• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    个人信息保护白皮书发布 金融服务需建立可信环境

    韩希宇 来源:中国电子银行网 2018-11-30 11:14:15 个人信息 安全 金融安全
    韩希宇     来源:中国电子银行网     2018-11-30 11:14:15

    核心提示通过可信环境的建设,形成业务风险保护的基础屏障,保障并推进新业务在可控的风险环境下发展,在柜面业务、移动营销、在线借贷、智慧网点与VTM等无纸化场景,安全且人性化的电子合同需求日渐升温。

      国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞153个,互联网上出现“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒绝服务漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

      一周行业要闻速览

      《电信和互联网用户个人信息保护白皮书》发布

      白皮书详细阐述了电信和互联网用户个人信息保护的内涵,深入分析了国外用户个人信息保护形势,系统梳理了我国用户个人信息保护的现状,深刻剖析了典型问题与特征,展望用户个人信息保护趋势。>>详细

      深圳人行率先成立互联网金融风险专业应对队伍

      互联网金融风险专项整治工作开展以来,依托于专项整治行动中形成的央地联动、纵横交互的工作机制,深圳人行加强与各部门协作,建立了‘金融+政府’、‘金融+公安’、‘金融+工商’等跨部门联动机制。>>详细

      我国SM2/3/9密码算法正式成为ISO/IEC国际标准

      2018年10月,含有我国SM3杂凑密码算法的ISO/IEC10118-3:2018《信息安全技术杂凑函数第3部分:专用杂凑函数》最新一版(第4版)由国际标准化组织(ISO)发布,SM3算法正式成为国际标准。>>详细

      CFCA马关尔:新金融趋势下 建立金融服务可信环境的探索

      以ABCD(人工智能、区块链、云计算、大数据)为代表的领先技术不断助推金融业务的创新,与此同时也带来了新的问题。马关尔认为,由新技术引发的新产品和新运营模式,给监管者、货币政策制定者和金融企业带来新挑战和新考验,金融科技的发展加速了金融网络安全形势的变化。>>详细

      网上谍影:境外间谍情报机关通过互联网窃取机密

      在互联网技术高度发达和广泛应用的今天,网络与国家安全息息相关,没有网络安全,就没有国家安全。而在现实中,互联网这个看不见的战场并不平静,境外间谍情报机关通过各种手段窃取我国家机密,危害我国家安全的事件时有发生。>>详细

      明年全面推广电子客票 凭身份证就可以坐火车

      即便没带身份证也没关系,在刷脸快速通道,通过“人脸识别”机器,乘客也可以直接进站乘车。据悉,目前北京、上海、广州、深圳、杭州、武汉等绝大多数一线、二线城市都已经支持刷脸进站快速服务。>>详细

      揭秘来自第三方合作伙伴的威胁类型及防御建议

      由于第三方供应商管理的网站存在配置错误,导致美国银行信用卡发行商TCM Bank在2017年3月初-2018年7月中旬之间暴露了大量信用卡申请人数据(包含姓名、地址、出生日期、社会安全号码)。>>详细

      技术观澜

      渗透技巧——Windows系统文件执行记录的获取与清除

      站在渗透的角度,当获得了一台Windows主机的权限后,需要全面了解这台Windows主机的信息,文件执行记录是重要的部分。而站在防御的角度,文件执行记录包含系统的重要信息,对其进行针对性的清除很有必要。>>详细

      一波盗取俄罗斯用户银行卡资金的定向攻击样本分析

      一旦用户通过拷贝的方式输入目标银行账号,则会把钱转向攻击者账户。并且木马程序还会下载一个俄罗斯著名的yandex.ru门户网站提供的键盘管理工具Punto Switcher 3.1,以用于窃取用户的键盘记录,借以躲避杀毒软件的查杀。>>详细

      设计一个简单的iOS架构

      正如“100个读者就有100个哈姆雷特”一样,对于架构的理解不同的软件工程师有不同的看法。架构设计往往是一个权衡的过程,每一个架构设计者都要考虑到各个因素,比如团队成员的技术水平、具体的业务场景、项目的成长阶段和开发周期。>>详细

      安全威胁播报

      上周漏洞基本情况

      上周(2018年11月19日-2018年11月25日)信息安全漏洞威胁整体评价级别为中。

      国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞153个,其中高危漏洞61个、中危漏洞82个、低危漏洞10个。漏洞平均分值为6.27。上周收录的漏洞中,涉及0day漏洞38个(占25%),其中互联网上出现“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒绝服务漏洞”等零日代码攻击漏洞。

      上周重要漏洞安全告警

      IBM产品安全漏洞

      IBM API Connect(又名APIConnect)是一套用于管理API生命周期的集成解决方案。IBM WebSphere MQ是一款消息传递中间件产品。IBM WebSphere Portal是构建和管理Web门户的企业软件。其提供对Web内容和应用程序的访问,同时为用户提供个性化体验。IBM Rational Engineering Lifecycle Manager可视化、分析及组织工程生命周期数据和数据关系。IBM Security Key Lifecycle Manager使加密密钥管理流程集中化、简化和自动化,帮助最大限度降低加密密钥管理的风险和运营成本。IBM OpenPages GRC Platform是一套用于管理企业风险和合规性的平台。IBM Cloud Private是一套企业私有云解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行恶意的命令,发起拒绝服务攻击等。

      CNVD收录的相关漏洞包括:IBM API Connect CSV注入漏洞、IBM WebSphere MQ拒绝服务漏洞(CNVD-2018-23884)、IBM WebSphere Portal开放重定向漏洞(CNVD-2018-23906)、IBM Rational EngineeringLifecycle Manager XML外部实体注入漏洞、IBM Security Key LifecycleManager 认证缺失漏洞、IBM Security Key LifecycleManager 不当认证漏洞、IBM OpenPages GRC Platform信息泄露漏洞(CNVD-2018-23915)、IBM Cloud Private信息泄露漏洞。其中,除“IBM WebSphere MQ拒绝服务漏洞(CNVD-2018-23884)、IBM OpenPages GRC Platform信息泄露漏洞(CNVD-2018-23915)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

      Foxit产品安全漏洞

      Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。上周,上述产品被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。

      CNVD 收录的相关漏洞包括:Foxit Reader 和Foxit PhantomPDF for Windows内存错误引用漏洞(CNVD-2018-23724、CNVD-2018-23722、CNVD-2018-23723、CNVD-2018-23725、CNVD-2018-23726、CNVD-2018-23727、CNVD-2018-23729、CNVD-2018-23730)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

      Google产品安全漏洞

      Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux 为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击等。

      CNVD收录的相关漏洞包括:Google Androidwcd_cpe_core 内存错误引用漏洞、Google Android MDSS驱动程序拒绝服务漏洞、Google Android Kernel拒绝服务漏洞、Google Chrome GPU拒绝服务漏洞、Google gVisor权限提升漏洞、Google Monorail 跨站点搜索漏洞(CNVD-2018-23925、CNVD-2018-23926、CNVD-2018-23927)。其中,“IBM Rational Quality Manager权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

      Microsoft产品安全漏洞

      Microsoft Excel是一款电子表格处理软件。Microsoft Team FoundationServer是一套应用程序生命周期管理(ALM)工具套件中的源代码管理、项目管理和团队协作平台。Microsoft Outlook是一款Office 套件中所捆绑的电子邮件客户端软件。Microsoft Word是一款文字处理软件。Microsoft Windows 7 SP1是一套个人电脑使用的操作系统。Windows Server 2008 R2 SP1是一套服务器操作系统。Internet Explorer(IE)是其中的一款Windows系统附带的浏览器。Bing Places for Business 是一个Bing门户网站,让本地企业主在Bing上为他们的业务添加一个列表。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,破坏内存等。

      CNVD收录的相关漏洞包括:Microsoft BingPlaces -TrackEmailOpen (url)开放重定向漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2018-23749)、Microsoft Team Foundation Server跨站脚本漏洞、Microsoft Word远程代码执行漏洞( CNVD-2018-23753)、Microsoft Outlook 信息泄露漏洞( CNVD-2018-23750 、CNVD-2018-23751)、Microsoft InternetExplorer信息泄露漏洞(CNVD-2018-23919)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-23924)。其中,“Microsoft Excel远程代码执行漏洞(CNVD-2018-23749)、Microsoft Word远程代码执行漏洞(CNVD-2018-23753)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-23924)”的综合评级为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Dell EMC ESRS Policy Manager

      远程代码执行漏洞

      Dell EMC ESRS是戴尔公司一款安全远程支持服务程序,Policy Manager可以为客户端管理的设备设置权限。上周,Dell EMC ESRS PolicyManager被披露存在远程代码执行漏洞。攻击者可利用该漏洞在受影响应用程序中执行任意代码,失败的攻击会造成拒绝服务。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

      小结

      上周,IBM被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行恶意的命令,发起拒绝服务攻击等。此外,Foxit、Google、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,破坏内存或发起拒绝服务攻击等。另外,Dell EMC ESRS Policy Manager被披露存在远程代码执行漏洞。攻击者可利用该漏洞在受影响应用程序中执行任意代码,失败的攻击会造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

      中国电子银行网综合CNVD、央视网、国家密码管理局、中国信通院、深圳特区报、嘶吼RoarTalk、FreebuF.COM、51CTO、雷锋网报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定