• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|金融业网络安全管理标准框架 大数据体系下的数据安全治理

    韩希宇 来源:中国电子银行网 2019-08-30 10:05:02 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2019-08-30 10:05:02

    核心提示大数据体系下,数据的种类、使用环境、使用场景都发生了变化,数据安全工作随着大数据的发展需要与时俱进。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞383个,互联网上出现“Bento4越界读取漏洞、Bento4空指针解引用漏洞(CNVD-2019-28477)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    2019年国家网络安全宣传周将于9月16日至22日举行

    刘烈宏介绍道,网安周已经连续举办了五届,产生了良好的社会效果。今年的网安周将进一步丰富活动形式、创新宣传手段,各地方和相关部门都在紧锣密鼓的筹备中。>>详细

    划重点:金融业这样搭建网络安全管理标准框架

    框架基于全面风险管理视角,采纳了NIST SP 800-39 所描述的风险纵向分层,以更好地区分不同的管理者应该关注的重点,以及更好地进行责任分割。>>详细

    发改委:建立个人所得税纳税信用管理机制

    加大对信用信息系统、信用服务机构数据库的监管力度,保护纳税人合法权益和个人隐私,确保国家信息安全。>>详细

    十部门联合印发《加强工业互联网安全工作的指导意见》(附全文)

    到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。>>详细

    工商银行张旻:大数据体系下的数据治理与数据安全保护

    中国工商银行依托于自主建设的大数据服务平台,建立完整的大数据治理体系和数据安全保护机制,加强数据治理和安全保护,推进数据的深入挖掘和智能化应用,发挥大数据价值,助力智慧银行建设。>>详细

    《2019上半年企业安全总结》出炉 详解企业网络安全现状

    本文以腾讯安全御见威胁情报中心安全大数据为基础,从终端安全、服务器安全、网站安全和邮件安全等纬度剖析2019年上半年企业用户安全趋势。>>详细

    光大银行史晨阳:大数据体系下的数据安全治理

    近几年来,数据安全事件层出不穷,个人隐私大范围泄露,在数据高速发展的时代,数据安全治理逐步成为关注的焦点并引发各界深度思考。>>详细

    360首席安全技术官郑文彬:5G使网络攻击潜在对象增多

    任何一个5G接入的设备都可能成为网络攻击入侵点,意味着5G将使得网络攻击潜在对象增加。>>详细

    网信办发布《儿童个人信息网络保护规定》

    为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。>>详细

    支付宝发布国内首个生物识别行业倡议:遵循最小、够用

    这份倡议共5点,主要从隐私、安全、防止信息滥用、责任与监督、公平等角度,呼吁对生物识别的发展进行规范化管理,来确保行业可控、健康的发展。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2019年8月19日-25日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞383个,其中高危漏洞104个、中危漏洞264个、低危漏洞15个。漏洞平均分值为5.93。周收录的漏洞中,涉及0day漏洞89个(占23%),其中互联网上出现“Bento4越界读取漏洞、Bento4空指针解引用漏洞(CNVD-2019-28477)”等零日代码攻击漏洞。

    周重要漏洞安全告警

    Qualcomm WLAN芯片远程代码执行漏洞

    Qualcomm WLAN芯片是高通平台处理WLAN/WIFI协议的专用芯片,属于高通Baseband子系统,用于提高WLAN/WIFI处理速度和性能,降低能耗。周,该产品被披露存在远程代码执行漏洞,攻击者可以通过控制WLAN固件,最终导致在服务器上执行任意代码。

    CNVD收录的相关漏洞包括:ualcomm WLAN芯片远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Oracle产品安全漏洞

    OracleFusion Middleware(Oracle融合中间件)是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Outside In Technology是其中的一个软件开发工具包组件。周,上述产品被披露存在访问控制错误漏洞,攻击者可利用漏洞未授权读取数据,造成拒绝服务,影响数据的保密性和可用性。。

    CNVD收录的相关漏洞包括:Oracle Outside InTechnology访问控制错误漏洞(CNVD-2019-27776、CNVD-2019-27777、CNVD-2019-27778、CNVD-2019-27779、CNVD-2019-27780、CNVD-2019-27781、CNVD-2019-27783、CNVD-2019-27784)。其中,“Oracle Outside InTechnology访问控制错误漏洞(CNVD-2019-27784)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Adobe产品安全漏洞

    Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。周,该产品被披露存在内存错误引用漏洞,攻击者可利用漏洞执行任意代码。

    CNVD收录的相关漏洞包括:Adobe Acrobat/Reader内存错误引用漏洞(CNVD-2019-28672、CNVD-2019-28686、CNVD-2019-28688、、CNVD-2019-28689、CNVD-2019-28690、CNVD-2019-28691、CNVD-2019-28692、CNVD-2019-28693)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Google产品安全漏洞

    Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行代码,造成拒绝服务。

    CNVD收录的相关漏洞包括:Google Android WLAN整数溢出漏洞、Google Android WLAN空指针逆向引用漏洞、Google Android WLAN缓冲区溢出漏洞(CNVD-2019-28607、CNVD-2019-28611)、Google Android WLAN双重释放漏洞、Google Android System信息泄露漏洞(CNVD-2019-28627、CNVD-2019-28634)、Google Android Media Framework远程代码执行漏洞(CNVD-2019-28638)。其中,除“Google Android System信息泄露漏洞(CNVD-2019-28627、CNVD-2019-28634)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    NVIDIA产品安全漏洞

    NVIDIA Windows GPU Display Driver是一款专用于Windows平台的图形处理器(GPU)显卡驱动程序。NVIDIA SHIELD TV娱乐主机是一款客厅娱乐设备。周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行代码,提升权限,泄露信息或造成拒绝服务。

    CNVD收录的相关漏洞包括:NVIDIA Windows GPU DisplayDriver权限许可和访问控制问题漏洞(CNVD-2019-28285、CNVD-2019-28287)、NVIDIA Windows GPU DisplayDriver输入验证错误漏洞、NVIDIA Windows GPU DisplayDriver代码问题漏洞、NVIDIA Shield TVExperience权限许可和访问控制漏洞、NVIDIA Windows GPU DisplayDriver拒绝服务漏洞(CNVD-2019-28599、CNVD-2019-28600、CNVD-2019-28601)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    CloudBees Jenkins Wall Display Plugin跨站脚本漏洞

    CloudBees Jenkins(HudsonLabs)是一套基于Java开发的持续集成工具。周,CloudBees Jenkins Wall Display Plugin被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。

    小结

    周,Qualcomm WLAN芯片被披露存在远程代码执行漏洞,攻击者可以通过控制WLAN固件,最终导致在服务器上执行任意代码。此外,Oracle、Adobe、Google等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行代码,提升权限,泄露信息或造成拒绝服务等。另外,CloudBees Jenkins Wall Display Plugin被披露存在跨站脚本漏洞,攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、网信办网站、发改委网站、工信部网站、金融电子化、新浪科技、驱动之家、腾讯御见威胁情报中心报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定