近两年，国际上揭露的数据泄露事件一波比一波严重，各类网络安全事件的频发也带动了市场对网络安全人才需求的持续增长。据有2018年(ISC)2网络安全劳动力研究表明，全球网络安全人才缺口将达到293万，未来网络安全人才需求量将持续增加。

政府举措

因App过度索取用户信息，上海网信办约谈本地23家常用APP运营企业

关键词：个人信息

上海市网信办近期对本地最常用的23个APP获取用户个人信息等相关权限申请情况开展抽查，发现其中约30%与所提供的服务没有对应关系，属于不合理范围。随后，市网信办分别约谈了运营这些APP的23家企业，要求认真整改。市网信办相关负责人说，从被抽查的APP情况来看，现在上线的APP几乎都有过度索取用户个人信息的问题，APP运营企业都要对此进行自查自改。上海市网信办今后将定期抽检，并向社会公布抽检结果。

网络安全威胁信息格式规范正式发布

关键词：威胁情报国标

2018年10月10日，我国正式发布威胁情报的国家标准——《信息安全技术网络安全威胁信息格式规范Information security technology—Cyber security threat information format》(GB/T 36643-2018)。这份标准由中国电子技术标准化研究院牵头制定，共有29家单位共同参与完成。

通过结构化、标准化的方法描述网络安全威胁信息，以便实现各组织间网络安全威胁信息的共享和利用，并支持网络安全威胁管理和应用的自动化。这意味着我国网络安全在法规、规范方面又更进一步，同时，也顺应了当前阶段网络安全领域威胁情报的发展现状和趋势。

此前，多位业内专家或厂商都曾在会议或其他场合表达过对威胁情报共享和标准化的期望。也有人分析称自动化、标准化、体系化将是威胁情报发展的必由之路。本次《信息安全技术网络安全威胁信息格式规范》的发布以及到2019年5月1日正式实施后，我国威胁情报的发展将迎来新阶段。

英国呼吁欧盟开展打击网络黑客行动

关键词：打击黑客

英国首相特雷莎·梅于近日呼吁欧盟各国领导人联合采取行动，惩治网络黑客。包括英国在内的八个欧盟成员国呼吁，欧盟应尽快通过一项新的制裁措施，打击网络恶意活动。此举是因为对俄罗斯的活动日益关注，西方政府指责莫斯科采取了多起黑客和电子干扰行为。

本周，英国国家网络安全中心(NCSC)透露，自成立两年来，其共处理1100余件网络安全事件，这些网络攻击大多来自于其“敌对国家”。一旦提议通过，欧盟制裁措施将冻结目标个体在欧盟各国的全部资产，禁止其入境欧盟28个成员国。

网络安全事件

苹果公司上线隐私权网站

关键词：隐私保护

近日，苹果公司推出了多项隐私权升级措施，其中包括上线一个门户网站等，用户可在这个网站上搜索信息，查看苹果公司保存了他们的哪些数据。

这个隐私权门户网站已于5月开始在欧盟进行测试，符合欧盟新近推出的一般数据保护条例（GDPR）。苹果公司可能收集的信息包括日历条目、照片、提醒、文件、网站书签、App Store购物或服务支持历史等。这种搜索功能可向用户提供被追踪数据的报告，这与苹果公司的一项整体计划是相符的，该公司正寻求将自己定位为一家通过出售硬件来赚钱的企业，而非基于收集到的用户数据来提供定向广告并借此盈利。

为应对黑客攻击，Facebook准备收购网络安全公司

关键词：Facebook

据The Information报道，Facebook已经与几家网络安全公司就潜在的收购事宜进行接触。知情人士表示，谈论还在进行中，因此收购结果尚未确认，但交易可能会在年底达成。

上个月，Facebook再度发生用户数据泄漏事件，有5000多万用户受影响，该公司表示正与FBI合作调查。

在经历了多次重大黑客攻击事件之后，Facebook终于开始加大力度着手解决根源问题，同时希望数十亿用户知晓平台已经准备投入网络安全领域，可以放心使用。

黑客挟持罗马尼亚市政厅电脑并要求比特币赎金

关键词：计算机挟持

据外国媒体报道，一名份不明的黑客已经封锁了罗马尼亚最富有的布加勒斯特第一区市政厅的所有计算机，并要求当局支付比特币的赎金以解锁网络。该区市长Dan Tudorache表示，袭击者要求比特币支付大笔款项。不过，市政厅的IT团队已经设法从这次攻击中解救了了大约一半的计算机，预计所有计算机在本周末之前能正常运行。

PHP 5将于年底停止更新，六成用户将面临安全风险

关键词：PHP5

网络技术应用研究公司W3Techs近日表示，根据所有网站使用PHP版本的情况，从2019年1月1日起，有近62％的网站将会因为无法获得安全更新，而受到恶意攻击。

根据W3Techs的调查，从本月15日开始，其研究的网站样本中使用的PHP的比例高达78.9％，使用PHP 5的网站的比例达到61.8％。在子版本中，使用PHP 5.6版的网站的比例为41.5％，使用版本5的比例最高。

根据PHP官方网站列出的支持版本及时刻表显示PHP 5.6于2014年发布，主要支持已于2017年1月19日关闭，安全支持将于2018年12月31日终止。即两个半月后，使用PHP 5.6版本的网站将不再收到安全漏洞或错误更新，除非用户支付操作系统供应商的更新服务费用。如果黑客发现并利用旧版PHP中的漏洞，可能会使数百万个网站和用户陷入危险。

美国防部称其员工个人数据遭泄露已通报国会

关键词：数据泄露

美国国防部代表约瑟夫·布奇诺中校近日向卫星通讯社表示，该部正在研究黑客获取五角大楼员工个人数据的情况，并查明事发原因以及评估损失。

他指出：“10月4日国防部发现我部工作人员个人数据遭到泄露，预计波及人数是3万人，但实际可能更多。”他补充道，根据规定，已将此事通报美国会。

据了解，信息是通过为国防部提供其员工出行服务的承包商公司泄露的，该公司组织的出行次数不多。

数据统计

加密货币交易所两年内因黑客攻击损失了8.82亿美元

关键词：加密货币

总部位于莫斯科的网络安全公司Group-IB发布了一份关于过去两年黑客攻击加密货币交易所的报告，报告显示，黑客已造成8.82亿美元的损失。而且情况不太可能在近期好转，恰恰相反，攻击次数将会增加。

据报道，加密货币交易所并不是网络罪犯的唯一受害者。在指定的时间段内，代币发行筹集的资金中有超过10%被盗。在从代币发行项目中窃取的资金中，有一半以上与网络钓鱼攻击有关，因此敦促所有相关人员要格外警惕。对代币发行项目的攻击对每一个可能吸引投资者的项目来说都是一个威胁。

人才培养

关键词：网络安全人才缺口

根据2018年(ISC)2网络安全劳动力研究表明，北美、拉丁美洲、亚太地区（APAC）以及欧洲、中东和非洲（EMEA）的全球网络安全人才缺口已扩大至近300万。

在293万的总缺口中，亚太地区占比最高，达到了214万，部分原因是随着其经济增长、新的网络安全形势以及整个地区的网络安全和数据隐私相关立法。

排名第二的是北美地区，缺口为498,000，而EMEA和拉丁美洲的差距分别为142,000和136,000。

漏洞速递

研究人员曝光Windows RID漏洞

关键词：Windows RID

安全公司已将该漏洞命名为Windows RID劫持，通过篡改账户相对标识符进而影响到账号主体的安全标识符。研究人员发布的验证工具主要是利用来宾账户或普通账号，通过Windows RID方式将其权限提升到管理员级。尤其对于企业来说绝大多数内网机器都是普通账号权限，若攻击者利用Windows RID则可提权完成更多攻击。由于劫持Windows RID并未调用外部恶意程序所以不会引发系统拦截或安全软件拦截因此用户很难发现攻击。

其他漏洞：

10月15日-10月21日：

国家信息安全漏洞共享平台（简称CNVD）共收集、整理信息安全漏洞251个，其中高危漏洞110个，中危漏洞127个，低危漏洞14个。

（原标题：全球网络安全人才缺口达到293万）