CONTENTS 总第365期 - secdoctor.com · 风险也需要作出评估。影子it、滞留、权限、共享及访问控制需要留心监视，每个业务过程和gdpr对这些过程造成影响的方面都

舆情消息

04 GDPR的最大困难在于其定义的个人数据

07 从到乌克兰电网到德国钢厂：攻击工控系统五大真实案例

产业观察

11 网络安全新领域：船舶航运业

13 百亿年收入的网络安全企业如何成就

19 云计算落地医疗五大痛点，安全性首当其冲

22 26%的公司忽略安全漏洞，借口是没有时间去修复

23 身份管理的12个趋势

政府之声

29 陕西印发《陕西省2018年数字经济工作要点》

30 川滇开建中国首个地下云图网首个监测站设在汶川

31 武汉“马上办、网上办、一次办”改革提升审批服务水平

32 “互联网+”“海洋+”勾勒发展新蓝图——山东青岛抓

住“牛鼻子”激发新动能

学术交流

34 数据中心网络运维可视化新技术漫谈

37 和传统SIEM说再见的10个理由

39 双因子认证又怎样？凯文·米特尼克演示怎样绕过

黑客攻防

41 黑客公布Signal通讯软件中的代码注入攻击

42 黑客是如何在道路交通网络上引发混乱的

44 俄罗斯黑客伪装恐怖分子|Equifax更多细节流出|希腊土耳

其网络大战

安全动态

45 网络安全信息与动态周报(2018.04.30至2018.05.06)

49 比特币网络比互联网邪恶3到10倍

51 “互联网+政务”时代，政府大数据安全如履薄冰

53 TreasureHunter PoS恶意软件的源代码泄露

55 35万台ICD和心脏起搏器存在多个致命缺陷

56 各大操作系统误读英特尔文档致内核可被劫持或崩溃

59 Python官方库软件包SSH-Decorator被植入后门

业界新闻

61 2018年5月全国各地区有关区块链政策的整理

64 暗网儿童个人信息数据增长182%，儿童身份盗用成为获

利新手段

65 安卓、iOS双平台现重大安全漏洞，微博、网易云音乐等

大型应用均受影响

主办中国信息安全博士网

协办国工信科技发展（北京）有限公司

“安全圈”

总编辑刘晴

执行主编扶苏

编辑部黄冬宇杨帆迟涛

美术编辑迟涛

特约记者边锋郭子扬

网址 www.secdoctor.com

广告发行北京艾得威尔信息咨询中心

联系电话 010-84937005/84937006

联系人迟涛

投稿邮箱 [email protected]

2018年05月2期刊总第365期CONTENTS

目录

宗旨政府的智库行业的参谋产业的推手

学术的高地媒体的先锋

2018/05/2期刊安全周报

舆情消息

《通用数据保护条例》把更好地管

理个人数据的责任放到了企业身上。但他

们知道

G D P R定

义的个

人数据

都在哪

儿吗？

有些领域可是很容易被忽视掉的。

欧盟的GDPR将极大改变公司企业对待

数据保护的态度与方法，安全团队响应度退

居次席，找出个人数据存放点的速度和准确

度被提上前台。个人数据问题成为公司企业

最担心的问题。(编者注：这也是BigID之所

以获得RSA创新沙盒冠军的关键原因)

5月25日正式生效的闸门即将落下，

很多企业却依然持有大量个人可识别信息

(PII，从cookie数据到设备标识符再到IP

地址都属于PII范畴)，这些信息广泛分布

在现场系统和云端。在你进入这个模糊的

世界之前，你要确定你的业务是数据控制

器还是处理器。

PII是什么？该如何使用？

GDPR之下，个人数据处理涵盖范

围比之前的本地数据保护法规要广。

GDPR第2条即声明，该条例适用于全部

或部分通过自动化方式进行的个人数据

处理，以及除自动化方式之外构成或拟

构成归档系统一部分的个人数据处理。

于是，个人数据的定义到底是什么？

第4条中，个人数据指“与已识别或可

识别自然人(数据主体)相关的任何信息；

可识别自然人是可被直接或间接识别，特

别是可被姓名、ID号、位置数据、在线ID

或特定于该自然人的物理、生理、遗传、

心理、经济、文化或社会身份的多种因素

参照的自然人。”

也就是说，个人数据包括了IP地址和

cookie数据，GDPR又引入了诸如主体查阅请

求(SAR)、被遗忘权/删除权、数据可移植性

等新概念。欧盟公民如今有权知道自己被收

集了什么数据，而PII广泛存在于从电子邮

件和社交平台到人力资源(HR)、人力资源管

理(HCM)和顾客关系管理(CRM)系统的事实，

也成为了公司企业的担忧之源。

范围界定是第一步

无论公司规模是大是小，弄不清数据

存放位置都是个大麻烦。那英国酒吧连锁

店Wetherspoons做个例子，这家公司明显

删除了其50万+的电邮营销数据库并从头再

CONTENTS目录

海外来风

67 近400个政企网站感染Coinhive恶意软件，秘密挖掘加密货币

68 开发者误读芯片厂商调试文档，导致Windows、macOS

和Linux等主要操作系统出现新内核漏洞

热点

广告索引：

16 首届中国军民融合保密论坛

28 第十一届中国信息安全博士论坛

40 信息安全实训平台

48 信息安全攻防竞赛平台

62 中国信息安全博士网

70 中国信息安全人才网

71 信息安全实验教学产品系列

敬请关注中国信息安全博士网

微信公众帐号

GDPR的最大困难在于其定义的个人数据


舆情消息 2018/05/2期刊安全周报

舆情消息

来，大概是觉得自己不会再得到许可，也无

法恰当地管理并保护好那些个人数据了。

当时这家公司在发给媒体《连线》的声

明中称：“权衡之下，我们甚至连客户的电

子邮件地址都不愿持有。我们持有的客户信

息越少，与这些数据相关的风险就越小。”

公司企业需先认清自己是数据处理者还

是数据控制者，以及自己手中到底掌握着哪

些数据。第一步就是识别出谁有权访问PII数

据，以及他们是控制者还是处理者。数据的

位置也是需要掌握的，比如是不是基于云的

邮件系统。接下来就是查清这些数据的风险

和安全状况，确定自动化处理过程。理解那

些影响公司的覆盖GDPR的法律也是正确符合

GDPR规定的重要一步。

找出非预期PII的步骤

GDPR列出了个人数据处理的6条法律原因：

同意、合约、法律义务、切身利益、公共任务和

合法权益。一旦识别出手中PII及其位置，公司

就需要为持有这些PII或改变处理过程找到法律

依据，以便及时停止引入不需要的PII。

首先，怎样找出PII？核心运营系统之

外，以下地方是PII最有可能藏身的：

• 云App，包括那些为经公司允许的

• 在线文件共享服务

• 可移动载体

• 实体存储(文件柜)

• 第三方/供应链提供

• 临时文件

• 沙箱/测试系统

• 备份系统

• 雇员设备

GDPR是真正的数据保护条例，无论是模

拟数据还是数字数据；所以我们该做的第一

件事就是后撤一步，环顾所有可以写下、打

印、扫描或创建资料，并将资料存储为数字

内容的地方。影子IT会含有很多本不应出现

在那儿的个人数据，还有可移动USB记忆棒和

备份系统也是藏匿个人数据的潜在地方。

真的是必须各个地方都翻找一遍，字面

意义上的“各处”，包括文件柜、第三方存

储、文件服务器等等。弄清个人数据都是些

什么是第一步，所以信息分类是前置条件，

只有分类了才会在看到数据时知道是不是个

人数据。有些公司企业不得不二次返工个人

数据查找过程就是因为没在一开始就规范化

自己查找的东西。

或许，Cambridge Analytica丑闻之后，

供应链也将很快感受到GDPR的效力：供应链

绝对是个需要重点翻找的地方。备份和档案

柜也应该找找。同时，应谨记：GDPR正好降

临在人类知识大迁移进程的中间。

所谓的大迁移，指的是从现场存储转

移到云存储。迁移本身不是什么坏事，通常

都能降低存储开支或者避免硬盘存储空间告

急。因此，大多数企业都是一股脑整体迁

移，连所迁内容里都有些什么都不完全了

解。肯定会有各种各样的敏感个人数据在无

意间被搬到了云端。

测试系统中也会用到太多真实数据。对

很多企业而言，非结构化数据会是个盲点。

共享文件夹、临时硬盘等等都是盲点，没什

么简单的办法可以搜索个人数据，个人数据

是比更好理解的PII宽泛得多的一张网。

很多公司都会用第三方服务实现员工服

务、工资发放、养老金、保险等等。所有此

类第三方公司都会持有客户公司员工的大量

敏感数据。不用戴着尽职审查的滤镜看待这

些公司，只需想想这些信息是怎么共享的就

够了。如果装在加密附件里用电子邮件来回

传输，那就不仅是坐等发往错误地址的事故

发生，还会导致更大的问题——该数据在内

部经由电子邮件归档等途径迅速增殖。

公司企业当如何迈进？

过程很重要！GDPR要求实现“恰当的

技术性和组织性方法以维持适合风险的安全

水平”。所以，想要证明公司具备恰当的方

法，IT基础设施和过程就需要被记录在案，

风险也需要作出评估。影子IT、滞留、权

限、共享及访问控制需要留心监视，每个业

务过程和GDPR对这些过程造成影响的方面都

需要纳入考虑范畴。

有两个关键动作应优先处理。第一个，

设置管理项目风险和实现“初始安全”的过

程。第二个，定义个人数据，执行发现过程

以找出BAU中的个人数据，然后以采用大量关

键控制的分流过程执行高层级的风险评估，

实现个人数据所需80%的安全。比如说，访问

控制审查、日志和监视、漏洞管理等等就可

以入选十大关键控制技术。

虽然加密和伪匿名技术很棒，但它们其

实相当不容易实现。这些技术用来保护数据很

好，但如果使用不当，也会给公司留下一种数

据受到保护的错觉，而实际上数据早已流失。

太多公司企业其实连基础工作都没做

好，比如某家跨国银行就压根不知道自己到

底有多少台服务器，这些服务器都是用来干

什么的。这种企业恐怕谈不上什么GDPR合

规。最好把个人数据筛查和风险评估的优先

级置于任何特定技术性控制之上。ICO已经充

分提示了基于风险的方法。而要切实做到基

于风险，查清风险概况是基础。

公司企业还应避免被供应商牵着鼻子

走，号称提供“GDPR合规”的产品仅仅是给

你针对某些特定问题的解决方案罢了。

来源：安全牛




舆情消息

70%的IT和运营技术专业人员担心网络攻

击会造成计算机和工业系统的物理损坏，这

些损坏不

仅需要耗

费大量财

力进行灾

后恢复，

严重的甚

至可能危及人命。

今年3月，美国各机构警告称，俄罗斯政

府部门正在针对美国的关键基础设施进行广

泛的攻击活动，旨在确保在最敏感的网络中

站稳脚跟。

攻击者利用鱼叉式网络钓鱼邮件和水坑

攻击来危害受害者的计算机系统。根据美国

国土安全部和联邦调查局发布的警告称，一

旦这些恶意行为者在受害者网络中立足，他

们接下来就会进行网络侦察，收集用户名和

密码等信息，以及利用其他额外的主机。

这些机构警告基础设施提供商称，俄罗

斯政府黑客的渗透行为应该是准备肆虐造成

美国经济损失的第一步。

美国国土安全部和联邦调查局在今年3月

份发布的通知中指出，

“美国国土安全部和联邦

调查局将这一活动定性为

由俄罗斯政府网络行动

者组织的多阶段入侵运

动，这些活动针对的是小

型商业设施的网络，他们在其中安装恶意软

件，进行鱼叉式网络钓鱼并获得远程访问能

源部门网络的权限。在获得访问权后，俄罗

斯政府网络行动者就会进行网络侦察，横向

移动，收集有关工业控制系统的信息。”

随着关键系统越来越多地与互联网连

接，网络攻击对物理基础设施的风险和影

响——也就是所谓的“网络-物理攻击”——

都在增长。在很多情况下，将数字世界与物

理世界连接起来的运营网络中包含了更多老

旧、落后的技术，因此更为脆弱，也更难实

现技术更新。

运营网络安全提供商Claroty的联合创始

人兼业务开发主管Galina Antova表示，“当

我们谈论关键基础设施时，其不仅仅只是电

网，而是世界上在工业网络上运行的一切。

从网络安全的角度来看，由于在这些网络上

运行的多是遗留系统，因此它们的安全性实

际上相当脆弱。”

这种脆弱性已经在现实世界中得到了

反复证明。乌克兰电网已经被俄罗斯袭击者

关闭；医院运营受到勒索软件攻击的困扰；

制造商和运输公司因勒索软件而被迫停工；

黑客甚至还用污水淹没了湿地、造成钢厂关

闭，以及损坏了熔炉。

Juniper Networks威胁实验室负责人

Mounir Hahad表示：“无论我们喜欢与否，

我们都生活在一个互联世界中。这意味着网

络攻击面正在不断增长，并与现实世界更为

紧密地交织在一起。此外，世界各地的政治

不稳定局面以及明确归因的困难性，都为进

攻性网络能力提供了一片肥沃的土壤，使其

能够在相对不受惩罚的情况下肆意行使”。

以下五起网络攻击工控系统的典型案

例：

1、攻击乌克兰电网

一些国家的攻击意图是能够在竞争国的

电网中站稳脚跟。最近两起成功的袭击事件

均与俄罗斯有关，攻击影响了乌克兰发电公

司的正常运营，并为该国造成了严重的电力

中断局面。

2015年12月，网络攻击者利用他们在乌

克兰能源网络中的立足点关闭了三家电力配

送公司，此次事件被称为“oblegnergos”，

结果导致225,000家用户在寒冷的冬季无电

可用。尽管攻击者破坏了电力公司对袭击事

件进行调查的尝试，但停电只持续了几个小

时。

一年后，攻击者再次袭击了乌克兰的能

源公司，将基辅市部分地区的电力中断了大

约一个小时。

由此，不难理解在一项针对能源领域

151名安全专业人员进行的调查结果显示，

70%的受访者担心网络攻击造成的“灾难性故

障”。

Tripwire产品管理和战略副总裁Tim

Erlin在一份声明中表示：“能源公司已经

接受了数字威胁会带来实际后果的事实。而

且，这种看法可能会因为最近发生的一些旨

在影响实际操作的攻击行为而日渐加剧。”

2、WannaCry和NotPetya勒索软件攻击

2017年，两款在全球范围内肆意传播的

勒索软件攻击——WannaCry和NotPetya——

为国际社会造成了异常惨重的损失。其中，

WannaCry于2017年5月发布，影响了英国医院

以及诊所的系统，导致其2万多个预约取消，

并关闭了法国汽车制造商雷诺的工厂。

不到2个月的时间，一款名为NotPetya

的勒索软件再次席卷了全球众多大型跨国公

司，造成了数亿美元的损失。据联邦快递

(FedEx)估计，此次攻击为其造成了3亿美元

的损失；而制药商Merck估计，此次攻击为其

造成的销售损失高达1.35亿美元，单季度损

失1.75亿美元，而且预计最终的理赔将使整

体损失翻倍。

随着越来越多的关键业务系统连接到互

联网，诸如勒索软件等攻击将对企业产生越

来越大的影响。

Clar o t y公司的Anto v a表示，“像

NotPetya这样的攻击是非常危险的，因为它

们可能会蔓延到商业和工业网络中。作为一

从到乌克兰电网到德国钢厂：攻击工控系统五大真实案例



舆情消息

种副作用，恶意软件可能会跨越这些边界并造

成损害。”

3 、网络物理攻击之父： “ 震

网”(Stuxnet)

美国和以色列在Stuxnet病毒上的合作

(有人指出该病毒是美国国家安全局和以色列

军方情报组织开发的)，成功地将网络攻击转

化为现实世界的实际损失。据悉，当时有人

故意把含有计算机病毒“震网”(Stuxnet)的

U盘丢掉，让伊朗核能设施的员工捡到，该员

工把U盘插入计算机后，计算机立刻中毒。之

后通过设施内部网络陆续控制了德国西门子制

的PLC，让数千台离心机超载，造成物理性的

破坏。据以色列情报机构负责人所言，此次攻

击最终导致伊朗的核武开发计划延后了四年之

久。

然而，这次攻击也向世界展示了网络攻

击可能对工业网络造成的物理损害的规模。在

短短几年内，伊朗又对Saudi Aramco石油公司

(沙特阿拉伯的国有石油生产商)的系统进行了

攻击，对该公司成千上万个硬盘进行了加密。

2017年，类似的代码攻击了Sadara公司——

Aramco和Dow Chemical公司之间的联合化学合

作伙伴。2017年8月，在另一起针对沙特阿拉

伯一家公司的攻击活动中，要不是由于代码中

存在一个错误，将可能会引发爆炸。

Juniper公司的Hahad表示，“此次攻击

再一次突破了网络物理攻击的底线，因为其目

的是引爆工厂，而不再仅仅是感染系统、窃取

情报等意图。”

4、澳大利亚马卢奇污水处理厂非法入侵

事件

2000年3月，澳大利亚昆士兰新建的马卢

奇污水处理厂出现故障，无线连接信号丢失，

污水泵工作异常，报警器也没有报警。本以为

是新系统的磨合问题，后来发现是该厂前工程

师Vitek Boden因不满工作续约被拒而蓄意报

复所为。

据悉，这位前工程师通过一台手提电脑

和一个无线发射器控制了大约140个污水泵

站；前后三个多月，总计有100万公升的污水

未经处理直接经雨水渠排入当地的公园和河

流中，导致当地环境受到严重破坏。最终，

Boden因此次入侵行为被判入狱2年。

澳大利亚环境保护局调查经理Janelle

Bryant当时表示，“此次事故造成大量海洋生

物死亡，河水也开始污染变黑，发出的恶臭味

让附近居民无法忍受，甚至会危害居民身体健

康。”

5、德国钢厂遭受“巨大损害”

2014年底，德国联邦信息安全办公室

(BSI)发布了一份《2014年信息安全报告》，

这份长达44页的报告中披露了一起针对IT安全

关键基础设施的网络攻击，并造成重大物理伤

害。受攻击方是德国的一个钢铁厂，遭受到高

级持续性威胁(APT)攻击。攻击者使用鱼叉式

钓鱼邮件和社会工程手段，获得钢厂办公网络

的访问权。攻击者技术非常熟练，且十分熟悉

这些系统，暗示着他们可能是国家支持的威胁

行为者。

据悉，攻击者在获得钢厂办公网络的访

问权后，就利用这个网络，设法进入到钢铁厂

的生产网络。攻击者的行为导致工控系统的控

制组件和整个生产线被迫停止运转，由于不是

正常的关闭炼钢炉，从而给钢厂带来了重大破

坏。

Claroty公司的Antova表示，随着其他国

家威胁行为者日益关注工控和关键基础设施系

统，公司必须对网络防御采取更为积极主动的

立场。她说，“我们不能全部寄希望于政府，

政府所能做的不过是事故发生后的事件响应和

协助调查。我们必须采取正确的举措，以更为

积极的态度捍卫自己公司的网络系统并强化其

安全性。”

来源：安全牛

中国信息安全博士网，

新媒体交流平台—

—

微圈上线

敬请关注中国信息安全博士网微圈


产业观察 2018/05/2期刊安全周报

产业观察

据

悉，挪威

海事技术

公司康士

伯海事

(Kongsberg)将与挪威化肥生产商Yara合作

建造全球第一艘零排放全自动船，新船将命

名为“Yara Birkeland”号，这将是全球首

艘全电动支线集装箱船，完全实现零排放，

以减少噪音和烟尘排放、改善地方道路安全

性、削减氮氧化物和二氧化碳排放。“Yara

Birkeland”号预计将于2018年下半年开始

投入运营，负责将Yara波斯格伦生产工厂

的货物运送至布雷维克和拉尔维克。“Yara

Birkeland”号最初将作为一艘人工操作船

舶运营，到2019年转向远程操作，预计将从

2020年起实现全自动操作。

除此之外，还有其他一些正在进行的

举措，如罗尔斯·罗伊斯和全球拖船运营商

Svitzer已经在丹麦哥本哈根港口成功展示了

世界上第一个远程控制商用船——“Svitzer

Hermod”。两家公司还签署了一项协议，以

继续合作对船舶远程控制和自主运营进行测

试，包括自主航行、情景意识、遥控中心和

通信等。这一切都标志着航运连接技术正在

迈向新时代，而且表明这个跟价值2100亿美

元的行业已经准备好迎接更为美好的未来。

这些进步是值得庆贺的，但同时它们也

带来了更多危险因素，扩大了攻击面，因为

技术的进步除了会吸引投资目光外，也会吸

引网络犯罪分子的目光，未来航运业将面临

我们在陆地上所熟知的一切网络安全问题。

关于工业环境中运营技术(OT)所面临的

威胁问题之前已经做过很多报道了，而且我

们已经习惯在海上开展业务所面临的传统挑

战——从海盗到集装箱港口发展瓶颈等。但是

我们所不习惯的一个事实是，认识到集装箱船

和其他事物一样也是一个运营技术(OT)环境，

且正在面临有针对性的网络攻击威胁。

这些威胁时真实存在的：研究人员已经

证实了许多针对最常见的航运系统的“概念验

证”(PoC)攻击证据，而且有迹象表明导航计

算机被用于系统升级的USB感染恶意软件的问

题已经非常普遍。更糟糕的是，还有一些公共

报告称，由于无防护的接口和无法更改的默认

凭证，关键通信系统将得不到有效保护。

航运业的性质确实为加强网络安全带来

了非常独特的挑战，但它们并非是完全不可

逾越的。对于那些实践得当的公司来说，网

络安全将助力其实现更加自动化和无人航运

领域的巨大发展。

将新技术整合进航运业的挑战

对于航运网络安全而言，最棘手的挑战

之一就是每艘船都不尽相同。它们几乎不存

在什么标准化规定，尤其是当涉及船载控制

系统以及高度混合的遗留系统时，许多这些

系统在设计之初甚至从未考虑过安全因素。

此外，随着时间的推移又增加了许多其

他联网技术。但在整合新的船载系统时，对

“安全设计”原则并没有予以足够的重视。因

此，许多船只出现“扁平化”的网络结构(即

管理层次少而管理幅度大的一种结构形态)，

在这种结构中，用于导航和通信的新增联网系

统被放置在与老旧的控制硬件相同的网络上，

这样一来就会将许多漏洞引入到不具备足够内

置保护的系统中，从而触发安全危机。

除此之外，航运系统的操作环境也比典

型的工业设备更具挑战性。大多数船舶都依

赖“甚小孔径终端”(Very Small Aperture

Terminal，简称VSAT)卫星通信进行连接，其

具有低宽带和高时延的特点。它可以传递一

些通信信息，例如电子邮件和导航数据，但

是在完成行业最佳安全实践方面却显得不那

么可靠，如定期补丁修复和更新等。

当然也可以采取手动更新的方式，但

是该行业的特性决定船只需要尽可能少地在

港口停留，而当船只停留且宽带可用的情况

下，安全更新项目往往排在优先列表非常靠

后的位置，甚至排在升级导航软件和为机组

成员下载新的数字娱乐之后。

此外，船载成员同样存在技能缺失的现

象。IT负责人常常身兼数职，精力分散，很

少有机会监控网络安全事件并对其做出有效

响应。对于可能存在安全漏洞的问题进行远

程监控是一种选择，但是由于海上缺乏可靠

的宽带，使得这一操作变得很难实现。

推动航运安全迈向未来

虽然改变网络安全方式是亟需解决的事

情，但它必须结合航运业本身特性。我们所

看到的关于地面基础设施的规定和政府干预

措施在海上执行起来将会比较困难。

事实上，很可能是保险公司而不是政府

为航运公司提供动力以认真投资于更好的保

护。专业保险公司正在制定基于网络攻击风

险的政策，并可能成为更好实践的主要驱动

因素。在政策发布和索赔处理之前，其可能

会加紧尽职调查。

目前，业界确实认识到了这个问题。去

年，国际海事组织(IMO)发布了关于网络安全

的极佳指导方针，以确保航运安全可靠。这

些指导方针是合理的，并且倡导了网络安全

风险管理方法。

风险管理方法首先要确定哪些系统、数

据和接口没有受到保护，以及一旦受到损害

会造成的最大风险是什么，以及如何保护它

们并缓解成功攻击所造成的后果。在航运环

网络安全新领域：船舶航运业



产业观察

境中，这就意味着需要通过关闭未使用的数据端口来保护设备和

网络，并确保OT和IT系统之间的全面网络隔离。重要的是，船员

系统(例如娱乐终端或个人电子邮件)应该与其他一切系统间保持

独立。因为针对航运系统最主要的威胁之一仍是通过U盘或邮件附

件无意中感染恶意软件。

为此，需要加强对员工的安全意识培训工作。正如国际海事

组织的指导方针所述：“高级管理层应该将网络风险意识文化融

入组织的各个层面，确保完整且灵活的网络风险管理制度持续运

行，并通过有效的反馈机制进行持续评估。”

此外，航运环境中还缺乏一些基本的安全防护措施部署，例

如使用VPN进行通信和数据传输，以及对船载系统实施强大的用户

身份验证，以便在全面安全审计中找出问题并加以解决。而且最重

要的一点是，这些都是可解决的问题，是最基础的安全防护措施。

事实上，即便是利润再低的行业也需要对网络安全项目进行

相应水平的投资，而目前，缺乏资源也已经成为行业面临的最重

要的挑战因素之一。由于每艘船都是传统系统和增量升级(其原理

就是将应用的旧版本Apk与新版本Apk做差分，得到更新的部分的

补丁，例如旧版本的APK有5M，新版的有8M，更新的部分则可能只

有3M左右)的独特配置，使得安全解决方案在整个航运系统范围内

的部署工作变得异常艰难。

有效的网络安全也必须是业务高效的网络安全。这也就解释

了为什么提高网络安全防御能力和加强航运网络应变能力的最佳

途径之一，就是与正在通过经验发展所需专业知识的合作伙伴进

行合作，与具备现有系统和新部署的供应链相关知识的合作伙伴

进行合作。

航运业可以从改进的自动化和数据服务中获益，但其本身无

法安全地实现这一点。

来源：安全牛

近年

来，伴随

着网络安

全风险的

攀升，国

内对于网

络安全的需求也呈现出爆发式增长。加上政策利好、资本

加码等多种外围力量的助推，一个巨大的网络安全市场

“风口”正在成型，并逐渐临近爆发点。

然而，与巨大的

网络安全市场相对应的

是，国内的网络安全企

业仍处在市场拓荒阶

段。有人形象比喻称，

中国信息安全界有数千

家企业，但目前还只是一片草地，做得比较好的企业，也

只是长得比较高的草而已，这块草地上还没有树。

面对这样一块巨大的“蛋糕”，谁最有机会脱颖而

出，变为“参天大树”呢？

一、从市场数字看安全企业

近期发布的《2018年全球风险报告》显示，当前全球

风险程度排名中，排名第一的是极端天气，排名第二的是

自然灾害，排名第三的是网络攻击的风险，排名第四的是

数据诈骗或者数据泄露的风险。这说明，网络安全已经成

为除了自然灾害以外，最大的风险所在。

的确，互联网+时代，网络安全作为互联网+的核心

基因，将连通各行各业。而全球数字化、云计算、智慧城

市、物联网的飞速发展，又对网络安全提出了更高的要

求。也因此，我国很早便把网络安全上升为国家战略，党

和国家领导人也在多个场合反复强调加强网络安全建设的

重要性。

在资本市场，近年来与网络安全相关的投融资呈现出爆

发性的增长。据安全牛数据显示，2017年国内安全领域创业

企业总融资额超过35亿元人民币，数倍于往年。其中，有10

余家创业公司的融资达亿元级别。终端安全、云安全、移动

安全、数据安全、身份认证等均为投资热门领域。

由此不难看出，不论是国家安全，还是商业方面，网

络安全产业即将迎来黄金发展期，一个巨大的“风口”正

在形成。

数据统计显示，2017年我国网络安全市场年增长率约

为30%。若以此增长率计算，到2020年，我国网络安全市

场规模将达到1000亿元人民币。到2022年，网络安全市场

规模有望达到1800亿。

从企业层面看，目前国内的网络安全领军企业中，已

经有少数几家企业的年收入超过20亿元，这个数字约占整

个安全市场的5%至6%。而按照某些领军企业的规划，2018

年这一数字很有可能上升至8%。以2022年1800亿的市场规

模来计算，8%即意味着144亿元的收入。也就是说，即使

是按最保守的估计，5年后国内网络安全领军企业的年收

入将会轻松超过百亿元。

二、安全公司面临的成长挑战

市场是一个层面的事，如何去实现这个市场，却又是

另一个层面的事。尤其是对当前国内众多的网络安全企业

来说，要实现这一预期也并非易事。

有统计显示，过去几十年来，全球的安全行业一直都

缺乏巨头企业。以2016年的数据为例，2016年全球收入排

名前15位的安全企业，其当年收入的总和还不到280亿美

元，仅占全球安全市场的30%，另外70%的安全收入则来自

百亿年收入的网络安全企业如何成就



产业观察

数量繁多的中小型企业。这也说明，安全

市场呈现出严重碎片化的现象。那么，究

竟为什么会出现这一现象呢？

以我们国家来分析，其中一个重要原

因就是，用户的网络安全防护观念跟不上

安全形势的发展，有相当一部分行业单位

网络安全防护缺乏体系化的安全规划，建

设不成体系，导致安全产品堆砌、安全防

护失衡。

一项调查显示，在被调查的100家单位

中，有超过一半的单位在近一年内未对系统

进行全面风险评估及定期补丁更新，这也

为大规模网络安全事件的爆发提供了可乘之

机。这种传统的安全防护观念不但无法解决

新技术带来的安全风险，也在一定程度上也

严重延缓了网络安全市场的发展。

人才，是阻碍安全行业发展的另一个

重要因素。随着云计算、物联网、大数据

等新技术的飞速发展，过去相对独立的网

络已经相互融合，网络安全形势也变得更

为复杂。但就我国目前的现状而言，网络

安全人才的培养规模和能力还远远不能适

应发展需要。中央网信办发布的一份报告

显示，预计到2020年，我国网络空间安全

人才需求数量将超过140万，而这在短期内

仍无法有效解决。

毫无疑问，人才的短缺是网络安全

行业面临的一个极为现实的问题。没有人

才，任何安全都是空谈。

除了上述原因外，政治、行业和区域

利益划分，应用场景复杂化，业务强相关

性等也均是阻碍行业快速发展的障碍。

三、安全能力才是未来

当然，新一代的网络环境也面临着新的

安全问题，用户对网络安全的标准和要求也

在逐步提高，因而也更需要新的解决方案。

在新的网络环境中，威胁不仅传播

速度更快，其所利用的攻击面也越来越宽

广。这样一方面留给我们应急响应的时间

窗口越来越小，另一方面应急响应所需的

威胁知识、专业技能、技术手段等要求也

在不断提高。

不难预料，在今后的网络安全威胁

中，大规模的安全情报系统和专家社会网

络系统相互融合，多方协同作战将会成为

网络安全应急响应的新常态。

但就我国目前的现状而言，虽然我国

很早就已经建立了网络安全应急管理机制和

管理体系，却仍缺乏有效的应急技术手段。

有调查显示，在我国，即便是大型机

构建设的终端管控体系，也存在着明显的

安全死角，这很容易导致应急措施无法有

效执行。例如，在发生类似“永恒之蓝”

大型攻击事件时，相关应急机构由于不具

备统一的网络终端安全管理能力，对已知

的病毒样本无法查杀，以至于在国家整个

应急安全管理体系的最高端，情况无法及

时汇集，进而造成无法对安全事件进行集



产业观察

中的应急管理和响应处置。

因而，面对当今越来越复杂的网络攻

击，传统的安全防护思路和技术已经失效，

建设全新的网络安全体系才是最终出路。

在传统的安全产品中，不管是设备还是

软件，提供的只是一种工具，安全服务也只

是借助工具的应用来实现自身防御。但随着

安全环境的变化，原有的安全服务模式已经

远远不能满足现实的发展需要。

目前，不少业内人士已经达到一种共

识：未来的安全企业，尤其是大型安全企业，

应该由工具制造者转向能力提供者，即服务。

这里所说的能力，主要是指安全运营能

力和应急响应能力。因为“银弹”不存在，

零入侵成功率更不存在，所以用优秀的运营

能力来降低攻击成功率，用更快的应急响应

速度来减少攻击成功后导致的损失。

也就是说，通过这两大安全能力，帮助

企业或组织将安全风险控制在某一个可接受的

水平，才是更为合理的安全理念和决策选择。

四、安全云+人=真正的价值

但问题是，由于这两大能力对安全企业

的技术、产品和商业模式提出了更高的挑战

和要求。这不仅需要这些企业研发出可靠的

工具，更需要使用这些工具的专业人员。

那么，谁又能有足够的实力来提供这两

大能力呢？或者说，广大的安全企业该如何

转变才能适应未来的市场形势呢？

首先是工具。如上文所说，传统的边界

安全设备和基于规则的防御方法，在目前的市

场中已经常态化，并且已经不能适应安全形势

的发展。而且，这种方式也只能配合新兴的安

全手段去应对大量的普通攻击，在面对复杂、

高端的攻击手法时，仍是一筹莫展。

另一方面，不管是流量分析、威胁情

报，还是机器学习，也不管是主动防御、自适

应，还是态势感知，都需要高级安全专家的深

度参与，才能最终形成有效的安全利器。

也就是说，在未来的安全市场中，不管环

境如何变化，人才仍是一个极为关键的因素。

在未来网络安全的攻防战中，将会通

过集聚一批高级安全专家和智力人才，把通

过各个渠道取得的数据情报集中起来做分析

处理，同时结合本地安全运营人员传回来的

现场数据，打造出与之相对应的“无人机、

激光枪、导弹”等一系列易于使用、精准高

效的枪支弹药，并随时根据情况将这些“武

器”提供给前线作战的士兵(即使用这些工具

的专业人员)，来解决用户的安全威胁。这同

时也可以很好的解决用户现场需要配备高级

安全专家的困境。

而这个在高级专家支撑下，可以输出各

种顶级军火的军工厂，就是目前各大安全企

业都在全力打造的，一个可以输出各种安全

功能的资源提供中心，安全云。

在云端，用户将逐渐成为安全行为分析

的新中心，可用虚拟化的交互性攻防技术，

将安全智能从概念走向落地。

五、三分天下孰优孰劣

通过以上分析不难看出，在今后复杂多

变的网络环境中，谁越能抓住平台化、数据

化、服务化的主流技术和市场方向，从以往的

以卖产品为主转变为产品与服务的有机融合，

谁就越有机会成长为一棵“参天大树”。

就国内而言，目前国内一流的网络安全

服务企业，大致可为三类：一是拥有海量数据

和顶尖人才的企业，即以阿里、腾讯、百度、

360为代表的互联网巨头；二是传统安全大公

司，以启明、绿盟、卫士通为典型代表；三是

IT通信设备企业，如华为、新华三等。

那么，在这几类企业中，谁最有可能成

为上文所说的年入百亿的安全企业呢？

首先来看互联网公司，互联网公司有一

个共性，就是安全能力主要是服务自己，只

有在“达则兼济天下”的情况下，才会发力

企业级安全。不过，近几年国内的互联网公

司在网络安全领域的动作也越来越频繁，称

雄市场的野心逐渐显现。例如，阿里巴巴收

购国内安全公司翰海源，增强阿里云的防护

体系。腾讯成立了信息安全研究部门“玄武

实验室”，投资安全公司知道创宇，并与启

明星辰联手推出专门的企业安全产品，来增

强在安全方面的整体实力。

其次再看传统安全大公司，这些公司近

年来明显在企业战略转型的速度上落后于互

联网公司。但凭借早期的技术积累，已经有

一部分公司意识到问题，并开始向新的模式

发力。例如，一向以技术口碑见长的绿盟，

早在2015年就提出了P2SO战略，即“由产品

转向解决方案与运营”，现在已经初见成

效。同时，该公司还以4.98亿元收购亿赛通

100%股权，投资数据库安全厂商安华金和，

填补了在数据安全和网络内容安全管理领域

的技术不足。

最后是以华为、新华三为代表的通信

设备企业。华为近年来由于担心主营业务受

影响，少在安全上发声。但在中美贸易战之

后，其又重新加大对安全领域的重视。新华

三则依托紫光集团的雄厚资源和世界级IT提

供商的整体方案优势，发力企业级安全的雄

心显露无疑。但两者也有一个共点，就是黑

客攻防能力不突出。

六、最值得关注的安全公司

总的来说，当前国内的安全类企业要么

具有浓厚的互联网基因，要么是从传统的安

全企业转型而来。但有一点相通的是，在新

一代的网络安全环境中，不管这些公司如何

发力，都很难脱离其鲜明的出身烙印。

这里还有一家公司，却非常值得分析和

研究，该公司既有别于当前的互联网公司，

也不同于传统的安全企业，其在整个网络安

全行业的地位都是特殊的。这家公司就是360

企业安全集团。

从目前网络安全行业的现状来看，大

型互联网公司在大数据、机器学习、威胁情

报、移动终端等方面都有很强的优势，但在



产业观察

安全服务方面却略显不足，而传统安全企业则在客

户交付与安全服务方面有着自己的深厚积累。从企

业基因上来说，二者是不一样的。但就目前网络安

全的发展趋势来说，只有将两者互相结合，才能真

正解决目前许多传统安全手段无法解决的难题。

360这家公司的特殊处在于，该公司一出生便

同时兼具了互联网基因和传统安全企业的基因。这

也是全球唯一一家具有互联网基因的企业级安全公

司，这些优势是国内互联网公司和传统安全公司都

难以比拟的。

就全球而言，相比较本地数据居多、缺少互联

网数据的老牌安全企业，如赛门铁克、迈克菲、趋

势科技等，360无疑在网络数据方面更加具有优势。

基于这些优势，360在2015年提出了“数据驱动

安全”的技术理念，并致力于用大数据方法解决数字

化时代的网络安全问题。过去几年间，360基于“数

据驱动安全”的产品、方案和服务已经成功保护了超

过百万国内政企机构的网络安全。另外，360在运营

模式上的探索也得到了业界的一致认可，其提出的安

全能力=安全云+人的理念已在实践中落地，并取得了

良好的反馈效果。在这一模式下，360将服务延伸到

全国各地和各行各业，增强了服务的针对性和粘性。

同时，也效促成了与各个渠道商的深度绑定，实现了

企业、渠道、用户三家共赢的局面。

那么在未来网络安全这片蓝海中，360企业安

全集团有可能成为新一代的“参天大树”吗？我们

拭目以待。

来源：安全牛

从概念提出至今，“云计算”在历经10余年的发展后，正以

一骑绝尘的速度进驻每一个垂直领域，引领行业的革新与发展。

据《中国“互联网+”指数报告(2018)》显示，2017年云计算在

2016爆发的基础上保持高速增

长，全年全国用云量指数达

146.04点，比2016年的102.44

点上升43.60点，同比增幅达

42.58%，云计算市场规模不断

扩大。

即便在对业务连续性和信息安全要求极为严苛的医疗领域，

云计算也没有缺席。据报道，当前已有高达35.6%的三级医院部

署了云计算，二级医院已经部署云计算的占比也已达21.7%，还

有大部分医院表示未来两年会陆续部署云计算。从预约挂号到支

付结算到医联体等等，云计算已经逐步覆盖了医疗服务的全场

景，发展态势一片大好。

但是，云计算毕竟还是一项发展中的技术，尽管发展迅速，

风险和挑战依然存在。因此，无论上与不上云，云计算都成了行

业争论的热点。为此，HC3i通过走访了解，整理出云计算在医疗

行业落地面临的几大痛点：

一、安全性：运行稳定与数据安全

对于医院来说，其庞大的数据库涵盖了大量的患者身份信

息、医疗记录等高私密、高价值数据，极易成为网络攻击的重点

目标。同时，由于医疗行业的特殊性，往往需要业务7*24小时不

间断运行，一旦出现系统宕机，后果将难以设想。因此，无论是

对云计算保持观望的未上云医院，或是已经试水的医院，安全是

考虑最多的问题。

天津医科大学附属眼科医院信息中心主任王秋海表示，系统

上云后由于主机不在监控范围内，数据安全隐患必然会加大。因

此，为保障业务的稳定和安全，医院上云均在安全保障上下了大

工夫：厦门三院上云设置了多条光纤，以确保业务的不中断和通

讯安全;广州妇儿则是先把一些流量不大的系统迁移到云端，试

运行稳定后再迁移其他重要系统;同时，广州妇儿采用公有云、

私有云混合共用的模式，对信息进行分级保护。另外，几乎所有

医院都要通过与供应商签订保密协议以保护数据的安全。

安全性俨然成为云计算落地的第一大痛点。

二、互操性差

由于许多公用云网络被配置成封闭系统，且缺乏统一的技术

标准，不同厂商在产品和服务开发过程中各自为政，导致这些网

络之间缺少集成，使得各机构很难在云计算中联合IT系统，这给

希望合并云中一系列IT系统的机构带来了挑战，也容易导致信息

的互联互通受阻。

三、价格与服务

当医疗机构关注点从“要不要上云”转移到“上哪家的云”

时，云的价格就成了一大决定性因素。华山医院在公有云采购方

面，有很多选择。华山医院信息中心主任黄虹谈到，华山最先使

用的是微软Azure，后来又把工具迁到亚马逊AWS，其中一大原因

便是亚马逊的价格更实惠一些。

在服务方面，医疗机构也往往期望云服务提供商能提供除了

计算资源和安全防护外更完善的服务，比如数据隐私的保护等。

四、规章制度不健全

当前，尽管云计算技术已经在各行各业大面积铺展开来，在

政府政策上也得到了一定程度的支持，但由于与之相关的法规、

云计算落地医疗五大痛点，安全性首当其冲



产业观察

制度等尚未得到配套建设，云计算发展没有法律层面的规范，这也

导致医院在运用云计算技术上无法做到更从容。第三军医大学大坪

医院信息科副主任黄昊认为，需要尽快制定相关的制度和法规，对

医疗云进行规范，对云计算各个环节的安全风险进行评估，进而采

取必须的技术措施和手段。

五、认知不足

尽管在各类相关政策的支持下，医疗云近几年成为行业热议的

话题，但仍存在对云计算及其在改进医疗服务流程方面潜力的认知

不足问题。一些行业负责人对云技术发展仍抱有谨慎观望的态度，

所表现出的兴趣远不及国外同仁。

以上云后的效益为例。有的医院认为上云后面临的租赁服用费

与本地服务器价格相当，且链路的费用非常大，从成本上来说非常

不合适。但也有践行者表示，上云后医院的整体运维费用能有很大

比例的下降，是一笔可观的成本节约。同时，节约下的费用可以用

在临床软件研发上，更好地服务临床人员及患者。

总结

虽然安全隐患、互操性差等诸多问题在一定程度上制约了云计算

在医疗领域的落地，但随着试水医院成效的逐步显现、各项政策措施

的持续完善、云计算技术的不断提高，云计算技术医疗应用的前景仍

是备受期待的。据Persistence Market Research(PMR)发布的市场研究

报告表明，医疗云计算市场到2025年将有望突破7791.4亿美元。

那么，在上云逐渐成为常态的大潮中，医疗行业应如何权衡利

弊、把握机会、乘势而“上”？2018年6月8日，“2018医疗健康云

生态大会”将广邀医疗云实践代表、医界专家、评测机构代表以及

医疗健康云产业链各级服务代表，共同探讨当下医疗机构上云的挑

战和机遇，为医疗机构上云释疑解惑，为产业云化开拓思路，全面

加速医疗健康云生态蓬勃发展。

来源：HC3i中数新医

上个月在RSA安全

大会上收集的一项调查

显示，尽管大多数公司

都采取了合适的安全措

施，但其中一些公司甚

至故意忽视安全缺陷，

其原因包括缺乏时间和缺乏专业技术等各种原因。

该调查汇集了来

自RSA会议公司的155位

安全专业人员的答案，

结果显示只有47%的组

织在得知消息后立即修

补漏洞。

最令人担忧的是，部分公司在漏洞出现之后等待相

当长的一段时间才打好补丁，导致他们的IT基础设施遭受

攻击。更准确地说，16%等待一个月，而8%的人表示他们

每年只进行一次或两次补丁。

四分之一的公司没有时间维护安全

调查显示，并非所有公司都使用补丁。大约26%的受

访者表示，他们的公司忽视了一个严重的安全漏洞，因为

他们没有时间去修复它。

更有甚者，16%的组织表示他们也忽略了一个严重的

安全缺陷，因为他们没有技术来修补它。

71%的人表示他们能够黑掉自己的公司

一些受访者似乎意识到他们的系统容易受到攻击

的事实，71%承认他们能够攻击他们自己的公司，而

只有9%的受访者表示这是“极不可能的”。

当被问及他们如何做到这一点时，34%的人表示

他们会使用社交工程(网络钓鱼和其他方法)，23%表

示他们将针对不安全

的Web应用程序，21%

表示他们会试图破坏

云服务帐户，21 %表

示他们将针对员工的

移动设备(智能手机或

笔记本电脑)。

这些数字的比例与受访者对公司最不安全点的看法

几乎完全相同，25%的受访者抱怨他们的云基础架构，23%

的物联网设备出现漏洞，20%的人对移动设备的安全性表

示担忧，还有15%的受访者则归咎于公司Web应用程序。

渗透测试！？！谁还需要？！

当被问及他们公司是否聘请了渗透测试人员时，只

有17%表示是的，35%的人表示即使他们聘请渗透测试服

务，他们也确信测试人员不会揭露任何新的风险或漏洞。

受访者承认没有时间应用安全补丁或专有技术来做

到这一点，对于这种借口，除了无知，不知道该怎么来形

容。这项调查是匿名的，估计每个人都想知道现在哪些公

司没有时间维护安全。

完整的调查报告，可在瑞典网络安全公司Outpost24

的网站中找到。

来源：FreeBuf.COM

26%的公司忽略安全漏洞，借口是没有时间去修复



产业观察

在IAM公司的大力宣传下，网络安全市

场上已经形成了自成体系的“身份”细分市

场。

刚结

束不久的

R S A 大会

上或许已

现端倪：

大量讨论

围绕身份展开，很多公司将自己的产品往身

份与访问管理(IAM)上靠，展位上挂满“身

份治理”、“身份上下文”、“特权访问管

理”、“隐私”、“行为生物特征识别”、

“生物特征平台”、“以人为中心的安全”

等等标签。

如果网络安全市场是个星球，每个细分

市场占据其中一块，那么终端安全就是广袤

的大陆，威胁情报则是群岛；IAM又应该落到

哪个位置呢？

或许哪里都不适合，IAM自成体系。

用户的问题在于互动性。企业身份管理

工作之所以难做，是因为用户的身份和行为多

变，入职、离职、升迁、访问敏感文件系统、

共享机密数据、发送带秘密信息的邮件、访问

没有权限查看的数据、尝试本不该做的事情等

等。身份管理上不存在一劳永逸这码事，想设

置一次就不用再管是不可行的。

但幸运的是，IAM正变得越来越容易，

Sailpoint和Saviynt之类身份治理工具及

CyberArk等特权访问管理工具不仅可控，价

格也是企业负担得起的。

这一切来得正好。IAM需求一直都很高，

但最近的数据泄露(Equifax)、新合规压力

(GDPR)和隐私问题(Cambridge Analytica/

Facebook)进一步推高了对身份安全与治理的

重压。

Facebook的安全团队超棒，但其监管很

糟。Equifax则是彻底的安全悲剧。

到底有哪些力量在塑造身份管理小世界

的地形地貌呢？不妨看看下列12个趋势：

1、KBA身份验证已死

Equifax数据泄露之后，传统基于知识的

身份验证(KBA)系统就已分崩离析。为什么要

让客户通过确认其前雇主、住址或母亲生日的

方式来验证客户身份呢？这些东西攻击者也全

都知道啊，而且没准儿知道得更多，连用户订

阅了哪些杂志，后院有没有泳池都知道。

2、GDPR将身份回归个人手中

公司企业越来越惯于将数据库中的东西

当成自己的所有物，几乎毫无顾忌地收集、

存储、传输、买卖用户的个人可识别信息

(PII)。GDPR改变了这一切，提高了企业对身

份治理的需求。

GDPR要求企业收集或共享个人信息时必

须获得用户的明确许可——自动勾选的同意

框可不算明确许可，而且个人还应可以随时

撤销该许可。个人拥有“被遗忘的权力”。

另外，无论数据流向何方，身份信息的使用

记录都必须留存。

GDPR适用于欧盟公民的任何数据，无论

该公民及其数据在哪儿，因而其影响范围是

全世界，且企业的客户和员工都适用——即

涉及公司内部和外部身份的治理与安全。

GDPR将于今年5月25日正式生效(自GDPR

诞生的2年宽限期后)，届时将会对违反GDPR

的行为处以最高2000万欧元或年营业收入4%

的罚款。

GDPR影响巨大，像PCI一样会推动行业

发展，但又与PCI不同，影响的是所有行业。

或许，欧盟之后，北美地区也会有自己的

GDPR。

3、保护隐私的身份验证需求上升

人们需要既能护住隐私又能验明自身的

方法。

老用例再现的例子不是没有。比如说，

酒吧保安能不能不用看身份证就知道客人是

否到了法定饮酒年龄？而政府机构又能否在

不知道用户饮酒时间和位置的情况下提供该

验证信息？

更重要的是，社交媒体和新网站点能不

能用此类身份验证方法抵御可扰乱大选的虚

假信息行动？投票网站能够验证用户是注册

选民还是某国公民吗？

技术上而言，这些东西都是触手可及

的。智能手机就能存储私钥。目前的限制，

在于监管。

4、身份监管延伸至云端

监管的落脚点在于谁有权限访问什么东

西，谁应该有权限访问什么东西，以及这些

权限都用对了没有。大多数客户距离前两条

都还差得很远，也就不用担心第三条了。

SailPoint和其他身份治理及管理(IGA)解

决方案提供商致力于在前端为安全人员带来更

加用户友好的云管理工具。而在后端，各种云

服务却让身份治理问题更加复杂，用户不得不

越来越多的地方管理越来越多的账户，更别说

原本就有的现场资源身份管理任务了。

Saviynt是专为云环境设计的IGA解决方

案，尝试IGA 2.0的急先锋。其他的，比如

Sailpoint和 One Identity，则通过云迁移

为客户提供支持。

工业控制系统环境中的预置软件尾大不

掉，未来几年中云会是个相当复杂的因素，

会让该环境下的身份治理更加麻烦。

5、身份即服务演变

如今，用户需要能在任何地点办公的自

由，理解他们需要做什么、需要在哪儿做、

需要用到什么设备，才能做好企业访问控

制。

Cloud Identity公司的服务列表很长，

其单点登录支持SAML 2.0和OpenID，可与数

身份管理的12个趋势



产业观察

百个外部应用协作，包括Salesforce、SAP

SuccessFactors 和Box及Docs或Drive之类 G

Suite 应用。至于使用谷歌云计算平台资源

的公司，Cloud Identity 可为其额外提供跨

现场及云基础设施的混合环境用户及组管理

访问控制。

Cloud Identity为安卓和iOS设计了健

壮的移动设备管理，像是用户账户清除和强

制密码之类功能都是自动启用的。管理员可

在集成控制台上实现屏幕锁定、设备查找、

两步验证和防网络钓鱼安全密钥，还可管理

Chrome浏览器使用，获得可疑登录等行为的

安全报告和分析，用户活动报告与审计，以

及登录第三方App、站点及扩展。

6、生物特征识别让安全变得简单易行

眼下智能手机和其他移动设备基本都默

认内置了多种生物特征识别身份验证方法。加

上新的WebAuthn标准，在线生物特征安全便作

为强在线身份验证的低摩擦方法而更加实用

了。WebAuthn标准于4月10日由FIDO联盟和W3C

联合发布，是个相当梦幻的标准，能使在线服

务提供商通过Web浏览器提供FIDO身份验证。

谷歌、Mozilla、微软和Opera都加入了。

基于FIDO的生物特征识别身份验证能强

化Web访问安全，因为它为每个站点都采用唯

一的加密凭证，消除了某一站点的被盗口令

可在其他站点使用的风险。

生物特征识别设备的大量涌现也给了集

成商兴起的机会。Veridium是ForgeRock和

Ping Identity 之类主流IAM公司的合作商，

创建了一个横向的生物特征识别平台，可供

这些IAM公司的客户将任意生物特征识别身份

验证方法插入其中，无论是指纹、人脸识别

还是Veridium自己的四指非触控行为生物特

征识别。

坚持只用一种生物特征进行身份验证是

愚蠢的，身份管理理应简单易行。

然而，Veridium最近的一次调查中，34%

的受访者依然坚信只用口令就足以保护数据。

或许直到我们的孙辈，口令都还健在。

7、提权攻击推动特权访问管理(PAM)

提权攻击已成针对性攻击的必备要素，

甚至不那么针对性的攻击也常使用提权方

法。解决这一问题的方法之一，是严密控制

特权内部人的访问及活动，毕竟，一旦有了

凭证，攻击者基本上就是个内部人了。

PAM是专为管理特权用户的访问凭证而设

的。与CyberArk之类PAM解决方案一起进入市

场的，还有像OnionID和Remediant这样的新

兴云原生PAM解决方案。

CyberArk还试图限制被泄管理员凭证问

题的蔓延。该公司去年以4200万美元并购了

Conjur，只为帮助开发人员在没有硬编码凭

证和SSH密钥的情况下快速推进应用程序。

8、非结构化数据问题导致IAM与数据治

理和UEBA重叠

Varonis最近的研究发现，1/3的内部用

户都是“幽灵用户”——有效却不活跃，30%

的公司至少有1000个敏感文件夹对所有员工

开放。

IAM行业很大程度上关注的是对应用

的访问，但文件系统暴露面如此之大，加

上Gartner预测到2022年将有80%的数据都

是非结构化的，重点放在应用访问上肯定

不是什么足够好的做法。作为身份治理

公司，SailPoint旨在解决这一问题，也

就与Varonis之类数据安全/治理公司和

Forcepoint这种“以人为中心”的实体行为

分析提供商产生了重合。

你想要一张统一的视图、一个记录系

统、一张神奇的电子表格，但用户哪儿哪儿

都有ID，用户的权限、权利，他希望的状态

和实际的状态都需要同步起来。

9、风险自适应的身份与行为生物特征识

别持续验证

越来越多的公司使用行为生物特征

识别来解决合法登录后发生的攻击问题。

BioCatch之类的公司应用该技术防止会话劫

持，对抗在线欺诈。其他公司用行为生物特

征来检测内部用户的异常行为，阻抗攻击者

在内部网络上的横向移动。

二级感染的证据显示，事件响应这么多

年来都只是个摆设，没什么用处。动态自适

应的身份验证才是解决问题的答案。用户设

备和网络必须要求一些不太寻常的响应来从

生物学上识别出用户身份，比如拍张挖鼻孔

的自拍……

自适应身份安全产品的例子可以参考ID

Data Web，该产品使用多个源验证给定身份

的准确性，然后提供持续的身份验证——在

检测到风险的时候弹出验证挑战并要求用户

响应。

BioCatch建立的用户资料中包含用户

生物特征行为的数据，但并非用户身份。

BioCatch能检测出异常行为，然后在欺诈转

账发生前叫停僵尸主机或攻击者。

这些风险自适应的“步进式”身份验证

工具也被吹捧为减少摩擦的方法——只要没检

测到风险，用户就根本不用经过登录过程。

“零登录”的目标，就是用行为生物特

征识别自动拾取用户的独特行为特征并进行

身份验证，让用户仅凭自己抓握手机的独特

方式而无需扫描面部或按压手指即可自动通

过验证。

10、IoT扩展机器身份边界

身份管理遇上IoT可能会遭遇滑铁卢。

物联网极大地扩张了需管理的机器身份

数量，并让普通消费者也有了设置、管理和保

护这些机器身份并监管机器间相互通信方式的

责任。随着越来越多的设备接入互联网，以用

户智能手机为中心向周边辐射，一部手机解锁

所有设备的方式最终将再也无法扩展。

身份管理公司在大步迈进，但他们正在

解决的是昨天的问题，至今尚未解决完毕。

计算机、机器人和IoT设备都需要访问

计算和数据资源，都必须归入身份治理的范



产业观察

围内。

11、依托区块链的数字身份

区块链这种分布式账本平台被广泛用

于提供数字身份。商业方面，基于IBM区块

链的SecureKey是加拿大第一家专为受监管

行业而设的数字身份网络。Shocard则是

一家基于区块链的企业级IAM和单点登录

(SSO)解决方案。

Evernym没有建立在区块链基础上，而

是建立在开源分布式账本平台Sovrin上的

信用社数字身份平台。

埃森哲和微软联手为联合国创建了基

于区块链的身份基础设施，帮助联合国为

全世界100多万名没有官方身份证件的人提

供合法身份证明，比如难民。

RSA大会上，美国国土安全部科学与技

术部展示了Verified.Me——用区块链将登

录功能与属性交付分开的身份管理工具。

12、身份管理职业发展之路

2017年6月，IDPro成立，这个由

Kantara项目孵化的非营利性专业会员组织

专属于身份和访问管理人员。

该组织旨在构建IAM知识体系，支持

从业者，确保身份及访问管理被大众认为

是隐私及信息安全的重要且充满活力的伙

伴，并希望能够发展出一套认证机制。

来源：安全牛

中国信息安全博士网

特邀作家团激励计划—

—

启动


政府之声 2018/05/2期刊安全周报

政府之声

日前，陕西省委办公厅、省政府办

公厅印发《陕西省2018年数字经济工作要

点》，并发出通知，要求各地各部门结合

实际认真贯彻落实。

《工作要点》旨在以互联网和数字经

济为引擎，推动枢纽经济、门户经济和流

动经济发展，发挥信息化和数字经济驱动

引领作用，加快培育发展新动能。

《工作要点》部署了2018年数字经济

工作的20项主要任务：加快完善数字经济

发展的政策体系，提升信息基础设施建设

水平，支持实体经济加快数字化转型，加

大数字经济领域技术研发投入力度，加快

培育以新一代信息技术为基础的新业态，

加快工业互联网发展，推进能源互联网发

展，加快发展“互联网+现代农业”，加

快服务业网络化发展和智能化升级，推动

数字文化产业加快发展，增强文化旅游体

育数字化供给能力，增强数字信息为民惠

民服务功能，持续推进大数据行动计划，

实施“云端陕西”建设行动计划，以信息

技术为支撑持续深化“放管服”改革，推

进公共信息资源开放，扎

实推进网信军民融合，推进

数字经济领域对外合作，统

筹推进各类数字经济园区发

展，加快数字经济发展平台

培育和建设。

《工作要点》提出了全省数字经济工

作的7项保障措施：加强党对数字经济工

作的领导，健全数字经济发展工作机制，

加强数字经济人才工作，以党建为引领调

动各方积极性推动数字经济发展，引导数

字经济健康规范发展，提升数字经济运行

安全水平，营造数字经济良好发展氛围。

《工作要点》对重点任务进行了分

工，要求各地各部门进一步夯实责任，明

确工作时限，抓好落实工作。

《工作要点》强调，陕西省各级党组

织和党员领导干部要用习近平新时代中国

特色社会主义思想武装头脑，主动适应引

领数字化、网络化变革和趋势，切实提高

驾驭数字经济发展的能力和水平;要牢固

树立“四个意识”，提高政治站位，积极

践行网络强国战略，认真贯彻落实省委、

省政府关于加快数字经济发展的有关文件

精神和工作部署，形成全省发展数字经济

的合力。

来源：陕西日报

5月7日，成都高新减灾研究所(简称

减灾所)召开新闻发布会，宣布四川、云

南开始建设中国首个地下云图网。川滇地

下云图网拟在四川、云南建设2000个地下

云图监测站，通过采集破坏性地震的案例

和数据，在分析生成地下云图后，预报地

震。据了解，建设地下云图网是世界地震

预报领域的首创，开启了地震预报领域的

新征程。

因地球的不可入性、地震孕育的复

杂性及在同一地点的地震重复发生的小概

率性，地震预报成为世界难题。汶川地震

十年后，我国地震预警技术已全球领先，

只欠缺地震预警“最后一公里”的全面打

通，但是地震预报技术在全球范围内仍然

未能解决。

川滇地下云图网绕开了地震预报的三

个难题，预期将有效促进地震预报科技的

解决。地下云图网不需要“打孔”深入地

球，通过在地表安装传感器实现对地下8—

20千米的应力、能量的动态监测，生成地

下云图。而四川、云南的频度高，平均每

年5级以上的

地震大于3次，

即对应川滇地

下云图网，通

过监测3年，就

能具有10个以

上的5级地震地下云图数据，总结这些云图

数据将启发地震预报。

据了解，川滇地下云图网的主要科

学目标是解决浅源(深度小于20千米的)破

坏性地震的临震预报科技，研究对象是震

源深度8-20千米的对人类有破坏性的大地

震。历史经验表明，对人类有破坏性的地

震震源深度几乎都小于20千米，例如唐山

地震、汶川地震、九寨沟地震，而震源深

度小于8千米的地震震级一般小于5级。

值得指出的是，并不是将来有了地震

预报，就不需要地震预警。因为地震预报

只能给出一个时间区间，不可能精确发震

时刻;地震预报只能给出震中的区域，不

可能精确到一个点，所以地震预报与地震

预警可以相辅相成。同时，地下云图网可

以弥补地震活动性对于地震预报的不足，

形成良好的面向地震预报的地下云图。据

悉，川滇地下云图网的首个监测站将安装

在汶川，帮助汶川县的防震减灾。

来源：中国网信网

川滇开建中国首个地下云图网首个监测站设在汶川

陕西印发《陕西省2018年数字经济工作要点》



政府之声

近日，武汉开发区兰波湾网吧老板王祖勇只用了半

小时，就现场办好了《公共场所卫生许可证》，而在以

前，他需往返两三次，花一周时间。“只跑一次，立等可

取。”王祖勇说。

今年4月，武汉开发

区启动“证照分离”改

革，将公共场所卫生许

可、出版物零售业务许

可、道路运输站(场)经营

许可等5项行政审批事项，

简化审批条件，承诺符合

条件并提交有关材料后，

即可当场取得相关许可。

“证照分离”改革只是近年来武汉审批服务“马上办、

网上办、一次办”改革的一个缩影。所谓“马上办”是“即

来即办、立等可取”；“网上办”是“一网覆盖、网上办

结”；“一次办”是“一件事情、一次办结”。据统计，目

前武汉市审批服务事项中，“马上办”比例超过50%，“一

次办”比例超过80%，全程“网上办”比例超过45%。

为了让审批实现“深度提速”，武汉将突破口放在

集成机构“减窗口”、集成流程“简环节”、集成信息

“提效率”三方面。

集成机构“减窗口”就是市级28个审批

主管部门全部设立行政审批处，实行“一个机

构、一个窗口、一枚印章”管审批。15个区(功

能区)全部组建行政审批局，实行审批职责、事

项、环节“三个全集并”，审批服务实现从物理

集中向功能集成转变。现在，全市审批服务“前

台一口受理、后台分类审批、限时办结出件、全程电子监

察”的闭环运行机制基本形成。

集成流程“简环节”就是改变原来按部门内部流程

划分事项的做法，按照“一个流程”解决“一件事”的标

准，对单部门办结事项流程不断压缩、简化；对多部门综

合办结事项流程进行整合、归并；对没有法定顺序要求的

流程一律同步推进，杜绝不同环节互为前置等问题。

武汉东湖新技术开发区实行了规划方案会审制度，将

投资项目原来互为前置的规划、环保、水务、园林等串联

审批改为容缺受理的并联审批，项目审批流程缩减1/3。

集成信息“提效率”就是构建全市统一的身份认证系

统、统一的政府大数据中心、统一的“云端武汉·政务服

务大厅”，网上办事是常态、网下办事是例外。

依托大数据，各区、各部门也“各显神通”。武汉东

湖新技术开发区建立了企业全生命周期服务档案，实现企

业投资项目备案网上“一键搞定”。

据统计，武汉实施“马上办、网上办、一次办”改

革后，武汉市级审批服务办理时限平均每个事项压缩10.6

天；建立工业项目从招商到开工的全程服务链条，全市重

点工业项目审批时限控制在38个工作日以内。

来源：人民日报

武汉“马上办、网上办、一次办”改革提升审批服务水平

5月9日，市民在武汉市民之家自

助取证机上办理业务

红瓦绿树，碧海蓝天。6月上旬，美丽的山东青岛将迎

来一场备受全球瞩目的盛会——上海合作组织成员国元首

理事会第十八次会议。

这次峰会是继2012年北京峰会后上合组织再次回到它

的诞生地中国，也是在上合组织实现首次扩员、进入发展

关键期背景下举行的，必将开启上合组织继续向前发展的

新征程。

世界聚焦中国！聚焦青岛！

从黄浦江畔到黄海之滨，号称“黄海明珠”的青岛将

以怎样的姿态迎接峰会，惊艳世人呢？

向洋而兴：“互联网+”为经略海洋打造“超级大脑”

在青岛即墨市鳌山卫问海路北侧，紧邻一片蔚蓝大

海，坐落着青岛海洋科学与技术国家实验室(以下简称“海

洋国家实验室”)。在这里，科学家们攻坚克难、砥砺前

行，抢占世界海洋科技创新制高点、打造国家海洋领域战

略科技的中坚力量。

“海洋是发动机，海洋是生命线，海洋是聚宝盆。要

研究海洋就需要计算，而且是超级计算。”谈及“互联网

+”对海洋研究的重要意义，海洋国家实验室超算中心主任

魏志强语带兴奋。

“互联网+”“海洋+”勾勒发展新蓝图——山东青岛抓住“牛鼻子”激发新动能



学术交流

认识海洋、经略海洋，离不开人工智能与大数据等

前沿技术和高端人才的支撑。“目前，青岛已聚集了全国

30%的涉海院士、40%的涉海高端研发平台、50%的海洋领域

国际领跑技术，规划建设了海洋(试点)国家实验室、国家

深海基地等一批‘国字号’海洋创新平台。”据山东省委

常委、青岛市委书记张江汀介绍，通过紧紧抓住创新这个

“牛鼻子”，青岛的海洋科研实力正日趋雄厚。

在魏志强看来，计算能力已经成为一个国家科技创新

能力的重要标志。他透露，目前，青岛海洋国家实验室正

协同国家超算济南中心、国家超算无锡中心，推动三地互

联互通，共同建立超算互联网，打造国际海洋领域的“超

级大脑”。

向智而优：新动能促经济转型升级

在人们的印象中，海尔是做冰箱的，海信是做电视

的。它们和互联网似乎都很遥远，和大数据、云计算、人

工智能更是毫无关系。

然而，在传统印象之外，这些青岛企业却悄悄地发力

创新。

点一下显示屏，输入简单的用户信息，就能看到千里之

外用户的空调设备运转情况数据——这是5月8日记者在海尔

中央空调互联工厂看到的一幕。从2012年开始规划建设互联

工厂，海尔大踏步向智能制造探路，到目前已成功搭建中国

独创、全球引领的工业互联网平台COSMOPlat，实现了与终端

用户需求的无缝对接，并通过开放平台整合全球资源，迅速

响应用户个性化需求，从而完成大规模智能定制。

在海信国家城市道路交通装备智能化工程技术研究

中心实验室，海信网络科技股份有限公司副总经理邹岩

松告诉记者，在智能交通领域，海信已经做到了行业第

一：通过布局城市智能系统，红绿灯的秒数可以根据道路

车辆情况自动调整，公交调度根据客流和路面状况实现智

能操控，使青岛市民上下班的高峰时间平均缩短了一个半

小时。在云计算和大数据领域，海信建立了云计算中心方

案，供政府部门使用。通过这些商用领域的创新，海信开

拓出一个家电之外的庞大市场。

“近年来，以海尔、海信、双星、澳柯玛、中车四方

等一批世界知名企业为代表的青岛制造，已在国内率先拥抱

‘互联网+’，围绕互联网工业的智能制造这一关键环节，

展开了转型升级的全面探索。”张江汀说。如今，青岛制造

正加速实施新旧动能转换，从跟跑到并跑、再向领跑转变。

向外而生：开放推动构建人类命运共同体

以“一带一路”为契机，近年来，青岛持续深化改

革、扩大开放，着力推动外贸、外资、外经融合发展。

——大力推进港港联动和多式联运业务发展，加密开

行往返班列，把港口功能向西延伸，打造内陆最便捷的东

方“出海口”，把中欧班列开到海边，开通山东向西开放

的“黄金通道”。

——实施“丝绸之路经济带海关区域通关一体化改

革”，铺设了一条贯穿丝绸之路经济带的“通关高速路”，

为沿线9万多家企业搭建了从青岛进出境的“低成本、高效

率”大通道，极大地提升了青岛港口的腹地竞争新优势。

——青岛前湾保税港区创新建立“一带一路自贸驿

站”，用好政府“有形之手”，放活市场“无形之手”，

着力打通阻碍国内外特殊监管区域之间资源、市场、利益

和信息联通的“症结”，打造更高水平的自由贸易环境。

眼下，一条以青岛为起点，辐射全国、连接世界的

“一带一路自贸驿站”正在蜿蜒生长。

来源：光明日报

网络运维

一直倡导要可视

化，并且在实践

中不断优化，怎

耐可视化的技术

寥寥无几，网络

技术经过了五十年的演进变化，可视化依然要依托SNMP、镜像这

些老技术。SNMP能监控到网络的运行信息实在有限，从外部应用

发起的请求获取网络状态信息的SNMP协议，无法实时反映网络的

状态。比如：时延、转发路

径、缓存和丢包，这些都无

法通过SNMP获知，网络对运

维的人员来讲，就是一个黑

盒子，传统的监控手段无法

看透黑盒子。

所以，长期以来网络运维的可视化算不上真正的可视化，

那些通过大屏将端口流量、设备CPU、Memory等运行状态显示出

来只不过是可视化的一部分，网络真实的运行状态还未能显现出

来。最近，网络可视化还真出现不少新技术，颇为引人注目，也

许是未来网络运维的技术演进方向，本文接下来就详细讲讲。

Sflow(RFC3176)

Sflow其实算不上新技术，这几年几乎已经所有的网络设

备都能支持。Sflow实现了网络流量的采样和推送，通过Sflow

采集最原始的数据信息，以IP报文格式的形式发往服务器，由

专门的分析工具解析，然后根据这些采集的数据进行统计分

析。Sflow是采样方式收集数据，采样比越高获取的数据越真

实，但采样比越高，设备CPU压力就越大。Sflow采样报文是经

过网络设备CPU收集，然后再发向服务器的，采集的数据太多，

会对网络设备CPU形成攻击，可能影响设备的正常协议处理，

数据中心网络运维可视化新技术漫谈


学术交流 2018/05/2期刊安全周报

学术交流

影响业务。所以，要谨慎使用Sflow，即便使

用也要根据设备流量大小，确认好采样比。

Sflow使用的局限性让人想到用硬件实现数据

采集，比如FPGA、Netstream硬件设备，这样

采集数据性能虽会有很大提升，但运维的投

入成本(购入支持FPGA的板卡或Netstream硬

件设备)会上去。另一方面，网络设备的CPU、

Memory、网络拥塞和网络事件的日志信息也无

法通过Sflow实时传递出来。所以，Sflow技术

一直不温不火，并未得到绝大多数人的认可，

使用时还要配合着SNMP来用，一个网络中要部

署多个监控系统，可视化看到的都是部分网

络，并非全部。

gRPC(Google Remote Procedure Calls，

谷歌远程过程调用)

网络运维在可视化上的窘态引起了互联

网技术人员的注意，谷歌发布了一个开源的

RPC框架，RPC定义了客户端和服务端进行通信

的数据结构，服务端提供的服务等，然后编译

生成相应的代码供客户端和服务端使用，gRPC

是RPC框架正式的实现版本，在2015年初开源

的通信框架。gRPC采用了protocol buffer来

做数据的序列化与反序列化，用http 2作为数

据传输协议，性能更优。在网络设备上集成

gRPC应用，网络设备就相当于gRPC客户端角

色，监控服务器相当于gRPC服务器角色，网络

设备主动向监控服务器发起gRPC通道建立和连

接。gRPC可以灵活定义数据格式和数据推送的

阈值，从而实现网络设备自身运行状态的主动

推送数据能力，实现周期性推送网络设备丰富

的运行状态，尤其当发生缓存不足导致的丢包

时，也会实时通知给监控服务器，实现网络运

行数据的可视化。表1列举了gRPC与传统可视

化技术的对比：

显然，gRPC具有响应速度快，实时性

高，采集数据全面的优点。

INT(In-band Network Telemetry带内网

络遥测)

INT是由Barefoot、Arista、Dell、

Intel和VMWARE共同提出的技术。INT是被设

计用来收集和报告网络状态的一个框架，它

通过数据平面实现，不需要控制平面的干涉，

Facebook根据这个协议和相应厂商的网络设备

设计了一套系统，未来可能会开源。INT的思

想是在第一跳的网络设备上收到相应报文，对

其进行封装特定报文，然后扔给下一跳，直到

最后一跳网络设备，每一跳网络设备都会收集

相应的信息，封在报文里面。最后，在最后一

跳网络设备剥离报文里面收集到的信息，然后

把原始报文扔给服务器，收集到的网络设备信

息扔给监控端处理。这样即不影响正常业务转

发，又能收集到经过网络设备的信息，在黑盒

不知道网络拓扑的情况下还能探测出网络拓

扑。初步协议给定的有：交换机ID、入端口

信息、入端口时间戳、出端口ID、出端口时间

戳、出端口链路利用率，缓存信息。INT是一

个类似OAM的协议，INT根据沿路设备的信息，

就能够知道报文怎么走的，哪里有性能瓶颈，

解决了网络转发路径和转发时延不可见的问

题。要注意的是：“INT推荐在数据面处理，

不推荐控制面处理以体现真实情况。”利用

INT技术能很快定位网络丢包和延迟问题，通

过软件打标记是无法实现INT的高效处理的，

必须需要网络设备硬件支持。

网络运维的可视化还有很长的路要走，

sflow、gRPC、INT等都是可视化具体实现技

术，尤其gRPC和INT技术还没有得到广泛使

用，现有数据中心的绝大部分设备还无法支持

这种新技术，网络设备的更新换代需要数年时

间，所以这些新技术只有在新建的数据中心网

络中才能有机会出现，能支持INT功能的网络

设备必然具有芯片自编程能力，这对网络设备

提出了更高要求。除了以上介绍的这三种可视

化技术，还有微软在2015年提出的Pingmesh技

术，以及依然是微软在2015年提出的Everflow

技术，还有Netsight(具体采用的Openflow协

议)、ATPG、Planck等等，这些都是这两年出

现的可视化技术，虽然没有gRPC、INT影响力

大，但技术也在不断完善中，未来也不好说哪

些技术一定能胜出，哪些技术会直接淘汰，去

让时间证明一切吧。

来源：企业网D1Net



学术交流

一定规模的安全公司几乎都会有套昂

贵的SIEM系统。出于各种原因，SIEM曾经

一度处于安全运营和事件响应的中心位置。

但随着时间流逝，安全运营工作流越来越复

杂，公司企业能从SIEM中获得的价值已大不

如前。但

这并不是

说公司企

业应马上

完全摒弃

SIEM。

事实上，正好相反，公司企业应敦促

SIEM提供商满足2018的安全运营需求，而不

是二十年前的。而一旦这些遗留系统真的达

不到当今的要求，可能也就到了该换个选项

的时候了。

基于此，特给出和传统SIEM说再见的

10个理由：

1、攻击不是线性的

大多数SIEM按行呈现其摄入的数据。

换句话说，线性输入线性出。然而不幸的

是，攻击者和攻击本身却并不总是线性

的。瞪着一张事件列表并不能帮你找出可疑

或恶意行为。

2、关注数据价值而非其数量

人们总想把所有能接入的数据源上的

数据都收集起来。但你有没有想过这些源对

安全运营有没有价值呢？如果没有，还有必

要收集了存起来吗？收集来的每份数据都会

缩短现有存储空间的寿命，降低调查分析的

效率。数据收集应更聪明些，而不是更努力

些。

3、太多工具

大多数安全公司持有的安全工具数量

都十分惊人。有这么多工具可用的同时，需

要每种工具满足多种不同操作需求的时代也

来临了。随着安全运营行业的成熟，对SIEM

的要求已超出了大部分传统供应商的能力范

围。

4、内部流量

包括SIEM在内的很多安全解决方案，

都重度依赖边界流量来提供可见性。但很不

幸，边界内部也是有很多很重要的东西的。

横向移动、内部应用误用和凭证窃取之类的

事通常都发生在公司内部。然而，公司内部

恰恰是很多公司企业都难以获得足够可见性

的地方。视而不见或不闻不问要不得。

5、数据切分

大多数安全分析员通常都有才、聪

明、有创造性。他们需要能够构建复杂查询

的工具来切分数据，以便能够调查可疑行

为，并发现其他需要注意的活动。另外，速

度和效率也很关键。不应该耗费数小时才可

以知道给定类型的行为是否曾经出现过。

6、关联

安全团队需要工具将相关事件关联起

来。至少安全工具应该是辅助而不是阻碍分

析师做这些关联。除此之外，现代工具还应

能在分析师着手之前就自动关联某些相关数

据。

7、上下文

描述清楚事件可以让安全团队做出及

时准确的决策。这涉及到从不同数据源收集

各种支持性证据揉合成重要的上下文，而不

是直接抛出缺乏上下文的事件。不支持这种

程度的调查自由度，或者没办法自动化其中

一部分工作的工具，在2018年是没有市场

的。

8、更智能的内容构建

无论公司企业的检测技术多么紧跟潮

流常换常新，总有改进的空间。如果你已经

有了精英安全团队，他们很可能会对传统

SIEM系统那有限的分析和查询能力感到绝

望。他们脑中有关新检测技术的构想，需要

现代工具帮助他们挖掘出来并加以实现。

9、更平滑的调查

只要用过传统SIEM调查事件，就会很

快发现这调查过程磕磕绊绊一点都不平滑。

今天的调查要求工具拥有足够的灵活性和

功能性，要能对各式各样的大量数据做深入

查询。

10、新方法

人工发展警报逻辑是非常重要的活

动，但也有可能是效率极低的做法。自动化

分析方法已经成熟到了可以产出价值附加警

报的程度，为安全运营工作流带来效率。当

然也有工具并不具备足够的分析严谨性，会

产生大量误报和噪音。不过，有一部分精选

工具可以产生人类可能没识别出的高保真可

靠警报。虽然步伐缓慢，但这一功能必然会

成为现代安全团队必备品。

来源：安全牛

和传统SIEM说再见的10个理由


微信公众帐号



学术交流

KnowBe4首席黑客凯文·米特尼克在一

段公共视频中展示了这一黑客方法。通过

诱使受害者访问“LunkedIn.com”之类与

著名网站长得很像的虚假域名，并捕获登

录名、

口令和

验证

码，黑

客便可

向真实

网站传递凭证，收获会话cookie。

KnowBe4 CEO称，凯文的一位白帽子黑

客朋友开发了一款利用社会工程方法绕过

双因子身份验证的工具。该工具可武器化

用于任意网站。双因子身份验证作为额外

的安全层理应提供更强的安全保护。

在这一案例中，我们能明显看到，不

能仅仅依靠双因子身份验证来保护你的公

司。

白冒黑客库巴·格雷茨基创建了该名

为evilginx的系统，并在其网站上细致阐

述了该系统的实现。

反网络钓鱼教育非常重要，只要受

害者了解安全，

知道点击收件箱

中链接可能带来

的风险，此类攻

击就绝不可能成

功。

因为员工就是公司防御的最后一道防

线，我们很有必要进行新式的安全意识培

训和模拟网络钓鱼攻击。未来几周内，黑

客将开

始尝试

这一新

技术，

用户和

I T 经理

应多加注意，强化自身安全操作。

来源：安全牛

双因子认证又怎样？凯文·米特尼克演示怎样绕过




黑客攻防

继eFa i l

攻击细节泄露

之后，加密通

讯软件Signal

的代码注入漏

洞也被公开。

S i g n a l

已经修补了

W i n d o w s 和

Linux程序，来

自阿根廷的白

帽黑客团队发

现了其中的代码注入漏洞。

远程攻击者可能利用此漏洞，通过对收件人

运行的Signal桌面应用程序注入恶意payload，攻

击者只需要它们发送特制链接，不需要任何用户

交互。

今天发

布的博客文章

称，这个漏洞

是偶然发现

的，研究人员

IvánAriel Barrera Oro，Alfredo Ortega

和Juliano Rizzo当时正在Signal上聊天，

其中一人在URL中分享了一个XSS payload链

接。出人意料的是，这个XSS被成功执行。

XSS也称为跨站点脚本，是一种常见的

攻击方式，攻击者可以将恶意代码注入到存

在漏洞的Web应用程序。

经过大量测试研究人员发现，该漏洞存在

于负责处理共享链接的功能中，攻击者可以通过

iFrame，图像，视频和音频标签插入特定的HTML/

JavaScript代码。

利用这个漏洞，攻击者甚至可以在接收者的

聊天窗口注入一个表格，让他们输入敏感信息。

有人之前认为Signal的漏洞可以让攻击者执

行命令或者获取解密密钥，其实不然。

研究人员发布PoC视频后不久，Signal开发

人员就修复了漏洞。

奇怪的是

研究人员还发

现，以前版本

中存在针对此

漏洞的补丁(一

个用于验证URL的正则表达式函数)，但它在今年4

月10日发布的Signal更新中消失了。

不过广大用户不用担心，只要你用的是最新

版，就不会有这个漏洞。


黑客公布Signal通讯软件中的代码注入攻击

今年2月，美国科罗拉多州交通

部遭遇勒索软件攻击，8天后又遭一

次，致使该机构的运转停滞数周。

该州官员不得不关闭2000台电

脑，运

输业雇

员也被

迫用纸

笔或个

人设备而不是工作电脑来处理事务。

计算机被感染的员工完全没办法读取

文件或数据，除非他们在云端做了备

份。工资系统和供应商合约也受到了

攻击的影响。

万幸的是：交通信号、摄像头或

电子信息牌未受攻击影响，而拒绝支

付赎金的州信息技术官员表示，截至

上周，系统已恢复了95%。

网络安全专家称，交通运输系统

是网络罪犯眼中诱人的果实，美国很

多州的政府官员还是刚刚惊觉此类威

胁，刚刚认识到自己需要加强防御。

德勤会计师事务所州网络安全负

责人斯里尼·萨博拉马尼安

说：“从市政交通运输到城

际高铁都可能受到网络攻击

或网络威胁的影响，引发高

速公路甚至城市街道上出现

撞车事故或混乱。”

科罗拉多州的事件让这些平时忙

于处理常规事务的官员重新审视了系

统安全问题。

佐治亚州交通工程师就表示：

“交通部通常管的就是沥青和混凝土

那摊子事。但还有另一拨人也在操作

这一基础设施。对很多交通部的人来

说，这是前所未见的新鲜事物。”

2月，马里兰州交通部长在美国

州公路和运输官员协会的会议上称，

安全事件是他最关心的问题。他的部

门监管着公共交通、高速公路、收费

站、港口、机场和机动车量管理。

如果黑客侵入了网络，列车、交

通信号、可变信息牌就成了他们的玩

具。我们之前从未想过这些问题。

这种担心并非空穴来风。

路上的电子信息标志被黑不是什

么罕见

的事，

通常都

出于恶

作剧心

黑客是如何在道路交通网络上引发混乱的


黑客攻防 2018/05/2期刊安全周报

黑客攻防

理。有些黑客会操控信息牌显示污言秽语、笑

话或个人信息。他们一般通过使用默认口令或

根本没设口令的网络连接来远程访问这些电子

信息标志。

但黑进交通系统的后果会严重得多。2008

年，一名14岁的青少年极客黑进了波兰有轨电

车系统，致几列列车脱轨，至少12人受伤。

州政府面临的黑客及网络罪犯威胁正在上

升，其中包括使用勒索软件锁定系统和数据的

那些。

2016年，旧金山轻轨系统遭勒索软件袭

击，计算机系统宕机，电子邮件服务中断。黑

客索要价值7.3万美元的比特币才肯解锁该市

交通局的计算机。当然，交通局很硬气地拒绝

支付赎金，并作为预防措施关停了售票机和检

票闸，让乘客周末免费乘车。

去年秋天，萨克拉门托交通局遭勒索软

件攻击，攻击者锁定了该机构网站，索要价值

8000美元的一个比特币。交通运输服务仍能继

续运行，但网站花了2天才恢复，该市官员也

与联邦安全官员碰了头。

3月，亚特兰大多个市政机构遭遇勒索软

件攻击，多项服务被中断，目前还在努力恢复

中。该市市民无法网上购票或支付账单，市法

院也无法查阅卷宗，警察则不得不提交纸质报

告，连犯人都得手动登记。

很多对州和地方政府发起的网络攻击都中断

了日常运作或盯上的是百万市民的个人数据。但

网络安全专家和交通运输官员警告称，当今数字

世界中，从交通灯到道路传感器再到列车和港口

都接入了计算机

网络，就像自动

驾驶汽车一样，

黑客可以造成的

伤害更大了。

对黑客来说，网络上的任何东西都有漏洞

可钻，万物互联的世界里，州交通部门面对的

网络威胁越来越真实了。

网络攻击呈指数级上升，交通部门必须加

强防御。否则管理着交通信号、电子信息牌和清

障队的交通运营中心就可能被网络罪犯搞瘫了。

州交通部门拥有自己的IT和网络人员是个

不错的加强网络防护的办法，这样他们就不用

与其他部门共享网络，即便整个地区系统都被

黑了也还能保住自己的。

但是，对州政府而言，网络安全资金缺乏

是个严重的问题。2016年对美国48个州IT安全官

员的调查发现，绝大多数州的网络安全支出在整

体IT预算中的占比微不足道，至多2%，有的甚至

根本没有。

州交通局面临的另一个挑战是在与地方政

府共建区域性交通项目时如何保护信息。在压

根不安全的网络上共享信息只会让交通部门面

对黑客毫无防备。

自己这边是可以筑牢高墙，但黑客完全可

以从另一边绕过那堵墙。

来源：安全牛

>> 在黑客的世界，总是有可能有人

带着另一个人的“人皮面具”行动。而最

近俄罗斯的黑客就被撕下了这个面具。

早在2015年，法国和美国的几名军嫂

都收到了号

称是中东圣

战组织的威

胁信息——

然而如今，

调查人员发现，这些信息并不是来自中

东，而是来自莫斯科，并且很有可能和干

涉2016年美国大选的俄罗斯组织是同一组

织。在2015年四月，该组织以伊斯兰圣战

的名义攻击了法国的电视台，并对法国政

府造成了一定恐慌。而法国的网络安全官

员当时就冷静地表示，顶着圣战名义的网

络攻击未必真的是伊斯兰极端分子的行

为。而如今这个组织被认为和干涉美国大

选的俄罗斯组织有千丝万缕的联系。

>> 去年Equifax信息泄露的更多细节

被流出。

好消息是，这次泄露确实只影响了约

1.46亿人;坏消息是：被泄露的不只有社

保卡号

(Social

Security

Number,

S S N ) ，

还有

0.99亿地址、20.9万的支付信息、3.8万的

驾照信息以及3200份护照信息。据称，这

次攻击的原因是因为某员工的失误造成了

Equifax在未打补丁的Apache Struts上运

行，从而给了黑客可乘之机。

>> 最近希腊和土耳其由于政治原

因，他们的民间黑客在网络上大打出手。

土耳其黑客组织Akincilar先是劫持了

希腊的官方新闻媒体ANA-MPA的网页并修改

主页控诉希腊政府支持恐怖分子，之后他们

又黑了日本汽车厂商三菱的希腊主页。在希

腊政府发表了不痛不痒的官方檄文之后，希

腊黑客组织Anonymous Greece怒了，发起反

攻，瘫痪了土耳其的第一频道24TV，并且反

诉土耳其人支持埃尔多安才是恐怖分子。

希腊黑客宣称他们黑掉了土耳其

12,987个通信路由器。而希腊方面也毫不

示弱，继续攻击希腊的国家网站。可以预

见，在未来的一段时间里，双方的网络大

战会越来越激烈。对于整个世界而言，未

来网络战争可能先于军队对抗发生。

来源：牛道消息

俄罗斯黑客伪装恐怖分子|Equifax更多细节流出|希腊土耳其网络大战


安全动态 2018/05/2期刊安全周报

安全动态

本周网络安全基本态势

本周网络病毒活动情况

本周境内感染网络病毒的主机数量

约为26.9万个，其中包括境内被木马或

被僵尸程序控制的主机约17.2万以及境

内感染飞客（conficker）蠕虫的主机约

9.7万。

放马站点是网络病毒传播的源头。

本周，CNCERT监测发现的放马站点共

涉及域名289个，涉及IP地址8265个。在

289个域名中，有29.8%为境外注册，且

顶级域为.com的约占76.8%；在8265个IP

中，有约68.1%位于境外。根据对放马

URL的分析发现，大部分放马站点是通过

域名访问，而通过IP直接访问的涉及301

个IP。

针对CNCERT自主监测发现以及各单

位报送数据，CNCERT积极协调域名注册

机构等进行处理，同时通过ANVA在其官

方网站上发布恶意地址黑名单。

本周网站安全情况

本周CNCERT监测发现境内被篡改的

网站数量为1040个；境内被植入后门的

网站数量为831个；针对境内网站的仿

网络安全信息与动态周报(2018.04.30至2018.05.06)

冒页面数量为1579。

本周境内被篡改政府网站(GOV类)

数量为35个（约占境内3.4%），较上周

环比上升了52.2%；境内被植入后门的政

府网站（GOV类）数量为21个（约占境内

2.5%），较上周环比上升了16.7%；针对

境内网站的仿冒页面涉及域名337个，IP

地址181个，平均每个IP地址承载了约9个

仿冒页面。

本周重要漏洞情况

本周，国家信息安全漏洞共享平台

（CNVD）新收录网络安全漏洞244个，信

息安全漏洞威胁整体评价级别为中。

本周CNVD发布的网络安全漏洞中，

应用程序漏洞占比最高，其次是WEB应用

漏洞和操作系统漏洞。

更多漏洞有关的详细情况，请见

CNVD漏洞周报。

本周事件处理情况

本周，CNCERT协调基础电信运营

企业、域名注册服务机构、手机应用商

店、各省分中心以及国际合作组织共处

理了网络安全事件514起，其中跨境网络

安全事件177起。

本周，CNCERT协调境内外域名注册

机构、境外CERT等机构重点处理了485起



安全动态

网页仿冒投诉事件。根据仿冒对象涉及

行业划分，主要包含银行仿冒事件470起

和政府公益仿冒事件15起。

本周，CNCERT协调2个应用商店及挂

载恶意程序的域名开展移动互联网恶意代

码处理工作，共处理传播移动互联网恶意

代码的恶意URL链接3个。

国家互联网应急中心



安全动态

新研究显示，情况不好的时候，2%的

比特币网络有可疑或恶意行为。

Rapid7新

发布的研

究揭示，

比特币网

络藏污纳

垢，大多

数时候，比互联网整体邪恶了3倍不止，情况

更糟糕的时候邪恶程度更会飙升至10倍。

区块链市场很乱，各种各样炫酷疯狂的

区块链技术产品层出不穷，还有令人倍感诧

异的的加密货币狂热。好像每个人都想掺一

脚，从币圈里面捞一把一样。

近一年的时间里，Rapid7一直在调查围

绕区块链技术、加密货币和区块链点对点网

络参与者的恶意行为和安全问题。

Rapid7的新报告题为《链下：公共互联

网上的比特币节点》。该报告结合了Rapid7

全球蜜罐网络Project Heisenberg 和互联网

扫描项目Project Sonar的情报，并综合了

研究比特币点对点网络成员关系的Bitnodes

Project项目数据。

比特币节点操作者选择“完全节点”模

式时，默认情况下会在端口8333上开启tcp服

务。而这个端口就是Project Sonar每个星

期都在公共IPv4网络上扫描的。来自Project

Sonar的数据显示，8333/TCP端口开放数量最

多的国家分别是美国(6,682)、中国(7,618)

和德国(3,358)。

Bitnodes使用种子节点连接比特币网

络。Bitnodes中97%的节点都通过8333/TCP

运作，但还有600个其他端口可以使用。

Bitnodes跟踪记录每个节点参与到比特币网

络中的时长。

对比特币网络的监测始于2017年8月，

Rapid7观察到该网络中每天都有1.1万到1.5

万个不同节点，自研究启动以来观察到的不

同节点总数则超过了14.4万。Bitnodes发现

的比特币节点显示，德国、中国和美国是比

特币网络中的占比最大的三大国家，节点数

分别为13,169、12,170和10,435。

相同时间段内，比特币网络中超过900个

不同节点与Rapid7从未宣扬和公开过的蜜罐

产生了交互。

对这些交互的调查显现出了一些类似的

模式。利用Nmap之类工具的端口扫描和活跃

侦察很常见，来自中国的MS17-010漏洞利用

也反复出现。

虽然一些可疑活动未必是恶意的，但主

要来自中国IPv4网段的17台主机，无疑在积

极进行MS17-010漏洞利用。

比特币网络中恶意行为猖獗的三大国家

Project Heisenberg 全球蜜罐网络显

示，比特币网络中恶意节点最多的三大国家

分别是美国(178)、中国(154)和德国(132)。

Rapid7的报告还写道：

最终我们认定，恶意节点的绝对数量相

对较少(就几百个)，但情况不好的时候有高

达2%的节点都表现出了可疑或恶意行为。

虽然百分比看起来相对较低，但得考虑

到我们检测的整个IPv4上恶意行为的背景噪

音源自互联网主机数的0.2%。因此，正常的

时候比特币网络约比互联网其他部分邪恶3

倍。而恶意行为特别活跃的时期，比特币网

络中的恶意节点比普通互联网上的在数量上

要多出10倍。

针对比特币网络的观察和建议很多，但

对比特币挖矿者而言，需要意识到比特币网

络中总有一小部分参与者在对公共互联网上

的无辜节点发起恶意攻击。

完整版报告：

h t t p s : / / w w w . r a p i d 7 . c o m /

globalassets/_pdfs/research/rapid7-

block-chain-research-report.pdf

来源：安全牛

比特币网络比互联网邪恶3到10倍




安全动态

2018年4月初发生的Facebook泄密事

件仍然在全球范围内不断发酵，其

核心原因正是数据安全已经超出互联网企业

与个人隐私间的恩怨，上升到与国家命运息

息相关的高度。而在中国，随着“互联网+政

务”工作的不断推进，政府相关机构也已经

成为爬虫、

拖库、网站

克隆等攻击

的重点目

标。这不禁

让人发问，

掌握着大量国家政务服务和数据的政府大数

据，还安全吗？

防不胜防，爬虫攻击后果不堪设想

政务服务广泛分布在交通、社保、民

政、旅游、公共安全等多个领域，数据数量

大、机密性强、附加价值高，且大多和国计

民生紧密关联，一旦遭到攻击，后果不堪设

想。然而据统计，目前国内政府网站40%—

60%的网络流量均来自爬虫，在提供公众查询

的服务性网站业务中，这一比例甚至更高。

爬虫爬得不亦乐乎，但数据泄漏带来的

负面影响却无法言尽——

1、数据非法利用，政务网

站风险加剧

数据被爬取后所引发的

安全风险正愈演愈烈。人资社

保、工商税务、专利信息查询

等政府网站都在为公众提供正规的线上数据

服务，但是互联网上却同时泛滥着大量的非

正常数据应用服务，以及线下的非法数据售

卖。这不仅会增加企业及公民信息外泄和被

利用、被伪造的风险，也使得互联网商业竞

争环境更加混乱，难以控制。

2、网站被克隆，政府公信力丧失

除了利用爬取数据进行牟利，更有甚

者，直接挪用政府公众服务类网站所有网页及

信息，进行网站克隆。克隆网站通常拥有与真

实网站高度相似的域名和首页，用户一般难以

辨认。然而当民众打开一个明为提供国计民生

服务、实为不法平台的克隆网站，不仅会看到

许多不堪入目的广告，甚至会在不知不觉中被

引诱点击诈骗链接。那么，作为受害者的政府

网站，又该如何维护公信力呢？

3、公民隐私权被侵犯，政府权威受挑战

《网络安全法》明确了个人信息安全

的突出地位，政府有责任保护公民的信息安

全。作为提供民生服务的政务网站，包含着

海量集中的、与公民及企业相关的真实数

据，如果被不法分子盗取并利用，不仅会直

接损害当事人隐私权等民事权益，而且会影

响公众今后向政府提供数据的态度，使得公

众对政府后续提供的数据的完整性、准确性

和权威性产生怀疑。

4、运维困难、投诉不断，陷入恶性循环

政府网站被大规模攻击后，网页打开

缓慢、无法正常处理业务等问题会严重影响

用户的使用。为此许多政府网站已经投入大

量人力和资金，但在不断更新迭代的自动化

攻击面前，改善并不明显。“爬虫攻击网

站——系统宕机——用户投诉——耗资维

护”这一过程似乎已经成为一种恶性循环。

保障业务安全，为传统安全机制所不能

需要再次强调的是，自动化工具攻击

并不是一成不变的，爬虫等技术也在不断发

展，手段越来越“高明”。它们不再是简单

的脚本或程序，而是在一定程度上能模拟人

的行为或浏览器行为。因此依赖签名与规则

等的传统安全防御技术，已经无法抵御新兴

的安全威胁。

那么，面对层出不穷的自动化工具攻

击，政府网站就真的束手无策了吗？并非如

此。瑞数信息的“动态安全”技术就可以做

到传统安全防御所不能，并围绕客户业务量

体裁衣，在以下数据安全应用场景中，为政

务网站提供高效的安全保障：

• 防爬虫防治爬虫爬取网站上的数据，

保护大数据安全，释放系统资源。

• 防“内鬼” 防止利用合法身份，通过

工具批量窃取内部数据。

• 防数据遍历防止利用逻辑漏洞，通过

工具批量导出用户资料。

• 防越权防止利用权限漏洞，以低权限

身份执行高权限操作。

• 防拖库防止通过业务逻辑，利用工具

批量导出数据库信息。

以某政务服务网站的实际情况为例：虽

然已经部署了传统安全防御产品，但是系统

仍然经常被攻击，网页无法打开，持续增加

的投诉量令网站管理者苦不堪言。紧急上线

瑞数动态安全产品后，60小时内，即识别并

拦截了近4500万次异常访问请求，异常请求

占到向该网站发起的总请求数的78%。深入分

析所得安全威胁数据后，技术人员发现，使

用Phantomjs、web_driver等常见的爬虫攻

击工具进行非正常访问的情况最为普遍；而

大部分爬虫都采用多源低频的方式，通过更

换大量IP来规避安全检测机制，使得溯源难

度加大。因此，瑞数在防批量爬虫时，核心

方式就是运用“动态安全”技术进行人机识

别，在所有请求中判断出哪些是真人访问，

哪些是自动化工具在模拟人类获取数据。

动态安全技术，更主动、更轻量、更高

效

那瑞数动态安全技术是如何进行人机

识别、做到传统安全所不能的呢？“随变而

变”、动态地进行安全防御就是瑞数给出的

答案。

瑞数动态安全以创新的“动态安全”技

“互联网+政务”时代，政府大数据安全如履薄冰



安全动态

Flashpoint的安全专家确认，

TreasureHunter PoS恶意软件

源代码的确从三月份开始就被泄露在网

上。

研究人员发现这个病毒至少在

2014年年底就已经出现。TreasureHunt

首先被SANS研究所的研究人员发现，他

们注意到恶意软件会生成互斥体名称以

逃避检测。

TreasureHunt列举在受感染系统

上运行的进程并实施内存抓取功能来提

取信用卡和借记卡信息。被盗的支付卡

数据通过HTTP POST请求发送给C&C服务

器。

FireEye的专家分

析了这些恶意软件后发

现，黑客会利用弱口

令入侵PoS系统。一旦

TreasureHunt恶意软件

感染系统，它会将自身

安装到“%APPDATA%”目录中并通过创

建注册表项来保证驻留系统：

HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\

Run\jucheck

Flashpoint研究人员在俄语论坛上

发现了TreasureHunter的源代码，发布

代码的人还泄露了用户界面和管理员面

板的源代码。

PoS恶意软件的开发者似乎是一位

精通英语的俄国人。

可怕的是黑客可以通过源代码构建

自己的病毒，从而导致攻击的种类和多

样性大大增加。

发布TreasureHunter的黑客也说，

其他黑客可以根据自己的需求修改源

码。

病毒运作过程

不过另一方面，源码会让安全公司

更方便地了解病毒运作过程，从而采取

相应对策。

Flashpoint积极与思科Talos的研

究人员合作，防止恶意程序传播。

“ 最初，这种恶意软件似乎

是为臭名昭着的地下商店转储卖

家”BearsInc“开发的，存在于各种中

低端黑客社区中。目前还不清楚为什么

源代码被泄露。”

恶意代码是用纯C编写的，它不包

含C++特性，最初是在Windows XP上的

Visual Studio 2013中编译的。

该代码项目似乎被称为内部

trhutt34C，研究人员说，病毒作者重

新设计了几个功能，包括加入反调试，

代码结构和门通信逻辑来改进它。

“源代码与过去几年真实看到

的各种样本一致。TreasureHunter\

config.h在恶意软件的发展过程中有明

显的修改迹象。”总结分析。

“早期的样本用FI E L D N A M E _

PLACEHOLDER填充了所有可配置字段，

以便被构建者覆盖。更新的示例和源代

码将相应的配置值直接写入字段中。这

使得示例稍微小一点，创建重新配置的

文件。”


术为核心，彻底转变了传统的安全防护思路，不再依靠

任何特征或规则，而是通过动态变幻，增加服务器行为

的不可预测性，大幅提高攻击难度；又通过严密检查

运行环境、浏览器指纹、疑似攻击行为等因素，在正常

流量中高效甄别并阻拦由自动化爬虫工具发起的访问需

求，保护政府大数据安全。

从部署架构而言，瑞数动态安全采用反向代理模

式部署于受保护的网站之前，可以通过负载均衡设备监

控系统状态，保障应用的高可用性；也可以进行横向扩

容，不会形成网络性能瓶颈。

从防护层面而言，瑞数动态安全技术贴近业务，

解决的都是实际的业务安全问题，与传统安全防护相

比，瑞数能够很快让用户感受到安全技术带来的价值。

概括地说，瑞数动态技术安全防护具有以下优点：

• 主动防御克服传统技术天然缺陷，不依赖传统

特征码、阀值、打补丁和策略规则，通过四大动态技术

使得自动化攻击工具失效；

• 轻量管理无需修改应用服务器代码，无需配置

任何规则，也无需更新规则和特征库；

• 高效回报不影响服务器的正常运作，释放系统

资源，降低运维成本，投资成本得以具象体现。

主动防御技术正在成为政府和企业安全防御的新

趋势。2017的IDC报告明确提出，移动目标的动态防御

技术已经成为与机器学习、行为分析、威胁情报技术一

样在主动防御领域的重要技术。只有以动态安全技术进

行主动防御，才能掌握先机，在自动化攻击面前持续为

政府数据安全保驾护航。

来源：企业网D1Net

TreasureHunter PoS恶意软件的源代码泄露



安全动态

Abbott已召回约35万台可植入

性心室去颤器进行固件更新，

原因是这些设备被指包含威胁生命的缺

陷并易遭利用。

Abbott公司(此前被称为St. Jude

Medical)已召回大量此类设备修复该缺

陷并保护病患免遭被黑心脏起搏器带来

的危险。

漏洞早在2014年就存在

据报道，Abbott公司的一些可植

入心脏除颤器(ICD，也被称为心脏再同

步治疗除颤器CRT-D)也将进行固件升

级。通过升级，这些设备(或我们通常

称之为心脏起搏器)将提供更好的防护

措施，抵御黑客攻击以及未授权访问，

且约46.5万名病患将免

遭生命威胁。

去年，安全研究员

MedSec和Muddy Waters

从Abbott心脏起搏器中

找到了多个漏洞，但公

司并未理会这些研究发现，并起诉研究

员侵犯公司的名誉权。

然而，美国食品和药物管理局

(FDA)发布的报告且隶属美国国土安全

部的ICS-CERT发布的安全公告都支持研

究人员的研究成果，从而为Abbott施压

修复漏洞。最终，Abbott别无选择，只

能开始发布固件更新并发布自愿召回。

FDA报告披露称Abbott公司在2014年起

就已经意识到其生产的心脏起搏器中存

在多个问题。

固件升级后，除了医生，没有人

能够在心脏起搏器中部署变化。该更新

已获得FDA的批准并含有有效的修复方

案以及安全更新。固件升级后，设备能

够检测出电池耗电速度是否快于预期，

并且将把相关情况通知给病患。

Abbott在网站上表示已经为其可

植入设备、远程监控系统以及程序员做

出了一系列更新计划。心脏起搏器修复

是这个原定于2017年的计划的首项内

容。2017年，研究人员表示ICDs受多个

安全缺陷的困扰，可能带来灾难性后

果。Abbott公司要求病患在完成植入流

程前与医生取得联系。

漏洞可致病患死亡

由Abbott公司开发的心脏起搏器

中存在的这个问题和硬编码解锁代码相

关。如果该代码被黑客识别出来，那么

获得对所有易受攻击设备的后门权限将

非常容易。Merlin@home发射器也被指

易受中间人攻击。如果黑客结合使用这

两种漏洞，那么就能发送来自 Merlin@

home发射器的命令来操控植入并制造可

能引发病患死亡的心血管问题。

Abbott公司声称尚未发现针对其心

脏起搏器遭黑客利用的报告或者有人获

得对植入设备的未经授权的访问权限。

黑客要获得更新的一个要求是访问办公

室但更新进程本身并不具入侵性。就像

Abbott公司解释得那样，“在升级过程

中，将会在ICD或CRT-D上放置能向设备

传输信息的信标。在流程结束时，会审

查设备的最终设置以确保已成功完成更

新。升级流程大概需要三分钟完成。”

Abbott公司建议病患咨询医生以

获得最佳更新。截至目前，已在设备上

执行了近5万个固件更新，同时，FDA和

Abbott公司也都证实称目前尚未出现任

何问题。

摘自：安全客

35万台ICD和心脏起搏器存在多个致命缺陷

Chipzilla手册更新，请及时打上补丁。

Linux、Windows、macOS、FreeBSD和Xen的某

些实现都存在设计缺陷，攻击者可利用该缺陷导致英特尔和

AMD计算机系统崩溃。

更糟的情况是，黑客

还有可能获取到敏感内存

信息或控制底层操作系统

功能，也就是能窥探内核

内存或劫持机器运行的关

键代码。

恶意登录用户或计算机上运行的恶意软件都可以利用该

漏洞。不过，这一几乎波及全行业范围的编程缺陷目前已有

可用补丁加以缓解。

5月8号CERT发布的公告称，该编号为CVE-2018-8897的

安全漏洞，是因为微软、苹果和其他公司错误理解了英特尔

和AMD芯片处理某一特定异常的方式。

CERT写道：“该错误似乎是因开发人员对现有文档的解

释而产生的。”换句话说，程序员理解错了英特尔和AMD的手

册，虽然这些手册可能写得不是特别清楚。

触发中断

问题的核心是POP SS指令。该指令从当前程序的堆栈取

得用于堆段选择的值，并将该值放入CPU的堆栈选择寄存器。

但现代操作系统大多忽略了内存分段问题。CPU会特别处理

各大操作系统误读英特尔文档致内核可被劫持或崩溃



安全动态

POP SS指令，以便执行中遇到中断时堆栈能

保持一致状态。

应用程序可为堆栈选择器即将被POP SS

指令从堆栈中取出的内存位置设置调试断

点。设置了该调试断点后，当应用程序调用

POP SS指令时，只要处理器访问RAM特定位

置读取该堆栈选择器，就会抛出一个特殊异

常。

问题就出在这儿。要利用这一情况，紧

跟在POP SS指令后的那条指令必须是触发中

断的INT指令。这些由软件产生的中断有时候

是用户程序用以激活内核，让内核为当前进

程干活的，比如打开个文件之类。

在英特尔和AMD机器上，紧跟在POP SS后

面的软中断指令会让处理器进入内核的中断

处理过程。然后调试异常就出现了，因为POP

SS导致该异常被延迟。

操作系统设计者并没有预期到这一点。

他们阅读英特尔的x86-64手册，认为内核中

断处理过程是在不可中断的状态下开始的。

但如今，中断处理过程在初期就遭遇到了非

预期的调试异常。

漏洞发现者的技术报告中解释称，这导

致了内核的混乱，特定情况下，内核的动作

完全依赖于非特权用户所控制的数据。

如果POP SS指令执行时调试寄存器设

置了堆栈位置访问的断点，且紧跟的指令就

是INT N，那么在进入中断门之后，挂起的

#DB就会被触发，因为那是最有可能的分支指

令。不是不可屏蔽的中断，也不是机器检查

异常，操作系统开发人员直接为中断门语义

假定了一个不可中断的状态。这会导致操作

系统监管软件在设计时出现漏洞，使用中可

能会错误地采用了非特权软件选择的状态信

息。

这是操作系统提供商因为POP SS指令及

其与中断门语义互动的文档不清晰不完整而

犯下的严重安全疏漏。

其结果就是，在英特尔主机上，用户应

用程序可使用POP SS和INT指令来利用上述

的错误理解，控制中断处理过程中的特殊指

针GSBASE；而AMD主机上，应用程序可控制

GSBASE和堆栈指针。黑客可利用该漏洞触及

未分配内存，抽取部分受保护内核内存，最

终使内核崩溃;或者调整其内部结构，扰乱系

统运行。

虽然任何漏洞利用尝试都更容易搞崩内

核而不是引起什么严重伤害，但是与熔断之

类的漏洞一样，这是整个行业的耻辱，应该

尽快被补上。

操纵

FreeBSD对该问题的解释则更进一步：

“在x86架构的系统上，堆栈是由堆栈段和堆

栈指针共同表示的，其正常运行需要二者协

调一致。操作堆栈段的指令有特殊的处理过

程来保持与堆栈指针的改变相一致。”

MOV SS和POP SS指令会抑制调试异常直

到下一条指令的边界。如果该指令是一条系

统调用或者将控制传递到操作系统的类似指

令，调试异常就会在内核环境中处理，而不

是在用户环境中处理。

其结果就是通过了身份验证的本地攻击

者可以读取到内核内存中的敏感数据，控制

底层操作系统功能，或者直接搞崩系统。

微软的内核建议表明，在Windows主机上

利用该漏洞，需要攻击者先登录到系统，再

运行精心制作的应用程序以夺取受影响系统

的控制权。

这并非危言耸听，除非你的主机上从来

都不运行任何不可信的代码。

Red Hat已经准备好放出补丁，Ubuntu和

macOS同样做好了补丁准备。

Linux内核早在2018年3月23号就打上

了补丁，版本4.15.14、4.14.31、4.9.91、

4.4.125以及更老的4.1、3.16和3.2都已修

复。

微软也解决了该问题，补丁覆盖

Windows 7到Windows 10，Windows Server

2008到Windows Server 1803。Xen为版本4.6

到4.10打了补丁。VMware的虚拟机管理程序

没有风险，但vCenter Server的一个工作区

和vSphere集成的容器需要打补丁，但都只是

“可能”受影响。

所有资料来源都痛苦地指出，虽然该问

题源自x86-64指令集，但需承担责任的却是

内核程序员而(不是Chipzilla)。似乎是很多

程序员都理解错了调试异常的处理方法，在

很长一段时间里重复着相同的错误。

既然英特尔已经更新手册澄清了堆栈选

择器指令的处理方式，或许大量操作系统开

发人员都得去重新学习x86-64架构。用户也

得紧急修复自己的系统——这种事如今用户

应该已经非常习惯了。

英特尔发言人称：

我们重视客户和合作伙伴的安全。为

确保与开发者社区的明晰沟通，我们更新了

《软件开发者手册》(SDM)，澄清了POP/MOV-

SS指令的安全用法。我们建议系统软件厂商

评估其软件以证实自身产品能处理上述问

题。

相关漏洞研究：

https://everdox.net/popss.pdf

来源：安全牛


微信公众帐号



安全动态

据Reddit用户报告，在Python库的

SSH-Decorator软件包中发现了

窃取用户SSH私钥及帐号密码的后门，目前

该库已被Python官方移除。SSH-Decorator

为以色列开发人员Uri Goren开发，主要用

途为解决

用户从

Python代

码中发起

的S S H通

信连接。

事件起因

此次事件最早于5月5日开始发酵。

Github上的开发人员mowshon发现，多个新

近版本的SSH-Decorator模块中含有后门，

该后门功能具备收集用户SSH密钥信息，并

发送到以下远端服务器的机制：

http://ssh-decorate.cf/index.php

经分析，SSH-Decorator的0.28到0.31

之间的多个版本都存在该后门。消息一经

传播，就引起开源社区的广泛关注和讨

论。

开发者发声：后

门是黑客攻击故意植入

的

随着网络社区的

一波波关注声讨，SSH-

Decorator原始开发者Uri Goren终于表态

了，他强调，这个锅他不背，后门是黑客

攻击之后故意向SSH-Decorator软件包中植

入的。

Uri Goren还说：

“我已经更新了我的PyPI密码，并重

新转发上传了一个新的SSH-Decorator。

另外，我还在软件包的自述文件中作了说

明，确保用户知晓此事。”

SSH-Decorator后续给出的自述文件是

这样说明的：

此次后门事件已引起我们的高度

重视，主要原因在于之前版本的SS H -

Decorator软件包被黑客非法劫持并向其中

植入了恶意后门，导致从PyPi下载该软件

包的用户受到影响。请务必对照检查你现

在或之间版本中受影响的相关代码，特别

是那些要求密钥认证的在用版本。

强烈反响

声明过后，此次事件在Reddit社区引

起了热烈讨论，成为热门话题。很多开发

者言辞激烈地进行了谴责，迫于压力，Uri

Goren最终从GitHub和Python官方库PyPI中

彻底移除了SSH-Decorator下载库。

其它类似事例

这不是开源软件第一次存在后门的事

件，也就在4月底，NPM包管理团队(Node

Package Manager)发现，有攻击者意欲想

在流行的JavaScript软件包Mailparser中

植入后门。

另外，2017年8月，NPM团队曾从一些

开源软件项目中清除了将近38个被恶意感

染的JavaScript软件包，这些包都具备窃

取用户环境变量信息的问题。

与此次Python的第三方库PyPI出现的

SSH-Decorator后门事件类似，2017年，斯

洛伐克国家安全办公室也曾发现，在PyPI

库中存在十余款恶意的Python软件包，之

后，这些软件包被Python官方迅速移除。

缓解修复措施

此次后门事件将开源软件安全性的

讨论推向高峰，很多开发人员对此非常担

忧。该事件中涉及SSH-Decorator的0.28到

0.31之间的版本都存在后门机制，如果你

正在使用这些版本SSH-Decorator，请务必

回退到0.27或以下的安全版本为好。


Python官方库软件包SSH-Decorator被植入后门



业界新闻 2018/05/2期刊安全周报

业界新闻

其实目前国内关于区块链的态度用一

句话就可以概括清楚：一方面是对ICO项目

的大力监管，一方面积极推动国内区块链

相关领

域的研

究。以

下是币

事堂整

理的今

年5月以来全国各地方政府对区块链相关产

业的政策：

人民网：陕西公安机关将重点打击以

“虚拟货币”“投资理财”等为幌子的传

销活动

据人民网报道，去年8月至今，陕西

省各级公安机关捣毁传销窝点1058个，教

育遣返传销活动参与者3000余人，解救大

学生等受骗群众30人。下一步，陕西公安

机关将重点打击以“消费返利”“资金互

助”“虚拟货币”“投资理财”等为幌

子，实为传销活动的行为。

青岛市市北区委书记：做强区块链等

六大特色产业，推动新旧动能转换

5月4日，中星微电子集

团产业集群、中国网络空间安

全(青岛)产业园等67个重点项

目集中签约落户山东青岛市市

北区。市北区委书记郑德雁表

示，市北区将把握山东建设新

旧动能转换综合试验区、青岛争创国家中

心城市的战略机遇，做强“区块链、智库

集群、

城市治

理、人

力资

源、文

旅产

业、现代保险业”六大特色产业发展格局，

加快产业转型升级，推动新旧动能转换。

山东淄博利用区块链技术打造综合物

流信息平台

5月6日，在2018淄博物流节启动仪式

上，市物流产业发展办公室宣布：淄博市

综合物流信息平台正式上线运营。据悉，

该平台是国内首次使用NB-IOT窄带物联网

技术、区块链技术，结合大数据分析、人

工智能等，把制造企业、物流园区、物流

企业、物流人纳入平台，实现了资源共享

信息共用。

杭州副市长刘德生：杭州为打造世界

名城，全力推动区块链等未来产业发展

杭州市委常委、副市长刘德生在演讲

2018年5月全国各地区有关区块链政策的整理



业界新闻

中表示，杭州为打造

世界名城，正大力推

进国际化进程，全力

推动大数据、人工智

能、区块链等未来产

业发展。

武汉市汉阳区检察院：以比特币为犯罪对象的案

件，一般以涉嫌非法获取计算机信息系统数据罪处理

据《楚天都市报》报道，武汉市汉阳区检察院称，

由于比特币是网络虚拟货币，所以，以比特币为犯罪

对象的案件，一般以涉嫌非法获取计算机信息系统数据

罪处理。但在黄杰一案(武汉市首例比特币盗窃案)中，

有证据证明，刘太婆(受害人)购买比特币支付的款项，

以及黄杰(犯罪嫌疑人)将比特币卖出后获得的赃款，都

是实际支付，比特币的价值得到了清晰体现，所以，办

案检察官认为，黄杰盗窃他人比特币的行为应当认定为

涉嫌盗窃罪。现在的行情中，如何选出一只底部即将启

动的牛股呢？相信这一点笔者的粉丝朋友都是比较清

楚，本人喜欢讲牛股也擅长抓牛股，比如近期给大家讲

解的：华锋股份、中国软件、兆日科技、顺鑫农业等

股票，那一只的涨幅不是超过了50%，相信不少本人的

粉丝朋友都是有牢牢的把握住其中利润的。笔者微信

dxzs366，放心，都是不收费的，如果大家觉得笔者的

分析对大家有帮助的话，请多多转载。

贵阳市政府常务会议强调，要紧盯人工智能、区块

链等领域精准招商

5月7日，贵阳市委副书记、市长陈晏主持召开市政

府常务会议。会议强调，要加快推进大数据产业招商，积

极用好数博会平台，紧盯人工智能、区块链、电子信息制

造等领域开展精准招

商，吸引更多大数据

优强企业落户贵阳。

江苏省将加强

风险提示，尤其对以

“区块链”等时下热点进行炒作的集资行为

5月，江苏省将再次发动新一轮宣传攻势，助推持

续打好防范金融风险攻坚战。宣传内容上，将结合公安

部近期通报的非法集资“十项花式”，加强风险提示，

尤其对以“一带一路”“军民融合”“物联网”“ 区

块链”等当下热点概念进行炒作的集资行为，及时予以

风险提示预警。

湖南省委党校开展中青年人才专题培训，区块链为

培训课程之一

日前，2018年湖南省中青年人才专题培训班在省委

党校举行结业座谈会。据悉，此次培训由省委组织部、

省科技厅和省委党校共同举办，培训围绕加强政治引领

和国情省情教育，开设了推进产业建设年活动有关政策

解读、科技创新计划管理改革与项目申报实务、创新创

业与知识产权政策辅导、金融新政及区块链有关内容辅

导等课程。

贵阳南明区将增强机关企事业单位人员对区块链应

用等领域的培训

据贵阳日报消息，贵阳南明区瞄准大数据产业发

展科技前沿、关键技术和急需人才需求，开展大数据人

才培养计划。增强机关企事业单位人员对大数据生态发

展、区块链应用及人工智能等。

来源：今日头条

4iQ是一家身份威胁情报公司，负责监控互联网上的数据泄露情

况。最新的4iQ身份盗用报告显示，2016年至2017年期间，其团队发现

泄露的身份信息增加了182%。

报告《身份泄露海啸仍在

继续》显示，2017年4iQ发现了

87亿条原始记录中的超过30亿

条身份记录。

更糟糕的是，身份信息

黑客所采用的策略变得越加复杂。福布斯回忆道，“在1982年的科

幻电影”银翼杀手“中，戴卡德是哈里森福特扮演的一名头疼的前

侦探，他寻找一些复制人–一些非常逼真的机器人，几乎不可能把

他们认出来。未来几年，银行要做的可能也是把那些逼真的冒充者

识别出来。”

现在这已经不再是虚构的概念。这种欺诈手段被称为合成身份

盗用，不同于传统的身份盗用，犯罪者会创建一个新的合成身份，而

不是窃取现有身份。黑客从一开始就搜索不活跃的社会安全号码，往

往是儿童的社会安全号码。他们用假地址与孩子的社会安全号码相关

联，然后随着时间的推移，购买的产品和服务越来越多，这些身份会

被建立信用评级。福布斯指出，黑客“最终通过在不同的账号各累计2

万美元的债，然后消失得无影无踪。这种欺诈手段让银行花费数十亿

美元和大量时间寻找那些不存在的人。“

最新的FBI/IC3网络犯罪报告显示，个人数据泄露是第二大网络

犯罪。相比之下，公司数据泄露则更少，只是有些公司的影响比较

暗网儿童个人信息数据增长182%，儿童身份盗用成为获利新手段



业界新闻

大，例如Equifax。它的漏洞影响广泛，详细

程度也令人担忧 – 地址，出生日期，社会

安全号码，性别，电话号码，驾驶证号码，

信用卡号码，税务ID以及驾驶执照都被泄

露。

举个例子堪萨斯州的一名十一岁男孩的

社会安全号码被用于在威斯康星州租用汽车

并开立银行账户和信用卡。他的母亲Wiesje

Sammis说，她最近收到了密尔沃基郡一名侦

探的一个的电话，询问她的儿子是否租了辆

车。 “我当时说’唔，不，他就11岁，’”

她说。

Sammis说她的儿子Terrelle Lewis的身

份被盗，他的社会安全号码被滥用。 “我觉

得有点吓人，现在还有这种操作，”她说。

警方在西密尔沃基的沃尔玛找到了凶手。当

被问及身份证时，他提供了一张假驾驶执照

和一张带有刘易斯号码的社保卡。

嫌疑人在一月份租了一辆汽车，但从未

归还。他还开设了多个信用卡和银行账户。

刘易斯的母亲说，警方通知她有人可能在网

上购买了她儿子的社会安全号码。她相信这

是在四年前儿子保险公司发生数据泄露时被

盗用的。

现在她担心其他人也存有她儿子的社会

安全号码。 “我认为这会长期影响他，”她

说。


2018年5月15日，盘古团队在微信发

布重大漏洞预警。称在iOS应用安全审计中

发现一类通用安全漏洞，在不安全的WIFI

环境下载使用微博，攻击者可以获取微博

中任意

代码执

行能

力，并

且在安

卓平台

发现了类似漏洞。

在持续更新的疑似受影响的应用列表

中，目前已经有近16000个应用，其中包括

QQ音乐、微博、QQ 空间、快手、微信读书

等。

盘古实验室透露，ZipperDown漏洞危

害与受影响应用功能及权限相关。在某些

应用中，攻击者仅能利用ZipperDown漏洞

破坏应用数据，而在某些应用中攻击者也

能够获取任意代码执行能力。

对已经收集到的近17万应用检测发

现，受影响的应用占比高达10%。尽管可以

通过指纹匹配的方式来检测应用是否受影

响，但ZipperDown漏洞形态灵活多变，导

致较高的漏报率。因此最可靠的方式还是

人工分析。

鉴于

该漏洞影响深

远，盘古实验

室目前并不会

公开漏洞细

节。同时积极

与应用开发者

合作，共同排

查此漏洞。

在不安全

WIFI下下载使

用WIFI的漏洞

利用演示,如左

图所示


安卓、iOS双平台现重大安全漏洞，微博、网易云音乐等大型应用均受影响




海外来风

Coinhive恶意软件感染近400个网站，其中包括美

国政府、联想和洛杉矶分校的网站。

看起来加密货币的流行并没有停止，黑客依然在

继续想方设法的窃取用户的计算能力来挖掘加密货币。

来自 B a d

Packets Report的

安全研究员 T r o y

Mursch发现，使用过

时版本的Drupal内容

管理系统的一些网站

正在成为黑客挖掘加密货币的受害者。

这次活动袭击了约400个网站，虽然主要目标是美

国的政府机构和教育机构，但多家科技公司的网站也感

染了该病毒。

Mursch收集受影响的网站名单中，包括美国国

家劳工关系委员会(NLRB)、中国高科技公司的联想、

台湾网络硬件制造商D-Link以及加州大学洛杉矶分校

(UCLA)。

美国、墨西哥、土耳其、秘鲁、南非和意大利的

官方网站也受到影响。

Mursch发现所有受感染的JavaScript代码都指向

相同的域名(vuuwd.com)和相同的Coinhive密钥，这意

味着它是所有这些攻击背后的单个个体或实体。

Mursch之前的研究发现近5

万个网站正在进行加密活动，其

中许多是不知情的。

关于所有这些攻击的一个

有趣事实是，黑客在选择挖掘服

务上明显倾向于Coinhive，它承

担了超过80%的受感染网站。

Coinhive在推

出了一项需要用户同

意才能将其计算机用

于挖掘的功能后获得

了一些合法性。联合

国儿童基金会甚至将

Coinhive服务与此功

能结合起来，为孟加拉国的儿童慈善事业提供资金。

然而，研究人员发现，「选择使用」版本通常不

会受到网站的欢迎，他们选择将Coinhive与他们的网站

整合在一起，而不会通知用户。

除非用户

注意到设备上

的CPU使用率过

高，并且调查

原因，否则用

户无法知道他

们的计算机是否正在通过Coinhive来挖掘加密货币。

幸运的是，有办法阻止这些恶意软件利用你的CPU的

计算能力，你可以在这里阅读所有关于它们的信息。


近400个政企网站感染Coinhive恶意软件，秘密挖掘加密货币

美国计算机安全应急响应中心(以下简称“CERT”)日前发布公

告称，Windows、macOS、Red Hat、Ubuntu、SUSE Linux、FreeBSD、

VMware和Xen等系统都可能受到一个重大安全漏洞(CVE-2018-8897)的影

响，这个漏洞是由于操作系统开发者曲解了英特尔和AMD两大芯片厂商

的调试文档所致。

不过，这个漏洞的利用需要一定的条件，攻击者需要使用已经感染

带有恶意软件的计算机，或者必须使用已经登录的帐户才能运行利用此

漏洞的恶意代码。如果顺利入侵，攻击者可以将其代码的访问权限提升

到内核级别，然后使用此访问权限执

行其他操作。通俗来说，攻击者可以

利用操作系统的 API 获取敏感内存

信息，或控制低级操作系统功能。

根据CERT/CC的报告，这个漏洞出现的详细原因如下：

这个漏洞主要与操作系统供应商为Intel x86-64体系结构部署的

硬件调试机制有关，核心原因是MOV SS和POP SS指令。该指令从正在运

行的程序堆栈中获取一个用于选择堆栈段的值，并将这个值存入CPU的

堆栈选择器与寄存器。这与很多现代操作系统所忽视的内存分割有关。

POP SS指令由CPU专门处理，以确保在执行中断时，堆栈不会陷入不一

致的状态。

应用程序可以通过POP SS为堆栈选择器所在的内存位置设置调试

断点。也就是说，当应用程序使用POP SS时，如果处理器触及RAM的特

开发者误读芯片厂商调试文档，导致Windows、macOS和Linux等主要操作系统出现新内核漏洞


海外来风 2018/05/2期刊安全周报

海外来风

定部分以获取堆栈选择器，将会生成特殊

的异常问题。如果紧接在POP SS指令之后

的指令是INT指令，就能利用这种异常情

况来触发中断。这些软件触发的中断有时

被用户程序用于激活内核，因此它可以执

行打开文件等运行程序所需的操作。在运

行Intel或AMD的计算机中，软件生成的中

断指令紧跟在POS SS指令之后，立刻让处

理器进

入内核

的中断

处理程

序。随

后，由于POP SS导致异常被延迟，会触发

调试异常。

由于英特尔的x86-64手册关于POP SS

指令及其与中断门语义相互作用的注意事

项不清楚甚至不完整，让操作系统开发者

和供应商误以为处理程序在不可中断的状

态下启动。但事实上，调试异常需要在处

理程序中断的早期进行处理，否则用户应

用程序可以利用开发者的这种误解，在

运行Intel的计算机中利用POP SS和INT

指令，控制中断处理程序中的特殊指针

GSBASE。而在运行AMD的计算机中，用户应

用程序可以控制GSBASE和堆栈指针，导致

内核崩溃，通过访问未映射的内存，提取

部分受保护的内核内存，或者调整其内部

结构导致系统崩溃或者操纵系统运行。

专家认为，上述任何尝试都可能导致

内核崩溃，不过不会造成更严重的危害。

但是，这也应当引起系统供应商注意。

目前，各大厂商都已知晓这个漏洞，

并积极应对。Red Hat、Ubuntu和苹果MacOS

都已经着手推出补丁。而早在2018年3月，

Linux内核已经解决了这个问题，4.15.14、

4.14.31、4.9.91、4.4.125以及更早的

4.1、3.16和3.2版本都有相应的补丁。

微软也做出了回应，其Windows 7到

Windows 10以及Windows Server 2008到

1803版本都推出了补丁。Xen 4.6到4.10版

本也推出了修补程序。VMware的虚拟机管

理程序没有风险，vCenter Server有对应

的解决

方案，

vSphere

集成容

器正在

等待修

复，但

专家认

为，二

者都“可能受到影响”。

以下是美国CERT/CC列出的受影响厂商

名单，提醒用户及时关注厂商动态，及时

修复。


Documents

CONTENTS 总第365期 - secdoctor.com · 风险也需要作出评估。影子it、滞留、权 限、共享及访问控制需要留心监视，每个业 务过程和gdpr对这些过程造成影响的方面都

CONTENTS 总第365期 - secdoctor.com · 风险也需要作出评估。影子it、滞留、权限、共享及访问控制需要留心监视，每个业务过程和gdpr对这些过程造成影响的方面都