概要：近日，中央網信辦、發改委和工信部聯合印發《公共信息資源開放試點工作方案》，確定在北京、上海、浙江、福建、貴州開展公共信息資源開放試點，在建立統一開放平臺、明確開放範圍、提高數據質量、促進數據利用、建立完善制度規範和加強安全保障6方面開展試點。點評：公共信息資源的共享與流通對於釋放數據紅利和“信息普惠”有著極大的推動作用。該試點方案旨在摸索一套全面、合理、安全的開放模式。安全保障工作是資源共享的前提。網絡安全技術措施要與公共信息資源開放平臺同步規劃、建設和運行。要建立健全管理制度和保密審查制度，加強動態管理，並建立健全應急預案，定期組織演練。

    工信部發布《工業控制系統信息安全行動計劃》概要：工信部於去年年底發布了《工業控制系統信息安全行動計劃》。1月3日，工信部官網公布了信息化和軟件服務業司負責人對該行動計劃的具體解讀。該計劃列出幾項目，到2020年，一是建成工控安全管理工作體系；二是增強全系統、全行業工控安全意識；三是態勢感知、安全防護、應急處置能力顯著提升，建成全國在線監測網絡，應急資源庫，仿真測試、信息共享、信息通報平臺（一網一庫三平臺）。四是促進工業信息安全產業發展，培育一批龍頭骨幹企業，創建3-5個國家新型工業化產業化示範基地。點評：工控安全對於是實施制造強國和網絡強國戰略的重要前提，將是未來幾年的重點領域之一。《行動計劃》強調了工控安全主體責任的落實：一是貫徹落實《網絡安全法》，按照“誰主管、誰負責；誰運營、誰負責”的原則，建立工控安全責任制；二是組建企業工控安全管理機制，加強運營管理；三是編制完善配置和補丁管理、物理和環境安全防護等制度；四是開展工控安全防護能力評估；五是持續加大投入，落實防護技術改造和隱患治理專項經費。另一個重要目標是在2020年建成“一網一庫三平臺”，從在線監測，應急響應，方針測試等角度加強工控安全的統籌規劃。

     平昌冬奧會或成為黑客攻擊目標部分組織已遭釣魚，概要：根據國外安全研究人員報告，黑客組織已經針對韓國平昌奧運會部署了魚叉式網絡釣魚攻擊，可能會涉及到財務以及其他敏感信息。據稱，攻擊行動早在 12 月 22 日就已經開始。黑客假冒橫在進行反恐演習的韓國國家反恐中心，發送了釣魚郵件，，但郵件真實發出地址卻是在新加坡。點評：專家預測未來對於類似平昌奧運會這樣的體育賽事的攻擊會越來越多。黑客利用釣魚等手段在大型賽事的籌備和舉辦期間，入侵系統並對一些敏感信息進行竊取、篡改或盜用。大型賽事成為網絡安保重要時期，需要組委會和舉辦國全面部署合理的安全手段，做好人員培訓，並制定應急預案，避免擾亂賽事並造成跨越國境的信息安全損失。

    CFT50顧問李禮輝：正確區分ICO與區塊鏈，加快區塊鏈金融技術化工作，概要：CFT50高級學術顧問、全國人大財經委委員、中國互聯網金融協會區塊鏈工作組組長、中國銀行原行長李禮輝發表主旨演講時指出，金融不再只是二維的平面世界，而是可以折疊的三維空間。金融制度創新應完善大數據應用的制度環境，建立統一共享的大信用系統，制定常態戶數字金融審慎監管制度，最終實現穿透式監管。

     他指出：應正確區分ICO與區塊鏈，加快區塊鏈金融技術化工作。ICO涉嫌非法集資，理應禁止；區塊鏈采用共識算法，加密算法和智能合約等全新的底層核心技術，可以用於構建信任鏈接器。已經開始在系統領域並在參與方場景中表現出突出的技術優勢，應加快區塊鏈金融技術標準化工作，研發區塊鏈金融技術國家標準，建立區塊鏈金融技術審核和驗證體系。”李禮輝表示。（來源：金融科技研究）Gartner視角看安全與風險管理概要：在過去的一年裏，Gartner指出在安全與風險管理領域的關鍵發現：

     1、隨著數字化轉型的持續升溫，錯綜復雜的生態系統是數字業務不可缺的部分，而與其相關的安全風險將倍受關註。2、回顧過往一年，全球領先的企業由於遭受惡意的網絡攻擊造成的損失達到3億美元。3、越來越多的安全技術轉向了雲計算，不管是訂閱模式還是按需付費模式，企業將會有更多種方式來評估安全技術，縮短復雜的RFP流程4、網絡安全資格審查在市場整合並購環節中非常重要，但需要對行業、資產價值、監管環境以及交易金額等方面進行綜合評判。（來源：互聯網安全內參），Intel CEO回應“漏洞門”：未發現隱患被用來獲取用戶數據

    概要：英特爾CEO Brian Krzanich在美國時間星期一舉行的2018年國際消費電子展(CES)中發表主題演講，回應近期的“漏洞門”事件。他表示Intel將在本周內發布更新，預計將覆蓋過去5年內推出的90%以上的產品，而針對其它產品的更新將在今年一月底前發布。他表示，這些安全更新對性能的影響在很大程度上取決於具體的工作負載。同時，Krzanich談到，“到目前為止，我們還沒有發現任何利用這些潛在隱患問題來獲取用戶數據的情況。我們正夜以繼日地努力解決這些問題，以確保用戶數據的安全。確保最佳做法就是當操作系統提供商和系統制造商發布任何更新，您就立即采納這些更新。” （來源：Engadget)

    遊戲行業年度白皮書，概要：剛剛結束的2017年，作為遊戲行業買量競爭升級的一年，廣告主紛紛表示壓力山大，用戶獲取成本已經高到了臨界點，而各個廣告平臺則希望在2018年廣告收入還能再翻一翻，遊戲買量市場能否在2018年持續增長我們拭目以待，本篇報告我們主要以2017年買量遊戲行業數據為基礎來回顧一下行業的發展情況。從2017年全年的數據看，買量遊戲主要還是以角色扮演產品為主，占所有買量產品的69.61%，其次是策略遊戲占全年買量遊戲比例的10.13%，另外今年有不少地方棋牌的產品也加入到了買量的隊伍中，占所有買量遊戲的8.09%，然而隨著國家政策的管控，一線的廣告平臺和媒體對棋牌產品的投放管理都很嚴格，如下是不同類型買量產品的占比情況：

     2017年全年，熱雲數據TrackingIO服務客戶的全年監測數據顯示，累計有7855款產品投放廣告，總共產生了2.9億次有效的遊戲激活，在不應用防作弊規則的情況下，產生的點擊總數超過了2279億次，平均每天超過6.2億次點擊。（來源：遊戲陀螺），點評：去年下半年，互聯網圈子有兩個無人不知的關鍵詞就是吃雞和挖礦，這兩者看似毫無關系，一個是熱門遊戲，一個是“理財產品”，最近，終於有一波人把這兩者有機結合在了一塊——外掛開發者，外掛中包含挖礦木馬，影響了數十萬臺電腦，與此之外還有盜刷道具、盜刷屬性、盜刷金幣、盜刷鉆石等各種盜刷問題存在。2017年手遊質量白皮書：近30%外掛手遊存在致命安全問題，100M以上包體僅占20%，概要：今年是精品遊戲大放異彩的一年，而吃雞引領的戰術競技品類今年備受關註，其中出現了不少外掛問題，個別產品上線時也遇到了兼容性的問題，然而，只有把這些問題解決好，提升遊戲產品質量，才能獲得市場的認可。報告顯示：近30%外掛手遊存在致命安全問題，以飛行射擊類遊戲最為嚴重； “盜刷道具”為年度手遊最頻繁的致命外掛安全問題；登錄、掉線類問題受到最多玩家反饋。（來源：遊戲葡萄）

      點評：如今這個遊戲行業買量當道的時代裏，遊戲公司對買量的重視程度幾乎達到了病態的地步，這不僅給遊戲公司產生了巨大的損失，同時也給廣大遊戲灰色產業人士提供了大量的賺錢機會，買量成為遊戲行業中貓膩最多的領域之一。直播問答背後的黑產困境，概要：目前網上主要有下面這些花樣作弊方式：1、線上抱團，答案共享：比如下面這樣的QQ群，群介紹也很直白，“一邊直播，一邊直播答案”。就是大家抱團答題，實現實時答案共享。這種群同樣在微信了也可以找到不少。2、復活卡：目前的直播問答都有“復活”功能，比如你邀請了新的好友,就可以多一次復活機會。如果在某寶搜“沖頂大會復活卡”，你會發現這個已經有不少商家上架了這種商品，拍下之後可以獲得“額外生命值”。一次只需數元,並且可以多次購買。

    3、作弊外掛：在某寶搜索“沖頂大會輔助”，同樣不會讓你“失望”，20元的輔助答題軟件，無需復活卡，寶貝評價裏有這樣的描述“識別度精準，毫秒級，答題神器”。4、智能輔助答題：國內某智能音箱也增加了“沖頂助手”功能，增加了題庫的投入。實際上是利用語音智能搜索的功能，用戶提到“沖頂大會、沖頂助手、百萬英雄、芝士超人、黃金十秒、答題助手”等關鍵詞，就可觸發“沖頂助手”功能。不過這種輔助的“智能作弊”對語音技術和搜索引擎技術的要求相對較高，效果怎樣不得而知，但利用人工智能來實現作弊想想還是有點不寒而栗的。（來源：網易），安全事件快訊，1月19日阿裏雲平臺安全升級通告，概要：近日，Intel處理器被爆出嚴重安全隱患，可導致操作系統內核信息泄露、應用程序越權訪問系統內核數據等問題（漏洞詳情可點此查看）。漏洞披露前，阿裏雲已與Intel同步關鍵安全信息，並持續就修復方案做驗證。

     解決該安全隱患的完整修復方案包含兩個部分，一是雲平臺虛擬化宿主機修復，二是客戶側的操作系統更新。目前，阿裏雲已經啟動了雲平臺底層基礎架構的漏洞修復更新，預計於北京時間1月19日24點之前完成。該方案由於采用了熱升級方式，正常情況下不會對客戶業務帶來影響。由於此隱患涉及過去10年間Intel的絕大部分CPU型號，已知有部分場景下不支持熱升級方案。與之相關的客戶我們會另行提前通知，請確保預留的聯系方式（手機、郵箱）暢通。我們建議客戶根據業務情況，提前調整和準備運營預案，妥善備份重要業務數據。在雲平臺底層基礎架構的漏洞修復更新完成後，我們建議客戶進行操作系統的補丁更新評估，以確保完整的安全性。阿裏雲正積極聯合Intel、微軟以及Linux各發行版本廠商驗證操作系統更新方案。阿裏雲安全專家：八招應對短信驗證碼攻擊概要：如今，大量的網站、網站、手機app都在使用短信驗證碼作為驗證用戶身份的安全技術措施。尤其在年底，企業的促銷、抽獎、互動活動會迎來一個高峰期，用到短信驗證碼的場景非常頻繁。但近期，阿裏雲·雲盾WAF團隊監測到，不少用戶業務的短信驗證碼功能被攻擊，短信接口被惡意利用，導致業務無法正常訪問。同時，被刷的短信成本也直接造成一定量的資金損失。點評：了解了風險之後，企業也不必過度擔心，以下“指南”，可幫助了解如何防範短信驗證碼背後的安全風險。

      1.手機號碼邏輯檢測，在手機號碼窗口增加號碼有效性檢測，防止惡意攻擊者使用無效或非法的號碼，從而在第一窗口屏蔽非手機號的亂碼等無效數字。2.隨機校驗，在註冊頁添加個隱藏的<input>，設置保存在session中的隨機驗證碼，發短信前驗證一下，保證發驗證碼短信請求是在業務頁面點擊。3.增加友好的圖形驗證碼，即當用戶進行“獲取動態短信” 操作前，彈出圖片驗證碼，要求用戶輸入驗證碼後，服務器端再發送動態短信到用戶手機上，該方法可有效緩解短信轟炸問題。由於當前驗證碼在攻防對抗中逐步被成功自動化識別破解，我們在選用安全的圖形驗證碼也需要滿足一定的防護要求。4.同號碼短信發送頻率限用。采用限制重復發送動態短信的間隔時長， 即當單個用戶請求發送一次動態短信之後，服務器端限制只有在一定時長之後（此處一般為60-120秒），才能進行第二次動態短信請求。該功能可進一步保障用戶體驗，並避免包含手工攻擊惡 意發送垃圾驗證短信。

    5.不同號碼請求數量限制，根據業務特點，針對不同手機號碼、不同訪問源IP訪問請求進行頻率限制，防止高並發非法請求消耗更多的短信包和服務器性能，提高業務穩定性。6.場景流程限定將手機短信驗證和用戶名密碼設置分成兩個步驟，用戶在填寫和校驗有效的用戶名密碼後，下一步才進行手機短信驗證，並且需要在獲取第一步成功的回執之後才可進行校驗。7.啟用https協為網站配置證書，啟用https加密協議，防止傳輸明文數據被分析。.單IP請求限定，使用了圖片驗證碼後，能防止攻擊者有效進行“動態短信”功能的自動化調用。但若攻擊者忽略圖片驗證碼驗證錯誤的情況，大量執行請求會給服務器帶來額外負擔，影響業務使用。建議在服務器端限制單個 IP 在單位時間內的請求次數，一旦用戶請求次數(包括失敗請求次數)超出設定的閾值，則暫停對該 IP 一段時間的請求。若情節特別嚴重，可以將 IP 加入黑名單，禁止該 IP 的訪問請求。該措施能限制一個 IP 地址的大量請求，避免攻擊者通過同一個 IP 對大量用戶進行攻擊，增加了攻擊難度，保障了業務的正常開展。