Top
首页 > 正文

【in资讯】第八期:中国评测网安中心助你一屏掌握网络安全新资讯

中国软件评测中心今日推出【in资讯】栏目,我们在这里与你同屏共享热门行业最in资讯。从此不必费力翻阅查找,一键get行业内你不知道的那些大事件、大举措。
发布时间:2020-08-21 09:50        来源:中国软件评测中心        作者:中国软件评测中心

中国软件评测中心今日推出【in资讯】栏目,我们在这里与你同屏共享热门行业最in资讯。从此不必费力翻阅查找,一键get行业内你不知道的那些大事件、大举措。

【in资讯】做你简单可依赖的同行者。

第八期网络安全领域资讯火热来袭,一起去看看!

一、   行业资讯

政策法规

1. 国家五部委联合发布“AI标准顶层设计”

2. 工业和信息化部对侵害用户权益行为的手机应用软件进行今年第三次通报

3. 欧盟委员会公布安全战略《欧盟安全联盟战略2020—2025》

产业动态

1. 工信部开展2020年网络安全技术应用试点示范工作

2. 中国互金协会发布防范第三方SDK风险隐患提示

安全漏洞

和事件

1. Zoom爆安全漏洞,会议密码能在几分钟内破解

2.TeamViewer曝漏洞,计算机浏览特定网页即可被无密码入侵

3. 美国公司利用软件开发包植入手机App收集数亿用户数据并出售给美国政府

研究报告

1. 腾讯发布《2019腾讯游戏安全年度报告》

2. 腾讯云发布上半年DDoS威胁报告,国内DDoS攻击呈高发态势

二、   中国评测资讯

网安动态

1. “引领网安新产业 建设安全新基建”,2020年网络安全技术应用试点示范工作开始,中国电子信息产业发展研究院承担支撑工作

以下为本期in资讯全文:阅读时间大约10分钟

一、   行业资讯

(一)   政策法规标准

1. 国家五部委联合发布“AI标准顶层设计”

8月5日,国家标准化管理委员、中央网信办、国家发展改革委、科技部、工业和信息化部等五个国家部门联合印发了《国家新一代人工智能标准体系建设指南》,旨在加强人工智能领域标准化顶层设计,推动人工智能产业技术研发和标准制定。《标准指南》中分了两个时间点,明确了两个建设目标:到2021年,明确人工智能标准化顶层设计,完成关键通用技术、关键领域技术、伦理等20项以上重点标准的预研工作;到2023年,初步建立人工智能标准体系,建设人工智能标准试验验证平台,提供公共服务能力。《标准指南》还指出了人工智能标准体系结构,总共有8个部分,分别是:

A基础共性标准,主要针对人工智能基础进行规范,包括术语、参考架构、测试评估等部分;

B支撑技术与产品标准,主要包括大数据、物联网、云计算、边缘计算、智能传感器、数据存储及传输设备等部分;

C基础软硬件平台标准,主要包括智能芯片、系统软件、开发框架等部分;

D关键通用技术标准,主要包括机器学习、知识图谱、类脑智能计算、量子智能计算、模式识别等部分;

E关键领域技术标准,主要包括自然语言处理、智能语音、计算机视觉、生物特征识别、虛拟现实/增强现实、人机交互等部分;

F产品与服务标准,包括智能机器人、智能运载工具、智能终端、智能服务等部分;

G行业应用标准,包括智能制造、智能农业智能交通、智能医疗、智能教育、智能商务、智能能源等等;

H安全/伦理,包括人工智能领域的安全与隐私保护、伦理等部分。

2. 工业和信息化部对侵害用户权益行为的手机应用软件进行今年第三次通报

7月24日,工业和信息化部对侵害用户权益行为的手机应用软件进行通报,这是今年以来的第三批通报名单。截至目前,工业和信息化部已对今年检查出的存在问题的89款App进行了通报。“私自收集个人信息”“私自共享给第三方”“过度索取权限”等是这次通报的主要问题。

同日,工业和信息化部发布《关于开展纵深推进App侵害用户权益专项整治行动的通知》,专项整治时间为通知印发之日至2020年12月10日。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。

3. 欧盟委员会公布安全战略《欧盟安全联盟战略2020—2025》

欧盟委员会公布了新的欧盟内部安全战略《欧盟安全联盟战略2020—2025》,新战略制定了4个优先事项,包括维护面向未来的安全环境、应对不断发展的威胁、保护欧洲民众免受恐怖主义和有组织犯罪的危害、建立强大的欧洲安全生态系统,并分别提出具体方案。根据该战略,欧盟将重点打击恐怖主义和有组织犯罪,预防和探测混合型威胁,提高关键基础设施的韧性,促进网络安全和相关技术研发。

(二)   产业动态

1. 工信部开展2020年网络安全技术应用试点示范工作

2020年8月3日,工业和信息化部发布通知,要求开展2020年网络安全技术应用试点示范工作。按照通知,2020年网络安全技术应用试点示范选取的重点方向有三类,分别是新型信息基础设施安全类、网络安全公共服务类和网络安全“高精尖”技术创新平台类。其中,围绕新型信息基础设施提出了10大领域网络安全重点,比如对于5G网络安全,要求试点示范能重点结合增强移动带宽、低时延高可靠、海量连接三大场景安全需求,针对网络功能虚拟化、网络切片、边缘计算等带来的网络安全需求,在威胁监测、风险识别、安全防御、安全检测、安全恢复、安全模型认证等方面的安全解决方案;对于工业互联网安全,要求试点示范能围绕装备、电子信息、原材料、消费品、石化、能源等重点生产制造领域,结合工业互联网智能化生产、网络化协同、个性化定制、服务化延伸等典型应用场景网络安全需求,在网络、平台、工控设备、工业APP、工业数据等方面的安全解决方案。

2. 中国互金协会发布防范第三方SDK风险隐患提示

中国互联网金融协会官网8月1日发布《关于防范第三方SDK风险隐患的提示》。央视在近期举办的2020年“3·15”晚会报道了SDK(Software Development Kit,即“软件开发工具包”)违规超限收集用户个人信息的现象,中国互联网金融协会在近期开展的移动金融客户端应用软件备案工作中也发现,客户端软件使用第三方SDK较为普遍。经分析,SDK虽然提升了客户端软件的应用部署效率,但也暴露出一些需引起重视的问题,主要包括:隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容;第三方SDK使用权限超出用户授权范围;第三方SDK超出业务功能实际需要被高频调用等。为此,协会郑重提醒:各提供客户端软件的金融从业机构和外部评估机构,应高度重视第三方SDK存在安全隐患的问题,认真排查客户端软件中嵌入第三方代码或SDK是否存在违规超限收集用户个人信息的情况,并严格遵照《中华人民共和国网络安全法》、《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)、《个人金融信息保护技术规范》(JR/T 0171—2020)等个人信息保护要求,落实安全防护措施,切实保障用户个人信息和财产安全。

(三)   安全漏洞和事件

1. Zoom爆安全漏洞,会议密码能在几分钟内破解

近期,国外安全研究人员公布了远程办公软件Zoom的一个关键安全漏洞。通过这个漏洞,任何人都可以加入受密码保护的 Zoom 会议。Zoom 会议默认由6位数字密码保护,所以,有可能出现 100 万个不同的密码。漏洞在于Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。因此,攻击者可以写一段Python代码来尝试所有的100万个密码,并在几分钟内找到正确的密码。安全研究人员向Zoom报告了这个问题,随后Zoom的网络客户端进行了离线维护以修复这个漏洞。Zoom要求用户在维护期间使用web客户端登录加入会议,并更改默认会议密码为非数字和更长的密码来缓解这个问题。

2. TeamViewer曝漏洞,计算机浏览特定网页即可被无密码入侵

知名的远程控制软件TeamViewer近期爆出漏洞,该漏洞可能使攻击者悄悄地建立与目标计算机的连接并进一步利用该系统。漏洞编号: CVE-2020-13699,该漏洞影响TeamViewer版本:8,9,10,11,12,13,14,15。国家信息安全漏洞库地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701。漏洞风险等级8.8,属于高危漏洞。该漏洞为典型的本地权限提升漏洞,攻击者只需要构造一个特定的连接隐藏在恶意网页里,安装了Teamviewer的电脑浏览到该网页即可触发漏洞。漏洞利用原理是在恶意网页里使用一段不可见的iframe代码会启动TeamViewer Windows桌面客户端并迫使其打开远程SMB共享,攻击者无需知道TeamViewer的密码,该漏洞将使受害机的系统自动通过身份验证并获得权限。目前,TeamViewer官方声称已经修复了该漏洞,用户应尽快升级到最新版本。

3. 美国公司利用软件开发包植入手机App收集数亿用户数据并出售给美国政府

据美国媒体报道,一家名为Anomaly Six的美国企业将自身软件开发包嵌入众多手机App之中,追踪全球数亿部手机的位置信息。该企业还在用户不知情的情况下,将获取的这些信息转卖给了美国政府。Anomaly Six由两名承接国防合同的退伍军人创建,与美国政府机构关系密切,该企业能够从超过500款手机应用程序中获得用户的位置数据,其中部分是通过将其软件开发包植入手机应用程序实现的。

(四)   研究报告

1. 腾讯发布《2019腾讯游戏安全年度报告》

7月24日,腾讯发布了《2019腾讯游戏安全年度报告》,报告中指出,2019年,PC游戏和手机游戏方面,外挂的总数和更新频率方面均有所增长,对抗游戏外挂黑产形势严峻。在PC端上,动作类和射击类游戏依然是重灾区,两种外挂的合计占比达到了88%。而在手机游戏方面,占比最高的则是定制外挂,比2018年占比提升3%。另外,破解版客户端作弊比2018年增加了5%。游戏外挂黑产的资产也十分巨大。游戏黑产拥有的黑身份证数量约636万个,以30元一个来计算,价值约1.9亿元人民币。黑电脑及黑手机设备总量超过1300万台,其中黑电脑设备376万台,价值75亿人民币(2000元/台);黑手机930万台,价值20亿人民币(200元/台)。

2. 腾讯云发布上半年DDoS威胁报告,国内DDoS攻击呈高发态势

近日,腾讯云发布《2020年上半年DDoS威胁报告》,对威胁态势、攻击手法、攻击趋势等进行分析。《报告》显示,当前业界最大DDoS攻击峰值流量达到2.3T、云上DDoS攻击次数大幅增长45%、百G以上攻击次数同比翻番,当前DDoS攻击形势严峻。2月是黑客攻击最高峰,这意味着疫情期间,远程办公成为主流的情况下,企业安全风险形势也更加严峻。《报告》指出,应用层攻击持续时间最长达到27天、单次攻击最大累计攻击请求831亿次、峰值HTTPS请求量最多超260万qps、单次攻击最大肉鸡数量达45万。不同于传统DDoS攻击,近年来兴起的应用层攻击则会伪装成正常的流量,甚至和正常业务一样,绕过防御设备,造成企业服务器不可用,业务卡顿等,对企业防御造成了极大的困扰。

二、中国评测资讯

1.      “引领网安新产业 建设安全新基建”,2020年网络安全技术应用试点示范工作开始,中国电子信息产业发展研究院承担支撑工作

为深入贯彻习近平总书记关于发展网络安全产业的重要指示精神,落实党中央、国务院关于加快新型基础设施建设的重大决策部署,挖掘新一代信息技术与网络安全技术融合创新的典型应用场景,提炼推广网络安全最佳实践和解决方案,促进网络安全教育、技术、产业融合发展,提升网络安全产业发展水平,强化新型信息基础设施安全保障能力,工业和信息化部组织开展2020年网络安全技术应用试点示范工作。

受工业和信息化部网络安全管理局委托,中国电子信息产业发展研究院承担人工智能安全、区块链安全两个重点方向的申报组织和评审支撑工作。

一、申报方向

(一)人工智能安全

结合智能机器人、智能语音交互、视频图像身份识别、影像辅助诊断、无人机等典型应用场景网络安全需求,在人工智能数据、算法、平台、应用服务等方面的安全解决方案,以及运用人工智能技术的高级威胁预警、网络资产管理、网络行为溯源分析等安全解决方案。

(二)区块链安全

结合供应链管理、电子交易、数字版权、保险、社会救助等区块链技术典型应用场景网络安全需求,在身份验证、安全存储、存证取证、数据共享流通等方面的安全解决方案,以及区块链基础设施、区块链平台、区块链服务等方面的安全监测、防护、测试验证解决方案。

二、申报主体

公共通信和信息服务、能源、交通、水利、金融、医疗、智能制造、航空航天、电子政务等行业和领域的企事业单位,以及为其提供网络安全技术、产品和服务的企事业单位等;申报主体应在中华人民共和国境内注册、具备独立法人资格。中央企业所属下级单位、子公司可作为独立申报主体。

三、申报对象

围绕人工智能安全、区块链安全典型应用场景,支撑本单位或用户建设的相关网络安全技术系统或平台。

四、相关要求

(一)遴选要素。主要包括创新性、先进性、实用性、可推广性。以下申报对象将优先考虑:

1.在新型基础设施建设发展、新冠肺炎疫情防控、龙头企业复产复工、网络安全保障等方面发挥重要作用的项目;

2.区域优势明显、产业基础良好、政策制度完善、创新要素聚集的创新平台;

3.同等条件下中小微企业的项目。

(二)各申报主体牵头或参与联合申报的总数原则上不超过2个。多个申报主体联合申报的,参与申报的主体数量不超过3个。

(三)已列入工业和信息化部相关试点示范项目的不可重复申报,未建及在建项目不可申报。

(四)中央企业集团公司和各省、自治区、直辖市及计划单列市工业和信息化主管部门、通信管理局可进行推荐。

五、工作流程

(一)申报方式。

申报主体于2020年8月21日前将2020年网络安全技术应用试点示范申报书(见附件)一式三份报送工业和信息化部(网络安全管理局),同时通过网络安全技术应用试点示范管理系统在线申报电子版(网址:https://sdsf.mii-aqfh.cn),纸质材料应与电子版保持一致。

(二)遴选评审。

中国电子信息产业发展研究院在工业和信息化部组织下开展人工智能安全、区块链安全两个重点方向的遴选评审工作,符合要求的项目试点示范期为2年。

六、联系方式

联系人:黄  峥 13811563856

张  莉 15801640065

宁黄江 18811557050

刘京运 15010668704

韩杰超 17685571268

专题访谈

合作站点
stat