915
行業安全資訊精選第十三期:網信辦發布《互聯網新聞信息服務新技術新應用安全評估管理規定》,Bad Rabbit攻擊預警和安全建議
【政府安全頭條】 網信辦發布《互聯網新聞信息服務新技術新應用安全評估管理規定》
概要:網信辦發布了針對新聞行業信息技術新應用的安全評估規定,要求根據新聞輿論屬性、社會動員能力及信息內容安全風險確定評估等級。要求服務提供者開展自評估,接受各級網信辦組織的安全評估,並根據結果進行相應整改。網信辦還同步發布了《互聯網新聞信息服務單位內容管理從業人員管理辦法》,加強對內容安全負責人的管理。
點評:該規定針對社交網絡、微博、論壇、自媒體、即時通信工具、搜索引擎、網絡直播等新技術新應用。其核心是要求媒體保障自身平台的信息內容安全,防止對社會輿論有影響能力的新技術新應用被利用,作為發布和傳播違法信息,實施網絡犯罪活動的工具。媒體類企業將麵臨更高的合規要求,在使用新技術,新應用時需要進行安全自評估並書麵記錄結果。
複製鏈接,閱讀本周政府安全資訊
https://yq.aliyun.com/articles/230061
【金融安全頭條】Google 發布HTTPS 普及度報告
概要:一項Google發布出來的數據:64% Android設備上,75% Mac設備上,以及66% Windows設備上的Chrome網絡流量是用HTTPS協議。同時,71家全球前100的網站默認使用HTTPS。
點評:從HTTP時代到HTTPS時代,意味著網站會更可信:防劫持、防篡改、防監聽。這也是為什麼行業巨頭紛紛建議HTTPS化的原因。細數近年來各大互聯網企業的HTTPS倡導舉措:
(1)Google Chrome瀏覽器顯著標注非HTTPS網站為”Not Secure”
(2)蘋果強製要求APP支持HTTPS,以滿足ATS準入標準,否則APP Store不給上架應用。
(3)英美政府網站已經完成HTTPS化,這波浪潮政府走在了前例。
(4)百度等搜索引擎會對HTTPS網頁進行優先結果排序呈現。
(5)阿裏巴巴等電商類平台,已經完成HTTPS
從業界的趨勢看,沒有HTTPS,未來業務會寸步難行。對企業和機構來說,建議在Webserver站點中,正確部署SSL數字證書,完成網站及業務的HTTPS化改造。
複製鏈接,閱讀本周金融安全資訊
https://yq.aliyun.com/articles/230019
【每周行業DDoS攻擊態勢】
據阿裏雲DDoS監控中心數據顯示,近期DDoS 攻擊增加明顯,主要攻擊目標是遊戲和線上推廣行業的廠商。請請相關的用戶做好DDoS 攻擊的防護措施。
【遊戲安全頭條】 研究發現:勒索軟件市場正在呈爆炸式增長
概要:Carbon Black研究人員在過去一年,監測了全球21個頂級暗網平台,研究發現勒索軟件的銷售量增長了2502%,目前全球有超過6300個平台提供勒索軟件交易。勒索軟件的總銷售金額達到了620萬美元,比上一年總銷售額多了25萬美元。
點評:勒索軟件市場的不斷擴大,一方麵是由於一些工具讓匿名變得更加輕鬆(比如比特幣和Tor代理等),另一方麵是因為勒索軟件不斷擴散,讓許多人都可以輕鬆發起非法交易,勒索別人。報告表示:“很多地下勒索軟件經濟已經變成了一個類似於商業軟件的行業,甚至包括了開發、技術支持、分銷、質保和客服等‘一條龍’服務。”
複製鏈接,閱讀本周遊戲安全資訊
https://yq.aliyun.com/articles/229970
其它資訊精選
點擊閱讀原文可查閱所有資訊
Typecho前台無限製Getshell漏洞
Typecho是一個簡單,輕巧的博客程序。基於PHP,使用多種數據庫(Mysql,PostgreSQL,SQLite)儲存數據。在GPL Version 2許可證下發行,是一個開源的程序,目前使用SVN來做版本管理。
存有英國女王行程相關信息的U 盤遺失,數據未做任何加密
設備上的包括關於伊麗莎白二世女王的安全措施和旅行細節的信息,以及反恐怖主義措施巡邏時間表。數據未加密,U盤並沒有使用密碼保護,數據未加密。有保安消息指出,這些資料恐成為恐怖主義或間諜活動的一大威脅,擔心資料在暗網內供人購買。
Facebook頒布新廣告政策,增加廣告透明度
Facebook 頒布新規則,加強對平台廣告的管理,增強廣告商透明度。廣告會顯示讚助方名稱,用戶可以點擊查看詳情。對於政治廣告,Facebook將進行審核,利用機器學習技術進行識別驗證,判斷是否為政治廣告。
英國新《數據保護法案》允許遭黑客攻擊者索要“精神賠償”
英國政府日前推出的新《數據保護法案》將 “精神損失” 納入索賠範疇,遭受到黑客攻擊造成數據丟失等損失時,受害者如蒙受“精神或心理傷害”,可以提出經濟賠償。賠償力度視遭入侵數據的“敏感度”而定,最高可達 6000 英鎊(約人民幣 5.2 萬元)。
百慕大離岸律師事務所 Appleby 近期遭黑客攻擊
此前聲名大噪的“巴拿馬文件”一樣,“百慕大”事件的目標在於掀起新一輪對全球財務、企業以及稅務事務的大規模審查。從這次事件可以見到,其實對於越大型的公司或個人來說,數據泄露所最擔心的問題並非是經濟損失,公司名譽和品牌的殺傷力,才是致命的。
PCI SSC 發布新的 3DS 支付標準
新發布的標準主要是新增了對非控製台管理登錄的雙因素認證要求。之前,管理員登錄應該是賬號和密碼,新要求是要求賬號和密碼外加額外的安全認證機製。
最後更新:2017-11-02 10:33:37