信息安全快讯丨勿忘历史，吾辈自强！纪念中国人民抗日战争胜利73周年

政府举措

美国加利福尼亚州众议院近日通过了一项法案，该法案不仅将恢复奥巴马颁布的网络中立保护规则，且有过之而无不及，可能会成为美国最严网络中立法案。这项法案将禁止互联网提供商阻止或限制任何合法的应用程序、网站或其他服务，并禁止有偿优先处理数据。

据悉，该法案还需要回到参议院进行最后的投票，9月初即可见分晓。（来源：E安全）

据国外媒体报道，由于调查发现Facebook滥用自己的市场垄断地位，在人员不知情或未获得人员许可的情况下收集他们的数据，德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。

德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用，包括Facebook旗下WhatsApp和Instagram服务。

联邦卡特尔局的这一调查一般不会对facebook等违规企业处以罚款，这与欧盟的调查处理不同。谷歌因在Android智能手机预安装其应用，在遭遇欧盟调查后被处以数十亿美元处罚罚款。

然而，知情人士表示，如果Facebook未能自愿采取行动，联邦卡特尔局可能会要求Facebook采取行动来解决其担忧。

蒙特说，“我们需要确定这是否会影响我们的调查并解决我们的担忧。”（来源：网易科技）

8月29日，2018年国家网络安全宣传周新闻发布会在北京举行。 主题为“网络安全为人民，网络安全靠人民”的2018年国家网络安全宣传周将于9月17日至23日在全国范围内统一举办。

“与往年相比，今年的网络安全博览会融合了网络安全人才培养、技术创新、产业发展等多项内容。”中央网信办网络安全协调局巡视员兼副局长杨春艳在会上介绍，博览会还配置了智能语音导览，设有现场答题闯关、知识大讲堂等系列环节，让广大观众在参观博览会过程中更好地了解网络安全、参与网络安全。

据介绍，网络安全技术高峰论坛将设置1场主论坛以及“关键信息基础设施安全保护分论坛”“大数据安全和个人信息保护分论坛”“网民网络素养教育分论坛”等9场分论坛，与会者将围绕相关领域进行交流讨论。（来源：新华网）

德国政府宣布成立负责开发尖端国防科技的联邦机构。据报道，该机构的全称是“网络和关键科技颠覆性创新机构”（ADIC），其基本职责与美国的DARPA类似。根据德国执政联盟内部文件，该机构的成立将有助于德国巩固其科技创新的领导地位。

之前有报道称：该机构未来将与位于慕尼黑的联邦国防大学相关研究计划进行整合，强化网络科技在国防领域的应用。在德国军方开始重视网络安全的背景下，这个新机构是德军确保未来网络安全研究计划的一部分，该计划还包括在慕尼黑联邦国防军大学设立的一个研究项目，以及去年国防部成立的网络创新中心。该中心主要负责调研德国国内科技创新现状，以获得有潜力的军事应用想法。

德国国防部长 Ursula von der Leyen 表示，该机构允许德国投资新技术，并保护关键基础设施，此外还将与其他欧盟国家合作开展项目。该机构将由国防部和内政部管理，其主要任务是开发新技术，以保护德国的数字基础设施免遭网络攻击。（来源：E安全+解放军报融媒体综合整理）

网络安全事件

日前，有媒体报道，作为快递行业的巨头顺丰也有超过3亿条数据疑似流出。目前已在“暗网交易市场”网站发现一个ID为“bijiaodiao1688”的暗网用户在“暗网”售卖******，其称掌握了顺丰快递****总量高达3亿条，售价两个比特币。

登录信息显示，这位“bijiaodiao1688”的暗网用户，注册于2018年7月11日。“顺丰3亿条快递物流独家数据”帖文发布于2018年7月18日，交易采用比特币进行交易。信息记录显示，发布者最后在线时间为8月24日17时23分。

据报道，这里的3亿条数据包括顺丰快递物流中，寄件人、收件人的姓名、地址、电话等个人信息，交易可以选择先“验货”，验货数据量10万条，验货费用0.01个比特币。

此外，每一次验货交易的数据都是从3亿条数据中随机抽取。这也意味着，最多有90万条的疑似顺丰快递用户个人信息流向了市场。（来源：中访网财经）

近日，一位国外安全研究人员在twitter上公布了其发现的一个漏洞，并将漏洞的相关信息也同时发布在了Github上。不过，作者随后已经把此条twitter删除，并称“不想再提交给微软了”。

此次被公开的漏洞是Windows10本地提权漏洞，如果被利用，任何用户都可以获取系统权限。这也就意味着，攻击者一旦掌握这一漏洞，就能够获得用户的系统级别权限，并执行低权限用户无法执行的恶意操作，大大提升攻击的危害程度！

截至目前，微软尚未发布针对此漏洞的补丁，所以现在漏洞仍然存在被攻击者利用的风险。（来源：快科技）

网络安全公司 SecureWorks 的安全研究人员发现一起针对大学的大型网络钓鱼攻击活动。

攻击者使用了16个域名，其包含针对14个国家76所大学的300多个欺骗性网站和登录页面，涉及的国家包括中国、澳大利亚、加拿大、以色列、日本、瑞士、土耳其、英国和美国。研究人员表示，这起攻击活动与伊朗黑客组织COBALT DICKENS（疑似与伊朗政府有关）之前的网络行动类似。SecureWorks 表示，许多欺骗性域名参考了目标大学的在线图书馆系统，这表明活动背后的攻击者对这些资源感兴趣。（来源：E安全）

由中央网信办违法和不良信息举报中心主办、新华网承办的中国互联网联合辟谣平台29日在京正式上线。这是治理网络谣言、打造清朗网络空间的重大举措，旨在为广大群众提供辨识谣言、举报谣言的权威平台。中国互联网联合辟谣平台设立了部委发布、地方回应、媒体求证、专家视角、辟谣课堂等栏目，具备举报谣言、查证谣言的功能，可以获取相关部门和专家的权威辟谣信息。

平台还可以起到大数据精准识谣、联盟权威辟谣、多终端立体传播、指尖即时查证、关口前移防范的作用。目前，已整合接入全国各地40余家辟谣平台辟谣数据资源3万余条。

据介绍，该平台的建立，得到了中央党校、国家发展改革委等27家指导单位的帮助，以及中央重点新闻和地方区域性辟谣平台、门户网站以及专家智库的大力支持，构建了对网络谣言“联动发现、联动处置、联动辟谣”的工作模式。（来源：新华网）

援引华尔街日报报道，雅虎依然在扫描用户邮件并将这些数据销售给广告商，而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈，希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件，从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。

Oath向华尔街日报承认公司确实进行了邮件扫描，但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置，避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统，人们不期望获得没有价值交换的免费服务。

报道中还指出，即使启用了雅虎的高级邮件服务（月费3.49美元），如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中，那些经常购买机票的用户就会标记为出差频繁人士，那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。（来源：cnBeta）

数据统计

智联招聘近日发布2018《网络安全人才市场状况研究报告》（以下简称报告），报告以智联招聘平台大数据为基础，从需求变化、供需结构、用人单位特点以及人才自身特征等方面对网络安全人才市场现状展开研究。报告显示，网络安全人才不论在政企机构，还是在安全企业，平均月薪皆过万，且实际薪资普遍高于预期，实现幸福“倒挂”。

据了解，2018年，随着全球范围内网络安全事件的日益增加，《网络安全法》及一系列配套政策法规的逐步落地实施，国内各大企业对网络安全的重视程度也日益提高，对网络安全人才的需求呈现爆发式增长。

总体来看，据统计，2018年上半年求职者期望的平均薪资约为8587.5元/月，相比2017年增长了1054元/月。而实际薪资上，政企机构提供的网络安全相关岗位的平均薪酬约为12389.3元/月，安全企业提供给网络安全相关岗位的平均薪酬约为11806.2元/月。其中，金融行业用人单位给网络安全人才提供的薪酬最多，平均15054元，其次为互联网行业，平均14849元，以及生活服务行业，平均14733元。（来源：人民网）

普华永道的一份报告显示，美国作为区块链技术发展公认超级大国的日子可能已经屈指可数。相反，预计中国将缩小差距并取代美国成为全球区块链超级大国。该调查询问了14个国家的600名高管，调查发现29%的受访者认为美国在区块链发展方面处于世界领先地位，其次是中国，占18%。研究发现，30%的受访者认为中国将成为区块链发展的世界领导者。只有18%的人认为美国在未来五年仍将保持领先地位。

调查也显示了拥有区块链实际项目的公司数量偏低，前100种加密货币中有60%没有可实际工作的产品。普华永道的研究表明，只有四分之一的受访者实际拥有工作区块链产品。其余四分之三受访者声称仍在或研究区块链，或者他们根本没有任何产品计划。（来源：cnbeta）

人才培养

高校方面一致认为产学研一体化模式是解决网络安全人才紧缺问题的有效方法，但探索过程中仍旧存在不少突出矛盾，需要科学的“顶层设计”加以引导。

教育部信息安全教指委秘书长封化民了解到，在网络安全人才培养的问题上“专业建设和行业生态体系难以深度融合的矛盾非常突出”，“受产学研合作工作的进展与高速发展的产业影响，技术人才的供需矛盾也很突出”。

西安电子科技大学网络与信息安全学院的杨超教授表示：这是复杂的体系问题，从价值导向、发展理念、到具体的评价规则和合作模式都需要进行探索。“很多事情说到底都是架构和顶层设计问题，想要网络安全人才培养产学研一体化发展得好，这方面还需要加强”。（来源：中青在线）

漏洞速递

近日，有安全研究人员披露了 Windows 任务管理器中的 0-day 漏洞，可被利用提升系统权限，进行进一步攻击。漏洞出现的原因是 Windows 任务管理器在进行高级本地进程调用（ALPC）处理时出现错误。漏洞曝出后，美国 CERT/CC 及时确认，但该研究人员并没有报告给微软。目前尚不清楚这个 0-day 漏洞是否会影响微软 Windows 系统，据推测微软会在 9 月 11 日的修复日发布补丁。（来源：securityaffairs）

其他漏洞

8月27日—9月2日

国家信息安全漏洞共享平台（简称 CNVD）共收集、整理信息安全漏洞378个，其中高危漏洞139个，中危漏洞214个，低危漏洞25个。

免责声明：

信息安全快讯的内容及图片出于传递更多信息之目的，属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权，请联系我们，我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。