將數據納入安全管理首要目標

文/鄭先偉

近期有人在暗網中叫賣大量12306 網站的用戶賬號及身份信息，通過公開的信息查證這些被泄漏的信息均出自真實有效的賬號，隨后12306 官方聲明這些賬號信息可能是通過一些其他的第三方途徑（如各類搶票軟件）泄漏的。用戶隱私數據被竊取販賣的事件近年來頻繁出現，事后分析這些數據被泄漏的途徑及原因也各不相同，但基本離不開管理不善、安全意識缺失這兩大原因。同樣的問題在高校的數據安全管理中也一樣存在，很多時候我們做安全都是以業務系統為目標而忽略了數據本身，這樣可能會導致安全策略存在短板。因為在信息化的大環境中，關鍵數據往往需要在多個業務系統間流轉、協同與共享，在這些過程中任何一個環節出現了紕漏，都可能導致數據被非法竊取。因此建議學校后期在安全工作中，可將數據本身作為一種安全目標來制定安全策略，將安全管理貫徹到數據管理的整個生命周期中。

2018 年12 月網站類的安全事件有增加趨勢。

近期沒有新增特別需要關注的病毒和木馬。

近期新增嚴重漏洞評述：

1.微軟12 月的例行安全公告共修補了39 個安全漏洞，其中9 個為嚴重等級，涉及的產品包括：Windows 系統、IE 瀏覽器、Office 辦公軟件、Windows 文本到語音轉換程序、VBscript 腳本引擎、Windows DNS服務、Exchange Server、.NET 支持環境及Chakra 腳本引擎。這些漏洞中有兩個屬于0day 級別的漏洞，需要特別關注。分別是Windows 內核權限提升漏洞（CVE-2018-8611）和.NET 框架拒絕服務漏洞（CVE-2018-8517），前者是因為Windows 內核未能正確處理內存中的對象導致的，攻擊者如果使用普通權限的用戶登錄系統后利用該漏洞可獲得管理員的權限，目前互聯網上已經監測到利用該漏洞進行的攻擊行為。后者則存在于.NET 框架中，由于.NET 在處理網絡數據包時存在缺陷，如果攻擊者通過網絡向.NET 服務發送特殊構造的網絡包就可能觸發該漏洞導致.NET 服務異常并退出。目前該漏洞的細節已經在網絡上被公布，但是還未發現相應的攻擊行為。本次公告中其他嚴重等級的漏洞同樣值得關注，建議用戶盡快使用系統的自動更新功能進行安全更新。

2.Adobe 公司在2018 年12 月初發布了一個安全公告（APSB18-042），用于修補Flash player 中的兩個高危安全漏洞，其中有一個屬于0day 漏洞（CVE-2018-15982），攻擊者可以制作惡意的Flash 文件引誘用戶點擊，利用該漏洞攻擊者可以在用戶的系統中執行任意命令。在補丁發布之前，互聯網上已經監測到鑲嵌了該漏洞利用Flash 的Word文檔。目前廠商已經發布了更新用于修補相關漏洞，Windows 的用戶可以在Windows 的自動更新中更新相關的程序，使用Chrome 瀏覽器的用戶可以使用瀏覽器的自動更新功能來獲得相關Flash player 插件的更新版本。而其他系統的Flash player 用戶則可能需要自己手動來完成相應版本的更新。公告的詳細信息請參見：https：//helpx.adobe.com/security/products/flash-player/apsb18-42.html。

3.ThinkPHP 是一款免費開源的國產輕量級PHP 開發框架，國內有不少網站是基于這個框架進行二次開發的。最近ThinkPHP 官方發布了最新版本5.0.23 及5.1.31，用來修補在之前版本中存在的一個安全漏洞。漏洞產生的原因是ThinkPHP在獲取控制器名時未對用戶提交的參數進行嚴格的過濾，在沒有開啟強制路由的情況下，攻擊者可以通過輸入‘’字符的方式調用任意方法，從而實現遠程代碼執行。建議使用了ThinkPHP 開發框架的管理員應該盡快更新自己所使用的ThinkPHP 版本到最新。更新的更多信息可參見：https：//blog.thinkphp.cn/869075。

2018 年11～12 月安全投訴事件統計

安全提示

要把數據作為安全的目標，首先要制定出統一可行的分級數據保護安全策略，對數據進行分級分類并對每級每類數據設定最低防護要求（例如加密傳輸或加密存儲等）。有了統一策略后我們就可以對業務系統內包含的數據（這個過程中可以引入數據資產的概念）進行分類，并對這些數據資產進行分級。之后嚴格按照策略的要求對這些數據資產進行保護，不管它是在存儲過程還有流轉過程，也不管它是在哪個業務系統里，進而達到對數據全方位的安全管理目標。