行业动态  等级保护2.0标准3月26日，网络安全论坛上，公安部网络安全保卫局的处长祝国邦做了题为“等级保护标准2.0解读”的演讲。会议明确表示，等级保护2.0标准在今年4月份有望出台。这也意味着我国等级保护工作将步入一个新的阶段——等级保护标准2.0时代。

行业动态  国家安全  华为欧盟委员会周二宣布了他们对安全引入5G网络的计划，这一计划间接地指向了华为。美国指控华为涉嫌对西方网络存在安全问题，同时对欧洲国家施压，而同时一些欧洲国家依然在和华为商谈有关5G网络的合作计划事宜，欧盟决定让各国在6月30日之前上报对他们国家网络框架的安全威胁。之后，欧洲网络与信息安全局（ENISA）将于10月1日就整个欧洲的环境发布一份安全评估；欧盟国家将根据这份报告来思考采取何种方式和措施。

行业动态  Pwn2Own 2019大赛近日，在加拿大温哥华举行的CanSecWest安全峰会的年度Pwn2Own竞赛中针对 Safari、Oracle VirtualBox、VMware Workstation、Firefox 和 Microsoft Edge 的攻击中，Cama和Zhu在三天内共获得了 375000 美元现金以及一辆入侵成功的特斯拉。据悉，Pwn2Own Vancouver 2019为 Apple Safari，Microsoft Edge 和 Windows、VMware Workstation、Mozilla Firefox 和 Tesla 信息娱乐系统中的 19 个漏洞提供了共计 545000 美元的丰厚奖励。

行业动态  国家安全 华为

近日，英国公开谴责中国华为没有解决其移动网络设备中由来已久的安全漏洞，披露了新的“重大技术问题”。在发布的报告中表示，华为的软件开发流程继续存在着问题，并没有取得实质性进展，“给英国运营商带来了显著增加的风险”，并表示了自己对解决安全漏洞的不信任。随后，华为在一份声明中表示，它对该监管委员会的担忧“非常重视”。据悉，2018年间，华为已经为其与英国之间的承诺斥资逾20亿美元，但同时表示可能需要长达五年的时间才能看到结果。

行业动态  黑客组织  微软在法院表示允许微软采取行动之后，微软关闭了99个与伊朗政府有关的黑客组织的网站。这些网站据称属于黑客组织Phosphorus，又称APT35、Charming Kitten和Ajax Security Team。这些网站利用伪造的微软安全警告进行钓鱼攻击，目标包括了大型企业、政府、军事机构等。

融资并购  工控安全工业网络安全公司CyberX周一宣布获得战略性融资1,800万美元，总融资额达4,800万美元。CyberX成立于2013年，提供资产管理、风控管理、以及监测响应能力。CyberX的产品也能和Splunk、IBM、思科等其他安全供应商的产品集成，帮助企业同时管理IT和OT环境。

融资并购  身份安全统一身份提供商Proxy近日宣布获得A轮融资1,360万美元，总融资额达1,660万美元。同时，公司发布了自己的Proxy Signal产品，基于智能手机的统一身份信号，从而给公司员工带来无感知接入以及定制化的用户体验。

调查报告 网络安全支出近期，国际数据公司(IDC)发布《全球半年安全支出指南》报告。报告数据表明，2018-2022年，安全相关硬软件及服务的全球支出总额年复合增长率将达9.2%，2022年安全支出额可至1,338亿美元。IDC表示看好托管安全服务支出的增长势头。中国也将在近几年成为继美国之后的是第二大安全市场，省/地方政府、电信和中央政府占去全国45%的安全开支。

调查报告 无钥匙汽车安全近日，Thatcham开展了一项基于对十一款新车辆系统安全性的调查测试，并推出了新的安全性评级系统。测试结果显示，有四款车型达到了“优秀”的安全等级，它们分别是奥迪e-tron、捷豹XE、路虎Evoque和梅赛德斯B级。雷克萨斯、丰田、福特和保时捷汽车的无钥匙汽车安全系统被贴上了“差”的标签。铃木吉姆尼的安全性最为糟糕，以至于Thatcham给出的评定为“不可接受”。

技术产品  工控安全  资产盘点近日，工业网络安全公司Dragos Inc.发布两款免费工业控制系统(ICS)资产发现工具——Cyberlens和Integrity。据悉，两款工具功能强大，可提供工业资产识别、ICS网络及数据流虚拟化，以及对 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS产品的基本深度包检测功能。

工控安全  勒索病毒挪威铝业巨头Norsk Hydro在遭到勒索病毒攻击一周后表示，由于病毒造运作中断，估计造成经济损失超过4,000万美元——而这只是第一周的损失，而Hydro周二表示，完全修复受影响系统可能会需要数周。但是，公司也表示，他们并不会支付任何赎金，并且已经清理了所有被感染的服务器和计算机，同时已经基于备份开始数据修复。

网络犯罪  邮件欺诈美国FBI下属的网络犯罪投诉中心（IC3）最近发布报告指出，在2017年12月到2019年2月之间，总共收到来自美国27个州共350份有关“中国大使馆欺诈”的举报，受害人总损失达4,000万美元。该攻击主要针对了在美国和澳大利亚的中国留学生或者工作者，发送邮件告知受害人签证过期、身份被盗、或者卷入犯罪事件等，然后进行勒索敲诈。有证据指出，这些受害人的信息都曾在中国或者美国的信息泄露事件中被泄露。

信息泄露  数据库安全近期，世界最大期刊出版商之一的 Elsevier被发现错误配置了其数据库，导致外界可以公开访问其订阅用户的密码和电邮地址，受影响的主要是世界各地的高校和研究机构。据悉，该网站大部分用户的电邮后缀是.edu，意味着要么是学生要么就是教师。目前，Elsevier修复了问题，称没有发现数据被误用的迹象，表示会采取预防措施通知受影响的用户和重置账号密码。

信息泄露  口令安全3月28日早间消息，一名信息安全研究员两个月前向华硕发出警告称，有华硕员工在GitHub代码库中错误地发布了密码。通过该密码，研究员可以访问内部开发者和工程师使用的电子邮件帐号，从而与计算机的使用者分享夜间构建的应用、驱动和工具。目前，该密码已经被删除，但研究人员还表示GitHub中至少还存在2位以上的华硕内部账户名、密码。

信息泄露  美国联邦应急管理局据外媒报道，美国国土安全部监察长办公室发布了一份报告，联邦应急管理局（FEMA）没有保护好约230万飓风幸存者的个人信息。2017年，受哈维、玛利亚、厄玛飓风和加利福尼亚的野火和飓风影响的居民获得了政府提供的过渡性庇护援助（TSA）。但联邦应急管理局没有保证幸存者的信息安全，导致他们很容易遭受身份盗窃和欺诈。

信息泄露  求职信息安全近日，号称拥有全国最大简历库的招聘类数据公司巧达科技被曝公司所有人员被警方带了这家公司曾宣称通过整合多达2.2亿份自然人简历、10亿份通讯录、100亿个用户识别ID组合和1000亿+用户综合数据，绘制出了涉及中国8亿人口的多维度数据。其中，包含个人隐私与非隐私信息。目前，该公司已被封，该其旗下则拥有“爱伙伴”、“简历时光机”等在内10多款招聘相关产品也已经停止服务。

漏洞补丁  UC浏览器  中间人攻击近期，Dr.Web恶意软件分析师发现UC浏览器存在中间人攻击漏洞，允许远程攻击者将恶意模块推送到目标设备。而根据 BleepingComputer 的测试结果，桌面端UC浏览器可能同样容易遭受中间人攻击，导致攻击者可以在用户电脑上下载恶意拓展。

漏洞补丁  华硕  恶意文件上传据外媒报道，卡巴斯基实验室（Kaspersky Labs）研究人员发现，华硕Live Update软件存在代号为Operation ShadowHammer的安全漏洞，允许黑客向华硕计算机发送带有后门程序的恶意软件。据悉，今年1月份，黑客组织就此漏洞开展了一轮有针对性的攻击。 据卡巴斯基统计数据显示，目前已有超过5.7万用户下载安装该软件，研究人员预估有50万台Windows设备接收了恶意后门文件。

漏洞补丁  苹果苹果周一发布了新的更新，总共修复了51个iOS漏洞。其中，最有威胁的漏洞ReplayKit API的漏洞能让恶意应用不需要用户认证的情况下接入iPhone、iPad或者iPod touch的麦克风；另一个漏洞则能让网站通过Safari接入麦克风而不被通知。其他漏洞的隐患则包括了远程代码执行、远程系统崩溃等。

漏洞补丁  移动互联网

韩国科学技术院（KAIST）的研究者近日表示，他们在LTE的协议中发现了36个新的安全隐患。研究者称，他们将自己的发现分为五类：未受保护发起过程的不恰当处理、故意制作的空白请求、完整性保护无效的信息、重发信息、绕过安全措施。这些隐患能造成正常用户无法使用LTE服务、仿造信息、操控用户流量的问题。

漏洞补丁  思科思科发布了新的补丁，在自己的IOS与IOS/XE软件上进行了17项修复共19个漏洞。但是，同时思科也表示，之前发布的两个对RV320与RV325 Dual Gigabit WAN VPN路由器的补丁并不完善，在今后需要重做以及重新发布。这两个未修复的漏洞分别会造成攻击者可以利用root权限实行任意指令，或者下载路由器配置信息与详细的诊断信息。