长扬科技 · 工控安全一周要览（第十九期 20181221）

▼ 《天津市促进大数据发展应用条例》明年1月1日起施行

智慧城市建设，离不开大数据的支撑。而大数据发展应用必须进入法制化轨道，才能真正推动数字经济发展，助力打造“天津智港”。昨天，市十七届人大常委会第七次会议审议通过了《天津市促进大数据发展应用条例》（以下简称《条例》），共八章五十七条，自2019年1月1日起施行。

链接详情：

http://news.enorth.com.cn/system/2018/12/15/036530577.shtml（请复制链接在浏览器中打开阅读）

▼ 个人信息保护法即将到来：已列入全国人大常委会规划

今年9月10日，中国人大网公布《十三届全国人大常委会立法规划》，69件法律草案列入第一类项目，即条件比较成熟、任期内拟提请审议。其中，个人信息保护法是第61个项目。这意味着，久久呼唤的个人信息保护专门立法即将到来。

11月初的世界互联网大会上，这一消息再次被确认。该次大会“大数据时代的个人信息保护”分论坛上透露，个人信息保护法已经列入本届全国人大常委会立法规划，我国将进一步加大对个人信息保护力度。

链接详情：

https://mp.weixin.qq.com/s/tZbzBX1t2NWMcuXyErRNDw

▼ 《GB/T 36627-2018 网络安全等级保护测试评估技术指南》将于2019年4月1日正式实施

2018年9月17日，由上海市信息安全测评认证中心参与编制的国家标准《GB/T 36627-2018 网络安全等级保护测试评估技术指南》正式发布，该标准将于2019年4月1日正式实施。

此次发布的国家标准给出了网络安全等级保护测评中的相关测评技术的分类和定义，提出了技术性测试评估的要素、原则，并对测评结果的分析和应用提出了建议。该标准适用于测评机构开展等级测评工作，以及主管部门及运营使用单位开展安全评估。

链接详情：

https://mp.weixin.qq.com/s/KG_i6vyVgSRxcyfW_nl8lA

▼ 50天53个漏洞：Adobe Reader 模糊测试结果惊人

安全公司 Check Point 使用流行 Windows 模糊测试框架WinAFL进行了为期50天的实验，在 Adobe Reader 中找出53个新关键漏洞。

该公司透露，2017年报告的新漏洞总数约为1.4万个，远远超出以往年份，是2016年的2倍还多。究其原因，可能是模糊测试器(即自动化漏洞查找工具)功能的完善和流行度的上升。

链接详情：

https://mp.weixin.qq.com/s/Kboe4i_GgNX2YbtgId8Byg

▼ ABB PLC安全网关存在未修复的严重漏洞

安全公司Applied Risk近期发现瑞士工业技术公司ABB生产的部分PLC安全网关中存在两个高危漏洞。被发现的两个漏洞存在于GATE-E1和GATE-E2两款安全网关产品中，ABB的该系列网关允许ABB的PLC与其他控制系统通信。然而糟糕的是，供应商将不会发布固件更新以修复上述漏洞，因为受影响的产品已达到使用寿命。

链接详情：

https://mp.weixin.qq.com/s/kpp--6YES-A4eiKtg7H_0A

▼ 美国国家航空航天局披露数据泄露事件

航天局称，约2个月前（即10月23号）发现了此次入侵。目前尚不清楚航天局为何在事发2个月后才通知员工，但美国执法机构通常会要求被黑机构推迟通知受害者的时间，以便对事件进行调查。

NASA证实其正与联邦网络安全伙伴合作“检测服务器以确定潜在的数据泄露影响规模，以及可能受影响的个人。”

航天局仍不清楚此次数据泄露的规模，以及受影响的员工数量。NASA昨日发布备忘录称，为安全起见，将通知全体员工，以便采取措施应对潜在的欺诈行为。

链接详情：

https://mp.weixin.qq.com/s/MOX_eTk5Oqlsu_kQowWthg

▼钓鱼邮件攻击再次绕过微软Office365的保护机制

近日网络安全人员警告用户注意在微软Office365中出现了一种垃圾邮件，能够完美绕过微软设置的ATP保护功能。微软的Office365给用户提供了一整套在线办公套件，用户可以上网直接使用邮件、SharePoint、即时通信和办公套件的功能。

一个月前垃圾邮件使用了一种被称为ZeroFont的技术伪装成一家正规公司邮件，诱使用户点开链接后在网页中输入个人敏感信息。而在2018年5月，黑客想到了将恶意网址拆开，使得Office365中的安全扫描机制无法对邮件中的网址进行识别，然后再诱使用户打开链接。

链接详情：

http://www.wttech.org/archives/8047