高校网络安全工作重心将向数据安全倾斜
2019年12月20日,在全国人大常委会法工委举行的第三次记者会上,新闻发言人宣布2020年的立法工作计划已经在全国人大常委会第四十四次委员长会议原则通过,个人信息保护法与数据安全法被列入2020年的法律制定计划中。这意味着接下来的网络安全工作的重心将向数据安全倾斜。
随着相关法律的制定和实施,非法的数据买卖将得到抑制,但也可能导致攻击者在窃取数据后转变获利的途径,例如向数据被窃取方勒索,因为法律也赋予了数据保管者相应的防护义务。学校目前在数据保护方面的工作还比较薄弱,需要引起重视,提早做好准备。
2019年底,各安全平台在清理之前没有及时分配处置的安全事件,因此相关的投诉事件数量有上升趋势。
2019年11~12月CCERT安全投诉事件统计
近期需要关注的还是各种勒索病毒,目前有趋势显示勒索病毒的攻击方向已经向具有高附加值的数据目标转移。攻击者首先利用系统的漏洞窃取系统的高价值数据,之后再使用勒索病毒将数据加密后进行勒索,如果用户屈服并交了赎金解密,他们则会继续在黑市兜售这些数据。
近期新增严重漏洞评述
微软2019年12月的例行安全公告修复了其多款产品存在的107个安全漏洞。
受影响的产品包括:Windows 10 1903 & Windows Server v1903(14个)、Windows 10 1809 & Windows Server 2019(15个)、Windows 10 1803 & Windows Server v1803(14个)、Windows 8.1 & Server 2012 R2(11个)、Windows RT 8.1(10个)、Windows Server 2012(11个)、Windows 7 and Windows Server 2008 R2(14个)、Windows Server 2008(11个)、Internet Explorer(1个)和Microsoft Office-related software(6个)。其中需要特别关注的是Win32k图形组件远程代码执行漏洞(CVE-2019-1468),当Windows 字体库无法正确处理嵌入的字体时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。在补丁程序发布前,互联网上已经检测到利用该漏洞的攻击存在,属于0day漏洞。目前微软已经发布了该漏洞的补丁程序,建议用户尽快使用系统自带的更新功能进行补丁更新。
Google Chrome 79.0.3945.88 之前版本中存在资源管理错误漏洞(CVE-2019-13767)。
攻击者可利用该漏洞在当前浏览器的上下文中执行任意代码或造成拒绝服务。目前Google已经在最新的版本中修补了该漏洞,只需打开Chrome的自动更新功能即可进行版本更新。
Joomla!3.9.14之前的版本中存在SQL注入漏洞。
Joomla!是一款开源的、跨平台的内容管理系统(CMS),很多网站使用该套系统搭建。造成该漏洞的原因是基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。建议使用了Joomla!的管理员尽快将版本更新到3.9.14。
安全提示
高校数据面临的主要风险是业务系统或存储系统存在漏洞导致数据被非法窃取,而各业务系统之间无管控的共享数据又会大大增加这种风险,大部分时候管理员可能都不清楚哪些系统中存有与自己业务有关的数据。
针对这种现状,传统的以系统为安全管理目标的方式可能会不适用,需要将数据本身作为安全管理的目标。将数据根据其重要性进行分级,并对每种等级的数据制定对应的安全管理要求,只要是存储或是访问这些数据的系统就必须达到相应的数据保护要求。
(本文作者:郑先伟,单位为中国教育和科研计算机网应急响应组,全文刊载于《中国教育网络》杂志;版式:刘芳)