2017 年05 月22 日第 145 期 - CNCISA据联合早报18日报道，国际网络专家警告，一款名为Adylkuzz的恶意软件可能会以更隐秘的方式发动袭击，用户甚至无法立即发现电脑已受感染。

国盟信息安全通报（2017年 05月 22日第 145期）

国际信息安全学习联盟主办 1 http://www.cncisa.com

2017 年 05 月 22 日第 145 期



国盟信息安全通报

（第 145 期）

国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息

安全漏洞 261 个，其中高危漏洞 105个、中危漏洞 135个、低危漏洞

21 个。漏洞平均分值为 6.23。本周收录的漏洞中，涉及 0day漏洞 49

个（占 19%），其中互联网上出现“GemaltoSmartDiag Diagnosis Tool

缓冲区溢出漏洞”零日代码攻击漏洞。

国际信息安全学习联盟

2017 年 05 月 22 日



主要内容

一、概述 ....................................................................................................................... 4

二、安全漏洞增长数量及种类分布情况 ................................................................... 4

➢漏洞产生原因（2017年 05月 08日—2017年 05月 22日） ....................... 4

➢漏洞引发的威胁（2017 年 05月 08日—2017年 05月 22 日） ................... 5

➢漏洞影响对象类型（2017 年 05月 08日—2017年 05月 22日） ............... 5

三、安全产业动态 ....................................................................................................... 6

➢黑客说这是勒索病毒的下一个目标 ................................................................. 6

➢中国移动互联网发展状况及其安全报告（2017）》发布 ............................... 9

➢网络安全市场调查：2017 年 Top15数据榜单 .............................................. 12

➢美国等网络强国网安人才建设举措及启示 ................................................... 16

四、政府之声 ............................................................................................................. 23

➢国办印发《政务信息系统整合共享实施方案》 ........................................... 23

➢聚焦“两高”打击侵犯个人信息犯罪司法解释五大看点 ................................ 24

➢国将建全国一体化国家大数据中心，打击非法泄露和出卖数据 ............... 25

➢中国人民银行成立金融科技（FinTech）委员会 ......................................... 26

五、本期重要漏洞实例 ............................................................................................. 27

➢Adobe Flash Player 多个内存破坏漏洞 ..................................................... 27

➢Microsoft Chakra Core 远程代码执行漏洞 ................................................ 27

➢Cisco Remote Expert Manager 信息泄露漏洞 ............................................ 28

➢Joomla! 3.7.0 SQL注入漏洞 ........................................................................ 29

六、本期网络安全事件 ............................................................................................. 30

➢58同城内鬼勾结窃卖账户:盗窃 1100余账户损失数百万 .......................... 30

➢港媒称百度软件“泄露”高官电话百度：暂关功能排查 ......................... 32

➢加拿大贝尔遭遇数据泄露黑客窃取 190万个电子邮件地址 ....................... 33

➢华特迪士尼遭黑客勒索加勒比海盗 5存被提前泄露风险 ........................... 34

➢黑客倒卖医院数据落网广州医药圈震荡 ..................................................... 35

➢印度版“大众点评”Zomato 遇袭，1700万用户信息遭泄漏 ........................... 37

注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。



一、概述

国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本

周共收集、整理信息安全漏洞 261 个，其中高危漏洞 105 个、中危漏洞 135 个、

低危漏洞 21 个。漏洞平均分值为 6.23。本周收录的漏洞中，涉及 0day 漏洞 49

个（占 19%），其中互联网上出现“GemaltoSmartDiag Diagnosis Tool 缓冲区溢

出漏洞”零日代码攻击漏洞。

二、安全漏洞增长数量及种类分布情况

➢ 漏洞产生原因（2017年 05 月 08日—2017年 05 月 22日）



➢ 漏洞引发的威胁（2017 年 05 月 08 日—2017年 05 月 22 日）

➢ 漏洞影响对象类型（2017 年 05 月 08 日—2017 年 05 月 22 日）



三、安全产业动态

➢ 黑客说这是勒索病毒的下一个目标

2017 年 5 月 16 日，黑客组织“影子经纪人”近日再度警告，将在 6 月披露更多窃自

美国国家安全局的黑客工具，瞄准 Windows 10、路由器、浏览器甚至是手机。接下来全球

可能面临新的网络安全威胁。日前在全球肆虐的勒索软件“想哭”（WannaCry）据称即源自

该组织外泄的黑客工具，上一波网络攻击让全球 150 个国家的 30 万台电脑遭到攻击。

黑客组织发威胁：将披露更多美国安局黑客工具

黑客组织“影子经纪人”16 日通过社交媒体发布声明，将从 6 月开始披露更多窃取自

美国国家安全局的黑客工具和情报。

声明称，它将以订阅服务的形式，每月向付费订户提供更多的国安局黑客工具和数据。

黑客工具包括网页浏览器、路由器和手机的安全漏洞及利用工具，微软“Windows 10”操

作系统安全漏洞；数据则包括国安局入侵 SWIFT（环球银行间金融通信协会）和一些国家

中央银行系统所盗取的网络数据，入侵俄罗斯、伊朗和朝鲜等国的核及导弹计划系统所盗取

的网络数据。



国际网络专家警告：可能将有更隐秘黑客袭击

据联合早报 18 日报道，国际网络专家警告，一款名为 Adylkuzz 的恶意软件可能会以

更隐秘的方式发动袭击，用户甚至无法立即发现电脑已受感染。

据介绍，Adylkuzz 软件并不会为受感染电脑的文件加密，然后要求用户支付赎金，而

是利用受感染的电脑来“挖掘”虚拟门罗币，然后把钱转入自己的户头。受感染的电脑将无

法进入视窗系统的分享资源，电脑和服务器的速度也会减弱，一些用户或许无法立即发现电

脑已受感染。

勒索病毒让我国多行业网络受极大影响

中国工业和信息化部国家互联网应急中心公布的数据显示，从 5 月 13 日 9:30 到 5 月

14 日 10:30 的监测期间，全球约 242.3 万个 IP 地址遭受勒索软件“想哭”蠕虫病毒利用

SMB 漏洞攻击，被该勒索软件感染的 IP 地址数量近 3.5 万个，其中中国境内 IP 约 1.8 万

个。我国教育、石油、交通、公安等很多行业网络受到极大影响。

专家：勒索病毒攻击是准网络战级别攻击

复旦大学网络空间治理研究中心主任沈逸表示，从武器级的网络攻击能力扩散、以及对

国家维护网络安全能力的考验来看，“想哭”勒索软件是一次准网络战级别的攻击，如果发

生在战时，敌方对后勤系统及基础设施发动更为大型和专业化的网络攻击，其后果难以想象。

中国国际战略学会学术部主任虞爽认为，中国此番中招，一方面说明中国互联网的普及

程度正迅速提高，但另一方面也说明从终端用户到政府部门对网络安全的重视程度不够，推



进网络安全事业的发展需要科学合理的指导原则与方法。

勒索病毒事件被指源于美国国安局网络武器失窃

在美国著名智库兰德公司早在 2015 年 9 月发表的名为《美中军事记分卡：武力、地理

和力量平衡的变迁》的报告中，就曾明确指出，美军如果对中国发起网络进攻，首选目标很

可能就是如交通运输、导航、医疗、电力等相关领域的基础设施。

安天实验室的主要创始人兼首席技术架构师肖新光表示，这次事件的严重后果源自美国

国家安全局（NSA）的网络武器失窃，这些网络武器一旦流失到第三方被大规模使用，就会

造成大面积安全灾难。

美国国安局矢口否认开发“勒索”病毒代码

“勒索”病毒肆虐全球后，尽管诸多专业机构及分析人士均把工具的源头指向美国国安

局，但是美国却矢口否认。美国国家安全顾问汤姆·波塞特 15 日对外表示，勒索赎金的代

码不是由美国国安局的工具开发出来的。但是，他却回避了“勒索”病毒与国安局此前开发

的网络间谍工具之间的关系。到 16 日，又传出“勒索”病毒可能与朝鲜有关的消息。

微软指责美国政府发现漏洞后隐瞒并利用

事实上，对美国政府的指责还包括美国本土的互联网公司。微软总裁以及首席律师史密

斯 14 日坦承微软公司对“勒索”病毒袭击负有最大责任，但同时指责美国政府存在过失，

认为政府在发现系统漏洞后应告知微软公司，而不是储备、售卖或者利用它们。

沈逸认为，在原有网络间谍武器丢失后，美国政府除了应将漏洞告知微软公司，还应尽



到通知各国政府、机构及个体用户的义务，以防止网络武器扩散在全球造成不可估量的损失。

（来源：澎湃网）

关于防范Windows操作系统勒索软件Wannacry的情况通报

链接地址：

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/201705131

70143329476057_.html

➢ 中国移动互联网发展状况及其安全报告（2017）》发布

2017 年 5月 17 日，中国互联网协会、国家互联网应急中心在京联合发布《中国移动互

联网发展状况及其安全报告（2017）》，这是国内针对中国移动互联网发展状况及其安全的顶

级、专业、权威的研究报告，报告对中国移动互联网发展状况、移动互联网安全态势情况及

移动互联网治理情况等方面进行了全面、综合、深入地统计、分析和研究。报告显示，在国

家大力实施创新驱动发展、互联网+、宽带中国及大众创业、万众创新等战略下，中国移动

互联网发展呈现出以下特征和趋势（根据 CNCERT 抽样监测结果统计）。

2016 年中国境内活跃的手机上网码号数量达 12.47 亿，较 2015 年增长 59.9%。在全国

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html



31 个省、市、自治区和直辖市中，广东省的手机上网码号数量数量 1.49 亿，位居全国首位，

江苏省和北京市的数量位居全国第二和第三，分别为 1.31亿和 0.78 亿。

网民使用 Android 操作系统比例高达 83.02%。2016年中国境内活跃的智能手机达 23.3

亿部，较 2015 年增长 106%。在所有智能手机设备中，境内手机网民上网时所用设备的操作

系统集中在 Android、iOS、Symbian 和 WindowsPhone 这四个操作系统。其中，运行 Android

系统的智能手机最多，数量达 19.3 亿部，占所有智能手机数量的 83.02%。其次是运行 iOS

系统的 iPhone 智能手机，数量达 3.1亿部，占所有智能手机数量的 13.20%。排名第三和第

四的是运行 Symbian 系统和 WindowsPhone 系统的智能手机，其占所有智能手机的比例分别

为 3.64%和 0.13%。结果显示，绝大多数网民使用 Android 或 iOS 操作系统的设备上网，其

使用比例超过了总数的 95%。

2016 年境内手机网民上网使用智能手机最多的前三个品牌是苹果、小米和华为，超半

数网民使用国产手机品牌上网。2016 年境内手机网民上网时使用智能手机数量最多的品牌

是苹果，网民使用比例达到 16.00%。排名第二和第三的智能手机品牌是小米和华为，网民

使用比例分别是 14.46%和 13.88%。三星手机的使用比例从 2015年的 15.78%下降至 13.16%，

排名第四。图 3 显示了境内手机网民上网使用智能数量最多的前十个手机品牌，使用这 10

个品牌手机上网的网民已占所有网民的 90%以上，其中境内手机品牌有 6 个，分别为小米、

华为、OPPO、VIVO、酷派和联想，占所有智能手机数量的 52.11%，境外手机品牌有 4个，分

别为苹果、三星、LG和 HTC，占所有智能手机数量的 38.16%。

2016 年境内手机网民上网最常访问的域名是 qq.com，访问量所占比例分别达 19.03%。



2016 年境内手机网民上网时最常访问的 10 个一级域名如图 4 所示，其中排名前三的一级域

名分别为 qq.com、baidu.com 和 qpic.com，其访问量依次为 19.03%、16.54%和 15.89%。前

10 个一级域名的访问量占所有一级域名访问量的 51.46%，其域名分别属于腾讯、百度、阿

里巴巴、苹果、优酷和美团等 6 家公司，其中优酷和美团替代了优视和搜狗进入前十。

2016 年境内拥有用户量最多的前三个 APP 是微信、QQ 和百度地图。2016 年境内手机网

民上网时最常使用的 10个 APP 如图 5 所示，其中排名前三的 APP 分别为微信、QQ 和百度地

图，其用户量分别为 10.03 亿、9.78亿和 6.56 亿。

2016 年 CNCERT/CC 捕获及通过厂商交换获得的移动互联网恶意程序样本数量为

2,053,501 个。

Android 平台用户成为最主要的攻击对象。2016 年移动互联网恶意程序主要针对

Android 平台，共有 2,053,450 个，占 99.9%以上，位居第一。其次是 Symbian 平台，共有

51 个，占 0.01%。2016 年，iOS 平台和 J2ME 平台的恶意程序数量均未捕获。由此可见，目

前移动互联网地下产业的目标趋于集中，Android 平台用户成为最主要的攻击对象。2016 年

移动互联网恶意程序数量按操作系统分布如图 7 所示。

2016 年流氓行为类的恶意程序数量仍居首位。2016 年 CNCERT/CC 捕获和通过厂商交换

获得的移动互联网恶意程序按行为属性统计，流氓行为类的恶意程序数量为 1,255,301 个

（占 61.13%），恶意扣费类 373,212 个（占 18.17%）、资费消耗类 278,481 个（占 13.56%）



分列第二、三位。2016 年，CNCERT/CC 组织通信行业开展了 12 次移动互联网恶意程序专项

治理行动，着重针对影响范围大、安全风险较高的电信诈骗类恶意程序进行治理，结果显示

诱骗欺诈类和恶意传播类恶意程序的治理效果显著，样本数量减少近 19.9 万个，其比例分

别由 2015 年的 7.21%和 7.03%下降至 2016 年的 0.43%和 0.12%。2016 年移动互联网恶意程

序数量按行为属性统计见图 8。

2016 年境内感染移动恶意程序用户数量最多的操作系统是 Android。2016 我国境内感

染移动恶意程序用户数量最多的操作系统为 Android、Symbian 和 iOS，占比分别为 70.3%、

18.8%和 10.9%。2016 年我国境内感染移动恶意程序用户按照操作系统分布见图 9。

此外，报告从恶意程序传播源治理情况、邮箱治理情况、举报管理情况以及移动互联网

勒索现象研究等方面分析了移动互联网安全治理情况。(来源：中国互联网协会）

➢ 网络安全市场调查：2017 年 Top15 数据榜单

网络安全是科技领域中规模最大，发展最为迅猛的行业之一。为了帮助大家更为直观地

了解这个市场，Cybersecurity market research 最近发布了 2017 年 Top15 网络安全数据

榜单，其中都包含哪些内容？一起看看吧：

1.网络安全支出



未来五年（2017 年—2021年），全球网络安全支出预计将超过 10000 亿美元。2004 年，

全球网络安全市场规模已经达到 35 亿美元，到了 2017 年将超过 1200 亿美元。全球网络安

全市场在过去 13 年间已经实现了超过 35 倍的增长率。

2.网络犯罪

Cybersecurity market research 预测，网络犯罪到 2021 年将继续呈增长势头，全球

企业每年因网络犯罪花费的成本将超过 6 万亿美元。据悉，2015 年全球网络犯罪的年成本

为 3 万亿美元。研究人员预估的网络犯罪成本考虑了所有可能与网络犯罪活动有关的破坏

成本，包括：

数据、被盗钱财的损害和破坏；

窃取知识产权；

窃取个人和财产数据，挪用公款；

欺诈；

丧失生产力；

损害名誉；

攻击后扰乱正常业务运行，取证调查；

被入侵数据和系统的恢复与删除等。

但全球的网络损失预测数据不包括：

未报告的网络犯罪；

合法和公共关系费用；

股价下跌和上市公司的市值缩水(入侵事件直接或间接影响)；

攻击后对初创企业筹资造成的负面影响；

中断电子商务和其它数字化商业交易；

丧失竞争优势；

员工离职、招募替代员工以及由此造成的损失；

持续追踪被盗数据和资金的调查费用等等。

3．就业市场

2017 年，网络安全方面的岗位空缺有 100 万，预计到 2019 年，这一数字将超过 150 万。

而到 2019 年，全球对网络安全专业人员的需求将增加至约 600 万个。这种需求和供应间的

极大差距为更多样化的劳动力创造了机会，女性和少数民族将有更多机会进入市场规模将达

到数万亿美元的网络安全领域。



4.失业率

2017 年网络安全失业率继续维持在百分之零（与 2016 年一样）。网络安全创投公司的

创始人兼首席执行官史蒂夫·摩根(Steve Morgan）表示：

“凡是在网络安全有经验的人，都能在短期内找到工作。可能有一小部分网络劳动力暂

时待业，其中一些辞职以寻求新的机会，还有一些人对他们申请的岗位(以及与工作经验相

称的薪酬)抱有不切实际的要求――但是网络安全方面有经验的人不愁没工作。”

此外，根据 PaloAlto 研究中心的报告显示，到 2019 年，全球对网络安全专业人士的需

求将增加到约 600 万，这意味着，失业率短期内不会发生变化。

5.网络安全培训

到 2027 年，全球网络安全意识培训市场预计每年将达到 100 亿美元。多个报告强调网

络安全意识培训的重要性，例如 IBM 在 2014 年发布的网络安全情报指数中指出，95%的安全

事件涉及人为因素。目前，培训员工如何识别和防御网络攻击依然是网络安全行业中支出最

少的部分。

6.医疗健康

预计未来五年（2017 年—2021 年），全球医疗保健行业网络安全累计支出将超过 650 亿

美元。随着医疗行业数字化进程的深入发展，它将继续成为网络犯罪分子的攻击目标，这一

原因也成为推动未来十年医疗保健市场持续增长的众多因素之一。

7.勒索软件

到 2020 年，针对医疗卫生组织的勒索软件攻击预计将实现翻番增长。National Law

Review 网站上记录的一个故事也证实了这一观点：联邦调查局局长詹姆斯·柯米（James

Comey）在最近的波士顿网络安全会议（BCCS2017）上发表了主旨演讲，当被问及医疗保健

机构未来面对的最大的网络威胁是什么时，Comey 回答称“是勒索软件”。

8.身份认证

截止 2021 年，预计将有 3000 亿个密码需要进行网络保护，其中包括 1000 亿个人用密

码以及 2000 亿个机器（物联网）密码。有些专家认为，实际的密码数量甚至可能比预测的

数值还要大。

9.移动安全

到 2025 年，通过 Wi-Fi 和移动设备生成的流量预计将占总 IP 流量的近 80％。根据思

科的调查显示，2015 年，Wi-Fi 和移动联网设备生成了 62%的互联网流量（Wi-Fi：55%，蜂

窝：7%，固定：38%）。到 2020 年，Wi-Fi 和移动联网设备将生成 78%的互联网流量（Wi-Fi：



59%，蜂窝：19%，固定：22%）。不断变化的流量状况需要首席信息安全官和 IT 安全团队将

更多的资源用于移动安全防护领域。

10.漏洞利用

零日漏洞预计将从 2015年的每周一个，上升到 2021 年的每天一个。尽管开发人员可以

通过使用自动化和其他更好的工具来制作更为安全的代码，但是正在开发的代码数量实在太

多庞大，而这种开发量只会呈指数级增长，以满足 Web 应用程序、移动硬件以及连接到物联

网的设备对于软件的需求，如此以来，零日漏洞的持续增长也就不难理解了。

11.代码

2017 年预计将创造出 1110 亿条新的、且需要保护的软件代码。IT 安全团队和开发人员

正面临着跟上快速扩大的应用程序攻击面的严峻挑战，而这种快速扩大的应用程序攻击面正

是由大规模扩展的移动和 web 应用程序经济所推动的。

12.网民规模

到 2020 年，预计全球网民总数将达到 40 亿，其中绝大多数人在不同的场景下会使用不

同的设备来上网：电脑、手机、平板甚至是可穿戴设备如 GoogleGlass 等。到 2030 年，全

球人口预计将达到 85 亿（目前为 75亿），而人类面临的攻击面可能将与世界人口持平。

13.合规问题

截至 2017 年底，所有的国防部承包商（DoD contractors）——约 16 万左右，将必须

符合 DFARS252.204-7012 规定，该规定要求主承包商及其分包商确保充足的安全合规性。这

是推动安全合规（GRC）市场扩张的众多法规之一。

14.网络攻击

调查结果显示，近一半的网络攻击是针对小企业的。那些不对员工进行安全意识培训的

小企业面临的安全风险更大，更容易受到商业电子邮件攻击（BEC）的影响，联邦调查局称，

这种攻击形式（BEC）已经造成了超过 30 亿美元的损失。

15.黑客

65%的受访者表示，黑帽黑客比白帽黑客更有经验。以金钱、名声、间谍行为以及其他

恶意动机为驱动因素的黑帽黑客，要比被各种边界和规则限制的白帽黑客更为敏捷、勇敢和

富有经验。（本文来源: csoonline.com）



➢ 美国等网络强国网安人才建设举措及启示

“网络空间的竞争，归根结底是人才竞争”。加强网络安全人才队伍建设，已成为维护

国家网络安全和建设网络强国任务的核心需求。过去二十余年，我国在网络和信息安全人才

培养和管理方面积累了一定的经验，尤其是中央网信办成立以来，人才队伍建设工作速度明

显加快。无论是从一级学科的设立，还是各种法律文件的颁布等相关工作部署下，我国网络

安全人才建设战略被推上前所未有的高度。综合来看，在网络强国建设进程中“后发”和“跟

跑”的地位，决定了当前我国网络安全人才队伍在数量、质量和结构等方面仍存在较大不足，

无法满足信息化快速发展和国际网络空间博弈的基本需求，人才队伍建设的相关政策措施同

世界网络强国相比还存在很大差距。因此，有必要研究借鉴网络强国的人才战略举措，为进

一步加快推进我国网络安全人才队伍建设提供经验启示和指导建议。

美国等网络强国网络安全人才队伍建设总方略

一个国家网络安全人才队伍的规模、能力和发展速度与国家对网络安全的重视程度以及

投入水平息息相关，越重视、投入越多的国家越有资源培养和争取到优秀的网络安全人才。

在当前网络空间“一超多强”的力量格局下，美国凭借其雄厚的综合国力、傲视全球的网络

安全产业体量、顶级人才和教育资源汇聚的天然优势，体现了一个国家网络安全人才整体能

力的最高水平。美国开展了大量开创性的工作，不仅在国际上最为领先，同时也最成体系。

俄罗斯、英国、德国、以色列、澳大利亚、日本、韩国等或因自身发展要求，或因政治军事

方面的特殊需求，均高度重视网络安全人才的发展，并通过非常规的战略措施加以推进，这

些国家共同构成了国际网络安全人才队伍建设的第一梯队。



1. 美国网络安全人才队伍建设战略

美国历年主要的网络安全战略文件，无一例外均囊括“提升网络安全意识、加强网络安

全教育”的内容（见下表）。

真正实现质的飞跃是 2008 年《国家网络安全综合计划》（CNCI）的第 8 项计划“扩大网

络教育”，明确提出将效仿 20 世纪 50 年代美国科学和数学教育战略，制定一个国家级的网

络安全人才教育战略。20 世纪 50 年代战略指的是美国开始将发展教育作为国家的战略重

点，出台一系列法案和报告，明确了高等教育和国防的关系，要求强化科学、数学等学科的

教育，以满足国际竞争需要。该战略在美国教育史上具有划时代意义，CNCI 提出制定同等

规格的网络安全教育战略，本质上相当于网络时代启动一次新的教育革命，深刻反映了美国

对网络安全全民教育和专业人才队伍能力提升的战略关切。

为落实 CNCI第 8 项计划，2010 年美国首个跨部委的“国家网络安全教育计划”（NICE）



应运而生。该计划的总体纲领性文件《NICE 战略计划》于 2012 年 9 月正式发布，随着计划

的落实和推进，更新的第二版于 2016 年 4 月发布。两相对比（见下表），新版《NICE 战略

计划》内容标志着美国网络安全人才队伍建设进入一个新阶段，反映出美国网络安全人才工

作从上一阶段的开创探索转为铺开落实,这体现在：一是总体目标的转变，从网络安全人才

队伍的“规模化发展”转向“多样化和可持续化发展”；二是工作内容的转变，从之前“意

识提升、学历教育、人力结构、人员培训和职业发展”四项工作内容转变为当前“K12（幼

儿园到中学的基础教育）、高等教育、培训认证、人力管理、网络安全竞赛”五个工作组并

行的工作部署。这种动态转变也表明，美国 NICE 计划实施数年来，网络安全人才发展工作

取得了实质性进展，关键性的人才分类标准（即“人力结构”的工作要求）已基本完成，各

项成果正在逐步显现，一个稳定的人才生态正初步成型。

2. 其他网络强国网络安全人才队伍建设战略

网络强国深谙网络安全战略的重要性和非对称对抗的本质属性，普遍将人才队伍建设作

为其整体网络安全战略中的关键内容。

欧盟 2013 年发布的网络安全战略要求,各成员国应在国家层面开展网络与信息安全方

面的教育与培训，2014 年在学校引入网络与信息安全培训；针对专业为计算机科学的

学生进行网络与信息安全、安全软件开发以及个人数据保护等学科知识的培训；针对公

务人员进行网络与信息安全方面的基本培训。

英国政府更新国家网络安全战略，以确保在全球网络空间的优势地位：2013 年版战略

要求加强网络安全技能与教育，确保政府和行业提高网络安全领域所需的技能和专业知

识；2016 年最新版战略要求大力培养网络人才、发展最新技术，跟上全球互联网技术

发展的步伐。

德国 2011 年网络安全战略把联邦政府网络安全人事发展作为十大战略目标措施之一，

要求进一步加强人员的培训，提升部门间人员合作。

俄罗斯 2000年《国家信息安全学说》要求,在信息安全和信息技术领域建立统一的干部

培训系统；2016 年新版《国家信息安全学说》也强调了信息安全保障人员欠缺的问题，

要求发挥信息安全保障和应用信息技术领域人员的潜力。

澳大利亚 2016 年网络安全战略要求政府在各级教育系统中改进网络安全教育，确保澳

大利亚网络安全人才队伍拥有专业技能和能力。

韩国 2010 年《国防白皮书》提出，国防部与其他部门共享信息，培训专业人员；2011

年的《国家网络安全总体规划》要求，提升公众的网络安全意识；2016 年《韩国 ICT2020》



五年战略规划提出，将创建 1.9 万个网络安全岗位。

日本 2016 年网络安全战略总部会议正式敲定网络安全人才培养计划，设立“网络安全

与信息化审议官”一职，以统管人才培养工作，以 2020 年东京奥运会为契机，在 4 年

内培养近千名专家。

网络强国网络安全人才队伍建设政策措施的特点

1. 全盘统筹规划，为国家网络安全人员整体能力提升提供组织保障

美国 2010 年 4 月启动“国家网络安全教育计划”（NICE），其初衷是统筹协调政、产、

学、研各利益相关方，全盘布局、加强协调，实现网络安全人才工作的有序推进。该计划由

美国商务部国家标准与技术研究院（NIST）牵头，国土安全部（DHS）、国防部（DOD）、教育

部（DoED）等十余个部委共同参与、各司其职。实施 7 年来，国家安全局（NSA）、DHS 主责

的学历教育工作打造了网络安全高等教育的黄金标准，培养和输送了大量网络安全储备人

才；DHS 主责编制的国家网络安全人力框架（NCWF）已成为国家网络安全人才标准（SP 800-

181），目前正进行联邦政府各部门人员定岗编码工作；DHS和 DOD 主责的职业发展工作推出

了《网络安全职业和研究国家倡议》（NICCS），汇聚大量职业培训资源为美国联邦政府及关

键基础设施网络安全人才能力提升提供支持；DHS 主责开发的网络安全人力管理方法论、模

型以及工具已在美联邦政府各部委广泛应用。NICE 计划覆盖了全美普通公众、在校学生、

网络安全专业人员三大群体，调动了网络安全人才生态中的各种角色和资源，这些成果均是

在 NICE 统一指挥下取得的成果。

2. 善用立法工具，为优先发展网络安全人才队伍提供法律保障

多数网络强国法制化程度较高，法律体系相对完备，普遍要求加强网络安全教育立法，

其中覆盖最全面具体的是美国。为保证网络安全人才队伍建设工作的战略优先级别，美国一

些关键的人才举措都是通过法律手段，提出明确的要求和时间期限来确保落实。在联邦政府

网络安全人员评估方面，《2013 年国土安全部网络安全人力评估法案》要求，国土安全部在

法案生效后 9 个月内，对其现有的网络安全岗位人员进行编码，法案生效后 18 个月内至

2021 年，每年都对最紧缺的网络安全人员技能领域进行评估；《2015 年联邦网络安全人力评

估法案》规定了与上述法案类似的要求，覆盖范围扩展到了联邦政府各个部委，同时提供了

网络安全人力评估的基本要求，包括网络安全岗位人员中持有行业认可资质证书人员所占比

例、无资质证书人员获得相应资质的进度等。在网络安全岗位招聘和薪酬待遇方面，《1997

年国防授权法案》中最初旨在为特殊情报岗位提供破格“非竞争性”招聘流程和灵活薪酬的

条文，也被用于招录网络安全岗位人员；《2016 年国防授权法案》针对网络司令部网络安全



岗位人员做出了同上述法案一样的规定。

3. 围绕从业人员队伍，出台各级政令应对人才职业发展全周期问题

网络强国开展教育培训的对象包括普通公众、在校学生，更大的关注点则放在承担网络

安全保障任务的从业人员群体上。学历教育往往需要数年的人才培养周期，而严峻的网络安

全威胁和风险却迫在眉睫。美国联邦政府各部委均有义务保护各自系统和网络的安全性，

DOD 和 DHS 等特殊部门则承担着更大的职责。为实现这些安全目标，美联邦政府及各部委采

取了以下人才措施：一是各部委均实行首席信息安全官（CISO）制度，由 CISO 作为第一责

任人推动落实各项安全工作，2016年美国还任命了史上首位联邦级别的 CISO 负责网络安全

统筹协调；二是制定网络安全人才发展战略、人员管理计划或其他政令，对联邦政府或各部

委网络安全岗位人员的招聘、培训、录用等给出具体规范要求。2016 年首份《联邦网络安全

人员战略》要求为美联邦政府确定、招募、培养、录用“最优秀、最聪明以及最多样化的网

络安全人才”。2013 年《国防部网络空间人员战略》要求加强人才工作以维护美国的国家安

全利益和在网络空间的战略优势。在人员能力提升和保障方面，国防部在 2004 年就发布了

8570 号令《信息保障培训、认证和人员管理》，要求信息保障岗位人员必须进行培训并获取

相应资质。2015 年，国防部又发布了旨在取代 8570 号令的 8140 号令《网络空间人员管理

政策》，该指令从人力资源管理的角度进一步理顺网络安全岗位人员职业发展路径，并同

NICE 计划的人才标准实现全面兼容。

4. 国家机器掌控关键环节，人才资源的驱动和牵引效果明显

网络安全人才培养工作以满足国家安全需求为一大优先目标，为国防和情报机构培养专

业人员。现在美国的 NICE 计划中，NSA、DHS 及国家情报总监办公室（ODNI）等安全机构掌

握着网络安全人才培养和选拔的关键环节，可以说既是人才工作最有力的牵头实施者，也是

收获顶级人才的最大获益者。这方面工作主要体现在安全机构对学历教育标准的控制上，美

国的网络安全学历教育主要是由 NSA 和 DHS 联合发起的“卓越学术中心”（CAE）计划引领、

强化和保障。CAE 为高校提供信息保障、网络安全教育的标准和指导，是网络安全高等教育

领域的黄金标准，目前已有二百多所高校获得 CAE 认证。在网络安全教学方面，国家安全系

统委员会（CNSS）制定了六项培训标准，CAE 发布了专门的知识单元（Knowledge Unit），要

求高校的教学和课程设置须符合相应标准要求。

英国作为美国的情报共享盟国，其网络安全人才培养机制与美国如出一辙，主要是由英

国情报机构政府通信总部（GCHQ）负责对高校进行严格审核，强化对网络安全学位的评估和

认证。该机构还启动了名为“网络优先”的计划，旨在搜寻顶尖网络安全人才，培养“下一



代网络安全专家”。鉴于网络安全特殊的攻防属性，军队和情报机构的人员能力往往代表着

一个国家的最高水平，此类机构在安全人才培养和录用上不遗余力。以美国 NSA为例，其在

人才资源的经费投入上不计成本，新入职网络安全人员培训期可达三年之久，网络安全岗位

空缺率不到 1%。

韩国军队与高丽大学签署协议，最优秀的学生学习网络安全可获全额奖学金，毕业后为

军队服务。高丽大学 2000 年成立了信息安全研究生院，2012年成立了网络国防学院，而在

2014 年以前，高丽大学网络防御专业的课程设置都是保密的。

此外，以色列的情报部门 8200 部队，享有招聘优秀高中生的优先权。

5. 践行分类施策原则，通过网络安全人才标准规范各项人才工作

网络安全工作覆盖多种不同的技能和角色。据美国人事管理办公室（OPM）评估，美联

邦政府内的网络安全工作涉及 100 多个联邦岗位序列。没有统一的定义和标准化的岗位能

力规范，就难以对网络安全人才队伍数量、质量以及能力缺口进行评估，因此，美 NICE 计

划第一阶段将编制“国家网络安全人力框架”（NCWF）作为一项重要的基础性工作。2011 年，

NCWF 形成第一版草案，几经修订后于 2016 年底由 NIST 发布，成为国家标准。该框架将网

络安全人员分为 7 个大类、30 多个专业领域、50 多种工作角色，并给出了每种角色应具备

的知识、技能和能力（KSA）。它堪称一部网络安全从业人员的职业字典，在美国人才工作中

起到核心作用。其基本思想在于以统一的标准贯穿人才培养、管理、使用和评价等各大环节，

不同的人才分类施策适用不同的教育培训内容和评价管理方式。通过人力框架标准，美国网

络安全人才队伍建设生态中的各项主要工作以及各利益相关方都紧密联系在一起：学历教育

方面，CAE 网络安全课程标准“知识单元”与人力框架之间实现了教育内容和人才类别之间

的映射，为在校生提供学习目标；职业培训方面，各权威网络安全培训和资质认定项目同人

力框架之间完成初步对应，并将作为 NICE 计划未来职业培训工作重点继续推进；人才管理

和评价方面，联邦政府各部委以人力框架作为各自网络安全人才战略或管理方案的基础框

架，同时 OPM 已根据该框架编制了网络安全岗位编码方案，目前正在联邦各部委推广应用；

此外，网络安全人才的各类供需匹配工具以及网络安全竞赛都在寻求与人力框架兼容匹配，

以提升效率和加强协调。

英国则是由通信总部（GCHQ）下属国家信息安全保障技术管理局（CESG）发布《信息安

全保障专业人员认证》框架，作为对网络安全人才进行认证和管理的重要依据。该框架将信

息保障专业人员分为七大类别，根据不同职责，每个类别又分为三至四个等级。CESG 指定

的认证机构对安全保障人员进行能力评估，以认定其是否具备相应资质。



日本的“信息安全普及与启蒙计划”提出，要针对不同群体开展有针对性的信息安全教

育。

启示和建议

网络安全人才队伍建设和产业发展密切相关，网络安全产业发展可以聚集人才，优秀的

网络安全人才引领产业发展。根据 IDC 数据，2016 年，美国网络安全市场规模达到 315 亿

美元，是我国的十几倍。我国目前还处于网络强国建设的初期阶段，各种投入明显不足，基

础安全产业缺失，包括人才在内的网络安全市场需求尚未得到有效释放。

2014 网络安全元年之后，我国网络安全事业进入快速发展期，网络安全人才环境快速

转暖。《网络安全法》规定：国家支持企业和高等学校、职业学校等教育培训机构开展网络

安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流；关键信息

基础设施的运营者应设置专门安全管理机构和安全管理负责人，定期对从业人员进行网络安

全教育、技术培训和技能考核。《国家网络空间安全战略》指出，要实施网络安全人才工程，

加强网络安全学科专业建设，打造一流网络安全学院和创新园区，形成有利于人才培养和创

新创业的生态环境。

当前，我国应抓紧落实《国家网络空间安全战略》和《网络安全法》对网络安全人才培

养的要求，并在工作中借鉴网络安全强国人才队伍建设工作带来的经验启示，吸纳其先进做

法。具体建议包括：一是要进一步提升国家对网络安全人才及人才工作的战略重视程度，通

过各类行政和立法手段为网络安全人才队伍建设提供实施保障，各级政府、关键信息基础设

施运营者，应加快推进网络安全岗位人员规模和能力的测评工作，制定并落实专门的网络安

全人才队伍建设方案；二是要充分认识网络安全岗位分类规范及能力标准的基础性作用，加

快推进网络安全人才评价指标体系的研究和编制工作，积极实现对网络安全人才的分类施

策，并将其作为教育、培训、评价和管理的重要依据；三是要重点关注网络安全从业人员群

体，树立国家引导的网络安全职业培训品牌，完善职业培训体系，持续提升网络安全从业人

员队伍整体能力。（来源：《中国信息安全》2017年第 4期）



四、政府之声

➢ 国办印发《政务信息系统整合共享实施方案》

2017 年 5月 18 日，按照党中央、国务院决策部署，国务院办公厅日前印发《政务信息

系统整合共享实施方案》（以下简称《实施方案》），围绕政府治理和公共服务的紧迫需要，

以最大程度利企便民，让企业和群众少跑腿、好办事、不添堵为目标，提出了加快推进政务

信息系统整合共享、促进国务院部门和地方政府信息系统互联互通的重点任务和实施路径。

《实施方案》指出，要坚持统一工程规划、统一标准规范、统一备案管理、统一审计监

督、统一评价体系的“五个统一”总体原则，有序组织推进政务信息系统整合，切实避免各

自为政、条块分割、重复投资、重复建设。

《实施方案》要求，按照“内外联动、点面结合、上下协同”的工作思路，一方面应着

眼长远，做好顶层设计，另一方面要立足当前，聚焦现实问题，重点突破，尽快见效。2017

年 12 月底前，基本完成国务院部门内部政务信息系统整合清理工作，政务信息系统整合共

享在一些重要领域取得显著成效，一些涉及面宽、应用广泛、有关联需求的重要政务信息系

统实现互联互通。2018 年 6 月底前，实现国务院各部门整合后的政务信息系统统一接入国

家数据共享交换平台，各地区结合实际统筹推进本地区政务信息系统整合共享工作，初步实

现国务院部门和地方政府信息系统互联互通。

《实施方案》强调，要加快推进政务信息系统整合共享的“十件大事”，加快消除“僵

尸”信息系统，促进部门内部信息系统整合共享，提升国家统一电子政务网络支撑能力，推

进接入统一数据共享交换平台，加快公共数据开放网站建设，建设完善全国政务信息共享网

站，开展政务信息资源目录编制和全国大普查，加快构建政务信息共享标准体系，规范网上

政务服务平台体系建设，开展“互联网+政务服务”试点，促进跨地区、跨部门、跨层级信

息系统互认共享，实现政务数据共享和开放在重点领域取得突破性进展。

《实施方案》明确要求政府部门主要负责人为第一责任人，提出了加强组织领导、加快

推进落实、强化评价考核、加强审计监督、优化建设模式、建立备案制度、加强安全保障等

七个方面的保障措施。对不落实责任，违反《政务信息资源共享管理暂行办法》规定的地方

和部门，要及时予以通报并责令整改。（来源：新华社）



➢ 聚焦“两高”打击侵犯个人信息犯罪司法解释五大看点

2017 年 5 月 9 日，最高人民法院召开新闻发布会，通报《最高人民法院、最高人民检

察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）的

有关情况。《解释》共十三条，自 2017 年 6 月 1 日起施行。

“公民个人信息”不能随便“提供”

《解释》第一条规定“公民个人信息”包括身份识别信息和活动情况信息，即指以电子

或者其他方式记录的能够单独或者

与其他信息结合识别特定自然人身

份或者反映特定自然人活动情况的

各种信息，包括姓名、身份证件号码、

通信通讯联系方式、住址、账号密码、

财产状况、行踪轨迹等。

最高法研究室主任颜茂昆介绍，

在“人肉搜索”案件中，行为人未经

权利人同意即将其身份、照片、姓名、

生活细节等个人信息公布于众，影响

其正常的工作、生活秩序，危害严重。

更有甚者，一些行为人恶意利用泄露

的个人信息进行各类违法犯罪活动。

经研究认为，通过信息网络或者其他

途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行

为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。基于此，《解释》

规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，

应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”

违法所得五千元视为“情节严重”

侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神，结合司法实践，《解释》

第五条第一款设 10 项对“情节严重”的认定标准作了明确规定。

1、信息类型和数量。基于不同类型公民个人信息的重要程度，《解释》分别设置了“五

十条以上”“五百条以上”“五千条以上”的入罪标准，以体现罪责刑相适应。



2、违法所得数额。《解释》将违法所得五千元以上的规定为“情节严重”。

3、信息用途。《解释》将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”

“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供”规定为“情节严

重”。

4、主体身份。公民个人信息泄露案件不少系内部人员作案，诸多公民个人信息买卖案

件也可以见到“内鬼”参与的“影子”。《解释》明确，“将在履行职责或者提供服务过程中

获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计

算。

5、前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法

获取、出售或者提供公民个人信息的，行为人屡教不改、主观恶性大，《解释》将其也规定

为“情节严重”。颜茂昆介绍，《解释》第六条规定，为合法经营活动而非法购买、收受敏感

信息以外的公民个人信息，具有下列情形之一的，应当认定为“情节严重”：

（1）利用非法购买、收受的公民个人信息获利 5 万元以上的；

（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收

受公民个人信息的；

（3）其他情节严重的情形。

违法所得一倍以上五倍以下处罚金

侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利

益。因此，有必要加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实

施此类犯罪的经济能力。基于此，《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应

当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，

依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。” （来源：人民日报）

➢ 国将建全国一体化国家大数据中心，打击非法泄露和出卖数据

2017年 5月 17日，工信部总工程师张峰说，我国将建设全国一体化的国家大数据中心，

推进公共数据开放和基础数据资源跨部门、跨区域共享，提高数据应用效率和使用价值，同

时加强安全监管，严厉打击非法泄露和出卖个人数据行为，维护网络数据安全。

张峰是在 17 日工信部举行的 2017 年世界电信和信息社会日大会上作出上述表述的。5



月 17 日是世界电信和信息社会日。今年的主题为“发展大数据，扩大影响力”。

数据是网络信息技术与经济社会各领域深度融合的产物，对于未来的互联网生态、创新

体系、产业形态乃至社会治理结构等都将产生革命性的影响。随着信息技术的普及，大数据

这座“宝库”正在被人们发现、认识、挖掘。提升大数据价值、扩大大数据资源、维护大数

据安全备受关注。

研究显示，我国的数据总量正在以年均 50％以上的速度持续增长，预计到 2020 年在全

球的占比将达到 21％。产业新形态不断出现，催生了个性化定制、智慧医疗、智能交通等一

大批新技术新应用新业态。

然而，大数据产业也存在资源开放共享程度低，数据价值难以被有效挖掘利用、安全性

有待加强等问题。

张峰说，工信部将推进公共数据开放和基础数据资源跨部门、跨区域共享，优先推动信

用、交通、医疗、卫生、就业等领域的数据向社会开放。研究制定工业大数据发展路线图，

推动大数据和制造业融合发展。同时还将强化数据资源在采集、存储、应用和开放等环节的

安全保护，推动电信和互联网数据管理细则出台。（来源：新华网）

➢ 中国人民银行成立金融科技（FinTech）委员会

2017 年 5 月，近日，中国人民银行成立金融科技（FinTech）委员会，旨在加强金融科

技工作的研究规划和统筹协调。金融科技是技术驱动的金融创新，为金融发展注入了新的活

力，也给金融安全带来了新挑战。中国人民银行将组织深入研究金融科技发展对货币政策、

金融市场、金融稳定、支付清算等领域的影响，切实做好我国金融科技发展战略规划与政策

指引。进一步加强国内外交流合作，建立健全适合我国国情的金融科技创新管理机制，处理

好安全与发展的关系，引导新技术在金融领域的正确使用。强化监管科技（RegTech）应用

实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场

交叉性金融风险的甄别、防范和化解能力。

中国人民银行愿与产学研用各方携手，共同推动我国金融科技健康有序发展，为服务实

体经济、践行普惠金融贡献力量。（来源：人民银行）



五、本期重要漏洞实例

➢ Adobe Flash Player 多个内存破坏漏洞

发布日期：2017-05-08

更新日期：2017-05-12

受影响系统：

Adobe Flash Player < 25.0.0.163

Adobe Flash Player < 25.0.0.148

描述：

BUGTRAQ ID: 98349

CVE(CAN) ID: CVE-2017-3069

Flash Player 是多媒体程序播放器。

Adobe Flash Player 25.0.0.148 及之前版本、25.0.0.163 及之前版本，在实现中存在内存破坏漏洞，成功

利用后可导致任意代码。

<*来源：Mateusz Jurczyk

Natalie Silvanovich

Jihui Lu

链接：https://helpx.adobe.com/security/products/flash-player/apsb17-15.html

*>

建议：

厂商补丁：

Adobe

-----

Adobe 已经为此发布了一个安全公告（APSB17-15）以及相应补丁:

APSB17-15：Security updates available for Adobe Flash Player

链接：https://helpx.adobe.com/security/products/flash-player/apsb17-15.html

➢ Microsoft Chakra Core 远程代码执行漏洞

发布日期：2017-05-14

更新日期：2017-05-16

受影响系统：

Microsoft Internet Explorer

Microsoft Edge

http://www.securityfocus.com/bid/98349

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3069

https://helpx.adobe.com/security/products/flash-player/apsb17-15.html

https://helpx.adobe.com/security/products/flash-player/apsb17-15.html



描述：


Chakra 是微软为其网页浏览器开发的 JavaScript 引擎。

Microsoft Chakra Core 在处理内存对象中，JavaScript 引擎呈现方式存在远程代码执行漏洞，可导致内

存破坏。

<*来源：vendor

链接：https://github.com/Microsoft/ChakraCore/pull/2959

*>

建议：

厂商补丁：

Microsoft

---------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.microsoft.com/windows/ie/default.asp

➢ Cisco Remote Expert Manager 信息泄露漏洞

发布日期：2017-05-18

更新日期：2017-05-19

受影响系统：

Cisco Remote Expert Manager

描述：


Cisco Remote Expert Manager 旨在为客户实时安排适宜的银行专家提供服务。

Cisco Remote Expert Manager Software 在 web 接口中存在安全漏洞，可使远程攻击者访问受影响系

统敏感信息。

<*来源：Cisco

链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ cisco-sa-20170517-

rem4

*>

建议：

厂商补丁：


https://github.com/Microsoft/ChakraCore/pull/2959

http://www.microsoft.com/windows/ie/default.asp


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/



Cisco

-----

Cisco 已经为此发布了一个安全公告（cisco-sa-20170517-rem4）以及相应补丁:

cisco-sa-20170517-rem4：Cisco Remote Expert Manager Information Disclosure Vulnerability

链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ cisco-sa-20170517-

rem4

➢ Joomla! 3.7.0 SQL 注入漏洞

发布日期：2017-05-18

更新日期：2017-05-18

受影响系统：

Joomla! Joomla! 3.7.0

描述：


Joomla 是内容管理系统。

Joomla! 3.7.0 版本在 com_fields 组件中存在 SQL 注入漏洞，可使未经验证的攻击者通过直接访问受影响

的网站，进行 SQL 注入攻击，获取密码哈希或者劫持用户会话，甚至全面控制该网站。

<*来源：vendor

*>

建议：

厂商补丁：

Joomla!

-------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8917.

https://developer.joomla.org/security-centre/692-20170501-core-sql-injection.html

https://downloads.joomla.org/cms/joomla3/3-7-1

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8917.

https://developer.joomla.org/security-centre/692-20170501-core-sql-injection.html

https://downloads.joomla.org/cms/joomla3/3-7-1



六、本期网络安全事件

➢ 58 同城内鬼勾结窃卖账户:盗窃 1100 余账户损失数百万

2017 年 5 月 13 日，利用客服 OA 系统（注：即为办公自动化，员工及管理者使用的系

统）登录获取验证码，男子王某祥伙同此前因违规发帖认识的 58 同城前客服贾某，贾某又

通过 58 同城几名在职的客服获得权限，再通过 QQ 群售卖给客户。今天上午，因涉嫌盗窃

罪，5 被告人在朝阳法院刑一庭受审。

指控盗窃 1100 余账户致损失数百万

据朝阳检察院指控，5 被告人年龄均在 20 多岁，其中 3 名大学文化程度，2 名大专学

历。案发前，王某敏、王某磊系北京网邻信息技术有限公司员工。2016 年 5 月至 7 月间，

被告人王某祥伙同贾某、王某敏，利用王某敏在 58 同城赶集网做客服的权限，获取北京城

市网邻信息技术有限公司（58 同城赶集网）客户手机验证码的方式，窃取该公司网站 669 个

账户后，贩卖获利。经统计上述客户账号内现金余额损失共计 100 余万元，赠送余额损失

146.4 万元。

同时，在此期间，被告人王某祥又伙同王某磊、杨某，利用王某磊担任 58 同城客服的

便利，用其权限获取北京城市网邻信息技术有限公司（58 同城赶集网）客户手机验证码的

方式，窃取该公司网站 507 个账户后贩卖获利。经统计，上述客户账号内现金余额损失共计

63.6 万余元，赠送余额损失共计 145.3 万元。

公诉机关认为，被告人王某祥、贾某、王某敏、王某磊、杨某以非法占有为目的，秘密



窃取他人财物，数额特别巨大，他们的行为已经触犯了我国《刑法》第 264 条规定，应当以

盗窃罪追究其刑事责任，但鉴于被告人王某敏、杨某在共同犯罪中起次要或者辅助作用，系

从犯，应当减轻处罚。

庭审第一被告人认罪其余四人有异议

上午 9 时 40 分，此案在朝阳法院刑一庭开庭审理，在法警的押解下，5 名年轻被告人

走进法庭，他们聘请了 7名律师到庭进行辩护。面对此次盗窃 58 同城和赶集网的账户事件，

只有第一被告人王某祥对公诉机关指控事实和罪名供认不讳，其余四人，有人对指控金额有

异议，有人对犯罪事实不认可。

据了解，王某祥在大学毕业后并没有正当职业，而是做网上销售信息。据其交代，他在

上大学时曾经接触过 58 同城辽宁那边的公司，曾违规发帖，有一定的客户资源，所以选择

卖账号。但对于他来说，1 个人很难完成这事，于是他想到了 2015 年认识的一个 58同城客

服人员贾某。贾某此前在 58 同城天津分公司工作，2015 年 11 月，因违规发帖被 58同城开

除了，但他认识很多 58同城内部的员工。

揭秘利用内鬼管理员权限登录获利按比例分成

王某祥说，2016 年 5 月 3日至案发前，他在甘肃酒泉租住地用 QQ 联系了贾某，想让他

帮忙找 58 内部的人员一起盗号卖钱。而后，贾某告诉他找到了一个 OA 账户，可以查看找回

密码时接收的验证码。

盗号的关键在于验证码。据王某祥此前在公安机关供述时交代，他打开浏览器，登录 58

同城登录页面，随便输了一个用户名，然后点击找回密码，贾某通过 OA 权限查看用户收到

的验证码，输入验证码后，登录该账号，再将原本的账号绑定的手机解绑，修改密码，这样

一来盗号就成功了。王某祥说是根据客户需求，盗取账号，但盗来的账户也并不全卖给客户。

王某祥表示，他盗销 58同城账号共获利十多万元，跟贾某是四六分成，给杨某是 2000 元介

绍费，而对于王某磊客服则是提供一个验证码给 30 块钱，但他自己也不知道盗窃了多少账

号，涉案金额有多少，王某祥表示，具体以公安机关核对为准。

王某祥说盗来的账号大部分都卖了，1000 元资源的账号卖 80 元，10000 元资源的账号

卖 800 元，卖方都是他 QQ 上的好友。获利所得的钱都是通过支付宝转账到银行卡里。据贾

某交代，原本他跟王某祥是五五分成，但因为他这边需要一个同事获得 OA 权限，所以改成

了六四分成，贾某和他的同事王某敏分得六成，王某祥拿四成。

第三被告人王某敏说，她并不知道贾某每次登录 OA 系统是盗取账户信息的，她以为贾

某只是登录 OA 系统发帖，“他之前跟我一样都是客服人员，公司有违规发帖的情况，所以我



们平时工作也会涉及。”他每次登录 OA 系统都必须由你给他提供验证码是吗？他每次使用

完后会给你发红包吗？当面对公诉人和辩护律师的询问时，王某敏点点头。截至发稿时，庭

审仍在继续。（来源：法制晚报）

➢ 港媒称百度软件“泄露”高官电话百度：暂关功能排查

2017 年 5 月 15 日，由内地搜索引擎百度开发、已被下载数百万次的手机来电拦截应

用程序 DU Caller，被港媒披露可逆向获取大批内地和香港两地高官的个人手机号码，可能

涉嫌侵犯个人隐私。据香港《星岛日报》14 日报道，DU Caller 的功能包括拦截来电和通话

录音。有媒体发现，以中联办、港澳办、外交部、警务处和保安局等关键词进行搜寻，结果

列出香港保安局局长黎栋国、警务处处长卢伟聪、中联办副主任殷晓静等人的手机号码，显

示多名高官手机号码均在数据库内，连香港个人资料私隐专员黄继儿的手机号也在内。

香港《大公报》称，程序开发商 13 日已更新程序，上述高官资料被封锁，但是普通市

民的完整手机号码则未删除。香港个人资料私隐专员公署表示，非当事人自愿或未经同意披



露或转移手机内通讯录之联络人等个人资料，均有可能违反《私隐条例》。

技术经济观察家瞬雨 14 日说，所谓大人物的电话号码本身就有部分是公开信息，而且

普遍传播面较广，不一定是通过 DU Caller 泄露的。

15 日凌晨，百度国际事业部独家回应称，DU Caller 尊重用户隐私，未获得用户许可，

DU Caller 不会上传用户任何本地通讯录、通话记录等隐私数据。此前，有媒体报道称，DU

Caller 设有“逆向检索”功能，即提供关键词搜寻电话号码功能，允许用户以人名、机构名

称等直接搜寻电话号码。对此，百度方面回应称，用户通过姓名或机构名仅能模糊查询到部

分结果，查询结果并不显示完整号码信息，仅显示部分数字，查询者无法获取完整准确的号

码（如图）。不会出现未经许可获得号码及其他个人隐私泄露风险。

百度方面表示，已暂关闭这一功能以进行进一步排查，计划未来只提供公众服务类电话

号码的查询。对于来自于用户授权许可上传的通讯录及通话信息，将以最快速度为 DU Caller

开通投诉入口，可根据投诉将相关信息彻底删除。百度表示，还将进一步升级安全加密技术。

(来源：重庆晨报)

➢ 加拿大贝尔遭遇数据泄露黑客窃取 190 万个电子邮件地址

2017 年 5 月 18 日，据外媒报道，加拿大电信巨头加拿大贝尔（ Bell Canada）当地时间

周三对外披露了一起大规模数据泄露事件，该公司承认黑客入侵其系统，并窃取了 190 万个

用户电子邮件地址以及约 1700 个用户姓名及活跃电话号码信息。该公司拒绝分享有关被

盗信息的更多细节。目前加拿大皇家骑警网络犯罪部门正在调查这起事件。



加拿大贝尔提到没有迹象表明用户的财务信息被访问。此外，密码和其他敏感数据也是

安全的。虽然黑客窃取的信息不完整，但仍然将使其用户面临风险。更具体地说，黑客可

能会向这些用户发送钓鱼邮件。

该公司指出，其不会通过电子邮件向用户询问信用卡或其他个人信息。此外，用户应该

小心那些要求提供个人信息的网站。他们还应该避免点击链接或从未知来源的电子邮件中下

载附件。加拿大贝尔还建议用户最好修改密码和安全问题。（来源：cnBeta）

➢ 华特迪士尼遭黑客勒索加勒比海盗 5 存被提前泄露风险

2017 年 5月 16 日，据《华尔街日报》报道，华特迪士尼公司首席执行官艾格（Robert

Iger）对员工表示，黑客声称从该公司窃取了一部尚未在院线上映的影片，并扬言除非该公

司支付一笔赎金，否则将在网上发布这部影片。

据一位在场的人士称，艾格周一在华特迪士尼旗下 ABC News 部门的员工会议上发表讲

话时称，该公司不会支付赎金。该人士还称，艾格表示，黑客指定赎金以比特币方式支付，

但艾格没有说明赎金金额。比特币这一虚拟货币已成为网络敲诈者所青睐的支付方式。

上述人士表示，艾格没有透露这部影片的名字。华特迪士尼定于近期上映的影片只有《加

勒比海盗：死无对证》（Pirates of the Caribbean： Dead Men Tell No Tales）和《汽车

总动员 3》（Cars 3）这两部。

这两部影片都是大制作系列影片，预计全球票房均会超过 5亿美元。如果影片在院线上

映前在网上发布，可能对华特迪士尼的电影业务带来一记重击。



艾格对华特迪士尼的员工称，黑客扬言将首先发布五分钟的影片片段，然后陆续发布 20

分钟的片段。

华特迪士尼遭到的黑客攻击似乎与近几日针对全球企业和组织的勒索病毒攻击无关。勒

索病毒攻击利用微软（Microsoft Co．， MSFT） Windows 操作系统中的一个漏洞，该漏洞

最初曾被美国国家安全局（National Security Agency）利用。。（来源：cnBeta）

➢ 黑客倒卖医院数据落网广州医药圈震荡

2017年 5月 10 日，一个网络黑客团伙落网，引发广州医药行业大震荡。这个黑客团

伙非法获取医院药品数据，并将其倒卖给诸多医药代表。多名医药及司法系统人士确认：

在 5 月 8 日和 5 月 9 日两天，广州有多名医药代表被警方传唤，部分医院的药剂和采购部

门也有人士牵连其中。业内人士称：被调查的医药代表来源广泛，不乏来自知名药企；涉

案医院也包含广州诸多著名医院。

5 月 9 日，记者获得若干份《拘留通知书》照片，显示黑客们涉嫌罪名多为“非法获

取计算机信息系统数据”、“非法控制计算机信息”等。这些《拘留通知书》的落款均为广

州市公安局番禺区分局，时间均为 5 月 8 日。

知情人士称，这些《拘留通知书》属实。嫌犯获取多家公立医院的药品流向数据，并

将其倒卖给医药代表获利。据财新记者了解：广州市各级公安部门统一行动，根据黑客电

脑数据顺藤摸瓜，对一些购买数据的医药代表进行调查。



“广州医药代表的微信群里人心惶惶。几乎每隔几个小时，就能听说又有人被带走

了。”一名在广州从事多年医药代表的人士对记者说。药品回扣是广州医药代表们人人自危

的原因所在。

多名医药人士向财新记者证实：一个售价为 100 元的药品，其从生产厂家出厂时，其

价格一般为 20 元到 30 元；此后，该药品会经过多层代理商加价至大约 94 元到 95 元，传

递至药品流通企业，药品流通企业再以 100 元的价格将药品卖给医院。

值得注意的是，其中多层代理商加价幅度高达 60 元甚至 70元。这里包含的费用主要

分为两部分：一部分是医药代理自己的所得；另一部分则暗藏灰色“公关费用”。

“公关费用”由医药销售代表送出。北方某药企驻广州医药销售代表曾告诉财新记

者，为了将自家企业的药品送入医院，在这 60元至 70 元的加价幅度中，大约有 50元甚至

更多份额需要用于“打点”医院。需要“打点”的人士至少包括医生、科室主任、药械科

主任、药事委员会、药房采购。

其中送给医生的部分是重头——医生拥有处方权，药品即使到了医院，也要依赖医生

开出处方才能真正完成销售。

“给医生的回扣，往往都是约定好的，一般不低于 10 个点。”前述医药代表称，“一家

医院有很多医生。同一个品规的药，每个医生开出多少，能够获得多少回扣，这需要有一

个精确的统计才好结算，所以医药代表需要获得医院的药品销售数据，要精确到每个医

生。”综合多名医药代表的说法，在目前广州诸多医院都普及了电子处方的情况下，要获得

上述数据，主要方式有以下两种：

第一，找医院内部人士，比如药剂科、信息科等。一名医药代表说：“干的时间长了，

每家医院应该找谁去打印这个单子，医药代表都是心里有数的。”

第二，找专业黑客或者医院所用处方软件的提供商。业内人士称：这一路径是近些年

才兴起。严打药品回扣持续多年，的确有一些医院无论如何都拒绝提供药品清单数据。

然而无论是哪种途径，医药代表都需要付出不菲的“信息费”——清单包含某一种药

品单一品规的月销售量，可精确到每一个医生，每月更新一次。关于“信息费”价格标

准，不同医药代表提供了不同版本，大致在 800 元至 2000 元之间。

一般而言，一个大型“三甲”医院的基本药品品规不超过 1500 种。若以平均 1200 种

基药计算，且每种药品都存在“信息费”，一家大型医院，就会形成一个 96 万到 240 万元

不等的非法信息售卖市场。

知情人士透露称：本次落网的黑客团伙，每月都通过电子邮件向医药代表发送更新后



的数据。公安根据收件人的 IP 地址，找到这些医药代表。本次行动规模最终会有多大，是

否会追究部分医药代表的刑事责任，进而追究部分收受回扣的医生的责任，目前仍未可

知。（来源：财新网）

➢ 印度版“大众点评”Zomato 遇袭，1700 万用户信息遭泄漏

2017 年 5 月 20 日，几天前，餐馆搜索服务应用 Zomato 的数百万用户信息遭到泄露。

昨日，Zomato 和造成这次信息泄露的黑客达成了协议，将答应对方一定的条件，以移除网

络上被盗用户的信息。

目前，Zomato 这家印度创企的每月用户多达 1.2 亿。前天相关报道指出，这家公司有大

约 1700 万用户的邮箱地址和密码遭到泄露；随后，Zomato 澄清这其中有 60%的用户是通过

第三方的 OAuth 服务（比如 Facebook 和谷歌）进行登录的。但即便如此，仍然有将近 700

万用户的信息是由于 Zomato 的入口直接受到波及。因此，倘若他们在其它服务上也使用了

相同的邮箱和密码，那么他们的利益可能还会进一步受到损害。

尽管 Zomato 一再表明，想要解密自己用户的密码绝对不是一件简单的事情，但毫无疑

问它被打脸了，一些网络安全专家表示自己能非常轻松地破解掉一些用户的密码，还有人甚

至觉得 Zomato 在加密技术上根本没花什么心思。

而承认对本次入侵负责的黑客告诉媒体，早在一年前，他就已经发现了 Zomato 的基础

设施存在漏洞，容易受到攻击，并且给这家公司写了份报告，但 Zomato 并没有回复。于是，



他采取了更加“简单粗暴”的方式——将 Zomato 的数据放在黑客网站上进行出售。这次

Zomato 就非常积极地进行“合作”，主动和这位黑客进行交流。

Zomato 的首席技术官 Gunja Patidar 表示：“这位黑客想要让我们承认 Zomato 的系统的

确存在漏洞，并要求我们和黑客们进行合作以寻找这些漏洞，他（她）主要的要求就是让我

们设立漏洞赏金，鼓励人们寻找 Zomato 的漏洞。”

现阶段，Zomato 基本同意了这一建议。其实，一年前，Zomato 就已经和美国漏洞披露

平台 HackerOne 建立了合作；然而，它至今都没有为那些想要提供漏洞报告的黑客设立金钱

奖励。不过，相信很快着就会得到“改善”。

Patidar 补充道：“很快我们会对 HackerOne 推出漏洞悬赏，而这位黑客已经保证会将所

有被盗数据从黑客网站的市场上下架，并将所有备份数据删除掉。这次事件会让我们团队比

以往更加重视网络安全问题。我们很期待和黑客群体进一步合作，从而为用户打造一个更加

安全的 Zomato 平台。”（来源：猎云网）

信息安全意识产品免费大赠送

[email protected]

Documents

2017 年05 月22 日第 145 期 - CNCISA据联合早报18日报道，国际网络专家警告，一款名为Adylkuzz的恶意软件可能会以 更隐秘的方式发动袭击，用户甚至无法立即发现电脑已受感染。

2017 年05 月22 日第 145 期 - CNCISA据联合早报18日报道，国际网络专家警告，一款名为Adylkuzz的恶意软件可能会以更隐秘的方式发动袭击，用户甚至无法立即发现电脑已受感染。