1、第二届内地-香港网络安全论坛成功举办 中国网 10 月 18 日消息 2017 年 10 月 15 日，第二届内地-香港网络安全论坛在厦门市成功举办，中央网信 办网络安全协调局局长赵泽良、香港特区政府资讯科技总监杨德斌出席，来自两地政府、高校和产业界的约 150 名专家代表参加了论坛。论坛邀请了北京大学、四川大学、中国电子技术标准化研究院，以及香港个人资料私 隐专员公署、智能城市联盟数据产业委员会的专家，围绕两地数据安全保护政策法律、个人信息保护标准与实 践、网络安全人才培养等共同关心的话题，同两地代表进行了交流讨论，分享了经验做法。

2、美国联邦能源监管机构（FERC）将采取行动改善电网安全 HackerNews.cc10 月 21 日消息 随着国家对网络攻击的日益关注，其关键基础设施越来越需要保护。美国 能源部曾于 2017 年 1 月发布的《Quadrennial Energy Review》中写道：“黑客对电力系统的威胁日益复杂，模和频率都在不断增加。目前，电力系统的可靠性几乎支撑了现代美国经济的每一个领域。为应对此类攻击， 美国联邦能源管理委员会（FERC）近期提出新网络安全管理控制措施，以增强国家电力系统的可靠性与弹性。 目前，FERC 提议批准关键基础设施保护（CIP）的可靠性指标 CIP-003-7（网络安全-安全管理控制），旨在降 低可能影响电力系统运行的网络安全风险。据悉，新指标将特别改进现有的访问控制标准：阐明适用于低影响 网络系统的电子访问控制义务，对临时电子设备（如 thumb 驱动器和笔记本电脑）采取强制性安全控制，制定 实体宣传和回应 CIP 与低影响网络系统有关的特殊政策。

3、美国土安全局要求所有联邦机构在其电邮系统中部署 DMARC cnBeta.COM10 月 17 日消息 据外媒报道，当地时间周一，美国国土安全局（DHS）宣布了一项针对冒名 顶替的政府电子邮件的举措。在未来的 90 天内，所有联邦机构都将要在其系统内部署 DMARC 邮件安全功能。 DMARC 全称 Domain-based Message Authentication, Reporting and Conformance，即基于域名的消息认证、报告 以及一致性。大多数消费类电子邮件系统都采用了这项功能。今年 7 月，俄勒冈州民主党参议员 Ron Wyden 就 曾写信给 DHS 网络安全与通信办公室的 Jeanett Manfra 要求在联邦机构中部署 DMARC。今年 5 月，一起假装 五角大楼的欺诈邮件网络攻击发生。而在 2015 年至 2016 年之间，国税局遭到的冒名网络攻击事件数量增加了 4 倍。Manfra 指出，DMARC 将能阻止这种冒名邮件的网络攻击。另外，DHS 还要求所有联邦机构的网站都用 上 HTTPS。获悉，仍有近 1/4 的联邦政府网站还没有开始使用 HTTPS。

4、俄罗斯将开始对虚拟货币挖矿行为展开监管 cnBeta.COM10 月 18 日消息 据外媒报道，在决定推出自己的虚拟货币 CryptoRuble 之后，现在，俄罗斯联 邦政府又作出了禁止虚拟货币挖矿行为的决定。俄通信部长 Nikolay Nikiforov 指出，虚拟货币必须不能作为私 人货币存在，它将由国家发行、控制，与此同时它能够在数字经济中提供数字货币流通。目前还不清楚这一决 定将对比特币等虚拟货币的影响。不过由于俄罗斯方面并没有以禁止其他虚拟货币的使用，所以它带来的影响 范围可能不会太大。据了解，实体卢比和虚拟货币 CryptoRuble 将能相互兑换，但如果兑换者无法解释来源的 话政府将需要对其征收 13%的税收。此外，如果两者之间出现价格差，那么政府将通过征税的形式弥补这一差 价，进而使这两者保持在同一水平。

5、南非史上最大数据泄露事件：3000 万公民信息暴露于互联网上 E 安全 20 月 20 日消息 据外媒 10 月 18 日报道，网络安全专家近期发现一份逾 27G 转储文件，其包含 3000 万南非公民的身份号码、个人收入、年龄、就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家 庭地址等敏感信息。知名媒体 iafrikan 透露，该批数据来源于 Dracore Data Sciences 企业的 GoVault 平台，其公 司客户包括南非最大的金融信贷机构——TransUnion。随后，安全研究人员经调查后发现该公司将用户数据发 布到一台完全未经保护的 Web 服务器上，其允许任意用户进行访问。研究人员表示，这可能是南非最大的一次 数据泄露事件。虽然尚未发现数据已被黑客利用，但这可能只是时间上的问题。

6、WiFi 漏洞几乎影响所有无线设备 新浪网 10 月 17 日消息 北京时间 10 月 17 日早间消息，有计算机安全专家发现了 WiFi 设备的安全协议存 7 在漏洞。这个漏洞影响许多设备，比如计算机、手机、路由器，几乎每一款无线设备都有可能被攻击。漏洞名 叫“KRACK”，也就是“Key Reinstallation Attack”（密钥重安装攻击）的缩写，它曝露了 WPA2 的一个基本漏 洞，WPA2 是一个通用协议，大多现代无线网络都用到了该协议。计算机安全学者马蒂·凡赫尔夫（Mathy Vanhoef） 发现了漏洞，他说漏洞存在于四路握手（four-way handshake）机制中，四路握手允许拥有预共享密码的新设备 加入网络。在最糟糕的情况下，攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量 中。换言之，攻击者通过漏洞可以获得一个万能密钥，不需要密码就可以访问任何 WAP2 网络。一旦拿到密钥， 他们就可以窃听你的网络信息。漏洞的存在意味着 WAP2 协议完全崩溃，影响个人设备和企业设备，几乎每一 台设备都受到威胁。

国家互联网应急中心（CNCERT）