xxx服务资讯1运维服务部·2016年02月xxx信息技术有限公司安全服务资讯【2016年第二期】xxx技术有限公司2016年02月xxx服务资讯2运维服务部·2016年02月文档控制信息基本信息文档标题XXX有限公司安全服务资讯文档编号GK-ZX-201602文档版本1.0关键词修订人修订时间2016.02.29版本历史版本号修订人修订时间修订内容1.0.0XXX2016-02-29创建xxx服务资讯1运维服务部·2016年02月目录1.国家标准规范、国家信息化建设相关资讯..............................................................................11.1互联网业组建联盟应对网安威胁........................................................................................11.2刑法修正案“护航”信息网络安全........................................................................................21.3工信部:以信息化手段促安全生产....................................................................................62.安全保密动态.............................................................................................................................62.1习近平:维护网络安全不应有双重标准............................................................................62.2国平:从网络大国迈向网络强国的新征程........................................................................73.安全通告(总汇)......................................................................................................................93.1本月安全预警通告...............................................................................................................93.2瑞星病毒及木马安全周报..................................................................................................103.3本月漏洞报告.....................................................................................................................123.4安全技术及IT使用技巧....................................................................................................143.4.12015年全球网络及安全市场分析.....................................................................................................143.4.2漏洞利用包即服务的四个特点.........................................................................................................194.安全建议...................................................................................................................................21xxx服务资讯1运维服务部·2016年02月1.国家标准规范、国家信息化建设相关资讯1.1互联网业组建联盟应对网安威胁2月26日,国家互联网应急中心联合中国互联网协会网络与信息安全工作委员会在北京召开会议称,自去年7月31日启动互联网网络安全威胁治理行动以来,截至今年1月31日,共接到网民举报的网络安全事件109972起,处置网络安全事件71220起,发布黑名单地址54614条。拒绝服务攻击(DDoS攻击)次数由行动启动前的日均1491起下降到现在的日均265起,大幅下降82.2%;境内被篡改网站相比行动启动前下降21.4%,其中被篡改政府网站相比下降了56.2%。会上还宣布成立“中国互联网网络安全威胁治理联盟”,首批90家企业申请加入联盟。该治理行动开展以来,国家互联网应急中心和中国互联网协会通过公开设立的举报电话及邮箱接到网民举报后,经验证分析,重点针对分布式拒绝服务攻击、网页暗链篡改(“暗链”就是植入到被篡改网站的链接,即看不见的网站链接,是一种搜索引擎优化手段,可以有效提高所指向网站的搜索排名)等与互联网黑色产业链(黑产)密切相关的事件进行重点处置。已经处置的网络安全事件71220起中,包括处置DDoS攻击服务售卖平台14个,DDoS攻击控制服务器366个,参与网络攻击的博彩、私服等网站链接6320条;关停未备案网站37个;通知7499个被篡改和2051个被植入后门的网站用户单位对网站进行修复。此外,还组织了国内主流浏览器厂商对54614条恶意网站黑名单进行访问拦截或提示。记者获悉,互联网黑产已经成为影响我国互联网正常有序运行的重要原因之一,如博彩或私服等网站链接通过向政府网站或知名网站植入暗链提高网络搜索排名,通过采用拒绝服务攻击对竞争对手发起网络攻击导致网络不能正常提供服务等。此次行动重点针对DDoS攻击、网页篡改等与互联网黑产密切相关的事件进行重点处置。行动中直面互联网黑产背后存在的巨大利益链条,不惧触动链条上利益群体。行动参与单位排除顾虑,积极行动,通过投诉举报、情报共享、威胁认定、协同处置、信息发布等多项措施,对发现的网上DDoS攻击售卖和传播等互联网黑产行为进行了坚决处置。会议对互联网网络安全威胁治理行动所取得的积极成果予以总结,并对行动过程中表现突出的31家单位进行了表彰。号召受表彰单位充分发挥带头和模范作用,带动行业内企业发挥各自作用,坚决维护我国网络安全。会上,部分行动参与单位受邀发言,均表示会积极参与联盟的有关工作,切实落实企业责任。xxx服务资讯2运维服务部·2016年02月中国互联网网络安全威胁治理联盟成员单位主要由境内的基础电信企业、非经营性互联单位、域名注册服务机构、互联网和安全企业、IDC、应用商店等覆盖安全产业链上下游的企业组成。该联盟的成立,提供了一个行业内公共沟通交流的平台,联盟以行业自律为主导,联合网络安全领域上下游各方面力量,充分发挥联盟成员单位作用,加强互联网网络安全威胁情报共享、相互协作,对与互联网黑产密切相关的各类威胁进行整治,有效净化网络安全环境,维护用户网络安全和利益,树立我国负责任网络大国的良好形象。1.2刑法修正案“护航”信息网络安全全国人大常委会日前通过的刑法修正案(九)中,有关互联网信息安全的诸多规定引发关注。加强对公民个人信息的保护,明确网络服务提供者履行网络安全管理的义务,完善网络犯罪的相关规定,增加编造、传播虚假信息犯罪的规定,进一步解决举证难问题……在受访专家看来,此次刑法修正案在“护航”信息网络安全方面,可谓亮点颇多。亮点一:进一步加强对公民个人信息的保护【修正案原文】将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”【解读】中国社会科学院法学研究所研究员周汉华对中新网记者分析,刑法修正案(九)进一步加强了对公民个人信息的保护,主要体现在如下两个方面:一是扩大了犯罪主体的范围。刑法修正案(七)曾规定了针对个人信息的犯罪主体,并进行了列举:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。然而在实践中,各地对主体范围的把握不一致,有些地方有些窄,仅限于条文中的列项,使得个人信息的保护力度受到限制。这次取消了明确的列举,所有的主体都有可能构成侵犯公民个人信息的犯罪主体。扩大犯罪主体的范围,可以更有效地保护个人信息的权益。xxx服务资讯3运维服务部·2016年02月二是对侵犯个人信息行为的范围也进行了扩充。“向他人出售或者提供公民个人信息”,意味着只要是出售或者违反规定提供,情节严重的都要追究。这体现出对个人信息有了更大边界的保护,而目的就是要更有效地打击目前严重泛滥的非法出售、非法提供或者违反规定提供个人信息的行为。亮点二:明确网络服务提供者履行网络安全管理的义务【修正案原文】在刑法第二百八十六条后增加一条,作为第二百八十六条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:“(一)致使违法信息大量传播的;“(二)致使用户信息泄露,造成严重后果的;“(三)致使刑事案件证据灭失,情节严重的;“(四)有其他严重情节的。“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”【解读】周汉华表示,过去,一些网络服务提供者不履行信息网络安全管理义务且拒不改正,针对这一情况,这次刑法修正案为网络服务提供者增加了刑事责任的规定。“新规定中的四种情节都可以用刑事责任来制裁网络服务提供者”,周汉华说,此外,这个可以构成单位犯罪,既可以制裁个人,也可以制裁单位。“这是在网络服务提供者法律责任方面的重大突破”,中国信息安全研究院副院长左晓栋接受《网络传播》杂志采访时表示,这对中国互联网信息内容管理、个人信息保护、刑事技术侦查等方面的工作也将产生重要影响。亮点三:完善网络犯罪的相关规定【修正案原文】在刑法第二百八十七条后增加二条,作为第二百八十七条之一、第二百八十七条之二:“第二百八十七条之一利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:“(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯xxx服务资讯4运维服务部·2016年02月罪活动的网站、通讯群组的;“(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;“(三)为实施诈骗等违法犯罪活动发布信息的。“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。“第二百八十七条之二明知他人利用信息网