行业动态 民法典 个人信息保护
《中华人民共和国民法典》(简称:民法典)即将于2021年1月1日起施行。民法典中明确规定:患者的个人信息纳入医疗机构保密范围,未经患者同意公开病例资料的应该承担侵权责任。这进一步明确了个人健康信息泄露的责权。
行业动态 网络安全 国家标准
根据《全国信息安全标准化技术委员会标准制修订工作程序》和《信息安全国家标准项目管理办法》要求,全国信息安全标准化技术委员会组织了2020年网络安全国家标准项目征集立项评审工作,经秘书处审查、工作组技术初审、WG1和工作组组长联席会议评审、全体委员投票等环节,形成了2020年网络安全国家标准项目立项建议,现公开征求意见。征求意见截止时间为2020年6月15日,如有意见或建议请反馈至秘书处。
联系人:王姣
010-64102730/13661025214
wangjiao@cesi.cn
行业动态 北京 新基建建设
日前,北京市委市政府发布了《北京市加快新型基础设施建设行动方案(2020-2022年)》。此次发布的《北京市加快新型基础设施建设行动方案(2020-2022年)》聚焦“新型网络基础设施、数据智能基础设施、生态系统基础设施、科创平台基础设施、智慧应用基础设施、可信安全基础设施”六大方向,暨“新网络、新要素、新生态、新平台、新应用、新安全”,实施30个重点任务。计划到2022年,北京市基本建成网络基础稳固、数据智能融合、产业生态完善、平台创新活跃、应用智慧丰富、安全可信可控的具有国际领先水平的新型基础设施。
行业动态 宁夏 网络普查
近期,宁夏回族自治区网安部门为了解决本地网络底数不清、防护措施不够导致重要行业领域黑客攻击入侵事件频发等问题,深入实施国家网络安全等级保护制度和预警通报机制,经报请自治区党委同意,参照“三个普查”(经济、农业和人口普查)模式牵头建立网络普查机制,初步计划每5年开展一次,今年开展首次普查。
行业动态 360 瀚思科技 全资收购
6月8日,三六零公司(简称360)和瀚思科技(HanSight)联合宣布,360全资收购瀚思科技。收购完成后,瀚思科技将全面融入360企业安全集团,充分发挥双方安全能力,共筑安全大脑,推进360大安全战略。本次交易由红华资本担任独家战略投资和财务顾问。
行业动态 木链科技 A轮融资
近日,杭州木链物联网科技有限公司(以下简称:木链科技)宣布完成数千万的A轮融资,本次投资由国投(宁波)科技成果转化基金领投,遂真投资、立元创投、华旦资本跟投,至此木链科技已完成3轮融资。木链科技表示,将从工业互联网的安全业务出发,逐步建立起蕴含安全基因的工业互联网体系,打造安全价值生态,赋能我国工业信息化建设。
行业动态 IBM云服务宕机 供应链安全
6月11日,IBM发声明回应近日的云业务宕机事件:第三方网络提供商非预期地调整我方对外网络路由,导致IBM全球流量一度严重受阻。IBM表示,网络专家已对路由策略进行了调整,以恢复网络访问并减轻影响,整个事件持续时间约为3个小时35分钟。IBM强调称,将尽快提供全面详细的客户事件报告和事故原因分析。
报告调研 航运安全 黑客攻击
近日,研究人员表示,自2月以来,针对航运的黑客攻击激增了400%,疫情的蔓延使得该行业非常脆弱。航运网络出于安全考虑,会搭建独立于互联网的专属网络,而疫情期间的人群隔离及边境关闭,使得技术人员和供应商不得不将独立的系统接入互联网上,以便继续提供服务,而且出现问题后技术人员不能在第一时间在现场升级和维护网络系统,导致黑客可以绕过现有的安全协议,网络更容易受到攻击。
报告调研 开源安全
根据RiskSense发布的“开源的黑暗现实”报告,该公司在2015年至2020年3月期间发现流行的开源项目中报告了2694个漏洞,有54个开源项目中的安全漏洞从2018年的421个翻倍为2019年的968个,这些项目中发现的漏洞通常平均需要54天左右时间才会被报告给NVD,其中PostgreSQL的报告延迟时间达到了8个月。该报告不包括Linux、WordPress、Drupal等流行的免费工具项目。
漏洞补丁 微软
6月9日,微软官方发布了6月份风险通告,事件等级:高危。此次安全更新发布了129个漏洞的补丁,主要涵盖Windows操作系统、Windows应用商店、IE/Edge浏览器、ChakraCore、Dynamics、Visual Studio、Android 应用程序,.Net框架、Azure DevOps、HoloLens、Adobe Flash Player、Office及Office服务和Web应用、微软恶意软件防护引擎。建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞补丁 英特尔 SGAxe CrossTalk
上周二,研究人员披露了两个新的英特尔漏洞(SGAxe和CrossTalk),这些漏洞使英特尔的Software Guard eXtension(SGX)成为迄今为止公司处理器最敏感(脆弱)的部分。研究人员表示,通过许多Intel CPU上的缓冲区,加密的RDRAND和RDSEED指令会将其输出泄漏给攻击者,且已经证明这是一种现实的攻击。对于大多数英特尔CPU用户来说,最重要的是,接下来的几周内英特尔需要修复的漏洞可能在未来几年中都将成为严重问题。在不相关的(云计算)客户之间共享同一CPU的云环境,风险可能更高,但是即使在这些环境中,熟练的工程师也可以做一些事情来减轻攻击。
漏洞补丁 Win7-Win10 远程代码执行 SMB v1
近日,数字观星应急团队监测到微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞:CVE-2020-1301,漏洞影响Win7-Win10的所有版本。经分析,该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时,没有完全验证请求中的SI_COPYFILE结构,后续引用造成了整形溢出。与之前的SMBGhost(SMBv3漏洞)相比,该漏洞出现在老版本的SMB v1中,危害等级低于CVE-2020-0796。
https://weixin.shuziguanxing.com/selectDetailsTempateId/475#
漏洞补丁 德国 交通信号灯
近日,德国工业网络安全咨询公司ProtectEM在对德国某城市进行安全审核时发现:部署在欧洲道路上的交通信号灯控制器存在一个严重漏洞,可能导致“持续的交通混乱”。默认情况下,控制交叉路口交通信号灯的硬件(Swarco CPU LS4000)的调试端口为打开状态,从而使攻击者无需旁路访问控制即可获得root用户访问权限。根据上周发布的美国CERT咨询,该漏洞(CVE编号CVE-2020-12493,获得了CVSS10分)已由奥地利制造商Swarco Traffic Systems进行了修补,该漏洞技术门槛较低而且可以远程利用。
黑客攻击 本田 勒索软件 生产停顿
本田公司上周二在一份简短声明中确认:勒索软件攻击在其日本总部以外多国工厂造成了生产停顿问题。与本田的轻描淡写不同,BBC的报道显示本田过去48小时遭遇了极为惨烈的勒索软件攻击:“勒索软件已经传播到本田的整个网络,影响了本田的计算机服务器、电子邮件以及其他内网功能,目前本田正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。” 根据本田客服推特账号的通告,本田客户服务和本田金融服务遇到技术难题,无法使用。
黑客攻击 印度 间谍组织
6月10日,据路透社报道,一家鲜为人知的印度IT公司为客户提供黑客服务,7年入侵全球超过1万个电子邮件账户。它瞄准欧洲政府官员、巴哈马的博彩大亨及KKR和浑水等投资机构。据报告称,这是有史以来受雇开展的规模最大的间谍活动。