安全公告

Size: px

Start display at page:

Download "安全公告"

私方谈
9 years ago
Views:

1 信息安全漏洞威胁通报领先的应用安全及数据库安全整体解决方案提供商第 1 页共 67 页杭州安恒信息技术有限公司服务热线 :

2 信息安全漏洞威胁通报安恒信息信息安全漏洞威胁通报 2016 年第 18 期根据中国国家信息安全漏洞库统计, 本周共收集整理信息安全漏洞 278 个, 其中高危漏洞 112 个中危漏洞 152 个低危漏洞 14 个本周收录的漏洞中, 涉及 0day 漏洞 20 个 ( 占 7%) 其中互联网上出现 File Hub 任意文件上传漏洞等零日代码攻击漏洞, 请使用相关产品的用户注意加强防范此外, 本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1185 个, 与上周 (1330 个 ) 环比下降 11% 本周, 风暴中心针对近期爆发的博达 CMS 任意文件读取和博达 C MS 注入漏洞进行了预警, 具体漏洞信息请关注 2.3 章节二零一六年五月十九日领先的应用安全及数据库安全整体解决方案提供商第 2 页共 67 页杭州安恒信息技术有限公司服务热线 :

3 信息安全漏洞威胁通报目录 1 漏洞预警漏洞概况漏洞增长数量及种类分布情况漏洞产生原因 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞引发的威胁 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞影响对象类型 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞严重程度 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞预警 ubuntu-core-launcher 程序包信息泄露漏洞 Lantronix xprintserver 权限获取漏洞 Open Real Estate SQL 注入漏洞 WinRAR 远程代码执行漏洞 Tiny Tiny RSS SQL 注入漏洞 Red Hat OpenShift Enterprise 权限提升漏洞多款 Adobe 产品内存破坏漏洞 Docker 权限获取漏洞 Symphony CMS SQL 注入漏洞 Microsoft Windows 图形组件远程代码执行漏洞病毒及 0day 预警本周流行网络病毒预警 Trojan.Win32.BHO.gdz( 木马病毒 ) Worm.Win32.Gamarue.z( 蠕虫病毒 ) Worm.Mail.NetSky.mz( 蠕虫 ) Trojan.Win32.BHO.gdz( 木马病毒 ) 病毒防范措施关于全志科技 ARM 内核系统存在预置 ROOT 权限口令漏洞的安全公告漏洞概述漏洞情况分析漏洞影响范围漏洞修复建议博达网站群管理平台系统任意文件读取漏洞漏洞概述漏洞情况分析漏洞影响范围漏洞修复建议博达网站群管理系统 SQL 注入漏洞漏洞概述漏洞情况分析漏洞影响范围漏洞修复建议领先的应用安全及数据库安全整体解决方案提供商第 3 页共 67 页杭州安恒信息技术有限公司服务热线 :

4 信息安全漏洞威胁通报 3 网站安全及安全事件钓鱼与挂马网站统计网站安全防护建议安全资讯国内安全资讯军媒 : 中国信息网络大而不强安全遭外国严重挑战网络安全法将成为保障信息安全的新起点沈昌祥院士 : 用可信计算构筑网络安全防护体系家互联网公司携手共建猎网联盟遏制网络诈骗加强网络内容建设助推网信事业健康发展国际安全资讯越南银行挫败国际黑客攻击与孟加拉央行盗窃案相似世界各国网络部队透视 : 美国规模最大英国征召黑客外媒 : 美网络安全演练召集 1.4 万黑客黑掉五角大楼土耳其黑客团体 Bozkurtlar 已成功攻击 6 家银行知名黑客论坛 Nulled.io 被黑 9.45GB 数据遭泄露斯诺登档案 : 美国媒体曝光首批斯诺登泄密文件日本少年黑掉 444 家学校网站 : 为了突出老师无能这个僵尸网络自 2014 年起已经感染了近百万台设备 DARPA 制定 X 计划 : 允许美国军方作战人员规划网络战全球监控最详尽的国家新加坡关于安恒注 : 本通报根据安恒信息风暴中心和国内各大信息安全机构网站整理分析而成请关注安恒风暴中心领先的应用安全及数据库安全整体解决方案提供商第 4 页共 67 页杭州安恒信息技术有限公司服务热线 :

5 漏洞预警 1 漏洞预警 1.1 漏洞概况本周漏洞趋势图本周, 中国国家信息安全漏洞库收录了 278 个漏洞其中应用程序漏洞 180 个, 操作系统漏洞 62 个,Web 应用漏洞 16 个, 网络设备漏洞 13 个, 安全产品漏洞 7 个漏洞影响对象类型漏洞数量应用程序漏洞 180 操作系统漏洞 62 Web 应用漏洞 16 网络设备漏洞 13 安全产品漏洞 7 领先的应用安全及数据库安全整体解决方案提供商第 5 页共 67 页杭州安恒信息技术有限公司服务热线 :

6 漏洞预警领先的应用安全及数据库安全整体解决方案提供商第 6 页共 67 页杭州安恒信息技术有限公司服务热线 :

漏洞预警 1.2 漏洞增长数量及种类分布情况 1.2.1 漏洞产生原因 (2016 年 05 月 12 日 -2016 年 05 月 18 日 ) 1.2.2 漏洞引发的威胁 (2016 年 05 月 12 日 -2016 年 05 月 18 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 7 页共 67 页杭州安恒信息技术有限公司 www.

7 漏洞预警 1.2 漏洞增长数量及种类分布情况漏洞产生原因 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞引发的威胁 (2016 年 05 月 12 日年 05 月 18 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 7 页共 67 页杭州安恒信息技术有限公司服务热线 :

8 漏洞预警漏洞影响对象类型 (2016 年 05 月 12 日年 05 月 18 日 ) 漏洞严重程度 (2016 年 05 月 12 日年 05 月 18 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 8 页共 67 页杭州安恒信息技术有限公司服务热线 :

9 漏洞预警 1.3 漏洞预警 ubuntu-core-launcher 程序包信息泄露漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : CVE(CAN) ID: CVE Ubuntu ubuntu-core-launcher package < 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Ubuntu 是英国科能 (Canonical) 公司和 Ubuntu 基金会共同开发的一套以桌面应用为主的 GNU/Linux 操作系统 ubuntu-core-launcher package 是一个启动 Ubuntu 的核心应用程序包 ubuntu-core-launcher 程序包之前版本的 setup_snappy_os_mounts 函数中存在安全漏洞, 该漏洞源于当程序使用 snap 时未能正确确定 b ind 挂载的挂载点远程攻击者可借助带有特制名称 ( 以 ubuntu-core 开始 ) 的 snap 利用该漏洞获取敏感信息或权限领先的应用安全及数据库安全整体解决方案提供商第 9 页共 67 页杭州安恒信息技术有限公司服务热线 :

10 漏洞预警安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : Lantronix xprintserver 权限获取漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Lantronix xprintserver < 危害级别 : 攻击途径 : 攻击复杂度 : 高邻近网络低漏洞描述 : Lantronix xprintserver 是美国创力网络科技 (L antronix) 公司的一款打印服务器使用之前版本固件的 Lantronix xprint Server 中存在安全漏洞, 该漏洞源于程序使用硬编码的证书远程攻击者可利用该漏洞获取 root 权限领先的应用安全及数据库安全整体解决方案提供商第 10 页共 67 页杭州安恒信息技术有限公司服务热线 :

11 漏洞预警安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : Open Real Estate SQL 注入漏洞发布时间 : 更新时间 : 受影响产品 : Open Real Estate CMS 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Open Real Estate CMS 是一款基于 PHP 的内容管理系统 Open Real Estate 存在 SQL 注入漏洞, 未认证用户可以下载数据库内容, 包括密码哈希和客户端详细内容安全建议 : 用户可联系供应商获得补丁信息 : 领先的应用安全及数据库安全整体解决方案提供商第 11 页共 67 页杭州安恒信息技术有限公司服务热线 :

12 漏洞预警 WinRAR 远程代码执行漏洞发布时间 : 更新时间 : 受影响产品 : WinRAR WinRAR <=5.30 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 WinRAR 是软件开发者 Alexander Roshal 所研发的一款文件压缩管理器, 它支持 RAR 与 ZIP 压缩文件, 并且能解压缩 CAB ARJ 和 LZH 等文件 WinRAR 中存在远程代码执行漏洞攻击者可利用该漏洞以受影响应用程序权限执行任意代码安全建议 : 用户可联系供应商获得补丁信息 : Tiny Tiny RSS SQL 注入漏洞发布时间 : 更新时间 : 受影响产品 : 危害级别 : 攻击途径 : Tiny Tiny RSS 高远程网络领先的应用安全及数据库安全整体解决方案提供商第 12 页共 67 页杭州安恒信息技术有限公司服务热线 :

13 漏洞预警攻击复杂度 : 漏洞描述 : 低 Tiny Tiny RSS process_category_order() 中的 $item_id 存在盲注漏洞攻击者能够连接库数据库, 执行数据库语句安全建议 : 用户可联系供应商获得补丁信息 : Red Hat OpenShift Enterprise 权限提升漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE Red Hat OpenShift Enterprise 3.2 x86_64 高本地低 Red Hat OpenShift 是一款平台即服务云计算平台, 它可构建测试部署和运行应用程序 Red Hat OpenShift Enterprise 的容器创建过程中存在安全漏洞, 允许攻击者可通过提交用于创建的镜像以 root 权限执行任意命令, 提升权限领先的应用安全及数据库安全整体解决方案提供商第 13 页共 67 页杭州安恒信息技术有限公司服务热线 :

14 漏洞预警安全建议 : 用户可参考如下供应商提供的安全公告获得补丁信息 : 多款 Adobe 产品内存破坏漏洞发布时间 : 更新时间 : 漏洞编号 : CVE(CAN) ID: CVE 受影响产品 : Adobe Reader < Adobe Acrobat < Adobe Acrobat < Adobe Acrobat Reader DC Classic < Adobe Acrobat(on Windows/OS X ) < Adobe Acrobat Reader DC Continuous(on Windo ws/os X) < 危害级别 : 攻击途径 : 攻击复杂度 : 高远程网络低领先的应用安全及数据库安全整体解决方案提供商第 14 页共 67 页杭州安恒信息技术有限公司服务热线 :

15 漏洞预警漏洞描述 : Adobe Acrobat DC 等都是美国奥多比 (Adobe) 公司的产品 Acrobat DC 是一套桌面版 PDF 解决方案 ;Acrobat Reader DC 是一套用于查看打印和批注 PDF 的工具 Classic 和 Continuous 是 Acrob at DC 和 Acrobat Reader DC 产品下载中心所提供的两种更新机制多款 Adobe 产品中存在内存破坏漏洞攻击者可利用该漏洞执行任意代码, 控制受影响系统安全建议 : 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : crobat/apsb16-14.html Docker 权限获取漏洞发布时间 : 更新时间 : 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : CVE(CAN) ID: CVE Docker Docker 高本地低领先的应用安全及数据库安全整体解决方案提供商第 15 页共 67 页杭州安恒信息技术有限公司服务热线 :

16 漏洞预警漏洞描述 : Docker 是一款开源的应用容器引擎 Docker 根据指定的 UID( 而不是用户名 ) 启动容器, 允许本地攻击者可利用该漏洞以容器启动权限获取对应容器的 root 权限安全建议 : 用户可参考如下厂商提供的安全补丁以修复该漏洞 : Symphony CMS SQL 注入漏洞发布时间 : 更新时间 : 受影响产品 : Symphony Symphony CMS 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Symphony 是一个采用 PHP MySQL 开发的内容管理系统 (CMS) Symphony 存在 SQL 注入漏洞, 由于程序未能充分验证 '/symphony/system/authors/new/' 页面的 'fi elds[username]','action[save]' 以及 'fields[ ]' 参数, 攻击者可以利用漏洞在应领先的应用安全及数据库安全整体解决方案提供商第 16 页共 67 页杭州安恒信息技术有限公司服务热线 :

17 漏洞预警用数据库中执行任意 SQL 代码安全建议 : 用户可联系供应商获得补丁信息 : Microsoft Windows 图形组件远程代码执行漏洞发布时间 : 更新时间 : 漏洞编号受影响产品 : CVE(CAN) ID: CVE Microsoft Windows Server 2008 R2 SP1 Microsoft Windows Server 2008 SP2 Microsoft Windows 7 SP1 Microsoft Windows Vista sp2 Microsoft Windows 8.1 Microsoft Windows Server 2012 R2 Microsoft Windows RT 8.1 Microsoft Windows server 2012 Gold Microsoft Windows 10 Gold Microsoft Windows 危害级别 : 攻击途径 : 中远程网络领先的应用安全及数据库安全整体解决方案提供商第 17 页共 67 页杭州安恒信息技术有限公司服务热线 :

18 漏洞预警攻击复杂度 : 漏洞描述 : 低 Microsoft Windows 是美国微软 (Microsoft) 公司发布的一系列操作系统 Graphics 是其中的一个图形组件 Microsoft Windows GDI 组件中存在远程执行代码漏洞, 该漏洞源于程序未能正确处理内存中的对象远程攻击者可利用该漏洞控制受影响系统安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : /security/ms 领先的应用安全及数据库安全整体解决方案提供商第 18 页共 67 页杭州安恒信息技术有限公司服务热线 :

19 病毒及 0DAY 漏洞预警 2 病毒及 0day 预警 2.1 本周流行网络病毒预警 Trojan.Win32.BHO.gdz( 木马病毒 ) 警惕程度病毒通过系统关键位置释放大量恶意软件或者劫持原系统文件, 供恶意软件加载等形式, 并命名为系统文件名字, 具有迷惑性, 然后修改属性为隐藏, 设置服务自启动从而借助用户主动下载 QQ 等即时通讯工具释放大量恶意软件 Worm.Win32.Gamarue.z( 蠕虫病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 19 页共 67 页杭州安恒信息技术有限公司服务热线 :

20 病毒及 0DAY 漏洞预警 Worm.Mail.NetSky.mz( 蠕虫 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 Trojan.Win32.BHO.gdz( 木马病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 20 页共 67 页杭州安恒信息技术有限公司服务热线 :

21 病毒及 0DAY 漏洞预警 2.2 病毒防范措施计算机用户在浏览 Web 网页时, 务必打开计算机系统中防病毒软件的网页监控功能同时, 计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本, 防止恶意木马利用漏洞进行入侵感染操作系统同时网络管理人员也要定期维护升级网站服务器, 检查服务器所存在的漏洞和安全隐患, 进行及时地修复和加固用户使用杀毒软件务必即时充分升级, 每天升级 2 到 3 次以上, 以保证病毒库获取最新信息警惕不明网站陌生邮件, 尤其注意邮件附件而对于重点网站, 或者热门网站, 如政府网站和各大媒体网站论坛, 很有可能被利用现有的漏洞进行挂马, 或跳转到其他恶意网站做好系统和重要数据的备份不浏览不良网站, 不随意下载安装可疑插件 ; 不接收 QQ 邮件微博私信等传来的可疑文件领先的应用安全及数据库安全整体解决方案提供商第 21 页共 67 页杭州安恒信息技术有限公司服务热线 :

22 病毒及 0DAY 漏洞预警 2.3 关于全志科技 ARM 内核系统存在预置 ROOT 权限口令漏洞的安全公告漏洞概述近日, 出现了全志科技 ARM 内核系统存在的预置 ROOT 权限口令漏洞 ( CNVD ) 攻击者利用漏洞可获取设备 root 访问权限, 且存在远程攻击可能, 影响到日常使用的平板电脑机顶盒等终端设备安全漏洞情况分析珠海全志科技股份有限公司 ( 股票代码 :SZ ) 是智能应用处理器 SoC 和智能模拟芯片设计厂商, 其主要产品为多核智能终端应用处理器智能电源管理芯片等 linux-3.4-sunxi 是珠海全志科技公司使用和维护的用于 ARM 系统的内核版本 linux-3.4-sunxi 内核代码中存在预留 ROOT 密码漏洞, 任何进程通过如下指令 : echo"rootmydevice" >/proc/sunxi_debug/sunxi_debug, 即 : 向设计为用于系统调试的进程发送 rootmydevice 指令就可以获得系统 root 访问权限集成所述内核系统的终端设备如果连网的话, 对于 /proc 进程管理访问权限控制不当的话有可能发起远程攻击领先的应用安全及数据库安全整体解决方案提供商第 22 页共 67 页杭州安恒信息技术有限公司服务热线 :

23 病毒及 0DAY 漏洞预警漏洞影响范围漏洞影响 Linux 3.4-Sunxi 内核, 进而影响到装载该内核的八核心 A83T H8 处理器以及四核心的 H3 处理器等全志科技公司产品根据国外安全研究者的测试分析情况, 这些处理器应用广泛, 诸多平板电脑和机顶盒产品都有可能受到影响漏洞修复建议 5 月 13 日,CNVD 已将该漏洞细节通报给厂商处置, 请其核实漏洞并提供修复措施目前, 厂商尚未直接回应同时也未提供漏洞修复方案, 用户可参考第三方厂商 (Friendlyarm) 提供的修复补丁或联系厂商获取修复方案, 避免引发漏洞相关的网络安全事件 336ba002eed4d97dee3a51ea76cdd (Friendlyarm 提供的修复参考 ) ( 全志科技官方网站 ) 领先的应用安全及数据库安全整体解决方案提供商第 23 页共 67 页杭州安恒信息技术有限公司服务热线 :

24 病毒及 0DAY 漏洞预警 2.4 博达网站群管理平台系统任意文件读取漏洞漏洞概述 2016 年 5 月 1 日, 安恒内部漏洞提交平台收到一枚博达网站群管理系统的紧急 0day 漏洞, 漏洞可以造成博达网站群管理系统任意文件读取, 由于博达网站群管理系统在我国应用范围广泛, 尤其是政府网站中应用十分广泛, 本次漏洞的影响范围将极其广泛一旦这批网站被攻击, 将会严重影响在线业务的正常运营, 影响相关单位的形象与公信度, 严重者会造成数据泄露敏感信息外泄网站篡改系统被控等后果漏洞情况分析西安博达软件股份有限公司是国内专业的网站群产品和解决方案提供商公司成立于 2000 年, 总部位于国家级西安高新技术产业开发区, 业务涉及大型网站群构建移动互联云计算 Web 安全服务等领域, 在全国拥有 2000 多家政府高校集团企业等成功案例经过安恒专家团队的验证, 本次安恒信息发现的漏洞会对受影响的系统产生非常大的危害, 严重者将可以通过任意文件读取获取网站群管理员的账户, 获取网站群管理权限, 造成政府门户网站被黑, 通过后台上传 webshell, 造成主机被控数据泄露敏感信息外传站点被篡改等难以预计的后果, 下图为对某目标站点的漏洞利用后的操作 : 领先的应用安全及数据库安全整体解决方案提供商第 24 页共 67 页杭州安恒信息技术有限公司服务热线 :

25 病毒及 0DAY 漏洞预警可以管理大量政府网站可以执行各类系统命令可以对网站应用目录或者系统中的文件进行读写操作漏洞影响范围风暴中心目前已经对我国 24 万个政府网站和 6 万多个教育行业网站进行了抽样检测, 经过验证, 发现存在 356 个站点漏洞可被利用获得权限漏洞修复建议此次抽样的政府网站都可能存在严重风险, 不排除有黑客会针对该漏洞实施攻击, 建议所有受影响的用户尽快采用以下方式修复漏洞应对风险 : 对下载文件的文件名做校验及时关注官方补丁领先的应用安全及数据库安全整体解决方案提供商第 25 页共 67 页杭州安恒信息技术有限公司服务热线 :

26 病毒及 0DAY 漏洞预警 2.5 博达网站群管理系统 SQL 注入漏洞漏洞概述 2016 年 5 月 1 日, 安恒内部漏洞提交平台收到一枚博达网站群管理系统的紧急 0day 漏洞, 漏洞可以造成博达网站群管理系统 SQL 注入, 由于博达网站群管理系统在我国应用范围广泛, 尤其是政府网站中应用十分广泛, 本次漏洞的影响范围将极其广泛一旦这批网站被攻击, 将会严重影响在线业务的正常运营, 影响相关单位的形象与公信度, 严重者会造成数据泄露敏感信息外泄网站篡改系统被控等后果漏洞情况分析经过安恒专家团队的验证, 本次安恒信息发现的漏洞会对受影响的系统产生非常大的危害, 严重者将可以通过 sql 注入获取管理员的账户, 获取后台权限, 造成政府门户网站被黑, 造成主机被控数据泄露敏感信息外传站点被篡改等难以预计的后果, 下图为对某目标站点的漏洞利用后的操作 : 通过 sql 注入获取数据库信息领先的应用安全及数据库安全整体解决方案提供商第 26 页共 67 页杭州安恒信息技术有限公司服务热线 :

27 病毒及 0DAY 漏洞预警漏洞影响范围风暴中心目前已经对我国 24 万个政府网站和 6 万余个教育行业网站进行了抽样检测, 经过验证, 发现存在 166 个站点漏洞可被利用获得权限漏洞修复建议此次抽样的政府网站都可能存在严重风险, 不排除有黑客会针对该漏洞实施攻击, 建议所有受影响的用户尽快采用以下方式修复漏洞应对风险 : 对注入点 owner 过滤及时关注官方补丁领先的应用安全及数据库安全整体解决方案提供商第 27 页共 67 页杭州安恒信息技术有限公司服务热线 :

28 网站安全防护建议 3 网站安全及安全事件 3.1 钓鱼与挂马网站统计本周关注的钓鱼网站 : 图 1 截止 5 月 16 日全国遭受挂马和钓鱼网站攻击人数趋势图钓鱼网站类型危害网址假冒 ebay 邮箱类钓鱼网站假冒 Gmail 邮箱类钓鱼网站虚假软件信息, 骗取用户账号及密码信息骗取用户邮箱账号及密码信息 c.de./ws/ om:8081/cache/dropbox/ 领先的应用安全及数据库安全整体解决方案提供商第 28 页共 67 页杭州安恒信息技术有限公司服务热线 :

29 网站安全防护建议钓鱼网站类型危害网址假冒 Windows 邮箱类钓鱼网站假冒 Paypal 邮箱类钓鱼网站假冒 Facebook 类钓鱼网站虚假软件信息, 骗取用户账号及密码信息骗取用户邮箱账号及密码信息骗取用户邮箱账号及密码信息 /excel/excel/excel.php orking.com/zzzbbb/ u.com/ 领先的应用安全及数据库安全整体解决方案提供商第 29 页共 67 页杭州安恒信息技术有限公司服务热线 :

30 网站安全防护建议 3.2 网站安全防护建议安恒信息作为一家致力于 WEB 应用安全的专业产品和服务提供商, 建议用户进行以下安全建设, 以长期保证用户应用信息系统的安全 1 使用专业的网站安全服务, 实时监测网站安全状态, 风暴中心使用自动化安全监测技术和安全工程师双重监测, 进行并提供 7*24 人工值守服务, 保障用户网站安全同时, 用户可根据监测结果针对性要求开发与安全运维人员为网站进行加固 2 配备专业的 WEB 应用防火墙, 针对来自互联网的主流 WEB 应用安全攻击进行安全防护 3 使用专业的 WEB 云安全防御服务, 及时对 0day 漏洞防御策略进行更新, 第一时间防御漏洞攻击, 快速保障网站安全 4 建立和完善一套有效的安全管理制度, 对信息系统的日常维护和使用进行规范 5 建立起一套完善有效的应急响应预案和流程, 并定期进行应急演练, 一旦发现发生任何异常状况可及时进行处理和恢复, 有效避免网站业务中断带来损失 6 定期对相关管理人员和技术人员进行安全培训, 提高安全技术能力和实际操作能力领先的应用安全及数据库安全整体解决方案提供商第 30 页共 67 页杭州安恒信息技术有限公司服务热线 :

31 4 安全资讯 4.1 国内安全资讯军媒 : 中国信息网络大而不强安全遭外国严重挑战习主席在网络安全和信息化工作座谈会上强调, 要树立正确的网络安全观, 增强网络安全防御能力和威慑能力在一个一切皆由网络控制的信息时代, 从总体国家安全观的战略高度认识网络安全筑牢国家安全的新边疆, 是维护国家安全的时代课题传统安全观告诉人们, 没有武装保护的主权是脆弱的主权, 没有国防捍卫的边疆是濒危的边疆近年来, 舒特攻击震网病毒棱镜门风波中东北非剧变等一系列事件告诉我们, 网络安全零日威胁近在咫尺零日威胁又叫零时差威胁, 这种威胁往往具有很大的突发性与破坏性网络安全的丧失, 不仅意味着国门洞开, 而且意味着传统维护国家安全手段的失效在网络安全的战场上, 计算机就是武器, 战线无处不在, 夺取作战空间控制权的不是炮弹和子弹, 而是网络里流动的比特和字节不需要金戈铁马, 气吞万里如虎式的大兵压境, 也不需要伏尸百万, 流血漂橹式的征伐与杀戮, 网络攻击可以轻而易举地攻破一国的传统边疆直取心腹要害, 瞬间造成一国安全大厦的坍塌领先的应用安全及数据库安全整体解决方案提供商第 31 页共 67 页杭州安恒信息技术有限公司服务热线 :

32 美国白宫前反恐顾问国防部前部长助理理查德克拉克, 曾假想过美国遭受网络攻击的末日情景 : 由于病毒和其他网络武器令飞机无法起飞, 并引发核爆炸, 美国在几天之内就回到了石器时代这种场景就像好莱坞大片终结者 3: 歼灭者的情节, 由病毒控制的天网系统引发全球核爆炸, 毁灭了人类文明正是由于深刻认识到网络攻击的毁灭性破坏作用, 美国在 2011 年 5 月出台的网络空间国际战略宣布 : 网络攻击就是战争, 宣称如果网络攻击威胁到美国国家安全, 将不惜动用包括外交信息技术军事和经济手段在内的一切方式进行回应我国作为全球网络发展最快的国家之一, 大而不强是目前我国信息网络发展的阶段性特征根据 2016 年 1 月发布的第 37 次中国互联网络发展状况统计报告, 我国遭受境外的网络攻击持续增多, 造成的危害和损失十分严重网络窃密和对关键基础设施的攻击破坏, 严重威胁我国经济安全和公共利益一些国家意图通过网络进行意识形态渗透价值观颠覆推行网络空间军事霸权等行为, 对我国政治安全和国防安全构成严重挑战强化网络安全意识, 加强维护国家网络主权时不我待国家安全法首次以法律的形式明确提出维护网络空间主权, 充分展示我国维护网络安全和发展利益的坚定决心加紧培养信息网络人才, 推进网络技术创新, 加快构建关键信息基础设施安全保障体系, 建立领先的应用安全及数据库安全整体解决方案提供商第 32 页共 67 页杭州安恒信息技术有限公司服务热线 :

33 和完善网络安全相关法规制度, 增强网络安全防御能力和威慑能力, 是有效提高我国网络安全的重要战略举措各国在网络空间是名副其实的命运共同体, 网络安全是全球性挑战, 维护网络安全是国际社会的共同责任在相互依存的网络世界里, 没有哪个国家真正披上了金钟罩铁布衫个别国家试图利用网络空间的规则空白和自己的技术优势, 推行网络空间的霸权主义和强权政治, 牺牲别国安全谋求自身绝对安全的做法是根本行不通的只有强化网络空间国际合作, 共同构建和平安全开放合作有序的网络空间, 才能实现共同安全网络安全法将成为保障信息安全的新起点根据中国互联网协会发布的中国网民权益保护调查报告 (2015),63.4% 的网民通话记录网上购物记录等信息遭泄露 ; 78.2% 的网民个人身份信息 ( 包括姓名家庭住址身份证号和工作单位等 ) 曾遭泄露随着互联网技术的普及, 特别是电商的崛起, 人们的生活日益便捷, 不过便捷也有代价, 这个代价就是 : 通过网络, 个人信息越来越容易被搜集和利用对个人信息的集约化使用是电商时代的特点, 可领先的应用安全及数据库安全整体解决方案提供商第 33 页共 67 页杭州安恒信息技术有限公司服务热线 :

34 在无意中也为诈骗行为打开了后门据报告统计,2015 年网民因个人信息泄露垃圾信息诈骗信息等导致的总体损失约 805 亿元, 人均约 124 元面对形形色色的诈骗, 网民也渐渐摸出规律, 像假扮老板假扮老同学等花招, 大家已不会轻易上当, 可是即使没有直接财产损失, 不间断的骚扰同样令人备感烦恼, 因为这不啻于在提醒 : 你们的诸多隐私正被赤裸裸地窥视同时, 个人正常的生活秩序受到干扰, 比如你刚离开医院便接到推销药品的电话, 或者刚看完楼盘便不停歇地收到房屋推介信息如果说上述事例反映的只是信息泄露对个人造成的负面影响, 那么, 当信息泄露发展为一种产业当个人信息被集体销售时, 便可能为整个社会的安全埋下隐患前不久, 一条题为 20 万孩童信息被打包销售的新闻再次引燃话题被泄露的信息包括孩子所在的学校参加的辅导班个人就医记录等, 这些信息如果被不法分子利用, 后果显然不堪设想面对愈演愈烈的信息泄露问题, 除了责备网民掉以轻心网络平台非法采集和不良商家滥用信息外, 我们总不免要问 : 为何我国还未发布网络安全保护法呢? 由于缺少法律授权, 公安机关在打击网络诈骗时, 往往不能于第一时间查到泄露信息的源头, 公民面对信息骚扰也没有便捷的投诉通道毫无疑问, 系统健全的法律是解决这些问题的前提和保障 2015 年 6 月, 十二届全国人大常委会第十五次会议初次审议了中华人民共和国网络安全法( 草案 ), 草案从网络安全战领先的应用安全及数据库安全整体解决方案提供商第 34 页共 67 页杭州安恒信息技术有限公司服务热线 :

35 略网络运行安全网络信息安全监测预警与应急处置和法律处理五个方面进行规范, 解决了不同主体在网络信息问题中该怎么做什么能做什么不能做的问题如草案第三十五条规定 : 网络运营者收集使用公民个人信息, 应当遵循合法正当必要的原则, 明示收集使用信息的目的方式和范围, 并经被收集者同意明确将被收集者的授权作为采集信息的前提条件, 理顺了个人信息的权利归属问题, 从而在法律上禁止网络运营者任意采集使用个人信息再如第四十二条规定 : 网络运营者应当建立网络信息安全投诉举报平台, 公布投诉举报方式等信息, 及时受理并处理有关网络信息安全的投诉和举报现在许多网站都未设置举报平台, 这也是网友不能及时举报侵权行为的主要原因不过, 如果根据条款设立名副其实的举报平台, 还需要保证监管部门与各大网站实时联络, 这就不仅仅是法律问题, 还涉及相当复杂的技术和管理问题也就是说, 如果没有技术上的进步监管部门对管理机制的改善, 网络安全法将难以充分发挥效用法律不是万能的, 网络安全法如若顺利通过, 将成为保障信息安全工作的一个新起点, 但要使其不仅仅是一个起点, 每个相关主体都不能置身事外领先的应用安全及数据库安全整体解决方案提供商第 35 页共 67 页杭州安恒信息技术有限公司服务热线 :

36 4.1.3 沈昌祥院士 : 用可信计算构筑网络安全防护体系可信计算是网络空间战略最核心技术之一, 应当坚持五可一有的技术路线习近平总书记曾指出, 没有网络安全就没有国家安全, 没有信息化就没有现代化当前, 大部分网络安全系统主要是由防火墙入侵监测和病毒防范等组成, 称为老三样通常, 信息安全问题是由设计缺陷而引起的, 消极被动的封堵查杀无法满足需求因此, 可信计算值得重视可信计算是指计算运算的同时进行安全防护, 使计算结果总是与预期一样, 计算全程可测可控, 不被干扰它是一种运算和防护并存的主动免疫的新计算模式, 具有身份识别状态度量保密存储等功能, 能及时识别自己和非己成分, 从而破坏与排斥进入机体的有害物质领先的应用安全及数据库安全整体解决方案提供商第 36 页共 67 页杭州安恒信息技术有限公司服务热线 :

37 我国的可信计算于 1992 年正式立项研究并规模应用, 已形成了自主创新体系目前, 我国可信计算产业化条件已经具备国家中长期科学技术发展(2006~2020 年 ) 明确提出以发展高可信网络为重点, 开发网络安全技术及相关产品, 建立网络安全技术保障体系十二五规划有关工程项目都把可信计算列为发展重点, 可信计算标准系列逐步制定, 核心技术设备形成体系由中国工程院多名院士提议, 中国电子信息产业集团中国信息安全研究院等 60 家单位发起, 经北京市民政局批准具有法人资格的社会团体中关村可信计算产业联盟已于 2014 年 4 月 16 日正式成立运行以来, 发展迅速, 成绩显著可信计算是网络空间战略最核心技术之一, 应当坚持五可一有的技术路线五可包括以下几个方面 : 一是可知, 即对开源系统完全掌握其细节, 不能有 1% 的代码未知 ; 二是可编, 要基于对开源代码的理解, 完全自主编写代码 ; 三是可重构, 面向具体的应用场景和安全需求, 对基于开源技术的代码进行重构, 形成定制化的新体系结构 ; 四是可信, 通过可信计算技术增强自主操作系统免疫性, 防范自主系统中的漏洞影响系统安全性 ; 五是可用, 做好应用程序与操作系统的适配工作, 确保自主操作系统能够替代国外产品一有是要有自主知识产权, 对最终的自主操作系统拥有自主知识产权, 并处理好所使用的开源技术的知识产权问题开源技术要受到 GPL 协议的约束, 我国现有基于开源的操作系统尚未遇到知识产领先的应用安全及数据库安全整体解决方案提供商第 37 页共 67 页杭州安恒信息技术有限公司服务热线 :

38 权方面的明显纠纷, 但仅仅是因为这些系统尚无规模应用, 一旦我国自主操作系统形成气候, 必然会面临这方面的挑战总之, 面临日益严峻的国际网络空间形势, 我们要立足国情, 创新驱动, 军民协调发展, 解决受制于人的问题坚持纵深防御, 构建牢固的网络安全保障体系家互联网公司携手共建猎网联盟遏制网络诈骗昨日,25 家网站作为首批联盟成员正式接入猎网平台, 包括同城百度京东网易新浪微博等据悉, 联盟成员将在公安部门的监督指导下, 以猎网平台大数据为基础, 共享网络欺诈信息并及时协同处理网上诈骗信息, 通过压缩诈骗信源的传播时间和空间, 有效遏制网络诈骗维护网络安全是全社会共同责任动态化开放化的网络社会背景下, 形成网络安全共识抵御网络安全风险, 需要我们搭建更多的沟通合作平台北京市公安局网安总队副总队长王京军表示, 伴领先的应用安全及数据库安全整体解决方案提供商第 38 页共 67 页杭州安恒信息技术有限公司服务热线 :

39 随着诈骗形势的日趋复杂, 打击网络诈骗必须充分结合警企民三方力量警方将通过猎网联盟后台系统, 实时跟踪督促考核相关信息的处置进度, 了解信息反馈情况, 对联盟成员处置工作成效进行实时评价联盟的成立和不断壮大, 将进一步压缩网络诈骗信息的传播空间和时间, 提高网络诈骗信息的处置效率, 也将拓宽大数据挖掘侦破线索的维度和效率在推进警企民合作打击网络诈骗方面, 猎网平台先后与全国 10 多个省级公安机关开展试点合作, 向他们推送对应有辖区内用户举报的诈骗信息截至目前, 在协助公安侦破上, 猎网平台已为全国 60 多起网络诈骗案件提供了大数据分析技术的支持领先的应用安全及数据库安全整体解决方案提供商第 39 页共 67 页杭州安恒信息技术有限公司服务热线 :

40 4.1.5 加强网络内容建设助推网信事业健康发展 4 月 19 日, 中共中央总书记国家主席中央军委主席中央网络安全和信息化领导小组组长习近平在北京主持召开网络安全和信息化工作座谈会并发表重要讲话网络安全和信息化工作座谈会召开后, 新华网人民网光明网等中央新闻网站近日纷纷开展深入学习座谈会精神的系列活动各中央新闻网站认真学习理解和领会习近平总书记提出的以新理念推进网信事业发展推进网络强国建设的重要意义网络空间是亿万民众共同的精神家园, 网络空间天朗气清生态良好, 符合人民利益对此, 人民网总编辑余清楚表示, 中央新闻网站应着力加强网站内容建设, 做大做强网上正面宣传, 培育积极健康向上的网络文化领先的应用安全及数据库安全整体解决方案提供商第 40 页共 67 页杭州安恒信息技术有限公司服务热线 :

41 加快前沿技术成果转化, 实现技术平台升级换代对于习近平总书记在讲话中提及的核心技术话题, 新华网党组成员副总裁汪金福认为, 今后网站建设应加快大数据云计算等技术研发应用成果转化, 着力开拓无人机应用传感器新闻人工智能虚拟技术等前沿领域, 为内容创新提供强有力的平台和系统支撑习近平总书记在讲话中提到, 网络安全和信息化是相辅相成的, 安全是发展的前提, 发展是安全的保障, 安全和发展要同步推进对此, 央广网总裁陶磊表示, 将对网站信息系统进行细分, 按照不同的业务系统定级备案, 形成完善的安全保障机制, 力争做到快速准确地处置各类网络安全问题各大新闻网站在建设发展中, 要认识到打造高素质人才队伍的重要性对此, 央视网党委书记董事长汪文斌认为, 要做到解放思想, 慧眼识才, 爱才惜才, 力争通过内部培养与外部引进双管齐下建设新闻网站的人才队伍此外, 新闻网站的使命感与责任感也成为热议焦点光明网总裁杨谷表示, 新闻网站作为网信工作中负责网络宣传意识形态工作的重要力量, 责任重大, 应努力引导好网络舆论, 打造正能量充沛主旋律高昂的互联网空间, 搭建好政府与群众沟通的桥梁领先的应用安全及数据库安全整体解决方案提供商第 41 页共 67 页杭州安恒信息技术有限公司服务热线 :

42 4.2 国际安全资讯越南银行挫败国际黑客攻击与孟加拉央行盗窃案相似据美国全国广播公司 5 月 16 日报道, 位于越南首都河内的越南先锋银行 15 日表示,2015 年第四季度的时候, 它曾挫败一起试图利用虚假的环球银行金融电信协会 (SWIFT) 信息, 盗走银行 110 万美元的黑客攻击阴谋, 作案手法与孟加拉国央行被盗案相似今年 2 月, 黑客入侵孟加拉国央行在纽约联邦储备银行的账户, 盗走 8100 万美元, 为有史以来规模最大的网络盗窃案越南先锋银行称, 他们及时发现了攻击行为, 迅速中断了相关交易, 并且通知了相关方黑客攻击没有造成任何损失领先的应用安全及数据库安全整体解决方案提供商第 42 页共 67 页杭州安恒信息技术有限公司服务热线 :

43 越南先锋银行还表示, 虚假的转账信息来自与银行合作的第三方连接平台, 该平台负责连接银行与 SWIFT 银行消息系统但是没有指明具体的第三方平台名称, 只是表示已经停止合作, 并且新雇了一家安全级别更高的第三方 SWIFT 12 日曾发布警告称, 黑客对一家商业银行发动了恶意程序攻击, 作案手法跟孟加拉央行遭遇黑客入侵相似但是没有指明具体的银行名称, 也拒绝作进一步回应所以目前尚不清楚 SWIFT 是何时意识到的越南银行遭到了攻击世界各国网络部队透视 : 美国规模最大英国征召黑客网络空间被军事战略家们称为陆海空以及太空以外的第五作战空间近年来, 随着互联网技术的迅速发展, 世界多国, 尤其是拥有先进技术和庞大军事预算的发达国家, 纷纷下大力气组建自己的网络攻击部队领先的应用安全及数据库安全整体解决方案提供商第 43 页共 67 页杭州安恒信息技术有限公司服务热线 :

美国 : 建立最早规模最大网络战部队规模最大建立最早的首推美国 2010 年 5 月, 美国国防部组建网络战司令部正式启动, 并在随后几年把网络安全部队扩编 4900 人这标志着美国将军事霸权从陆地海洋天空和太空向号称第五领域的网络空间延伸 2013 年 3 月, 美国网络战司令部宣布将新增 40 支网络部队其中 13 支确定是攻击部队, 用于在国家受到重大网络攻击时进行反攻

44 美国 : 建立最早规模最大网络战部队规模最大建立最早的首推美国 2010 年 5 月, 美国国防部组建网络战司令部正式启动, 并在随后几年把网络安全部队扩编 4900 人这标志着美国将军事霸权从陆地海洋天空和太空向号称第五领域的网络空间延伸 2013 年 3 月, 美国网络战司令部宣布将新增 40 支网络部队其中 13 支确定是攻击部队, 用于在国家受到重大网络攻击时进行反攻另外 27 支网络战团队用于为夏威夷的美军太平洋司令部和佛罗里达州的中央司令部等提供相关支持这 40 个团队在 2015 年秋天之前全部建成美军网络司令部司令罗杰斯 2015 年 9 月表示, 网络部队人数 2016 年前增至 6200 人英国 : 征召网络罪犯组精英队伍网络黑客触犯法律被执法人员抓获, 但因其技术超群却被当局破格收归麾下这并不是电影里才会出现的情节, 现实生活中也在上演早在 2001 年, 英国就秘密组建了一支隶属于军情六处由数百名计算机精英组成的黑客部队他们年轻背景多样, 有的曾经是黑客, 甚至有轻度网络犯罪行为 2009 年 6 月 25 日, 英国政府宣布领先的应用安全及数据库安全整体解决方案提供商第 44 页共 67 页杭州安恒信息技术有限公司服务热线 :

45 成立网络安全办公室和网络安全行动中心, 分别负责协调政府各部门网络安全以及政府与民间机构主要电脑系统的安保工作 2013 年 9 月, 英国国防大臣哈蒙德宣布, 计划聘请数以百计的电脑专家充当网络后备军, 他们将同正规军合作, 一起保护重要的电脑网络和关键数据 2015 年 8 月, 英国联合部队司令部要求政府在未来五年投入 20 亿英镑, 聘请 300 名网络专家或黑客, 同时开发更多恶意软件, 从而帮助保护英国的网上资源, 也让当局在必要时有能力侵入其他国家的电脑网络日本 : 强调掌握制网权日本防卫省在 2011 年建立了一支专门的网络空间防卫队, 其重要作战思想是通过掌握制网权让敌人的作战系统瘫痪日本在构建网络作战系统中强调攻守兼备, 拨付大笔经费投入网络硬件及网战部队建设, 分别建立了防卫信息通信平台和计算机系统通用平台, 实现了自卫队各机关部队网络系统的相互交流和资源共享 ; 成立由 5000 人组成的网络空间防卫队, 研制开发的网络作战进攻武器和网络防御系统, 目前已经具备了较强的网络进攻作战实力同时, 日本注重与美国联合发展, 在引进先进技术的基础上不断完善自身建设, 不断提升网战能力领先的应用安全及数据库安全整体解决方案提供商第 45 页共 67 页杭州安恒信息技术有限公司服务热线 :

46 德国 : 具备网络作战能力德国联邦国防军自 2006 年就开始组建黑客部队, 该部队主要由联邦国防军大学的信息专家组成德国国防部 2012 年说, 新的计算机网络作战部队驻扎在波恩市附近盖尔斯多夫镇的战略侦察司令部,2011 年底以来就具备了作战能力一名国防部发言人说, 联邦国防军在宪法规定的任务框架内也必须有能力在网络空间作战, 今后将持续发展这种能力印度 : 网络进攻写入作战条例基于对网络技术的精通和利用网络能够达到何种战争效果的认识, 印度坚持自主研发军民合作的原则, 投入大量人力物力, 力求在网络技术密码技术芯片技术以及操作系统方面自成体系闪光信使高速宽带网络以及被称为第三只眼的海军保密数据信息传输网络的建成使用, 进一步增强了印度军方应对未来网络战争的不对称优势除完善防御体系外, 印度军方一方面将网络进攻写入作战条例, 明确指出要建立能够瘫痪敌方指挥与控制系统以及武器系统的网络体系, 在陆军总部各军区以及重要军事部门分别设立网络安全机构 ; 另一方面通过吸纳民间高手入伍和对对军校学员进行黑客技术培训等方式, 逐步完成未来网络战的人才储备领先的应用安全及数据库安全整体解决方案提供商第 46 页共 67 页杭州安恒信息技术有限公司服务热线 :

47 韩国 : 注重人才和核心技术韩国早在 1999 年就提出了未来信息建设的总体设想, 十年后宣布组建网络司令部, 并于 2010 年 1 月正式启动目前, 韩国已经拥有了约 20 万接受过专业训练的庞大的人才队伍, 而且每年国防经费的 5% 被用来研发和改进实施网络战的核心技术以色列 : 实战经验丰富以色列在 1998 年就将成功入侵美国国防部的青年招入部队, 并开始加大对网络作战的研究力度在巴以冲突黎以冲突中, 以色列利用网络进攻的方式篡改网页攻击电视台, 以达到影响舆论导向的目的 ; 侵入军方电脑窃取机密, 以确定火力打击的重点目标和精确坐标 ; 阻断敌人通信指挥系统, 以掌握最佳的作战时机, 这一切都是以军进行网络战的真实写照领先的应用安全及数据库安全整体解决方案提供商第 47 页共 67 页杭州安恒信息技术有限公司服务热线 :

48 4.2.3 外媒 : 美网络安全演练召集 1.4 万黑客黑掉五角大楼核心提示 : 美国国防部新闻发言人彼得库克 16 日表示, 名为黑掉五角大楼的项目自 4 月下旬启动, 至上周结束他说, 演练有利于发现漏洞并制定应对措施以保护五角大楼的网络系统俄媒称, 美国举行保障网络安全大型演练过程中, 约 1.4 万名黑客尝试入侵国防部网络系统美国国防部新闻发言人彼得库克 16 日表示, 名为黑掉五角大楼的项目自 4 月下旬启动, 至上周结束据俄罗斯卫星新闻网 5 月 17 日报道, 库克称 :" 国防部长阿什顿卡特对演练结果非常满意我们认为该项目是成功的 " 他表示, 此次演练参与者从志愿参加的美国公民中选出, 演练有利于发现漏洞并制定应对措施以保护五角大楼的网络系统此次演练让我们注意到那些自己未能发现的东西库克还表示, 演练过程中黑客们要入侵国防部一些网站, 演练成果不会公开, 原因众所周知五角大楼尚未决定是否有必要再次举行这种有上万名志愿者参与的网络安全演练领先的应用安全及数据库安全整体解决方案提供商第 48 页共 67 页杭州安恒信息技术有限公司服务热线 :

49 报道称, 库克问一名到会记者, 他是否也参加了这次演练该记者在满屋笑声中说 : 我没有, 但我儿子参加了库克明确表示, 在尝试突破国防部网络防护系统过程中表现出良好机敏度的特别突出的黑客将获得奖励此次非常演练的总结工作将在 6 月进行土耳其黑客团体 Bozkurtlar 已成功攻击 6 家银行根据相关报道, 来自土耳其的黑客团体 Bozkurtlar( 中文翻译为灰狼 ) 在上周对超过 6 家国际银行发起网络攻击并成功窃取了部分数据在上周二, 荷兰孟加拉银行 ( 孟加拉共和国 ) 城市银行( 孟加拉共和国 ) 信托银行( 孟加拉共和国 ) 商业通用发展银行( 尼泊尔 ) Sanima Bank( 尼泊尔 ) 遭到攻击, 随后上周四锡兰商业银行 ( 斯里兰卡 ) 遭到攻击领先的应用安全及数据库安全整体解决方案提供商第 49 页共 67 页杭州安恒信息技术有限公司服务热线 :

50 首批曝光的泄露文件容量超过 300MB, 事涉 5 家银行, 从这些曝光的文件中曝光数据最多的是商业通用发展银行, 容量为 251MB, 泄密数据涉及客户数据手机号码加密密码等, 此外还有大部分内部银行邮件通信文件然而这件事情远远还没有结束, 在第二波曝光数据中, 锡兰商业银行的泄密文件容量达到了 6.97GB, 共计涵盖份文件这些数据 Dump 包含 PHP 文件到年度银行报道, 甚至还有服务器备份和银行金融声明等等领先的应用安全及数据库安全整体解决方案提供商第 50 页共 67 页杭州安恒信息技术有限公司服务热线 :

51 4.2.5 知名黑客论坛 Nulled.io 被黑 9.45GB 数据遭泄露在经历了系统入侵事故之后, 知名地下黑客论坛 Nulled.io 于本周遭遇数据泄露, 其论坛数据库副本被下载并上传至网络当中此次泄露事故发生于 4 月 6 号, 泄露的数据亦于同日被上传至网络 5 月 12 号, 另一重要数据文件被发布至网上, 其中包含 24 万 3787 条被破解的密码哈希值数据泄露内容无所不包! 根据安全企业 Risk Based Security 公司的调查, 此次泄露的数据被包含于一个 1.3GB 的 tar 归档文件当中, 其压缩自总计 9.45GB 的 db.sql 文件, 即论坛数据库的完整副本与用户账户相关的一切都存在于其中, 包括个人消息 VIP 论坛文章以及财务交易等等更准确地讲, 这批数据包含 53 万 6064 个用户账户 80 万 593 条用户个人消息 5582 条购买记录以及 1 万 2600 份发票对于用户来说, 泄露的数据则包含其论坛用户名电子邮箱地址哈希密码注册日期 IP 记录以及标题与文章数等论坛相关信息犯罪调查机构可能会对此次泄露的数据表现出兴趣, 因为其中包含的地理定位数据 IP 地址论坛用户名以及电子邮箱地址足以用于调查各类网络犯罪活动数据泄露可能令 Nulled.io 一蹶不振领先的应用安全及数据库安全整体解决方案提供商第 51 页共 67 页杭州安恒信息技术有限公司服务热线 :

52 最有趣的内容无疑是数据库内的消息与论坛 VIP 版块部分站内消息可能泄露网络犯罪集团招募新成员的活动, 而 VIP 版块则提供大量只供付费客户访问的高端工具及教程 Nulled.io 目前仍然处于离线状态, 但考虑到所有优质内容都已经被免费发布, 我们很难想象还会有人付费注册 VIP 账户而数据泄露的真正原因目前尚不明确, 但该安全公司指出, Nulled.io 运行在 IP.Board 论坛平台之上, 而该平台单在今年一年就曝出 185 项安全漏洞另外, 巧合的是, 数据泄露的同时 Sucuri 亦报道称有攻击者利用新的 ImageTragick 漏洞对各 IP.Board 论坛发起入侵斯诺登档案 : 美国媒体曝光首批斯诺登泄密文件据外媒综合报道, 美国调查新闻网站 The Intercept 发布大批美国政府绝密文件, 让人深入了解国安局 (NSA) 在伊拉克战争关塔那摩监狱等活动中发挥的直接作用这是被泄密者爱德华斯诺登领先的应用安全及数据库安全整体解决方案提供商第 52 页共 67 页杭州安恒信息技术有限公司服务热线 :

53 (Edward Snowden) 泄漏的首批文件,The Intercept 称其为斯诺登档案这些文件包括国安局最重要部门国家信号局 (SID) 的内部通讯机构 SIDtoday 发表的 166 篇文章, 时间从 2003 年 3 月 31 日到 2003 年 6 月 30 日国安局间谍们在文章中解释了他们都做了什么, 以及他们如何以及为何这样做许多发表的材料都被 SIDtoday 归为绝密信息, 包括该机构与关塔那摩监狱审讯人员伊拉克士兵以及外国间谍合作等秘密 1. 关塔那摩 SIDtoday 的材料显示, 在所谓的反恐战争爆发之初, 国安局人员就曾与美国军方 CIA 以及其他机构共同审问关塔那摩监狱囚犯国安局联络员与审讯人员配合, 以便收集对国安局有价值的信息此外, 他们还与国防部 CIA 以及 FBI 等机构人员每日交流, 以便评估和利用来自囚犯的信息 The Intercept 称, 在关塔那摩监狱囚犯遭到残酷问询和虐待期间, 国安局工作人员就在现场国安局甚至帮助逮捕和引渡大批在波斯尼亚的阿尔及利亚人 SIDtoday 建议将他们送入关塔那摩监狱关押 90 天, 一名国安局联络员坚持有趣的等待, 并尝试利用水上运动电影陶艺彩弹以及酒吧等诱惑囚犯, 希望将他们招募为内线 2. 伊拉克战争领先的应用安全及数据库安全整体解决方案提供商第 53 页共 67 页杭州安恒信息技术有限公司服务热线 :

54 国安局在帮助鼓吹美国非法入侵伊拉克时也发挥巨大作用, 他们呼应小布什政府的说法, 宣称萨达姆侯赛因 (Saddam Hussein) 藏有大规模杀伤性武器国安局下属国家信号局甚至派人常驻伊拉克, SID 副局长理查德夸克 (Richard J. Quirk) 曾紧急招募了大批分析员和志愿者参与作战国安局人员还帮助研究萨达姆储存大规模杀伤性武器的可能地点, 并提供伊拉克领导人和其他高级目标近乎实时的通讯记录即使在小布什发表任务完成胜利演讲后, 国安局依然在帮助军方, 提供实时敏感情报支持 SIDtoday 的文章中还称, 伊拉克持续抵抗美军占领有些甚至警告称 : 敌对行为的范围比许多人意识到的更广, 伊拉克依然处于麻烦状态, 需要去做更多工作 3. 监视俄罗斯 SIDtoday 的文章透露, 国安局曾花费数月时间监视俄罗斯有组织犯罪人物据说这是美国国务院发起的活动, 目的是找出坦波夫犯罪集团领袖与俄罗斯总统普京之间的联系 4. 监视朝鲜 SIDtoday 一篇文章中详细介绍了国家信号局如何点燃了朝鲜与美国的对抗通过间谍行动, 国安局发现朝鲜正获得浓缩铀能力, 违反了与美国签署的协议 SIDtoday 称其为成功故事, 应该向每个参与者脱帽致敬! 领先的应用安全及数据库安全整体解决方案提供商第 54 页共 67 页杭州安恒信息技术有限公司服务热线 :

55 5. 监视外国卫星通信在过去 30 多年间, 国安局始终在监视外国卫星通讯, 收集与大规模杀伤性武器恐怖分子流动国际犯罪国际金融贸易以及航班预订等方面有关的信息情报 6. 密切监控泄密 SIDtoday 的文章显示, 在斯诺登泄密事件发生 10 年前, 国家信号局的通讯与支持行动部门负责人就曾表示, 该机构谨慎追踪泄密事件他们设有名为 FIRSTFRUIT 的数据库, 里面包括 5000 多份安全相关记录, 从间谍损害评估到联络交流等 7. 打零工记录令人感到滑稽的是,SIDtoday 还发布名为加入 NSA 前打零工的文章, 上面列举了进入国安局之前, 其职员从事过的各种怪异工作有些国安局成员曾是拉斯维加斯的骰子经销商纽约时报字谜游戏开发者职业棒球运动员保姆甚至是蚊虫叮咬测试记录员等 8. 打广告国安局文件中提及利用动态方式满足客户需求, 其产品领导者可以为国土安全部美联储特勤局农业部等客户服务, 有时候需要通过客户支持计划进行普利策奖或将记者格伦格林沃德 (Glenn Greenwald) 曾帮助斯诺登曝光国安局大规模监控计划, 此后又创建了 The Intercept 领先的应用安全及数据库安全整体解决方案提供商第 55 页共 67 页杭州安恒信息技术有限公司服务热线 :

56 The Intercept 宣称, 他们鼓励记者研究人员以及有兴趣各方共同梳理这些文件, 寻找其他被忽略的有趣材料日本少年黑掉 444 家学校网站 : 为了突出老师无能据英国每日电讯报报道, 日本一名 16 岁的少年因为恶意攻击大阪教育委员会的服务器, 并黑掉了当地 444 家学校的网页而面临被指控, 而据该少年表示, 他这么做是为了证明老师们的无能这起网络攻击事件发生在去年 11 月, 这名少年当时仅有 15 岁据日本媒体报道, 这也是日本国内第一起类似的网络攻击事件目前, 该少年已被逮捕, 所用的电脑和黑客相关的书籍也已被发现, 并将面临妨碍业务的指控据这名少年自述, 这次攻击的目的主要是突出老师的无能我讨厌老师们居高临下的姿态, 不让我们表达自己的意见少年告诉当地警察, 我想提醒他们有多无能领先的应用安全及数据库安全整体解决方案提供商第 56 页共 67 页杭州安恒信息技术有限公司服务热线 :

57 4.2.8 这个僵尸网络自 2014 年起已经感染了近百万台设备据外媒报道, 网络犯罪分子最常用的牟利方式之一就是利用像 Google AdSense 这样的广告平台, 他们通过某种方式让这些平台相信其发送出去的流量是通过合法途径得到的, 之后这些广告平台就会把它推荐给用户一个叫做 Redirector.Paco 的点击机器人就是当中一员据安全公司 Bitdefender Labs 研究发现,Redirector.Paco 自 2014 年 9 月就开始在网络上活跃只要被其感染的系统就会用户在 Google Bing Yahoo 等热门搜索平台上执行查询时用联盟推广链接来取代, 换言之, 当用户每点击一次, 它就能为攻击者产生收益 Bitdefender Labs 称, 这种恶意软件只需要在感染系统中执行几个简单的注册表更新即可实现重定向流量, 但即便它们竭力表现出正当的搜索结果, 当中仍不乏一些显示其异常的信号, 比如状态条上引用的代理过长的加载时间据统计,Redirector.Paco 已经在全世界范围内感染了 90 多万个 IP, 主要集中在阿尔及利亚巴西希腊意大利马来西亚巴基斯坦和美国这些国家, 而它对系统的感染则主要通过修改 Connectify WinRAR KMSPico Start8 Stardock YouTube Downloader 等受信任程序的安装包来完成领先的应用安全及数据库安全整体解决方案提供商第 57 页共 67 页杭州安恒信息技术有限公司服务热线 :

58 4.2.9 DARPA 制定 X 计划 : 允许美国军方作战人员规划网络战自 2013 年开始, 美国国防部高级研究计划局的 X 计划网络战项目工程师们就已经开始建立必要基础, 旨在为网络空间内的士兵打造首套通用性作战规划而在下个月,X 计划将在 DARPA 的弗吉尼亚州萨福克实验室中被首次交付给作战人员, 并作为年度联合网络演习的重要绝大部分即网络防御与网络夺旗计划我们拥有一支强大的工程师团队, 也已经在实验室当中引入众多军队现役人员作为最终用户, 希望借此帮助自身充实工作流程及任务目标, X 计划项目经理 Frank Pound 在本周接受国防部新闻网采访时指出在此之前, 作战人员一直不具备可实现网络作战或可视化网络体系的统一化架构边界防御作为 X 计划的核心关注重点之一, 军方士兵将利用其设计的工作流程完成各项作战任务并实现边界防御,Pound 表示 X 计划允许他们根据各类关键性网络地形进行作战规划, 具体包括邮件与文件服务器路由器及网关等需要着重防御的网络组成要素, 同时以出色的可视化效果审视各关键性网络地形要素的活动运行情况及状态, 他补充称领先的应用安全及数据库安全整体解决方案提供商第 58 页共 67 页杭州安恒信息技术有限公司服务热线 :

59 他指出,X 计划能够以可视化方式识别各关键性网络地形因素, 从而帮助士兵了解其当前状态, 正如通过望远镜观察物理地形一样此项目旨在将军事科学及计算机科学引入网络空间如此一来, 作战人员将拥有其能够理解的行动平台, 使用这套专门针对军事活动所设计的平台, 借此制定军事决策并根据其在新兵训练营及士官院校内学习到的经验筹备任务与设计网络体系,Pound 解释称为了实现这一目标,X 计划的工程师们已经在软件开发过程中积累了大量实践技术, 他表示网络工具应用在网络实战方面,X 计划的用户们往往并不具备 Pound 提出的网络工具技术专业知识, 其中包括数字化望远镜与传感器为了解决这一难题,X 项目的工程师们开发出了一整套应用商店, 并将众多工具转化为应用形式在此基础, 工程师们还做出了更多努力相较于了解关于这些应用的一切, 如今用户只需要理解应用所能达成的实际效果这些应用能够帮助我们发现网络中的对象并加以感知, 从而明确网络环境的实时状态, Pound 表示这一点对于军方非常重要, 只有这样作战人员才能够以实际效果为基础而不必再对功能进行细化拆分网络防御人员所使用的典型应用之一正是 Netstat, 他补充道, 其能够帮助作战人员获取作战环境中的网络统计信息领先的应用安全及数据库安全整体解决方案提供商第 59 页共 67 页杭州安恒信息技术有限公司服务热线 :

60 这将是一款独立的应用, 可轻松为现代用户所使用, 但同时亦致力于将相关知识传播至 6000 名缺少知识储备的新晋作战人员当中, Pound 指出因此我们认为, 这正是此款特定工具的功能所在其实际运行需要命令行指令进行操作我们对其中的复杂性进行抽象处理, 从而确保网络规划人员能够以实际功效而非具体形式同作战人员进行协同与交流在此之后, 作战人员可以直接享受经过抽象化的实际功效, 利用它们规划网络防御行动,Pound 表示在此基础上, 原始工具已经不复存在只有 X 计划高级用户才能触及这一层面找到数据模型 Pound 指出, 网络数据模型能够帮助 X 计划的工程师们严格定义网络空间中的技术与对象, 例如互联网协议地址介质访问控制地址网络接口或者软件片段等等在最初思考如何建立这套数据模型时,Pound 表示, 其预计思考议题似乎极为繁复, 因为网络环境内存在大量事物需要以适当的方式加以界定因此, 他们着眼于现有数据模型并选定了 CybOX 即网络观测表达式作为由联邦政府资助的研发中心,Mitre Corporation 利用 STIX 与 TAXII 标准开发出了最终模型, 同时协助构建起网络威胁信息的共享机制这项工作被纳入 2015 年行政规划, 旨在提升私营部门的网络安全信息共享能力,Pound 解释称领先的应用安全及数据库安全整体解决方案提供商第 60 页共 67 页杭州安恒信息技术有限公司服务热线 :

61 我们在 X 计划中使用到这套数据模型, 因为其内容极为丰富, 他补充道另外, 我们还将众多军事决策制定目标纳入这套数据模型, 从而更好地支持 X 计划的既定目标我们能够将其有效添加进入并正确使用这对我们来说无疑是一项了不起的成就当然, 这些标准并不适合每位用户, 他表示, 但 X 计划确实能够借此帮助商业企业及国防部使用其成果建立行动课程 X 计划的另一大重要组成部分, 在于规划构建模式以允许作战人员打造适合自身需求的可视化与图形化行动课程我们深受谷歌硅谷培训思维的影响其中一项名为 Scratch, 这款可视编程语言类似于一种拼图游戏相较于学习枯燥的文本型编程语言, 程序员们可以利用命令块彼此堆叠来完成开发这是一种条件性语言, 他表示如果这样, 则那样如果我希望连续执行某项操作 10 次, 那么该循环的形状就会呈现出 U 形, Pound 表示如果我希望执行某项操作 10 次, 我会建立 U 形结构并把具体操作添加入其中, 这样整个过程都将由 U 形实现这种易于理解的编程方式非常重要他补充称, 只要能够以细致入微的方式建立抽象方案, 那么深奥的概念即会转化成能够为大家所轻松掌握的具体方法我们对具体方案做出大量迭代, 并与各军方合作伙伴进行反复测试领先的应用安全及数据库安全整体解决方案提供商第 61 页共 67 页杭州安恒信息技术有限公司服务热线 :

62 这种编程方式的图形特性正是军方规划人员建立行动课程的具体途径,Pound 告诉我们这样的行动课程能够以应用的形式构建, 并通过 X 计划应用商店进行交付而随着项目的推进, 作战人员可以从应用商店获取该应用, 并根据具体条件更改其参数我们花了很长时间才达成如今的效果, Pound 回忆道我们的工作非常困难, 而这套编程模型与抽象方案已经凭借着出色的可视化机制成为战场空间中的重要焦点他同时表示,X 计划将于 2017 年被移交至美国国防部与美国网络司令部全球监控最详尽的国家新加坡新加坡这座以整洁街道和文明礼仪闻名世界的金融中心, 即将被另一项成就所铭记 : 世界史上最详尽的城市信息收集体系据外媒上月报道, 新加坡正在高速推进李显龙总理在 2014 年底提出的智慧国 (Smart Nation) 计划, 在整个国家内部署数量未知领先的应用安全及数据库安全整体解决方案提供商第 62 页共 67 页杭州安恒信息技术有限公司服务热线 :

63 的摄像头与传感器政府将监控从公共场所干净程度与人群密度, 到每一辆上牌车辆的密切行动等信息新加坡是一个充满争议的城邦国家加拿大科幻作家 William Gibson 曾在 1993 年, 也就是李光耀辞去总理职务后 3 年写到, 新加坡像一个存在死刑的迪士尼乐园 2004 年, 新加坡革新党创始人 Kenneth Jeyaretnam 则反驳称, 新加坡是菲利普迪克与乔治奥威尔合开的主题公园新加坡目前已拥有十分完善的监管体系, 但新一轮的数据收集工作将达到难以想象的高度该国特殊的政治体制让这类系统的组织与建立得以快速进行大部分数据会被送往叫做虚拟新加坡 (Virtual Singapore) 的网络平台, 给政府提供有关这个国家的一切实时信息政府并能以此对病毒爆发和突发事件应对做出准备新加坡政府也计划在某些情况下与私人部门共享部分信息领先的应用安全及数据库安全整体解决方案提供商第 63 页共 67 页杭州安恒信息技术有限公司服务热线 :

64 按照新加坡法律规定, 一切以执法和监控为目的对智慧国数据的使用都不需要通过法院批准或市民听证如果该网络系统被黑客攻入, 网络罪犯也许能获得关于某位市民的大量信息主管智慧国的新加坡外长 Vivian Balakrishnan 曾在 Facebook 上写道, 新加坡力争拥有世界上最好的数字基础设施他表示, 系统将尽可能地隐匿数据来源者的身份, 并制定详细的数据保护计划新加坡 550 万人口里的 80% 居住在公共住宅中大部分新加坡民众认为这套系统会给他们的生活带来便利市民 Jerelyn Hew 说 : 我信任这里的系统新加坡目前已经拥有一套 2D 网络地图系统, 允许市民在线观看监控摄像视频和查询停车场剩余车位但新的 3D 地图系统会收录更多的信息, 涉及建筑的具体尺寸与材料, 门窗的真实位置等数据通过这些数据, 他们能模拟出新建建筑对城市通风或无线通讯的影响, 计算传染性疾病在这些建筑间的传播政府另提案在所有带新加坡牌照的车辆上安装卫星定位装置, 进行道路动态和精准收费政府还曾经测试过通过公交车乘客的手机来监测路面状况, 以指引道路维修的技术已经投入测试的智慧国技术还包括在禁烟区监测吸烟人员的装置 2014 年, 与智慧国计划无关的新加坡环境局曾根据监控摄像头的录像, 向一位在高层住宅往下抛烟头的男子开出 1.98 万领先的应用安全及数据库安全整体解决方案提供商第 64 页共 67 页杭州安恒信息技术有限公司服务热线 :

65 新元 ( 折合 9 万人民币 ) 的罚款他不穿上衣在窗口抽烟的视频截图曾被公示另一个重要项目则是老年人自愿监视计划新加坡有着极低的生育率, 面临着严峻的老龄化形势该计划已在 2014 年起开始免费试点, 但准备开始收费私人公司将在老年人的居所内安装动作感应器, 通过记录老年人上厕所等活动的时间来发现潜在健康隐患老年人停止移动时家属将立即收到通知新加坡领导人还希望能出口此类智能监控技术据美国研究机构 IDC Government Insights 预计,2025 年时, 智能城市技术仅在亚洲的市场规模就将达到 1000 亿美金领先的应用安全及数据库安全整体解决方案提供商第 65 页共 67 页杭州安恒信息技术有限公司服务热线 :

66 关于安恒关于安恒杭州安恒信息技术有限公司 (DBAPPSecurity) 是由国家千人计划专家范渊先生于 2007 年创办, 是国内跻身全球网络安全 500 强仅有的四家企业之一, 是中国领先的专注于信息安全产品和服务的解决方案提供商曾先后为北京奥运会国庆 60 周年庆典上海世博会广州亚运会深圳大运会首届世界互联网大会等重大活动提供全方位信息安全保障公司主营业务涵盖应用安全, 数据库安全以及云计算安全移动互联网安全大数据安全等智慧城市安全, 包括顶层设计标准制定课题和安全技术研究产品研发产品及服务综合解决方案提供等安恒信息通过智慧监测智慧防护智慧审计智慧应用四大产品线形成一整套全生命周期的信息安全支撑体系, 成为应用安全数据库安全以及智慧城市安全市场的绝对领航者是政府军工公检法司运营商金融能源财税审计教育医疗互联网 + 等行业信息安全领域最值得信赖的首选品牌! 风暴中心全称智慧城市安全风暴中心, 是公司顺应当前信息化发展中云计算化大数据化智慧智能化的大趋势, 专门设立的网络安全态势监测感知分析及预警部门通过智慧城市安全风暴中心大数据平台分布在全国各省的监测节点中心大数据分析平台与专业网络安全情报分析团队, 对全国网络安全态势进行主动监控与攻击预警, 日均处理攻击事件数百个, 为数万个网站领先的应用安全及数据库安全整体解决方案提供商第 66 页共 67 页杭州安恒信息技术有限公司服务热线 :

67 关于安恒提供实时安全监测服务同时, 利用大数据与安全情报分析技术, 为政府金融电力单位等提供行业整体性安全态势感知与安全预警服务联系方式如下 : [email protected] 7*24 小时风暴中心电话 : 安恒信息官方微信公众账号风暴中心官方微信公众号领先的应用安全及数据库安全整体解决方案提供商第 67 页共 67 页杭州安恒信息技术有限公司服务热线 :

(P37) 新华社评论员 : 加强队伍建设造就新闻人才四论学习贯彻习近平总书记在党的新闻舆论工作座谈会上重要讲话精神 (P40) 人民日报社论: 担负起新闻舆论工作的职责和使命 (P43) 人民日报评论员: 从全局出发把握新闻舆论工作一论学习贯彻习近平总书记新闻舆论工作座谈会重要讲话精神 (

(P37) 新华社评论员 : 加强队伍建设造就新闻人才四论学习贯彻习近平总书记在党的新闻舆论工作座谈会上重要讲话精神 (P40) 人民日报社论: 担负起新闻舆论工作的职责和使命 (P43) 人民日报评论员: 从全局出发把握新闻舆论工作一论学习贯彻习近平总书记新闻舆论工作座谈会重要讲话精神 ( 意识形态与宣传思想工作学习资料汇编党委宣传部 (2016 年 3 月 ) 习近平在全国宣传思想工作会议上发表重要讲话 : 胸怀大局把握大势着眼大事努力把宣传思想工作做得更好 (P1) 中共中央办公厅国务院办公厅关于进一步加强和改进新形势下高校宣传思想工作的意见 (P8) 中共中央宣传部中共教育部党组关于加强和改进高校宣传思想工作队伍建设的意见 (P17) 习近平在党的新闻舆论工作座谈会上发表重要讲话