行业动态 政策法规 金融APP备案日前，由央行通知要求、中国互联网金融协会牵头组织的金融业移动金融客户端应用软件（金融APP）备案试点工作正式启动，共有 23 家金融机构进入首批试点名单。根据要求，各试点机构需要在 2019 年底前完成备案 APP 的材料提交和备案申请。未来，备案工作将在金融行业全面推广，并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

行业动态 美国 漏洞披露策略日前，美国政府的网络安全机构，网络安全与基础设施安全局 (CISA) 发布了一份指令草案，要求所有民间机构设立安全研究人员友好的漏洞披露策略，以便白帽黑客能够有明确的过程可以供他们踊跃报告漏洞。据有关人士表示，在 11 月 27 日发布的指令草案中，CISA 明确表示，部分因素构成了延迟或打消公众向政府报告潜在信息安全问题的环境，有碍于被利用或公开披露前发现及修复这些问题，希望该草案的提出能缓解这一问题。

行业动态 GitHub Security Lab 代码共享安全GitHub 最近推出了 GitHub Security Lab，供安全研究人员和开发者修复漏洞和共享专业知识的空间，旨在改善 GitHub 代码共享生态系统整体安全性。据悉，GitHub 去年被微软以 56 亿英镑收购，现在是 4,000 万开发人员的软件开发及代码库的共享平台。随后，专家表示 GitHub Security Lab 的设立将极大地帮助安全团队识别并报告开源软件中的漏洞。

行业动态 伊朗 局域网近日，伊朗境内为平息民众的对抵制油价上涨而开展的大规模抗议而被政府切断的网络已经开始逐渐恢复到常态。日前，伊朗总统鲁哈尼又表示，将会扩大 National Information Network 的局域网，并表示民众不再需要外网去满足需求，且政府有权利选择特定的网站和内容供民众浏览。随后，伊朗的精神领袖哈梅内伊也表示，这一举措是伊朗网络审核政策的必经之路。

行业动态 罚款 Facebook 匈牙利近日，匈牙利竞争管理局对 Facebook 开出了约 400 万美元的罚款。罚款的缘由为 Facbook 通过在其首页和帮助中心张贴 “免费，任何人都能参加” 之类的宣传语，声称其服务是免费的，误导匈牙利用户点击，进而收集和分析用户的消费喜好、兴趣和习惯，并将数据用于分析样本进行非法交易。

报告调研 谷歌 网络流量保护近日，研究人员表示谷歌三年前宣布开展的收紧从 Android 设备到 Web 服务的网络流量保护计划如今有了进展。根据谷歌发布的一项调查报告可以看出，2018年初，0%的应用默认封锁明文通信。过去一年到2019年5月时已经上升到了40%，并以此为拐点，到2019年10月，默认封锁明文通信的行为就迅速攀升到了80%。随后，谷歌还预测，最近规则变更，要求所有应用更新和 Google Play Store新应用针对Android 9及以上版本后，未来几个月中出自Android设备的流量会更多。

报告调研 ENISA 智能汽车安全 半/自动驾驶近日，ENISA 发布了一项关于保护智能汽车安全的调查研究，重点面向自动驾驶和半自动驾驶汽车。该研究报告旨在作为汽车行业网络安全的一个重要参考。此次报告中，ENISA 把重点放在了自动驾驶和半自动驾驶汽车最佳网络安全实践的总结和提炼。据悉，ENISA 的研究报告提供了互联和自动驾驶汽车生态系统的详细资产和威胁分类法、可以改善联网和自动驾驶汽车的网络安全切实可行的良好做法，以及扫描现有的立法，标准化和政策举措。

勒索软件 美国 CTS 医疗系统近日，美国一家专门为牙科诊所提供IT服务的科罗拉多州公司 CTS 遭受了名为 “Sodinokibi” 勒索软件的攻击，该攻击影响了 100 多所牙科诊所的运营。据悉，对 CTS 的攻击是从 11 月 25 日开始的，但至今仍影响着许多客户。但据有关人士据介绍， CTS 正在努力寻求解决方案，并表示不会支付 70 万美元的赎金。

漏洞补丁 英特尔 SGX Plundervolt上周，三个不同的学术研究团队分别发现并向英特尔报告了其 Software Guard Extensions (SGX) 安全功能中的漏洞，攻击者可能会利用该漏洞注入恶意软件，甚至窃取 AES 加密密钥。据悉，该 INTEL-SA-00289 漏洞存在于英特尔第6，第7，第8，第9和第 10 代核心处理器（Skylake及之后的型号），还有至强®处理器 E3 V5 和 V6 和至强处理器 E-2100 和 E-2200。随后，英特尔敦促客户尽快更新新的固件更新 (INTEL-SA-00289)，以利用其多个微处理器系列中的电压调节功能来阻止新型攻击技术。

漏洞补丁 西门子 全球发电厂 远程执行近日，Positive Technology 的研究人员在化石燃料和可再生能源发电厂中常见的西门子工业设备中检测出 17 个安全漏洞，其中最严重的漏洞是远程执行代码的严重漏洞。受影响的产品是分布式控制系统 SPPA-T3000，用于在美国，德国，俄罗斯和其他国家的主要发电厂协调和监控发电。西门子表示正在进行补丁更新。同时，发电厂应使用 SPPA-T3000 防火墙限制对应用程序高速通道的访问，并且不应将外部网络桥接到应用程序或自动化高速通道。专家表示，通过利用其中的一些漏洞，攻击者可以在应用服务器上运行任意代码，从而控制操作并破坏它们。这可能会停止发电，并在安装了脆弱系统的发电厂造成故障。

相关阅读

一周安全头条(20191130-1207)