 2019 年 IPv6 网络就绪专项行动 . 20 三部门联合发布互联网个人信息安全保护指南 . 21 国资委印发中央企业负责人经营业绩考核办法 .

4、21 国务院印发政府网站与政务新媒体检查指标、监管工作年度考核指标 . 22 五、五、本期重要漏洞实例本期重要漏洞实例 . 2323 Linux Kernel 本地信息泄露漏洞 . 23 OpenSSH 用户枚举漏洞. 23 Symantec Endpoint Protection 安全绕过漏洞 . 24 Apache Pony Mail 跨站脚本漏洞 . 25 六、六、本期网络安全事件本期网络安全事件 . 2626 Facebook 承认员工可获取数百万 Instagram 用户的明文密码 . 26 搜 Wi-Fi 热点 Android 应用数据泄露涉 200 多万 WiFi 密码 . 27

5、泄露公司源代码造成百万损失：大疆前员工被罚 20 万获刑半年 . 28 国家安全机关公布三起境外网络攻击窃密案件 . 29 员工非法获取他人征信报告 1000 余份被判刑 1 年 . 31 提醒：山寨微信留“后门” 盗取语音来诈骗 . 32 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 4 http:/ 一、一、概述概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 230 个，其中高危漏洞 96 个、中危漏洞

6、115 个、低危漏洞 19 个。漏洞平均分值为 6.13。本周收录的漏洞中，涉及 0day 漏洞 122个（占 53%），其中互联网上出现“ApacheAxis 代码执行漏洞、QCMS 跨站请求伪造漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1994 与上周（1755 个）环比增长 14%。二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况漏洞产生原因漏洞产生原因（2019 年年 4 月月 15 日日2019 年年 4 月月 29 日日）国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联

7、盟主办 5 http:/ 漏洞引发的威胁漏洞引发的威胁（2019 年年 4 月月 15 日日2019 年年 4 月月 29 日日）漏洞影响对象类型漏洞影响对象类型（2019 年年 4 月月 15 日日2019 年年 4 月月 29 日日）国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 6 http:/ 三、三、安全产业动态安全产业动态确保网信事业始终沿着正确方向前进确保网信事业始终沿着正确方向前进党的十八大以来，以习近平同志为核心的党中央系统部署网络安全和信息化工作，不断推进理论创新和实践创新，走出一条中国特色治网之路，形成了网络强国战

8、略思想，我国网信事业取得历史性成就，亿万人民在共享互联网发展成果上拥有更多获得感。 2014 年 2 月 27 日，习近平总书记在中央网络安全和信息化领导小组第一次会议上作出了“没有网络安全就没有国家安全，没有信息化就没有现代化”的重大判断；2016 年 4 月19 日，习近平总书记在网络安全和信息化工作座谈会上擘画出我国网信事业的宏伟蓝图；2018 年 4 月 20 日，在全国网络安全和信息化工作会议上，习近平总书记高度概括了网络强国战略思想“五个明确”的丰富内涵，深刻回答了当前和今后一个时期我国网信事业发展的一系列方向性、全局性、根本性、战略性问题。加强党中央对网信工作的集中统一领导加

9、强党中央对网信工作的集中统一领导面对互联网领域新情况新问题新挑战，必须切实加强党中央对网信工作的集中统一领导，把网信工作摆在党和国家事业全局中来谋划。要以习近平新时代中国特色社会主义思想为指国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 7 http:/ 导，把网络强国战略思想贯穿到网信工作各方面、诸环节，确保网信事业始终沿着正确方向前进。互联网管理是一项政治性极强的工作，讲政治是对网信部门第一位的要求。网信队伍要不断增强“四个意识” ，坚持把党的政治建设摆在首位，自觉维护党中央权威和集中统一领导，自觉在思想上政治上行动上同以习近平同志为核心

10、的党中央保持高度一致，不断完善坚持党的领导的体制机制。党的十八大以来，我们之所以能推动网信事业取得历史性成就，最根本的就在于有以习近平同志为核心的党中央的坚强领导，有网络强国战略思想的正确引领。网信事业代表着新的生产力和新的发展方向网信事业代表着新的生产力和新的发展方向网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上先行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展，整体带动和提升新型工业化、城镇化、农业现代化发展。要发展数字经济，加快推动数字产业化；要推动互联网、大数据、人工智能和实体经济深度融合；要坚定不移支持网信企业做大做强，加强规范引导，促进其健

11、康有序发展。网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。核心技术是国之重器核心技术是国之重器习近平总书记指出： “互联网核心技术是我们最大的命门，核心技术受制于人是我们最大的隐患。 ” “在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。 ”要成为网络强国，必须成为生产力意义上的网络强国，即在核心技术领域实现有效突破，具备网络技术强国的基本特征，能够在基础理论、实验室设计、工业生产以及市场竞争中占据关键地位，将中国建设成为真正的网络技术强国。要下定决心、保持恒心、找

12、准重心，加速推动信息领域核心技术突破。要辩证看待对外开放和自主创新的关系。最关键最核心的技术要立足自主创新、自立自强。一定要坚持开放创新，只有跟高手过招才知道差距，不能夜郎自大。如何实现核心技术从“跟跑”到“领跑”的转变？习近平总书记明确指出要把握三个方面： “一是基础技术、通用技术。二是非对称技术、杀手锏技术。三是前沿技术、颠覆性技术。 ” 树立正确的网络安全观树立正确的网络安全观网络强国建设，离不开网络安全观的指引。互联网是意识形态工作的主阵地、最前沿，网络安全是国家安全的重要组成部分， “没有网络安全就没有国家安全” 。国家安全是国家存在和发展最基本最重要的前提，网信工作必须置

13、于总体国家安全观的视野下开展。 “大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈” 。网络安全是整体的而不是割国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 8 http:/ 裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的。无论是全球网络安全态势的风起云涌，还是中国网络强国建设的具体实践，都证明习近平总书记对网络安全重要论述的科学性，不仅点出了网络安全的要害，也指明了网络强国建设的方向。推进全球互联网治理体系变革是大势所趋、人心所向推进全球互联网治理体系变革是大势所趋、人心所向高速发展

14、的互联网对全球互联网治理体系提出全新挑战。习近平总书记指出，国际网络空间治理应该坚持多边参与、多方参与，发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各种主体作用。既要推动联合国框架内的网络治理，也要更好发挥各类非国家行为体的积极作用。中国对互联网发展治理的国际主张，本质上就是要在尊重各国网络空间主权平等原则基础上，推进网络空间国际治理秩序的良性变革，最终建成网络空间命运共同体。（来源：求是网）互互联网联网个人信息安全保护指南若干要点解读个人信息安全保护指南若干要点解读 2019 年 4 月 10 日，公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所正式

15、发布了三部门联合发布互联网个人信息安全保护指南（附全文），这份指南是在 2018年 11 月 30 日公安部网络安全保护局发布的互联网个人信息安全保护指引(征求意见稿)基础上，听取和采纳社会各方意见修改而成。以下为指南的主要起草人就指引的若干内容所进行的解读，供大家参考。以下为指南的主要起草人就指引的若干内容所进行的解读，供大家参考。 1、编制背景、编制背景国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 9 http:/ 近年来，侵犯公民个人信息的现象日益增多，侵犯公民个人信息的违法犯罪行为也日益猖獗，更为严重的是，此类违法犯罪已经形

16、成了完整的利益链，甚至是灰色产业链，给人们日常生活带来很大的干扰，直至造成财产损失，甚至危及人身安全。随着网络技术的发展，互联网行业持有个人信息的现象日益普遍，侵犯公民个人信息的违法犯罪也与计算机信息系统密切相关。鉴于此，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，会同北京网络行业协会和公安部第三研究所等单位，研究制定了本指南。 2、适用范围、适用范围指南的第 1 章范围明确了适用对象为 “个人信息持有者” ，即对个人信息进行控制和处理的组织或个人，指南正式版将征求意见稿的“互联网企业”进一步明确为“通过互联网提供服务的企业” ，并且包含了其他“使用

17、专网或非联网环境控制和处理个人信息的组织或个人” ，也就是说除了传统意义的互联网企业，也包含金融、电信、交通、教育、医疗等行业，甚至存有大量公民个人信息的房产中介等企业，都应参考指南保护个人信息安全。 3、指南与一些法律法规的相关性、指南与一些法律法规的相关性网络安全法特别加强和明确了个人信息保护方面的要求，指南的业务流程主要要求按照网络安全法编制的，一些细化要求参考了推荐性国家标准 GB/T 352732017信息安全技术个人信息安全规范; 另外，网络安全法指出国家实行网络安全等级保护制度，指南的管理要求、技术要求和应急处置，都与网络安全等级保护基本要求(信息系统安全等级保护基本要

18、求)相一致，履行保护义务， “保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”为目标，这也是网络安全法的明确要求。另一方面，是否存在“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息”等行为，也是公安机关互联网安全监督检查规定(公安部令第 151 号)的检查重点之一。 4、指南与等级保护定级的关系、指南与等级保护定级的关系指南对于网络安全等级保护级别的要求并非明确为三级。指南指出 “应满足 GB/T 22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改

19、” ，这与征求意见稿的“应按照 GB/T 222392008 7.1 第三级的”略有不同，就是说具体按照网络安全等级保护基本要求的哪一级进行保护，则是需要经过等级保护定级备案的过程。这就意味着，根据影响国家安全、社会秩序、公共利益以及相关公民、法人和其他组织国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 10 http:/ 的合法权益的程度，涉及个人信息的数量和类别达到一定规模，仍需按照三级甚至更高级别进行防护。 5、指南中的个人信息是否分级、指南中的个人信息是否分级指南中“个人信息”完全引用了网络安全法的定义，与国家标准个人信息安全规范在个

20、人信息之外还界定一个个人敏感信息不同，指南并不涉及个人敏感信息这个概念。这说明，指南提出的要求，是个人信息保护的最低要求。 6、关于匿名化的操作、关于匿名化的操作在个人信息安全规范中，匿名化是指“通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。 ”这个术语与欧盟 GDPR 的匿名化说法有所不同。指南则不使用匿名化这个说法，直接引用网络安全法 “经过处理无法识别特定个人且不能复原”的描述。 7、对于用户画像的要求、对于用户画像的要求用户画像是互联网企业最常用的营销手段之一，涉及个人信息该如何合法合规使用是企业非常关心的问题。指南指出， “完全依靠自动化

21、处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用，或跨网络运营者使用，应经用户明确授权方可使用其数据” 。 8、指南与、指南与 GB/T22239 和和 GB/T35273 的章节对比的章节对比从具体内容看，指南的第 4 章管理机制、第 5 章技术措施、第 6 章业务流程、第 7章应急处置，与网络安全等级保护基本要求(信息系统安全等级保护基本要求)和信息安全技术个人信息安全规范两个国家标准从内容和要求上做了对接，具体如下表。（

22、来源：国家网安检测中心）国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 11 http:/ 国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 12 http:/ 证券期货监管数据脱敏方案研究与实践证券期货监管数据脱敏方案研究与实践为充分发挥资本市场大数据在辅助监管决策、提升监管能力、创新监管方式、丰富监管手段方面的优势作用，证券期货监管系统正在开展监管科技的建设工作。监管科技的核心是大数据分析，前提是数据的共享和汇集。数据共享过程中，数据脱敏在防止敏感数据泄露、保护敏感数据方面起到重要作用，是大数据分

23、析的一项基础性工作。数据脱敏工作中的难点和痛点数据脱敏工作中的难点和痛点 1.数据脱敏需求不明确。数据脱敏需求不明确。数据脱敏需求部门在申请数据脱敏服务时，大多难以准确描述脱敏数据的需求，包括保留哪些字段、保留字段的哪些属性、哪些字段必须脱敏、哪些字段的统计信息必须保留或隐藏（如分布情况、均值变化、总和不变或是分类属性不变以及其他包含勾稽关系的信息）、针对具体字段使用的脱敏算法，通常简单笼统地提出不明确的需求。 2.敏感信息的不易界定。敏感信息的不易界定。数据提供方进行敏感数据共享时，会重点考虑数据安全以及合规性，希望按照最小化原则提供数据；而数据使用方想得到更多更完整的数据，这就迫切

24、需要细化对敏感数据的界定。例如，通常涉及公民个人信息，原则上应进行数据脱敏处理，但敏感数据不能简单理解为个人基本信息，因数据量、关联表信息、甚至通过关联其他资料等貌似非关键的信息，都有可能形成可推导出全局或个体信息的情况，造成泄露隐患。 3.数据保护与数据可用性间的平衡。数据保护与数据可用性间的平衡。数据脱敏不可避免造成数据信息损失。一方面，选择合适的脱敏规则或方法，需要性能较好的脱敏软件，以及对软件提供的各种工具的熟练掌握；另一方面，数据需求部门需要对脱敏工作充分介入、充分理解，共同寻找敏感数据的保国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办

25、 13 http:/ 护程度以及数据可用性之间的平衡。证券期货监管数据脱敏方案设计证券期货监管数据脱敏方案设计建设完善的证券期货监管数据脱敏方案需要从工作流程和管理制度两个方面共同推进。为此，我们研究了数据脱敏工程方法和管理制度的规范化和标准化。 1.工程方法。工程方法。数据脱敏的重要前提是明确数据的敏感性以及数据使用场景，依据数据敏感性和应用场景选择脱敏策略和算法。数据需求双方对数据脱敏方案的审核是数据脱敏工程实施的重要保障。按照上述数据脱敏工作思路，我们将数据脱敏工程方法分为“确定待脱敏数据” “确定数据应用场景” “确定脱敏策略和算法” “脱敏实施” “脱敏评价”五个步骤。数据脱敏

26、工程实施流程图如图 1。图 1 数据脱敏工程实施流程图数据脱敏须充分考虑业务需求、数据安全以及法律法规。待脱敏数据通过敏感数据分类分级确定。敏感数据分类分级是有效发现敏感数据的基础性工作，可对敏感数据进行标记，确保数据脱敏能够充分考虑到应用范围、脱敏后数据对原数据业务特性的继承（如保持原数据间的依赖关系）等因素。在“最小够用”的原则下，通过分析数据脱敏需求的业务场景，明确待脱敏数据。针对无需脱敏的单个字段，应充分考虑多字段组合产生的敏感信息。数据应用场景是数据使用方的网络环境、使用人员等情况的综合描述。其中，网络包括互联网、办公专网和内部网络等，使用人员包括开发、测试、分析人员等

27、。根据网络环境、使用人员两个维度对数据应用场景进行分解，完成分类。脱敏策略和算法应依据待脱敏数据和数据应用场景而确定，确定时要充分考虑数据的重要性、私密性和指向性，并从保全原始数据的数据特征角度，制定相应的数据脱敏策略和算法。脱敏实施是在确定待脱敏数据、数据应用场景、脱敏策略和算法后，执行数据脱敏操作，并给出脱敏结果的过程。为保证敏感数据不泄露，数据必须在原网络环境下进行脱敏，数据使用方和提供方分别对数据脱敏需求与方案进行审核，双方确认后可将脱敏后的数据应用到业务所需场景和网络。国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 14 h

28、ttp:/ 脱敏评价用于满足使用方要求、保证脱敏后的数据级别和场景的匹配度。在执行完脱敏操作后，数据使用方应与提供方共同开展脱敏评价，并进行交付。特别地，脱敏实施完成后，数据使用方应与提供方就脱敏后的数据是否会造成不良影响进行验证，验证环节应检查脱敏后数据是否与双方协商达成的数据脱敏方案一致。 2.管理制度。管理制度。数据脱敏不仅仅依靠工程方法完成对敏感数据进行的共享和保护，还需要在制度上对参与人员的职责和数据安全管理等进行约束和说明。在建立数据脱敏管理制度时，应明确各参与方及其职责、数据访问日志、脱敏方案报备以及脱敏任务定期检查等。其中，数据脱敏参与方包括数据使用方、数据提供方

29、和管理协调方。数据使用方负责提出数据脱敏要求，并对脱敏后的数据进行妥善管理；数据提供方负责评估数据使用方所提出的数据脱敏要求，执行数据脱敏操作，并将脱敏数据提供给使用方；管理协调方负责数据脱敏的组织管理。数据提供方应记录数据脱敏过程日志，并对脱敏后数据及时清理；数据使用方应建立针对脱敏数据的访问控制机制，保证无关人员不能接触脱敏后数据，并保留脱敏数据访问日志，确保对脱敏数据的访问行为可审计；管理协调方负责对数据提供方与使用方的数据脱敏以及脱敏数据的管理情况进行定期与不定期的检查。关键问题解决关键问题解决在数据脱敏任务实施过程中，有三项关键问题需要引起重视： “敏感数据分级分

30、类” “敏感数据应用场景定义”和“数据脱敏策略和算法” 。 1.敏感数据分类分级。敏感数据分类分级。敏感数据分类分级包括对敏感数据的分类和分级。数据分类参考数据业务属性和数据技术属性。数据业务属性通常可按主体、行为进行分类。主体通常包括但不限于个人信息和机构信息等，行为一般可分为交易行为、监管行为、信息披露行为等。作为数据资产补充，数据技术属性依据数据类型的不同，成为选择脱敏算法的因素之一。字段的数据类型包括但不限于数字、字符串、日期时间、枚举等。遵照上述数据分类原则，数据敏感性分类示例见表 1。国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 15

31、 http:/ 表表 1 敏感数据分类示例敏感数据分类示例数据敏感性等级认定可根据数据重要性、私密性、指向性的不同进行判断。重要性是指数据对市场运行的影响程度。私密性是指数据因描述个人或机构主体的隐私而不能被他人获取、得知的程度。指向性是指数据能够关联到特定对象的范围，分为单一主体（个人或机构）、特定群体（投资者类别、上市公司行业）或全市场。重要性、私密性、指向性分别用高、中、低三个级别来表示，认定规则见表 2、表 3 和表 4。表表 2 重要性级别认定重要性级别认定国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 16

32、 http:/ 表表 3 秘密性级别认定秘密性级别认定表表 4 指向性级别认定指向性级别认定数据敏感级别可分为四级（1 至 4 级，0 表示非敏感数据），根据数据的重要性、私密性、指向性综合确定数据敏感性，并充分考虑数据量（全量/抽样）、数据关联关系以及数据时效性等因素对数据敏感性的影响。一个可供参考的数据重要性、私密性、指向性与数据敏感级别对应关系，见表 5 数据定级规则参考表。表表 5 数据定级规则参考表数据定级规则参考表 2.敏感数据应用场景定义。敏感数据应用场景定义。敏感数据应用场景定义通过分析待脱敏数据的各种应用场景，国盟信息安全通报（2019 年 4 月 29 日第

33、191 期）国际信息安全学习联盟主办 17 http:/ 并兼顾应用场景的网络环境，应用场景可分为五类。（1）内部分析。内部分析是指在同类业务网络中，由分析人员使用脱敏数据开展数据分析工作。（2）系统仿真。系统进行仿真实验所在网络与系统运行环境属于同一网络环境，使用人员多为开发测试人员。（3）监管协作。监管协作是将脱敏数据提供给其他会管单位或外部监管协作机构，在其业务网络中使用，使用人员为监管业务人员。（4）外部分析。外部分析用于互联网环境下分析人员使用。较内部分析而言，网络环境开放、安全级别较低。（5）开放测试。开放测试用于互联网开放测试，即：使用人员不限、网络环境开放、安全

34、级别最低。 3.数据脱敏策略和算法。数据脱敏策略和算法。在进行数据脱敏时，脱敏策略和算法的选择需充分考虑数据类型。脱敏策略包括字段的全部或部分脱敏、可逆或不可逆；常见数据脱敏算法包括置常数、随机查表替换、固定参数查表替换、码值随机偏移、码值固定参数偏移、随机算数置换、固定参数算数置换、随机生成定长字符串、随机生成不定长字符串、字符串部分屏蔽、时间部分替代等。其中，数据脱敏策略和算法与数据类型之间的适用关系见表 6。表表 6 数据脱敏数据脱敏算法与数据类型算法与数据类型之间的适用关系之间的适用关系数据脱敏实践数据脱敏实践 2018 年，我们在研究证券期货监管数据脱敏方案的基础上，开展了数

35、据脱敏试点工作，在“脱敏工具选择” “数据脱敏实施”和“数据脱敏审计”等三项具体工作中有如下体会。 1.数据脱敏工具选择。数据脱敏工具选择。数据脱敏工具需内置敏感数据匹配模式，帮助用户发现部分敏感数据。此外，工具还需内置常用的脱敏算法，并提供脱敏算法扩展接口，方便用户扩展脱敏国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 18 http:/ 算法。经脱敏后的数据应在格式、内涵及数据间关系上保持与原数据一致，方便业务人员理解和应用数据。同时，数据脱敏工具应具备高效性和可靠性，保证数据脱敏工作效率，并确保脱敏结果的有效性。 2.数据脱敏实施。数据脱敏实施

36、。保证数据安全以及规范数据操作是数据脱敏的前提，数据脱敏工作应严格按照上述工程方法和管理制度进行数据脱敏实施。目前，我们已在实践中完善了脱敏流程和脱敏工具，验证了工程方法和管理制度的正确性。 3.数据脱敏审计。数据脱敏审计。数据脱敏检查工作按照事前、事中和事后分别进行检查，事前、事中检查按照监管科技数据脱敏工程方法和数据脱敏管理制度实施；事后检查依靠数据脱敏审计，对数据提供方与使用方的数据脱敏以及脱敏数据的管理情况进行定期与不定期的检查。（来源：本文节选自金融电子化2019 年 3 月刊） 20182018 年我国互联网网络安全态势综述报告发布年我国互联网网络安全态势综述报告发布 2019

37、年 4 月 16 日，由国家互联网应急中心（以下简称“CNCERT” ）主办的2018 年我国互联网网络安全态势综述（简称“2018 年态势报告” ）发布会在京举行。来自中央网信办、工业和信息化部、公安部等政府部门、重要信息系统单位、电信运营企业、域名注册管理和服务机构、互联网和安全企业等 80 多家单位的专家和代表出席会议。 CNCERT 卢卫副书记表示，2018 年，我国进一步健全网络安全法律体系，完善网络安全管理体制机制，持续加强公共互联网网络安全监测和治理，构建互联网发展安全基础，构筑国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 19

38、http:/ 网民安全上网环境，特别是在党政机关和重要行业方面，网络安全应急响应能力不断提升，恶意程序感染、网页篡改、网站后门等传统的安全问题得到有效控制。全年未发生大规模病毒爆发、大规模网络瘫痪的重大事件，但关键信息基础设施、云平台等面临的安全风险仍较为突出，APT 攻击、数据泄露、分布式拒绝服务攻击等问题仍较为严重。中央网信办网络安全协调局刘博处长表示， 2018 年态势报告对了解我国网络安全形势、提高网络安全意识具有重要参考意义。中央网信办网安局将继续发挥统筹协调作用，从强化网络安全工作责任制落实、统筹推进关键信息基础设施保护、强化数据安全保护、增强态势感知和应急指挥能力、促进网

39、络安全产业发展、加强网络安全人才培养和意识教育等方面持续发力，筑牢国家网络安全屏障。工业和信息化部网络安全管理局袁春阳副处长介绍了工信部作为行业主管部门在电信、互联网和工业领域开展的网络安全管理工作。公安部网络安全保卫局盘冠员处长总结了 2018 年网络安全突出特点，并介绍了公安机关针对当前互联网安全隐患问题开展的行动。会上，CNCERT 发布了 2018 年态势综述报告，并对该报告进行了详细阐述。报告坚持立足于 CNCERT 自有监测数据与工作实践，结合 2018 年典型网络安全事件、网络安全新趋势及日常网络安全事件应急处置实践成果编撰而成，为我国党政机关、行业企业及社会公众

40、提供了有力参考。报告从网络安全法律法规、网络安全威胁治理、勒索软件威胁、APT 攻击、云平台安全、拒绝服务攻击、工业控制系统安全、恶意移动应用和数据安全等共九个方面对2018 年我国互联网网络安全状况进行了总结。报告还对网络安全趋势进行了四点预测，认为 2019 年带有特殊目的和针对性更强的网络攻击、国家关键信息基础设施安全、个人信息与数据安全、5G 与 IPv6 等新技术安全值得关注。（来源：国家互联网应急中心） 20182018 年我国互联网网络安全态势综述报告年我国互联网网络安全态势综述报告全全文文：http:/ 国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信

41、息安全学习联盟主办 20 http:/ 四、四、政政府之声府之声工信部部署开展工信部部署开展 2019 年年 IPv6 网络就绪专项行动网络就绪专项行动 2019 年 4 月 16 日，为深入贯彻落实推进互联网协议第六版（IPv6）规模部署行动计划（以下简称“ 行动计划 ” ），持续推进 IPv6 在网络各环节的部署和应用，全面提升用户渗透率和网络流量，加快提升我国互联网 IPv6 发展水平，工业和信息化部近期印发了工业和信息化部关于开展 2019 年 IPv6 网络就绪专项行动的通知工信部通信函 2019 95 号。（以下简称“ 专项行动 ” ），对 2019 年 IPv6 规

42、模部署相关任务的组织实施工作提出了具体的改造措施和相应目标要求。 2018 年基础电信企业已经基本完成 LTE 网络、城域网、接入网、5 个互联网骨干直联点IPv6 改造，初步实现 IPv6 网络连通、承载能力。但据部分互联网企业反应，IPv6 网络质量不佳导致用户访问体验受到影响，成为互联网企业在应用上线、用户放量阶段的主要顾虑。为此，工业和信息化部专门对 IPv6 网络性能进行监测，发现三家基础电信企业部分骨干、城域 IPv6 网络平均时延、丢包率等指标较 IPv4 网络偏大，客观存在 IPv6 网络性能较差的问题，急需优化。针对上述突出问题， 2019 年专项行动将提升 IPv6

43、网络和服务的质量作为本年度 IPv6规模部署的重点举措，一是要求基础电信企业持续优化 IPv6 网络传输性能，保证用户在 IPv6环境下的实际访问体验不会降低；二是要求数据中心、内容分发网络、云服务平台为用户提供与 IPv4 趋同质量的 IPv6 服务。到 2019 年第三季度末，IPv6 网络基础设施、应用基础设施的平均丢包率、时延等网络指标与 IPv4 性能相比劣化不超过 10%。（来源：国家广播电视总局）工业和信息化部关于开展工业和信息化部关于开展 20192019 年年 IPv6IPv6 网络就绪专项行动的通知网络就绪专项行动的通知全文：全文：国盟信息安全通报（2019 年 4

44、月 29 日第 191 期）国际信息安全学习联盟主办 21 http:/ http:/ 三部门联合发布互联网个人信息安全保护指南三部门联合发布互联网个人信息安全保护指南 2019 年 4 月 19 日，公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布互联网个人信息安全保护指南为深入贯彻落实网络安全法，指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，会同北京网络行业协会和公安部第三研究所等单位，研究制定了互联网

45、个人信息安全保护指南。现正式发布，供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。（来源：公安部网络安全保卫局）互联网个人信息安全保护指南互联网个人信息安全保护指南全文全文：http:/ 国资委印发中央企业负责人经营业绩考核办法国资委印发中央企业负责人经营业绩考核办法 2019 年 3 月 7 日，国务院国有资产监督管理委员会发布了新版中央企业负责人经营业绩考核办法，该办法将于自 2019 年 4 月 1 日起施行。与旧版的考核办法不同的是，新的考核办法中增加了对网络安全事件的考核要求。国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办

46、 22 http:/ 具体体现在新办法的第具体体现在新办法的第 34 条和条和 48 条，如下：条，如下：第三十四条建立重大事项报告制度。企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等，对经营业绩产生重大影响的，应及时向国资委报告。第四十八条企业发生下列情形之一的，国资委根据具体情节给予降级或者扣分处理；违规经营投资造成国有资产损失或其他严重不良后果，按照有关规定对相关责任人进行责任追究处理；情节严重的，给予纪律处分或者对企业负责人进行调整；涉嫌犯罪的，依法移送国家监察机关或司法机关

47、查处。 (一)违反中华人民共和国会计法企业会计准则等有关法律法规规章，虚报、瞒报财务状况的；(二)企业法定代表人及相关负责人违反国家法律法规和规定，导致发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大质量责任事故、重大违纪和法律纠纷案件、境外恶性竞争、偏离核定主业盲目投资等情形，造成重大不良影响或者国有资产损失的。（来源：国有资产监督管理委员会）中央企业负责人中央企业负责人经营业绩考核办法经营业绩考核办法全文：全文：http:/ 国务院印发政府网站与政务新媒体检查指标、监管工作年度考核指标国务院印发政府网站与政务新媒体检查指标、监管工作年度考核指标 2019 年

48、 4 月 18 日，国务院办公厅秘书局关于印发政府网站与政务新媒体检查指标、监管工作年度考核指标的通知。通知要求：各省、自治区、直辖市人民政府办公厅，国务院各部委、各直属机构办公厅（室）：为进一步推动全国政府网站和政府系统政务新媒体健康有序发展，国务院办公厅制定了政府网站与政务新媒体检查指标和政府网站与政务新媒体监管工作年度考核指标，现印发给你们，请认真贯彻执行。各地区、各部门要进一步加强和完善政府网站及政务新媒体日常管理和常态化监管工作。国务院办公厅将每半年对全国政府网站及政务新媒体运行情况进行抽查，每年度对有关监管工作进行考核，抽查和考核结果将予以公开通报。（来源：国务院办公厅秘

49、书局）政府政府网站与政务新媒体检查指标、监管工作年度考核指标的通知网站与政务新媒体检查指标、监管工作年度考核指标的通知全文：全文：http:/ 国盟信息安全通报（2019 年 4 月 29 日第 191 期）国际信息安全学习联盟主办 23 http:/ 五、五、本本期重要漏洞实例期重要漏洞实例 Linux Kernel 本地信息泄露漏洞本地信息泄露漏洞发布日期：2019-02-07 更新日期：2019-04-24 受影响系统： Linux kernel = 4.20.5 描述： BUGTRAQ ID: 106963 CVE(CAN) ID: CVE-2019-7222 Linux

50、kernel 是美国 Linux 基金会发布的开源操作系统 Linux 所使用的内核。 Linux kernel 4.20.5 及之前版本的 KVM 执行存在一个信息泄露漏洞。攻击者可利用此漏洞获取信息。建议：厂商补丁： Linux - Linux 已经为此发布了一个安全公告（CVE-2019-7222）以及相应补丁: CVE-2019-7222：KVM: x86: work around leak of uninitialized stack contents 链接： https:/git.kernel.org/pub/scm/virt/kvm/kvm.git/commit/?id=35

展开阅读全文