国盟信息安全通报2018年4月30日第167期.pdf

资源描述

1、国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 1 http:/ 2018 年 04 月 30 日第 167 期国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报（第第 167 期期）国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 248 个，其中高危漏洞 80 个、中危漏洞 151 个、低危漏洞 17 个。漏洞平均分值为 5.85。本周收录的漏洞中，涉及 0day 漏洞51 个（占 21%），其中互联网上出现“Secutech RiS

2、-11、RiS-22 和 RiS-33 DNS 更改漏洞、Frog CMS 任意文件上传漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数581 个，与上周（562 个）环比增长 3%。国际国际信息安全信息安全学习联学习联盟盟 2018 年年 04 月月 30 日日国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 3 http:/ 主要内容主要内容一、概述一、概述 . 4 4 二、安全漏洞增长数量及种类分布情况二、安全漏洞增长数量及种类分布情况 . 4 4 漏洞产生原因（2018 年 4 月 16 日201

3、8 年 4 月 30 日） . 4 漏洞引发的威胁（2018 年 4 月 16 日2018 年 4 月 30 日） . 5 漏洞影响对象类型（2018 年 4 月 16 日2018 年 4 月 30 日） . 5 三、安全产业动态三、安全产业动态 . 6 6 习近平：自主创新推进网络强国建设 . 6 个人信息收集过度 “透明人”风险增筑底线呼声疾 . 9 加强关键信息基础设施安全保护维护国家网络空间安全利益 . 13 网安人才需求将出现跨越式增长 . 15 四、政府之声四、政府之声 . 1818 国务院办公厅关于促进“互联网+医疗健康”发展的意见 . 18 CNCERT：2017 年我国互联

4、网网络安全态势综述 . 18 教育部印发关于加强大中小学国家安全教育的实施意见 . 20 全国“扫黄打非”办：坚决打击网络传播淫秽物品牟利行为 . 23 五、本期重要漏洞实例五、本期重要漏洞实例 . 2525 关于 Drupal 核心远程代码执行漏洞的安全公告 . 25 Linux Kernel fs/xfs/libxfs/xfs_bmap.c本地拒绝服务漏洞 . 26 Oracle Java SE 远程安全漏洞 . 26 IBM Tivoli Identity Manager 信息泄露漏洞 . 27 六、本期网络安全事件六、本期网络安全事件 . 2828 外卖平台用户信息被标价买卖个人信息泄

5、露谁之责 . 28 墨西哥央行金融机构支付系统遭黑客攻击 . 32 大学生当起网络“黑客” 获利 20 多万被判 3 年 . 33 17 岁男生自己开发黑客程序盗取 760 万余条网络数据 . 35 香港宽频疑遭黑客入侵盗客户资料 . 36 两名在校生利用“专业技术” 把自己“薅”进监狱 . 37 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 4 http:/ 一、一、概述概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信

6、息安全漏洞 248 个，其中高危漏洞 80 个、中危漏洞 151 个、低危漏洞 17 个。漏洞平均分值为 5.85。本周收录的漏洞中，涉及 0day 漏洞 51个（占 21%），其中互联网上出现“Secutech RiS-11、RiS-22 和 RiS-33 DNS 更改漏洞、Frog CMS 任意文件上传漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 581 个，与上周（562 个）环比增长 3%。二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况漏洞产生原因漏洞产生原因（2018 年年 4 月月 16 日日2018

7、年年 4 月月 30 日日）国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 5 http:/ 漏洞引发的威胁漏洞引发的威胁（2018 年年 4 月月 16 日日2018 年年 4 月月 30 日日）漏洞影响对象类型漏洞影响对象类型（2018 年年 4 月月 16 日日2018 年年 4 月月 30 日日）国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 6 http:/ 三、三、安全产业动态安全产业动态习近平：自主创新推进网络强国建设习近平：自主创新推进网络强国建设 2018 年 4 月 20

8、日至 21 日全国网络安全和信息化工作会议在北京召开。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会主任习近平出席会议并发表重要讲话。他强调，信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用，加强网信领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦作出新的贡献。中共中央政治局常委、国务院总理、中央网络安全和信息化委员会副主任李克强主持会议

9、。中共中央政治局常委、全国人大常委会委员长栗战书，中共中央政治局常委、全国政协主席汪洋，中共中央政治局常委、中央纪委书记赵乐际，中共中央政治局常委、国务院副总理韩正出席会议。中共中央政治局常委、中央书记处书记、中央网络安全和信息化委员会副主任王沪宁作总结讲话。国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 7 http:/ 习近平在讲话中强调，党的十八大以来，党中央重视互联网、发展互联网、治理互联网，统筹协调涉及政治、经济、文化、社会、军事等领域信息化和网络安全重大问题，作出一系列重大决策、提出一系列重大举措，推动网信事业取得历史性成就。

10、这些成就充分说明，党的十八大以来党中央关于加强党对网信工作集中统一领导的决策和对网信工作作出的一系列战略部署是完全正确的。我们不断推进理论创新和实践创新，不仅走出一条中国特色治网之道，而且提出一系列新思想新观点新论断，形成了网络强国战略思想。习近平指出，要习近平指出，要提高网络综合治理能力，形成党委领导、政府管理、企业履责、社会监提高网络综合治理能力，形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与，经济、法律、技术等多种手段相结合的综合治网格局。督、网民自律等多主体参与，经济、法律、技术等多种手段相结合的综合治网格局。要加强网上正面宣传，旗帜鲜明坚持正确政治方向、舆论导

11、向、价值取向，用新时代中国特色社会主义思想和党的十九大精神团结、凝聚亿万网民，深入开展理想信念教育，深化新时代中国特色社会主义和中国梦宣传教育，积极培育和践行社会主义核心价值观，推进网上宣传理念、内容、形式、方法、手段等创新，把握好时度效，构建网上网下同心圆，更好凝聚社会共识，巩固全党全国人民团结奋斗的共同思想基础。要压实互联网企业的主体责任，决不能让互联网成为传播有害信息、造谣生事的平台。要加强互联网行业自律，调动网民积极性，动员各方面力量参与治理。习近平强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众习近平强调，没有网络安全就没有国家安全

12、，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。习近平指出，核心

13、技术是国之重器。习近平指出，核心技术是国之重器。要下定决心、保持恒心、找准重心，加速推动信息领域核心技术突破。要抓产业体系建设，在技术、产业、政策上共同发力。要遵循技术发展规律，做好体系化技术布局，优中选优、重点突破。要加强集中统一领导，完善金融、财税、国际贸易、人才、知识产权保护等制度环境，优化市场环境，更好释放各类创新主体创新活力。要培育公平的市场环境，强化知识产权保护，反对垄断和不正当竞争。要打通基础研究和技术创新衔接的绿色通道，力争以基础研究带动应用技术群体突破。习近平强调，网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上先习近平强调，网信事业代表着新

14、的生产力和新的发展方向，应该在践行新发展理念上先国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 8 http:/ 行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展，整体带动和提升新行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展，整体带动和提升新型工业化、城镇化、农业现代化发展。型工业化、城镇化、农业现代化发展。要发展数字经济，加快推动数字产业化，依靠信息技术创新驱动，不断催生新产业新业态新模式，用新动能推动新发展。要推动产业数字化，利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造，提高全要素生产

15、率，释放数字对经济发展的放大、叠加、倍增作用。要推动互联网、大数据、人工智能和实体经济深度融合，加快制造业、农业、服务业数字化、网络化、智能化。要坚定不移支持网信企业做大做强，加强规范引导，促进其健康有序发展。企业发展要坚持经济效益和社会效益相统一，更好承担起社会责任和道德责任。要运用信息化手段推进政务公开、党务公开，加快推进电子政务，构建全流程一体化在线服务平台，更好解决企业和群众反映强烈的办事难、办事慢、办事繁的问题。网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。习近平指出，网信军民融合是

16、军民融合的重点领域和前沿领域，也是军民融合最具活力习近平指出，网信军民融合是军民融合的重点领域和前沿领域，也是军民融合最具活力和潜力的领域。和潜力的领域。要抓住当前信息技术变革和新军事变革的历史机遇，深刻理解生产力和战斗力、市场和战场的内在关系，把握网信军民融合的工作机理和规律，推动形成全要素、多领域、高效益的军民深度融合发展的格局。习近平强调，推进全球互联网治理体系变革是大势所趋、人心所向。习近平强调，推进全球互联网治理体系变革是大势所趋、人心所向。国际网络空间治理应该坚持多边参与、多方参与，发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各种主体作用。既要推动联

17、合国框架内的网络治理，也要更好发挥各类非国家行为体的积极作用。要以“一带一路”建设等为契机，加强同沿线国家特别是发展中国家在网络基础设施建设、数字经济、网络安全等方面的合作，建设 21 世纪数字丝绸之路。习近平指出，要加强党中央对网信工作的集中统一领导，确保网信事业始终沿着正确方习近平指出，要加强党中央对网信工作的集中统一领导，确保网信事业始终沿着正确方向前进。向前进。各地区各部门要高度重视网信工作，将其纳入重点工作计划和重要议事日程，及时解决新情况新问题。要充分发挥工青妇等群团组织优势，发挥好企业、科研院校、智库等作用，汇聚全社会力量齐心协力推动网信工作。各级领导干部特别是高

18、级干部要主动适应信息化要求、强化互联网思维，不断提高对互联网规律的把握能力、对网络舆论的引导能力、对信息化发展的驾驭能力、对网络安全的保障能力。各级党政机关和领导干部要提高通过互联网组织群众、宣传群众、引导群众、服务群众的本领。要推动依法管网、依法办网、依法上网，确保互联网在法治轨道上健康运行。要研究制定网信领域人才发展整体规划，推动人才发展体制机制改革，让人才的创造活力竞相迸发、聪明才智充分涌流。要不断增强“四个意国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 9 http:/ 识” ，坚持把党的政治建设摆在首位，加大力度建好队伍、全面从严管

19、好队伍，选好配好各级网信领导干部，为网信事业发展提供坚强的组织和队伍保障。李克强在主持会议时指出，习近平总书记的重要讲话从党和国家事业全局出发，全面总结了党的十八大以来我国网络安全和信息化工作取得的历史性成就、发生的历史性变革，系统阐释了网络强国战略思想的丰富内涵，科学回答了事关网信事业长远发展的一系列重大理论和实践问题，为把握信息革命历史机遇、加强网络安全和信息化工作、加快推进网络强国建设明确了前进方向、提供了根本遵循，具有重大而深远的意义。大家要认真学习领会，深入思考、联系实际、深化认识，切实把思想和行动统一到习近平总书记重要讲话精神上来。进一步提高政治站位，从党长期执政和国家

20、长治久安的高度，切实增强责任感和使命感，推动网络安全和信息化工作再上新台阶。王沪宁在总结讲话中指出，习近平总书记重要讲话站在人类历史发展和党和国家全局高度，科学分析了信息化变革趋势和我们肩负的历史使命，系统阐述了网络强国战略思想，深刻回答了事关网信事业发展的一系列重大理论和实践问题，是指导新时代网络安全和信息化发展的纲领性文献。一定要认真学习领会，把思想和行动统一到党中央关于网信工作的战略部署上来，以钉钉子精神把各项工作抓实抓到位。中央网信办、工业和信息化部、公安部、北京市、上海市、湖北省、广东省、贵州省负责同志作交流发言。中共中央政治局委员、中央书记处书记，国务委员，最高

21、人民法院院长，最高人民检察院检察长出席会议。中央网络安全和信息化委员会委员，各省区市和计划单列市、新疆生产建设兵团，中央和国家机关有关部门、有关人民团体、有关国有大型企业、军队有关单位，中央主要新闻单位、中央重点新闻网站负责同志等参加会议。（来源：新华社）个人信息收集过度个人信息收集过度 “透明人”风险增“透明人”风险增筑底线呼声疾筑底线呼声疾互联网照亮人们生活的同时，隐私安全问题也如影相随。相关专家表示，隐私泄露风险增加，很大程度源于个人信息被暴露的环境和应用场景增加。一系列衍生出来的用户数据隐私及权益保护问题，值得深思。大数据时代，如何保护安全隐私？隐私泄露频频发生隐私泄露频

22、频发生：互联网在提供生活便利的同时，也让用户成为“透明人”互联网在提供生活便利的同时，也让用户成为“透明人” “因为网络服务升级，您所办理的宽带业务需要更新，收到信息请点击如下链接”国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 10 http:/ 北京通州的梁女士，家里办理的宽带业务马上到期，这条信息差点让她信以为真。多亏留了个心眼，她向宽带公司电话咨询后才知道，这是一条包含木马程序的诈骗短信。梁女士的遭遇并非个例。即将毕业的大学生小陈在某招聘网站上注册了求职信息，随后，手机不断接到各种公司的招聘电话和骚扰短信，而他并没有向这些公司投简历，甚至专

23、业也不对口。 “我重新登录网站才发现，当初提交个人简历的页面下方有一个很难发现的选项，默认平台上的所有公司都可以查看我的简历，目前已无法修改了。 ” “在商业利益驱动下，一些网络运营商、平台服务商或手机应用会读取、上传用户的通讯录、短信、通话记录等信息，有时候用户并不知情。 ”国家互联网应急中心运行部高级工程师李佳说。网上注册个账号学习英语，一些课程广告就会充斥邮箱；开个股票账户，还没交易就有各色理财顾问前来“问候”除了个人姓名、性别等信息，这些陌生的“关心者”甚至连你的年龄、职业、婚姻状况等信息都了如指掌，这让公众对网络的信任和安全感日益消解。相关专家表示，隐私泄露风险增加，很大

24、程度源于个人信息被暴露的环境和应用场景增加。 “在移动互联网时代，公众难免要牺牲个人信息以获取一定的服务，有些甚至是不自觉行为。比如，你只要浏览了电子购物网站，你的许多信息就会被获知。普通生活中，几乎所有的人都是数据贡献者。 ”中国工程院院士邬贺铨说， “互联网在提供生活便利的同时，也让用户成为了不折不扣的透明人。 ” 安全专家、北京天融信科技有限公司副总裁唐宁说，在大数据、云计算等信息技术的支国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 11 http:/ 撑下，企业获取、保存、处理数据的成本大大降低。数据只有通过流动、共享甚至交易，才能充分

25、发挥社会价值、经济价值，但流动和交易过程中，极易产生个人信息扩散、失控的危险。互联便利伴随风险互联便利伴随风险：网络攻击的目的性更强，危害性范围广，技术手段增多、更隐蔽网络攻击的目的性更强，危害性范围广，技术手段增多、更隐蔽如同硬币的两面，互联网时代，一些新技术和新的应用场景，在带来便利同时，也成为新的安全风险点。中科曙光大数据总工程师宋怀明说：“大数据时代，网络安全的风险在于，网络攻击目的性更强，可针对特定的目标人群，也可面向普通网民，危害性范围广；攻击的技术手段增多、更隐蔽，可以说无孔不入。 ” 无线连接是未来万物互联世界的基石，连接是否安全将是基石是否坚固的核心。360 无线电安

26、全研究院负责人杨卿表示，智能设备需要依赖 WiFi、蓝牙、Zigbee、GPS 卫星导航等无线电通信技术。一旦某个通信协议出现漏洞，将会引发大量安全问题及安全事故。比如，恶意 WiFi 热点可能设置钓鱼网站，摄像头、麦克风可能泄露人们隐私，等等。当前，传统的网络攻击和风险正在向物联网和智能设备上蔓延。 “万物互联，使信息暴露在更多端点，潜在的隐患增加。而且，一些智能设备本身的防护能力比较薄弱，容易被攻击者利用漏洞获取设备控制权限，或用于用户信息数据窃取，或用于控制形成大规模僵尸网络。 ”网络安全专家、绿盟科技副总裁李晨说。国家互联网应急中心监测发现，物联网设备中各种智能摄像头成为个人

27、隐私泄露的新风险点。比如，2016 年，监测发现超过 13 万个联网摄像头存在漏洞，有被黑客入侵控制的风险。安全专家表示，万物互联时代，个人信息随时有可能被泄露。包括现在最时兴的无人机、儿童智能玩具、扫地机器人等，都可能成为监视你的“间谍” 。 “当前黑客技术门槛变低，窃取信息变得更加容易。与此同时，网络犯罪出现职业化倾向，已然形成网络黑色产业链条，工具开发者、工具应用者和利用工具实施犯罪者都有明确的分工，形成了一套体系。 ”李晨说。三条原则保障安全三条原则保障安全：收集要授权，使用有界限，存储应保护收集要授权，使用有界限，存储应保护个人信息“裸奔” ，不仅让公众陷入不安，也让互联

28、网平台陷入信任危机。每天记录成千上万百姓隐私的家用摄像头究竟安不安全？作为一家以生产摄像头为主要产品的企业，上海小蚁科技有限公司负责人表示，该公司采用 “制度+技术” 的策略保护用户安全：制度上，公司禁止任何部门将用户数据资料作为商业用途出售或使用；技术上，与“阿里云”合作，将家用摄像头拍摄的影像资料上传存储至云端加密，但该服务的市场普及度并不高。 “每天有超过一百万的活跃用户，大约只有 1/10 的用户购买了我们的云服务。 ” 国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 12 http:/ “用户的隐私数据是一条不可逾越的红线。 ” 小

29、蚁科技负责人说， “目前欧盟在网络安全保护方面做得比较好，国内的相关法律还不够完善，我们也在不断提升公司保护用户隐私的能力。 ” 据互联网专家介绍，数据收集越多，采集机构越杂，安全隐患越大。保护个人隐私，保障数据安全，首先需要反思的是数据收集是否过头，数据采集有了规矩，公众才可能消除在透明“玻璃房”中的恐惧感。专家同时认为，大数据、人工智能等技术是推动社会进步的重要力量，但不能以牺牲隐私权为代价，也不能因为存在隐私风险就因噎废食。未来智慧生活中，高度智能化与高度隐私安全如何兼得，至少应当遵守三条原则：收集要授权，使用有界限，存储应保护。首先，任何机构或个人在收集、利用个人信息时，需先得到

30、用户授权。用户有知情权和选择权，即知道哪些信息被收集、可以选择是否让渡。所有信息应归属于用户本人，收集方只是“借用” ，所拥有的是数据分析的结果，而不是其所有权和处置权。其次，信息收集应有度，使用也应有边界。对于敏感的密码、指纹、签名字迹、人脸特征等身份认证信息，更应该有明晰的界限，除特定的情况并征得用户授权外，用户本人应绝对掌控，信息采集方也无权违规使用。最后，保护隐私，信息收集方要承担起保障数据安全的义务。近年来，针对个人信息保护的痛点，我国也出台一系列法律和规范来约束保障。去年 6月 1 日正式实施的网络安全法就在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。国家互联网

31、应急中心副主任刘欣然建议，政府方面应建立监测、研判、预警、处置和追踪的联合处理网络安全问题的机制。与此同时，个人用户也要提高自身安全意识。如非必要，尽量不要在一些网站上提交个人信息；要访问正规的网站，避免被钓鱼网站骗取个人信息等。隐私保护需“链式防护”隐私保护需“链式防护” 保护隐私，个人意识的提升固然重要，但更需要网络平台、电信运营商、立法部门、执法机关等协作努力，以及利用新技术架起一道防火墙。哪一个环节缺位，都可能功亏一篑。筑起保护个人信息和隐私的安全防线，不能仅靠其中某一两方面的力量。足球运动中有一种名为 “链式防守” 的防守体系。该体系之所以成功，很重要的是缘于其高效而

32、有组织的防守，每个人各司其职又相互配合，把漏洞降到最低。隐私保护同样需要职责各方的协同，建立类似的“链式防护”体系，才能有助于人们安心享受智能生活便利，消除身处“玻璃房”中的焦虑感。（本文来源：人民日报）国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 13 http:/ 加强关键信息基础设施安全保护维护国家网络空间安全利益加强关键信息基础设施安全保护维护国家网络空间安全利益随着网络安全和信息技术的快速发展，以及万物互联时代的到来，关系着国家安全、社会稳定和经济发展的关键信息基础设施已经成为网络空间安全的“必争之地” 。习近平总书记在“4.19”

33、网络安全和信息化工作座谈会上提出， “金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。 ”能源、通信、交通、金融等关键领域的关键信息基础设施在世界范围内正面临越来越多安全威胁，一个又一个触目惊心的案例告诉我们每位网络空间参与者，关键基础设施的安全一旦遭受攻击，不仅将造成其自身瘫痪，还将扰乱国家秩序，影响国家经济社会发展。世界并不太平世界并不太平威胁日益严峻威胁日益严峻如果说入侵到我们个人计算机中的病毒是一场普通感冒，那么关键信息基础设施一旦感染那就是一场需要住院的重流感。近年来，针对关键信息基础

34、设施的攻击和破坏活动不断发生。从 2015 年乌克兰电网瘫痪到 2016 年全美互联网瘫痪、巴西银行被入侵以及 2017 年“WannaCry” 勒索病毒全球爆发，针对关键信息基础设施的攻击强度和范围不断扩大。黑客组织通过钓鱼攻击、DDoS 攻击、利用操作系统漏洞布置攻击程序、安插恶意软件等方式非法控制重要行业信息系统被病毒感染，重要数据遭到泄露和破坏，手段层出不穷，威胁花样百出。如何有效应对日益复杂的网络安全环境，有效保护国家关键信息基础设施安全，已经实实在在地成为包括我国在内的世界各国共同面临的安全课题。网络空间也是疆域，世界各国纷纷重装上阵。美国、英国、德国、俄罗斯等世界主要大国纷

35、纷将关键信息基础设施保护作为国家网络安全的重要工作，出台政策法规是当今各国主国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 14 http:/ 要的做法。其中，美国作为最早开展关键信息基础设施保护的国家，除了发布提升美国关键基础设施网络安全的框架规范、增强联邦政府网络与关键性基础设施网络安全行政令等系列政策法规外，在 20 多年的探索中形成了较为完整的管理系统和能力体系。组织机构方面，美国构建起以国土安全部为国家领导机构，相关部门和监管机构在各自职责范围内保护国家关键信息基础设施安全的组织架构。运行机制方面，美国对政府掌握的关键基础

36、设施，通过执行联邦信息安全管理法案、实施爱因斯坦等项目部署入侵检测防御系统等措施应对威胁；对私营企业掌握的超过国家 80%的关键基础设施，通过公私协作机制及各类协调委员会机制，处理政府与私营企业之间以及跨部门、跨地区的协作事项。能力体系构建方面，通过与迈克菲、赛门铁克、IBM 等知名公司的项目合作，构建起针对关键信息基础设施中威胁的定位和特征描述技术、基于云的网络分析态势感知技术、自动告警预测网络攻击技术等能力体系。筑牢保护之盾筑牢保护之盾护航国家安全护航国家安全从国家战略到具体实施举措，我国始终高度重视关键信息基础设施领域的信息安全保护工作。国家网络空间安全战略明确指出，

37、要采取一切必要措施保护能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域关键信息基础设施及其重要数据不受攻击破坏，提高网络安全防护能力，维护国家主权、安全、发展利益。习近平总书记郑重提出，要努力把我国建设成为网络强国，加快构建关键信息基础设施安全保障体系。这为我国开展关键信息基础设施安全保护指明了方向。预警不断袭来，威胁可防可控。我国不断加快关键信息基础设施安全保护的立法进程和组织运行体系构建。先后发布国家安全法、网络安全法，并就关键信息基础设施安全保护条例(征求意见稿)公开征求意见，初步构建起关键信息基础设施的法律制度框架。同时，在中央网络

38、安全和信息化领导小组领导下，初步形成以中央网信办为国家关键信息基础设施安全顶层协调和领导机构，横向以工信部、公安部、国家安全部、国家保密局等相关部委为主体，纵向以省、市、区、县的地方网信办为主体的网络化组织管理和运行架构，并于 2016 年开始启动全国关键信息基础设施网络安全检查工作。我国关键基础设施保护工作正朝着规范化、体系化方向迈进。在后续工作中，有必要加强以下几方面工作：一是出台配套细则，明确行业主体责任。明确各行业的具体主体责任和牵头单位、具体负责部门，真正落实并发挥各行业的保护和监管作用。二是建立跨政府层级、跨企业、跨行业的联动协作机制。建立政府与行业、政府与企业、行业与企

39、业以及各级政府之间、各级行业之间、各大企业之间的联动协作和共商协调机制，共享数据和信息资源。三国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 15 http:/ 是提升关键信息基础设施安全可控能力。大力推进自主可控技术研究力度，加大关键信息基础设施安全风险排查力度，杜绝关键基础设施和重要领域信息系统的操作系统、服务器、数据库“后门” 、 “漏洞”隐患和威胁。四是加快构建关键信息基础设施安全保障体系。针对关键信息基础设施所在的企业生产网、办公网、互联网，构建涵盖“发现-防御-响应-处置”于一体的安全保障体系，打造高水准的安全服务保障平台，提升

40、关键信息基础设施整体安全防护能力。网络空间并不太平，安全威胁就在路上！这块网络空间安全的“必争之地” ，必须要成为我们网络空间疆域中的固城金汤，在这一场争分夺秒建设中，我们一直在路上。（来源：光明网）网安人才需求将出现跨越式增长网安人才需求将出现跨越式增长信息时代，网络空间已成为陆、海、空、天之外人类活动的“第五空间” 。政治、经济、文化、社会、军事等国家重要领域的基础设施与网络空间联系日益紧密，网络安全对国家安全牵一发而动全身，已成为国家安全体系的重要组成部分。要贯彻“总体国家安全观” ，维护好网络空间这一非传统领域的安全，最关键的要素在于人。建立一支规模宏大、结构优化、素质优良

41、的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求。因为各项网络安全保障工作，都是要由网络安全人员来落实和推动的。当前，关键基础设施安全问题越来越多地表现为关键信息基础设施的安全问题，进国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 16 http:/ 而影响国家安全。从国际上看，2010 年“震网”病毒定向入侵、破坏伊朗核设施；2015 年乌克兰电网遭恶意代码攻击大规模断电；2017 年美国国家安全局（NSA）网络武器库泄露的“永恒之蓝”病毒肆虐全球，网络安全的威胁已经真切地影响到国家关键基础设施正常运转和社会稳定发展，成为

42、国家安全的新前沿和各国战略博弈的新领域。在此背景下，关键信息基础设施运营单位网络安全人才队伍建设成为国家网络安全保障的重要任务。理念决定行动，世界上主要国家普遍对网络安全人才问题高度重视，并把人才发展作为国家关键基础设施网络安全保障的基础和先决条件；一些走在前列的网络强国还制定了专门的国家级网络安全人才战略计划。美国早在 2008 年就酝酿制定一个国家网络安全人才教育战略，规格直指其 20 世纪 50 年代的科学和数学教育战略，旨在启动网络时代新一轮教育革命。英国政府在国家网络安全战略 2016-2021 年中把填补网络安全人才缺口明确为一项长期且具有变革意义的目标，并提出将制定

43、专门的网络安全人才技能战略。俄罗斯、以色列、澳大利亚、日本、韩国等国也在自身发展和网络空间博弈需求推动下，高度重视网络安全人才的发展并通过非常规的战略措施加以推进。近年来，我国网络安全人才问题得到了空前重视。中央网信办成立以来国家密集出台一系列战略、政策、法规，无不把网络安全人才队伍建设视为必不可少的一项基础工作。随着网络安全人才培养战略被推上前所未有的高度，各项人才措施全面推进，得到了全社会的热烈响应。尽管如此，须清楚看到我国在网络空间的后起地位决定了当前网络安全人才队伍整体上还存在较大不足，远远不能满足信息化快速发展的需要。当前我国网络安全人才队伍建设工作中需要重点解

44、决以下主要问题：人才供需严重失衡。网络安全人才需求迅速增长，人才短缺情况日益严峻。人才供需严重失衡。网络安全人才需求迅速增长，人才短缺情况日益严峻。目前我国网络安全人员缺口至少在百万级，供不应求的现状导致网络安全人才市场成为“卖方市场” ，优秀的安全人才受到争夺，也推高了安全从业人员的整体薪酬。人才的供需矛盾不仅仅体现在网络安全从业人员绝对数量的不足上，更体现在不同类型人才供给和需求之间的错位。网络安全从业人员中从事运营与维护、技术支持、管理、风险评估与测试的人员相对较多，从事战略规划、架构设计的人员相对较少，尤其缺乏既懂业务又懂技术的高端综合人才。人才队伍呈现底部过大，顶部

45、过小的结构， “重产品，轻服务，重技术，轻管理”的现象仍很普遍。教育培训明显不足。教育培训明显不足。加强网络安全人才队伍建设，需要学历教育、职业培训、用人单位内训等多种方式共同发力。但当前的现状是，学历教育需要经过大约 4 年的人才培养周期，国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 17 http:/ 每年仅能输出 1.5 万名毕业生，短期之内无法满足各界对网络安全人才的需要。人才管理和激励机制有限。人才管理和激励机制有限。大量关键信息基础设施运营单位对网络安全人才吸引力日趋下降，人才流失严重。其中很大原因在于安全职能不直接创造经济效益，

46、各单位普遍缺乏符合网络安全特点的人才管理和鼓励机制，没有一把能够有效“衡量人才的尺子” ，导致人员责、权、利难以对等实现。当前，网络安全人才事业已迎来最好的发展机遇，人才队伍建设工作多点发力，成效初现。其一，强化统筹协调，统一推进确保工作成效。其一，强化统筹协调，统一推进确保工作成效。网络安全人才培养是一项战略性、基础性、范围广、领域多的工作，需要提前谋篇布局，需要政产学研用多方力量参与。要加强主管领导部门的统筹协调职责，强化各职能部门的工作权限和职责范围，动员全社会相关企业、行业组织和院校协作配合，共同建立适应网络安全人才特点的队伍建设工作体系。其二，加强主力建设，在职培训需要大力倡

47、导。其二，加强主力建设，在职培训需要大力倡导。落实国家网络安全人才战略，需要综合提升各类人群的网络安全意识和能力，包括各级领导干部、关键信息基础设施运营单位、安全从业人员、高校和中小学学生，以及普通公众等。其中尤为关键的是网络安全从业人员以及准备进入行业的准从业人员，因为他们是实施各项网络安全保障措施的主力军，也是有望在网络安全核心技术取得突破的先锋力量。对于从业人员，要满足他们在网络安全细分领域和前沿领域能力提升的需要。其三，鼓励先行先试，推动网络安全人才发展体制机制改革。其三，鼓励先行先试，推动网络安全人才发展体制机制改革。与传统行业不同，网络安全的历史不长，本身又具有更新快、跨

48、领域、碎片化的特点。从业人员识别、定岗定责尚有难度，建立有效的网络安全人才管理和激励机制更加不易，需要花大力气推动相关制度的研究和应用。要落实国家网络安全战略，做好人才的“选、育、用、留” ，加强队伍稳定性，必须鼓励网络安全人才发展体制机制改革先行先试，研究建立网络安全特殊人才培养、管理和激励制度。对于特殊的网络安全人才不要求全责备， “不要都用一把尺子衡量” 。当前国内网络安全市场规模仅为三四百亿元，但黑色灰色产业已达千亿元规模。安全投入明显不足，安全责任不到位，包括人才在内的网络安全市场需求尚未得到有效释放。过去一年里，层出不穷的信息泄露、勒索病毒、DDoS，以及工控安全事件

49、促使政府和各企事业单位不得不重视、应对网络安全风险，网络安全人才成为各单位生存和发展的刚需型人才。随着网络安全法、关键信息基础设施安全保护条例的实施，网络安全相关需求已成为法律强制要求。网络安全人才不到位，就无法满足相关法规提出的要求。在业务刚需和法律强制要求的牵引下，网络安全人才队伍建设工作将进入快速发展期，为国家网络安全保障事业提供坚固的人才支撑。（来源：作者：位华、中国信息产业商会信息安全产业分会秘书长）国盟信息安全通报（2018 年 04 月 30 日第 167 期）国际信息安全学习联盟主办 18 http:/ 四、四、政府之声政府之声国务院办公厅关于促进“互联网国务院

50、办公厅关于促进“互联网+医疗健康”发展的意见医疗健康”发展的意见 2018 年 4 月 25 日，国务院办公厅关于促进“互联网+医疗健康”发展的意见。就促进互联网与医疗健康深度融合发展作出部署。近年来，“互联网+医疗健康” 服务新模式为方便群众看病就医、提升医疗服务质量效率、增强经济发展新动能发挥了重要作用，但也遇到一些新情况，需要及时加以规范引导。意见提出了促进互联网与医疗健康深度融合发展的一系列政策措施，一是健全“互联网+医疗健康”服务体系。二是完善“互联网+医疗健康”支撑体系。三是加强行业监管和安全保障。（来源：新华社）国务院办公厅关于促进“互联网国务院办公厅关于促进“互联网+医

展开阅读全文