钱书慧（整理）

网络风险无处不在

●据美国科技媒体ZDNet报道，有研究人员发现，中国企业出现了数起简历信息泄漏事故，涉及5.9亿份简历。大多数简历之所以泄露，主要是因为MongoDB和ElasticSearch服务器安全措施不到位，不需要密码就能在网上看到信息，或者是因为防火墙出现错误导致。

●WinRAR在享誉全球成为必备装机软件的同时，过去的19年来，它也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员披露的细节，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，该漏洞允许人们绕过权限提升就能运行WinRAR，而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候，这些恶意文件就能自动运行，让人“完全控制”受害者的计算机。全球有超过5亿用户受到WinRAR漏洞的影响。

●网络安全机构GDI Foundation安全研究人员维克多·葛弗斯发现，3.64亿条中国用户的私密聊天记录被泄露到了互联网上，其中涉及微信支付记录。葛弗斯表示，他发现一个包含有3.64亿条记录的数据库，其中包含与姓名和身份证号相关联的社交媒体数据、聊天记录。数据库中的记录有提及微信、QQ、微信支付记录和QQ账号的标签。许多聊天记录是中国用户之间的日常对话，涉及金钱、爱情等。

●在新加坡卡巴斯基安全分析师峰会上，卡巴斯基安全研究人员称发现了一个新的网络犯罪市场“Genesis”，主要产品是用户的完整数字配置文件，上面销售着60,000多名用户的全数字指纹。该服务于2018年秋季推出，创建者开始在几个出售被盗支付卡详情的论坛上宣传其“二级/相关服务”。

●感染过恶意软件或安装过恶意浏览器扩展程序的用户在不知不觉中被记录了账号密码和完整的浏览器详细信息，包括在线支付门户、电子银行服务、文件共享或社交网络服务账户登录凭据、与这些账户关联的cookie、浏览器用户代理详细信息、WebGL签名、HTML5画布指纹及其他浏览器和PC细节等用户配置文件一并发送给了Genesis运营商，而运营商再将这些信息在其市场上出售给其他网络犯罪集团，以此赚取利润。

网络系统

1.接入与访问

禁止通过USB、光驱等外部设备进行数据交换，关闭不必要的服务和端口；

及时删除多余、过期账户，避免存在共享账户；

用户口令应满足密码复杂度要求(有数字、大小写字母、特殊符号)，至少6个月更换一次；

禁止在互联网暴露管理页面和管理端口；

限制或检查内部用户非授权连到外部网络、非授权设备私自接入内部网络、内部用户传送重要文件或数据到外网。

2.最小化安装

仅安装业务所需的组件和应用程序，服务器专机专用；

在业务服务器上关闭不必要的端口。

设备

1.网络设备防护

内部用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换，用户名和口令禁止相同；

明确业务必需的端口，关闭不必要的服务和端口；

应定期检查并锁定或撤销网络设备中多余的内部用户账号及调试账号。

2.移动终端安全

移动终端接入网络及访问应用时，应对用户与设备进行认证及授权；

对进行信息采集的移动终端设备进行安全性检测；

移动终端安装、运行的客户端来自可靠分发渠道或使用可靠证书签名；

移动终端在安全的网络环境下接入；

外部终端接入网络访问，应进行访问权限管理；

定期检查、处理非法接入和非法外联行为。

3.介质管理

确保介质存放在安全的环境中，对各类介质进行控制和保护，并定期盘点；

对介质在物理传输过程中的人员选择、打包、交付等情况进行控制。

4.设备管理

确保信息处理设备经过审批才能带离机房或办公地点；

对机房安全管理作出规定，包括机房物理访问、物品带进带出和机房环境安全等；

避免在重要区域接待来访人员，包含敏感信息的纸档文件和移动介质等应妥善保管。

数据

1.安全数据交换

信息系统与外部网络进行数据交换时，应通过数据交换区或专用数据交换设备等完成内外网数据的安全交换。

2.数据共享

对数据共享目录进行严格的权限设置，分配访问账号及账号权限；

取消共享目录内所有文件的执行权限。

3.个人信息保护

个人可公开信息、个人敏感信息（电话号码、邮箱、血型、宗教信仰、银行账号等）应进行区别存储；

对个人敏感信息进行加密存储，并使用数据脱敏技术，对敏感信息进行模糊化处理；

对个人敏感数据文件内容进行加密存储。