6月第5周業務風控關注 | 《網絡安全等級保護條例（徵求意見稿）》本週正式發佈

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網絡安全，幫助企業提升警戒，規避這些似小實大、影響業務健康發展的安全風險。

1.《網絡安全等級保護條例（徵求意見稿）》本週正式發佈

6月25日，網絡安全標準論壇在京召開。由公安部牽頭，會同中央網信辦、國家保密局、國家密碼管理局聯合制定的《網絡安全等級保護條例》（如下簡稱「條例」）擬將在本週發佈。公安部網絡安全保衛局總工郭啓全在發言中表示，關鍵信息基礎設施保護是網絡安全等級保護制度2.0的重點。

2. Bithumb被盜或因駐外員工電腦被黑客攻擊

據報道，韓國大型虛擬貨幣交易所Bithumb在調查被黑客攻擊的緣由時發現，其駐外員工的電腦被黑客攻擊。該員工將被黑客攻擊的電腦鏈接到Bithumb內部的DRM（數字版權管理）服務器。致使黑客將惡性代碼植入到駐外員工電腦後直接攻擊DRM服務器。

3.中小企業將釣魚列爲首要攻擊威脅

近日一份針對600名中小型（SMB）企業管理者的調查顯示，幾乎全部中小企業都對員工展開了安全意識培訓，由於他們擔憂針對員工的釣魚攻擊會給企業帶來嚴重威脅。雖然全部的企業都在培訓員工提升網絡安全意識，但來自WebrootSMB CybersecurityPreparedness的報告發現，其實只有39%的公司是在整個就業期間不斷對員工進行培訓的。

其中，美國、英國和澳大利亞最爲重視企業網絡安全，相應地，他們的預估違規成本也在降低。調查顯示，48%的受訪者認爲網絡釣魚攻擊是最重要的威脅，45％的受訪者表示他們的業務易受 DNS攻擊。整體來講，本來佔據第一的新型惡意軟件跌至第六位，落後於分佈式拒絕服務（DDoS）和移動攻擊。勒索軟件從2017年的第五位上升到2018年的第三位，不過這也因地理位置而異。

4.拒不履行網絡安全管理義務，宿豫一網絡公司被罰10萬

2018年4月，宿豫公安分局接到上級公安機關通報，轄區一互聯網數據中心涉嫌存在違法違規內容。宿豫民警在調查覈實時，該公司拒不配合調查。宿豫公安分局組織民警對該數據中心接入的網站、平臺域名、備案信息等現場檢查，查處存在違法違規內容網站的服務器46臺，關閉「殭屍網站」1008個，清理備案資料不許確、實名制落實不到位的網站百餘個，關停涉嫌網絡賭 博、私服等違法遊戲59款。6月23日，記者從宿豫警方獲悉，該網絡有限公司被罰款10萬元，公司法人和技術主管分別被罰款2萬元。

5. 老人機自帶「李鬼」微信 竟是黑客爲廠家定製

有些老人機自帶的微信軟件竟然是沒有獲得受權的「李鬼」版微信。近日江蘇常州檢方依法批准逮捕了一塊兒「李鬼」微信案件的犯罪嫌疑人。

今年初，市民陳女士發現本身手機裏的「微信」隔三岔五冒出一些二手車和海外代購的小廣告。微信官方客服表示，他們接到全國很多用戶的相似反饋，經覈實，這些廣告並不是微信官方推送，也就是說，陳女士手機上的「微信」並不是正版，軟件的加密網絡傳輸協議被人破解。

6. 美國大數據公司失誤泄露2TB隱私信息：涉2.3億人

據Wired報道，本月初曝光的市場和數據彙總公司Exactis服務器信息暴露的事情經調查爲實。Exactis採集了大約3.4億條記錄，大小2TB，可能涵蓋2.3億人，幾乎是全美的上網人口。Exactis這次的信息泄露並非黑客撞庫引發或者其它惡意攻擊，而是他們本身的服務器沒有防火牆加密，直接暴露在公共的數據庫查找範圍內。目前，Exactis已經對數據進行了加密防禦。

7. 2012年以後的全部Android設備受到RAMpage漏洞影響

一羣國際學者發表了一份研究報告《GuardION:Practical Mitigation of DMA-based Rowhammer Attacks onARM》（PDF），披露一個Rowhammer攻擊變種RAMpage，該漏洞影響2012年以後發佈的幾乎全部 Android設備，也可能影響蘋果 iOS 設備、PC 和虛擬機。Rowhammer攻擊是指利用臨近內存單元之間電子的互相影響，在足夠多的訪問次數後讓某個單元的值從 1 變成0，反之亦然。這種現象被稱爲比特翻轉（bitflipping），可被利用獲取更高的權限，過去幾年研究人員報告了多種 Rowhammer攻擊變種。最新的漏洞編號爲CVE-2018-9442。研究人員稱，RAMpage破壞了用戶應用和操做系統之間最基礎的隔離。

8.ProtonMail 遭到 DDoS 攻擊

加密電郵服務ProtonMail過去幾天遭到了DDoS攻擊，因攻擊頻繁短期下線。ProtonMail聲稱它跟蹤攻擊到一個據稱與俄羅斯有關聯的組織。如今，攻擊者現身否定他們是俄羅斯人，該黑客組織自稱叫Apophis Squad，他們正在開發一個 DDoS 攻擊服務，隨機選擇 ProtonMail 爲目標來測試其服務的 Beta 版本。他們對 ProtonMail 發動了流量達到200 Gbps的SSDP洪水攻擊，第一次攻擊成功讓ProtonMail下線了 60 秒。攻擊者聲稱他們一開始並無打算經過攻擊持續干擾ProtonMail的服務，但ProtonMail CTO Bart Butler的言論惹惱了他們。Bart Butler在Twitter上稱這個組織是小丑。Apophis Squad隨後加大了攻擊流量，採用了更多DDoS攻擊方法，峯值流量達到500 Gbps。

9.中消協在京啓動APP信息收集與隱私政策測評活動

近日，中消協宣佈在京啓動APP信息收集與隱私政策測評活動，以幫助消費者瞭解各種APP消費者我的信息收集以及隱私保護措施狀況。

近年來，各種手機APP應用發展迅猛，極大地豐富和方便了消費者的互聯網生活。然而，一些APP軟件有的告知消費者信息收集類別不明確，有的強制或變相強制收集消費者信息，有的不當分享、轉讓甚至非法交易消費者我的信息，使消費者我的信息安全受到嚴重挑戰。

中消協提醒各種APP開發和應用的企業及相關人員，嚴格遵照有關消費者我的信息保護的法律規定，確保APP開發和應用符合消費者我的信息保護要求，爲消費者提供更加安全、可靠、實用的APP應用軟件。

免費試用網易雲易盾安全服務。