302 Found


Powered by Tengine
tengine

个人信息保护白皮书发布 金融服务需建立可信环境

2018-11-30 11:14
来源:中国电子银行网
作者:韩希宇
字号:
核心提示: 通过可信环境的建设,形成业务风险保护的基础屏障,保障并推进新业务在可控的风险环境下发展,在柜面业务、移动营销、在线借贷、智慧网点与VTM等无纸化场景,安全且人性化的电子合同需求日渐升温。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞153个,互联网上出现“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒绝服务漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  《电信和互联网用户个人信息保护白皮书》发布

  白皮书详细阐述了电信和互联网用户个人信息保护的内涵,深入分析了国外用户个人信息保护形势,系统梳理了我国用户个人信息保护的现状,深刻剖析了典型问题与特征,展望用户个人信息保护趋势。>>详细

  深圳人行率先成立互联网金融风险专业应对队伍

  互联网金融风险专项整治工作开展以来,依托于专项整治行动中形成的央地联动、纵横交互的工作机制,深圳人行加强与各部门协作,建立了‘金融+政府’、‘金融+公安’、‘金融+工商’等跨部门联动机制。>>详细

  我国SM2/3/9密码算法正式成为ISO/IEC国际标准

  2018年10月,含有我国SM3杂凑密码算法的ISO/IEC10118-3:2018《信息安全技术杂凑函数第3部分:专用杂凑函数》最新一版(第4版)由国际标准化组织(ISO)发布,SM3算法正式成为国际标准。>>详细

  CFCA马关尔:新金融趋势下 建立金融服务可信环境的探索

  以ABCD(人工智能、区块链、云计算、大数据)为代表的领先技术不断助推金融业务的创新,与此同时也带来了新的问题。马关尔认为,由新技术引发的新产品和新运营模式,给监管者、货币政策制定者和金融企业带来新挑战和新考验,金融科技的发展加速了金融网络安全形势的变化。>>详细

  网上谍影:境外间谍情报机关通过互联网窃取机密

  在互联网技术高度发达和广泛应用的今天,网络与国家安全息息相关,没有网络安全,就没有国家安全。而在现实中,互联网这个看不见的战场并不平静,境外间谍情报机关通过各种手段窃取我国家机密,危害我国家安全的事件时有发生。>>详细

  明年全面推广电子客票 凭身份证就可以坐火车

  即便没带身份证也没关系,在刷脸快速通道,通过“人脸识别”机器,乘客也可以直接进站乘车。据悉,目前北京、上海、广州、深圳、杭州、武汉等绝大多数一线、二线城市都已经支持刷脸进站快速服务。>>详细

  揭秘来自第三方合作伙伴的威胁类型及防御建议

  由于第三方供应商管理的网站存在配置错误,导致美国银行信用卡发行商TCM Bank在2017年3月初-2018年7月中旬之间暴露了大量信用卡申请人数据(包含姓名、地址、出生日期、社会安全号码)。>>详细

  技术观澜

  渗透技巧——Windows系统文件执行记录的获取与清除

  站在渗透的角度,当获得了一台Windows主机的权限后,需要全面了解这台Windows主机的信息,文件执行记录是重要的部分。而站在防御的角度,文件执行记录包含系统的重要信息,对其进行针对性的清除很有必要。>>详细

  一波盗取俄罗斯用户银行卡资金的定向攻击样本分析

  一旦用户通过拷贝的方式输入目标银行账号,则会把钱转向攻击者账户。并且木马程序还会下载一个俄罗斯著名的yandex.ru门户网站提供的键盘管理工具Punto Switcher 3.1,以用于窃取用户的键盘记录,借以躲避杀毒软件的查杀。>>详细

  设计一个简单的iOS架构

  正如“100个读者就有100个哈姆雷特”一样,对于架构的理解不同的软件工程师有不同的看法。架构设计往往是一个权衡的过程,每一个架构设计者都要考虑到各个因素,比如团队成员的技术水平、具体的业务场景、项目的成长阶段和开发周期。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年11月19日-2018年11月25日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞153个,其中高危漏洞61个、中危漏洞82个、低危漏洞10个。漏洞平均分值为6.27。上周收录的漏洞中,涉及0day漏洞38个(占25%),其中互联网上出现“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒绝服务漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  IBM产品安全漏洞

  IBM API Connect(又名APIConnect)是一套用于管理API生命周期的集成解决方案。IBM WebSphere MQ是一款消息传递中间件产品。IBM WebSphere Portal是构建和管理Web门户的企业软件。其提供对Web内容和应用程序的访问,同时为用户提供个性化体验。IBM Rational Engineering Lifecycle Manager可视化、分析及组织工程生命周期数据和数据关系。IBM Security Key Lifecycle Manager使加密密钥管理流程集中化、简化和自动化,帮助最大限度降低加密密钥管理的风险和运营成本。IBM OpenPages GRC Platform是一套用于管理企业风险和合规性的平台。IBM Cloud Private是一套企业私有云解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行恶意的命令,发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:IBM API Connect CSV注入漏洞、IBM WebSphere MQ拒绝服务漏洞(CNVD-2018-23884)、IBM WebSphere Portal开放重定向漏洞(CNVD-2018-23906)、IBM Rational EngineeringLifecycle Manager XML外部实体注入漏洞、IBM Security Key LifecycleManager 认证缺失漏洞、IBM Security Key LifecycleManager 不当认证漏洞、IBM OpenPages GRC Platform信息泄露漏洞(CNVD-2018-23915)、IBM Cloud Private信息泄露漏洞。其中,除“IBM WebSphere MQ拒绝服务漏洞(CNVD-2018-23884)、IBM OpenPages GRC Platform信息泄露漏洞(CNVD-2018-23915)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Foxit产品安全漏洞

  Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。上周,上述产品被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。

  CNVD 收录的相关漏洞包括:Foxit Reader 和Foxit PhantomPDF for Windows内存错误引用漏洞(CNVD-2018-23724、CNVD-2018-23722、CNVD-2018-23723、CNVD-2018-23725、CNVD-2018-23726、CNVD-2018-23727、CNVD-2018-23729、CNVD-2018-23730)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Google产品安全漏洞

  Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux 为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Google Androidwcd_cpe_core 内存错误引用漏洞、Google Android MDSS驱动程序拒绝服务漏洞、Google Android Kernel拒绝服务漏洞、Google Chrome GPU拒绝服务漏洞、Google gVisor权限提升漏洞、Google Monorail 跨站点搜索漏洞(CNVD-2018-23925、CNVD-2018-23926、CNVD-2018-23927)。其中,“IBM Rational Quality Manager权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Microsoft产品安全漏洞

  Microsoft Excel是一款电子表格处理软件。Microsoft Team FoundationServer是一套应用程序生命周期管理(ALM)工具套件中的源代码管理、项目管理和团队协作平台。Microsoft Outlook是一款Office 套件中所捆绑的电子邮件客户端软件。Microsoft Word是一款文字处理软件。Microsoft Windows 7 SP1是一套个人电脑使用的操作系统。Windows Server 2008 R2 SP1是一套服务器操作系统。Internet Explorer(IE)是其中的一款Windows系统附带的浏览器。Bing Places for Business 是一个Bing门户网站,让本地企业主在Bing上为他们的业务添加一个列表。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,破坏内存等。

  CNVD收录的相关漏洞包括:Microsoft BingPlaces -TrackEmailOpen (url)开放重定向漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2018-23749)、Microsoft Team Foundation Server跨站脚本漏洞、Microsoft Word远程代码执行漏洞( CNVD-2018-23753)、Microsoft Outlook 信息泄露漏洞( CNVD-2018-23750 、CNVD-2018-23751)、Microsoft InternetExplorer信息泄露漏洞(CNVD-2018-23919)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-23924)。其中,“Microsoft Excel远程代码执行漏洞(CNVD-2018-23749)、Microsoft Word远程代码执行漏洞(CNVD-2018-23753)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2018-23924)”的综合评级为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Dell EMC ESRS Policy Manager

  远程代码执行漏洞

  Dell EMC ESRS是戴尔公司一款安全远程支持服务程序,Policy Manager可以为客户端管理的设备设置权限。上周,Dell EMC ESRS PolicyManager被披露存在远程代码执行漏洞。攻击者可利用该漏洞在受影响应用程序中执行任意代码,失败的攻击会造成拒绝服务。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

  小结

  上周,IBM被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行恶意的命令,发起拒绝服务攻击等。此外,Foxit、Google、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,破坏内存或发起拒绝服务攻击等。另外,Dell EMC ESRS Policy Manager被披露存在远程代码执行漏洞。攻击者可利用该漏洞在受影响应用程序中执行任意代码,失败的攻击会造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、央视网、国家密码管理局、中国信通院、深圳特区报、嘶吼RoarTalk、FreebuF.COM、51CTO、雷锋网报道

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站