文/鄭先偉

CCERT 月報(bào)

4 月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。四月初公安部會(huì)同其他兩家單位一起發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全防護(hù)指南》，這是國(guó)內(nèi)首個(gè)由公安機(jī)關(guān)發(fā)布的專門針對(duì)個(gè)人信息保護(hù)的指導(dǎo)文件。該文件對(duì)涉及個(gè)人信息數(shù)據(jù)的收集、保存及應(yīng)用提出了明確的要求和責(zé)任。近幾年，互聯(lián)網(wǎng)個(gè)人隱私數(shù)據(jù)保護(hù)已經(jīng)成為全世界關(guān)注的重點(diǎn)，歐盟在去年五月生效的《通用數(shù)據(jù)保護(hù)條例》（GDPR）堪稱史上最嚴(yán)格的個(gè)人隱私數(shù)據(jù)保護(hù)法。截止到2018 年底，全球已經(jīng)有90 多個(gè)國(guó)家和地區(qū)頒布了個(gè)人信息保護(hù)的法律法規(guī)，另有40 多個(gè)國(guó)家正在立法的過(guò)程中，我國(guó)的個(gè)人信息保護(hù)法也在加速起草及立法中。高校作為一個(gè)教育機(jī)構(gòu)，掌握著眾多學(xué)生的身份信息，這些信息都可歸屬為個(gè)人信息，都需要加強(qiáng)保護(hù)。因此建議后期學(xué)校的安全工作重心應(yīng)該從上層的網(wǎng)絡(luò)信息安全逐步向更深層的信息數(shù)據(jù)安全轉(zhuǎn)移，因?yàn)椴徽撐覀冏龊畏N網(wǎng)絡(luò)和系統(tǒng)的安全防護(hù)措施，真正要保護(hù)的實(shí)際上都是底層的數(shù)據(jù)。

近期新增的病毒沒(méi)有特別需要關(guān)注的，用戶需要防范的依然是各類勒索類的病毒。

2019 年3～4 月安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述：

1. 微軟4 月的例行安全公告修復(fù)了其多款產(chǎn)品存在的74 個(gè)安全漏洞。涉及Windows 多個(gè)核心組件(Windows、win32k、LUAFV、CSRSS、MSXML、VSScript)、IE 瀏 覽 器、Edge 瀏 覽 器、Office 辦公軟件、Exchange 服務(wù)及ASP.NET 等，這74 個(gè)漏洞中有13 個(gè)屬于嚴(yán)重級(jí)別，61 個(gè)屬于重要級(jí)別。利用這些漏洞攻擊者可以遠(yuǎn)程執(zhí)行任意代碼、權(quán)限提升，獲取敏感信息或是進(jìn)行拒絕服務(wù)攻擊。這些漏洞中需要特別關(guān)注的是2 個(gè)內(nèi)核權(quán)限提升的0day 漏洞（CVE-2019-0830、CVE-2019-0859），因?yàn)榛ヂ?lián)網(wǎng)上已經(jīng)檢測(cè)到與這兩個(gè)漏洞的相關(guān)的攻擊存在。建議用戶盡快使用Windows 系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。

2. 四月中旬Oracle 發(fā)布了今年2 季度的安全更新，修復(fù)了其產(chǎn)品線中存在的297 個(gè)安全漏洞。涉及的系統(tǒng)包括：Oracle Database Server 數(shù)據(jù)庫(kù)（6個(gè)）、Oracle Health Sciences Applications（2 個(gè)）、Oracle Communications Applications（26個(gè)）、Oracle Construction and Engineering Suite（8 個(gè)）、電子商務(wù)套裝軟件Oracle E-Business Suite（35 個(gè)）、Oracle Enterprise Manager Products Suite（11 個(gè)）、Oracle Financial Services Applications（14個(gè)）、Oracle Food and Beverage Applications（1 個(gè)）、中間件產(chǎn)品Fusion Middleware（53個(gè)）、Oracle Berkeley DB（1 個(gè)）、Oracle Commerce（3 個(gè)）、Oracle Health Sciences Applications（5 個(gè)）、Oracle Java SE（5個(gè)）、Oracle MySQL 數(shù)據(jù)庫(kù)（45 個(gè)）、Oracle PeopleSoft 產(chǎn)品（12 個(gè)）、Oracle JD Edwards 產(chǎn)品（8個(gè)）、Oracle Retail Applications（24 個(gè)）、Oracle Support Tools（1 個(gè)）、Utilities Applications（6個(gè)）和Oracle Virtualization（15 個(gè)）。這些漏洞中有270 個(gè)可以遠(yuǎn)程利用，有157個(gè)屬于高危漏洞。其中需要特別關(guān)注的是WebLogic 服務(wù)中存在的兩個(gè)漏洞（CVE-2019-2615 和CVE-2019-2618），其 中CVE-2019-2615 為任意文件讀取漏洞，利用該漏洞攻擊者可以使用一個(gè)合法登錄的普通用戶身份讀取WebLogic 服務(wù)器上的任意文件。而CVE-2019-2618 則為任意文件上傳漏洞，攻擊者可以遠(yuǎn)程構(gòu)造HTTP 請(qǐng)求，利用該漏洞獲取服務(wù)器權(quán)限。目前Oracle 已經(jīng)針對(duì)這些漏洞發(fā)布了補(bǔ)丁程序，建議相關(guān)的的管理員盡快根據(jù)需求進(jìn)行更新。

安全提示

學(xué)校傳統(tǒng)的以信息系統(tǒng)為防護(hù)目標(biāo)的安全架構(gòu)并不能很好地應(yīng)對(duì)個(gè)人信息保護(hù)的需求。因?yàn)檫@些個(gè)人信息往往需要在學(xué)校的多個(gè)信息系統(tǒng)中共享和流轉(zhuǎn)，而這些系統(tǒng)的防護(hù)等級(jí)并不統(tǒng)一，這可能導(dǎo)致高等級(jí)的數(shù)據(jù)信息從低防護(hù)等級(jí)的系統(tǒng)中泄漏出去。因此要保護(hù)個(gè)人信息，學(xué)校應(yīng)該轉(zhuǎn)變思路，引入數(shù)據(jù)資產(chǎn)的概念，先以資產(chǎn)的形式對(duì)學(xué)校所有的信息數(shù)據(jù)進(jìn)行摸查，搞清楚到底有多少數(shù)據(jù)涉及用戶信息和個(gè)人隱私，并對(duì)這些數(shù)據(jù)資產(chǎn)進(jìn)行分級(jí)分類，最后以數(shù)據(jù)資產(chǎn)為防護(hù)目標(biāo)按照相應(yīng)的安全要求級(jí)別進(jìn)行防護(hù)建設(shè)。