解决网络安全执法各部门权责不清问题，人大检查组给出建议 | 安全内参12月盘点 - 安全内参

2017年的尾巴、刚刚过去的12月，安全行业发生了哪些大事？有什么政策趋势需要注意？请看下文的安全内参12月盘点：

政策&趋势

全国人大常委会副委员长王胜俊在人大常委会作报告时指出，“网络安全监管‘九龙治水’现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。”

习近平强调，要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调，加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度，维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究，提出中国方案。

重磅 | 工信部2018年网络安全和信息化重点工作与思路

包括信软司、通信司、信管局、网安局等相关司局。其中网络安全管理局2018年主要工作思路包括以下几点：

全面落实依法治国精神，夯实网络与信息安全依法监管能力；

聚焦工程建设和拓展应用，强化技术保障支撑能力；

强化网络基础设施和数据安全管理，提升行业网络安全保障水平；

维护国家安全和服务社会民生，深入推进网络空间综合治理；

推进网络安全产业发展和人才队伍建设，提高网络安全支撑服务能力。

工商总局局长：全面加强工商网络安全和信息化建设

12月25日，国家工商总局网络安全和信息化领导小组正式成立并召开领导小组第一次会议。总局党组书记、局长张茅强调，深入贯彻落实习近平总书记关于网信事业发展的系列重要讲话精神，全面加强工商网络安全和信息化建设，引领助推商事制度改革和市场监管创新，更好地服务经济社会发展。

特朗普发布任内首份美国《国家安全战略》报告

美国当地时间2017年12月18日下午，特朗普公布了其任职期内的首份国家安全战略报告，长达68页，其中强调本届政府在全球及外交政策层面将始终坚持 “美国至上”的方针，囊括了用于改善美国国家网络安全方法的行动纲要清单。

工信部《工业控制系统信息安全行动计划（2018-2020年）》全文发布

工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，

台湾发布物联网安全标准，明年开始检测验证

台湾经济事务主管部门正式公告“IPCAM资安产业标准及检测规范正式版V1.0”制定完成，并预计于2018年开始推动检测验证工作，除可协助业者确保产品符合IPCAM产品质量规范，也让设备制造商与系统服务商在产品研发、设备采用方面有所依据，更重要的是藉此检测标准建立，建立台湾智慧联网设备资安检测服务能量，奠定台湾资安产业未来发展基础。

2017年度内参

全球100起重大投融资看未来网络安全发展热点 | 2017年网络安全行业内参

在即将过去的2017年，网络安全领域投资保持了增长趋势，全年大型投融资事件超过100起，投融资总额超过100亿美元。从投资的领域分布来看，云计算、终端安全、身份与访问管理、物联网安全等领域，吸引了大部分的投资资金，其中终端安全、身份与访问管理的投资多集中在少数创新领军企业，或者传统优势厂商收购增加安全功能。

全球28起重大事件看2017年网络安全大势 | 2017年网络安全行业内参

1、和2016年相比，2017年数据泄漏事件量级上整体翻了一番。短短一年里，从GB到TB，从数亿到数十亿，涨势凶猛。

2、勒索和软件供应链攻击以全年大事件出现频次最多而成为2017年黑客攻击的年度关键词。

3、引发WannaCry、NotPetya两次全球数据勒索危机的永恒之蓝（EternalBlue，CVE-2017-0144）是当之无愧的年度影响力漏洞。

全球31个政策看2017网络安全行业发展 |2017年网络安全行业内参

2017年，是网络安全法规制度建设的爆发年！通过对全球各国的31个网络安全法律政策的盘点，我们能够看到，网络安全法律、战略的顶层设计成为了全球各国在2017年网络安全领域的头等大事，各国纷纷出台网络安全相关法律法案、战略、指南等，对国家的网络空间安全发展、趋势进行引导和规范，对行业的网络安全防护进行指导。另外，针对关键信息基础设施甚至掌握相关关键信息基础设施资源的行业出台了更加严格的监管措施。

全球新闻

1.23亿美国家庭数据在线泄露，谁该为AWS S3配置错误买单？

美国加州数据分析公司Alteryx的因亚马逊AWS S3存储桶简单的配置错误问题，导致1.23亿美国家庭的敏感数据泄露。Alteryx公司泄露的这些数据，涉及美国家庭的住址、联系信息、偏爱的宠物等，数据详细到包括抵押所有权和财务状况以及购买行为的详细分析，这些暴露的数据反映出美国消费者的真实生活。

东风日产加拿大遭黑客入侵，113万客户个人信息或已泄露

未经授权的黑客进入了公司的网络系统，其旗下加拿大金融公司（Nissan Canada Finance，NCF）和英菲尼迪加拿大金融服务公司（Infiniti Financial Services Canada）的客户个人信息可能已经遭到了访问及窃取。

美国国土安全部发布预警：HatMan、Triton等恶意软件威胁工控安全

网络安全公司 FireEye和 Dragos 于上周报道称，新型恶意软件 Triton 和 Trisis 通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。据悉，工业网络安全公司 CyberX 根据种种迹象推测，此次网络攻击事件的幕后黑手可能由伊朗策划，其目标疑似沙特阿拉伯的一家重要机构。美国国土安全部（DHS）的国家网络安全和通信集成中心（NCCIC）周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。

史上最强僵尸网络Mirai作者伏法，或面临最高五年刑期

在美国的阿拉斯加法庭上，三名美国年轻人承认造成去年10月21日“美国断网事件”的 Mirai 僵尸网络工具是他们开发的。21岁的Paras Jha 接受了多项指控，包括编写Mirai 源代码及运营僵尸网络，并以此发送攻击和在线欺诈程序。他的同伙 Josiah White（20岁）和 DaltonNorman（21岁）则承认同谋。三人从中获利 100 个比特币，目前价值约 170万美元。三人面临最高 5 年的刑期和一笔至少 25 万美元的罚款。

美国公开宣布永恒之蓝WannaCry真凶——就是朝鲜！

特朗普政府的国土安全顾问Thomas P. Bossert ，周一在华尔街日报发表的一篇专栏文章中表示：WannaCry 在全球范围内肆虐，造成数十亿美元的损失，而朝鲜负有直接责任。我们不是轻易这样说的。而是基于确凿的证据，和多重严重得到了这个结论。

特朗普签署新法令，美国政府正式禁用卡巴斯基软件

据外媒报道，美国总统特朗普于当地时间周二签署了一项法令，接下来各政府部门将不能继续使用卡巴斯基实验室的杀毒软件。这一禁令进一步强化了特朗普政府在今年9月发布的一项法令，即民间机构需要在90天内删除卡巴斯基软件。现在新法令同时适用民用和军用网络。

漏洞研究

德国自动化工业厂商WAGO的17款控制器爆远程访问漏洞

网络安全公司 SECConsult 研究人员近期发现德国自动化工业厂商 WAGO 制造的 17 款 750-820X 系列的 PFC200 PLC（可编程逻辑控制器）存在一处高危漏洞，允许黑客未经授权远程访问目标组织整个网络系统，可能会对生产和关键基础设施构成严重威胁。

GoAhead存高危漏洞，数十万IoT设备恐遭殃

据澳大利亚信息技术安全公司Elttam 的安全研究人员发现，开源GoAheadWeb服务存在高危漏洞（CVE-2017-17562），可被利用执行远程执行恶意代码。Embedthis GoAhead 3.6.5之前的版本均受到影响。

Windows 10面部识别曝安全漏洞，一张大头贴就能破了它

微软在本月早些时候发布了更新，以修复Windows 10面部识别系统WindowsHello中的一个漏洞，该漏洞允许攻击者使用打印的照片来绕过面部扫描。Windows Hello是一种生物特征授权方式，允许用户可以通过面部扫描解锁Windows 10设备（配备近红外传感器的台式机、笔记本电脑或者平板电脑）。

主流国产手机现罕见指纹解锁漏洞：贴一张膜即可破解

仅仅贴一张膜，就可能让你的指纹锁形同虚设，而所涉及的手机品牌几乎包括目前所有主流国产手机厂商。业内人士认为，这一重大安全漏洞不仅仅是个别芯片厂商的设计漏洞，而可能是手机指纹识别的行业性问题，保守估计，至少会有上亿部手机受到影响，而这可能是手机行业涉及终端数量最大的一次安全事故。

美国运营商AT&T的电视网关被爆0day漏洞，可远程ROOT设备

趋势科技安全研究人员RickyLawshae公开了AT&T DirecTV WVB设备组件中存在易于利用的 0day漏洞（编号CVE-2017-17411），黑客利用该漏洞可以获取root权限，从而完全控制该设备，数百万注册 DirecTV服务的用户将面临风险。

预测&规划

卡巴斯基2018年九大预测：供应链攻击入榜

01 更多的供应链攻击

02 更多高端的移动恶意软件

03 更多类似BeEF的web框架分析工具

04 先进的UEFI和BIOS攻击

……

IBM：2018年五大安全预测