國(guó)際動(dòng)態(tài) 美國(guó) 第三屆美國(guó)網(wǎng)絡(luò)安全

　　從9月16日至10月7日，一年一度的美國(guó)網(wǎng)絡(luò)安全峰會(huì)會(huì)議召開，共為期四個(gè)星期，今年主題是“捍衛(wèi)今天，確保明天”。據(jù)悉，第三屆美國(guó)網(wǎng)絡(luò)安全峰會(huì)將匯聚來自世界各地的基礎(chǔ)設(shè)施利益相關(guān)者，并提供一個(gè)論壇，就網(wǎng)絡(luò)安全進(jìn)行有意義的對(duì)話和合作。

　　行業(yè)動(dòng)態(tài) 政策法規(guī) 《不可靠實(shí)體清單規(guī)定》

　　據(jù)報(bào)道，根據(jù)《中華人民共和國(guó)對(duì)外貿(mào)易法》《中華人民共和國(guó)國(guó)家安全法》等法律法規(guī)的規(guī)定，《不可靠實(shí)體清單規(guī)定》已經(jīng)完成立法程序。經(jīng)國(guó)務(wù)院批準(zhǔn)，《不可靠實(shí)體清單規(guī)定》已于19日在商務(wù)部網(wǎng)站公布。

　　行業(yè)動(dòng)態(tài) 福州 第三屆數(shù)字中國(guó)建設(shè)峰會(huì)

　　9月17日，第三屆數(shù)字中國(guó)建設(shè)峰會(huì)新聞發(fā)布會(huì)在京舉行，宣布峰會(huì)將于10月12日至14日在福建省福州市舉辦。本屆峰會(huì)主題為“創(chuàng)新驅(qū)動(dòng)數(shù)字化轉(zhuǎn)型，智能引領(lǐng)高質(zhì)量發(fā)展”，由國(guó)家網(wǎng)信辦、國(guó)家發(fā)展改革委、工業(yè)和信息化部、福建省人民政府共同主辦。

　　行業(yè)動(dòng)態(tài) 合肥網(wǎng)絡(luò)安全大會(huì)

　　9月17日，以“主動(dòng)安全·共筑產(chǎn)業(yè)生態(tài)”為主題的2020 HCS合肥網(wǎng)絡(luò)安全大會(huì)正式召開。本屆大會(huì)由合肥市人民政府、中國(guó)科學(xué)技術(shù)大學(xué)、中國(guó)電信安徽公司聯(lián)合主辦，大會(huì)圍繞新基建時(shí)代下的網(wǎng)絡(luò)安全挑戰(zhàn)，深入探討安全產(chǎn)業(yè)“政、產(chǎn)、學(xué)、研、用”聯(lián)合生態(tài)建設(shè)新模式。

　　行業(yè)動(dòng)態(tài) TikTok

　　TikTok19日發(fā)表聲明說，其母公司字節(jié)跳動(dòng)與美國(guó)甲骨文和沃爾瑪兩家公司達(dá)成原則性共識(shí)，三方將據(jù)此盡快達(dá)成符合中美兩國(guó)法律規(guī)定的合作協(xié)議。聲明說，這份原則性共識(shí)已作為提案交給美國(guó)政府，TikTok認(rèn)為三方原則性共識(shí)將解決圍繞公司未來在美國(guó)運(yùn)營(yíng)和發(fā)展的問題。美國(guó)總統(tǒng)特朗普當(dāng)天表示他“原則上”同意TikTok與甲骨文、沃爾瑪公司的合作方案。

　　報(bào)告調(diào)研 中國(guó)信通院 《2020年上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告》

　　在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，中國(guó)信通院和工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟編制《綜述》。對(duì)工業(yè)互聯(lián)網(wǎng)領(lǐng)域重點(diǎn)行業(yè)和相關(guān)企業(yè)2020年上半年的安全威脅監(jiān)測(cè)、分析研判和響應(yīng)處置等情況進(jìn)行梳理和分析，總結(jié)提出了上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)的十大突出特點(diǎn)，并對(duì)下半年工業(yè)互聯(lián)網(wǎng)的安全態(tài)勢(shì)進(jìn)行了預(yù)測(cè)。

　　《2020年上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告》下載地址：

　　https://www.aqniu.com/wp-content/uploads/2020/09/《2020年上半年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告》。pdf

　　報(bào)告調(diào)研 網(wǎng)絡(luò)技能

　　Skills Platform和Zoe Amar Digital聯(lián)合發(fā)布了“2020年慈善機(jī)構(gòu)網(wǎng)絡(luò)技能報(bào)告”，旨在揭示大流行期間慈善機(jī)構(gòu)的數(shù)字化需求。2/3的員工（66%）正在遠(yuǎn)程交付所有工作，而61%的員工將提供更多的在線服務(wù)。同樣令人鼓舞的是，幾乎一半的受訪者（47%）正在圍繞數(shù)字技術(shù)相互協(xié)作或分享經(jīng)驗(yàn)。

　　漏洞補(bǔ)丁 iOS 14

　　9月18日，蘋果最新發(fā)布的移動(dòng)操作系統(tǒng)iOS 14更新似乎出現(xiàn)了安全漏洞，當(dāng)設(shè)備重置或重啟時(shí)，該漏洞會(huì)清除自定義的默認(rèn)瀏覽器和郵件設(shè)置。9月18日，蘋果最新發(fā)布的移動(dòng)操作系統(tǒng)iOS 14更新似乎出現(xiàn)了安全漏洞，當(dāng)設(shè)備重置或重啟時(shí)，該漏洞會(huì)清除自定義的默認(rèn)瀏覽器和郵件設(shè)置。

　　漏洞補(bǔ)丁 即時(shí)通訊應(yīng)用

　　安全研究人員發(fā)現(xiàn)一些主流的即時(shí)通訊應(yīng)用，包括Whatsapp、Signal和Telegram都存在重大的隱私泄露問題。根源在于，這些應(yīng)用的“聯(lián)系人發(fā)現(xiàn)服務(wù)”使用戶可以根據(jù)通訊錄中的電話號(hào)碼查找聯(lián)系人，同時(shí)也為隱私泄露敞開了大門。研究人員還提出了許多其他緩解技術(shù)，包括一種新的聯(lián)系人發(fā)現(xiàn)方法，可以采用該方法來進(jìn)一步降低攻擊效率，而不會(huì)對(duì)可用性造成負(fù)面影響。

　　漏洞補(bǔ)丁 Microsoft Exchange 遠(yuǎn)程代碼執(zhí)行

　　9月09日，360CERT監(jiān)測(cè)發(fā)現(xiàn) Microsoft Exchange 發(fā)布了 Exchange 命令執(zhí)行漏洞 的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為 CVE-2020-16875 ，漏洞等級(jí)：嚴(yán)重 ，漏洞評(píng)分：9.1。遠(yuǎn)程攻擊者通過構(gòu)造特殊的cmdlet參數(shù) ,可造成任意命令執(zhí)行的影響。對(duì)此，360CERT建議廣大用戶及時(shí)將 Exchange 升級(jí)到最新版本。

　　漏洞補(bǔ)丁 Windows

　　近日，安全公司Secura針對(duì)一個(gè)剛修補(bǔ)不久的Windows漏洞（CVE-2020-1472）開發(fā)了一個(gè)概念驗(yàn)證利用程序——Zerologon，可以“三秒內(nèi)”接管企業(yè)內(nèi)網(wǎng)的司令部——Active Directory域控制器，“呵護(hù)”所有聯(lián)網(wǎng)計(jì)算機(jī)。由于管理員們對(duì)安裝可能影響網(wǎng)絡(luò)組件（如域控制器）的補(bǔ)丁更新非常謹(jǐn)慎，因此CVE-2020-1472補(bǔ)丁未能及時(shí)安裝產(chǎn)生的風(fēng)險(xiǎn)要更大一些。強(qiáng)烈建議存在該漏洞的企業(yè)高度重視并盡快安裝補(bǔ)丁程序。

　　網(wǎng)絡(luò)攻擊 美國(guó)大選

　　近日，微軟表示，伊朗和俄羅斯政府資助的黑客試圖攻破拜登和特朗普競(jìng)選團(tuán)隊(duì)相關(guān)人員的電子郵件賬戶。微軟客戶安全與信任部門副總裁湯姆？伯特（Tom Burt）表示，“大多數(shù)此類攻擊”都被檢測(cè)到并阻止了。伯特（Burt）在一篇綜合性博客文章中透露了其他襲擊事件，并證實(shí)了8月份DNI的一份報(bào)告，該報(bào)告稱伊朗黑客正在攻擊美國(guó)大選進(jìn)程。

　　網(wǎng)絡(luò)攻擊 德國(guó)醫(yī)院

　　近日，德國(guó)杜塞爾多夫大學(xué)醫(yī)院遭到勒索軟件攻擊，通過醫(yī)院使用的商業(yè)軟件漏洞，病毒感染了其網(wǎng)絡(luò)上的30臺(tái)服務(wù)器。被攻擊后，該醫(yī)院的系統(tǒng)逐漸奔潰，醫(yī)院的手術(shù)系統(tǒng)癱瘓，一名急救病人被迫送往32公里外的另一家醫(yī)院，因此錯(cuò)過了最佳搶救時(shí)間，最后不幸死亡。

　　數(shù)據(jù)泄露 Razer

　　近日，游戲硬件制造商Razer（雷蛇）的在線商店數(shù)據(jù)庫暴露后發(fā)生數(shù)據(jù)泄漏。8月19日左右，安全研究員Bob Diachenko發(fā)現(xiàn)了一個(gè)不安全的Elasticsearch數(shù)據(jù)庫，該數(shù)據(jù)庫暴露了大約10萬個(gè)從Razer在線商店購(gòu)買商品的用戶信息。暴露的信息包括客戶的姓名、電子郵件地址、電話號(hào)碼、訂單號(hào)、訂單明細(xì)以及賬單和送貨地址。