国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞425个，互联网上出现“D-Link DIR-859和DIR-850L命令注入漏洞、ClonOS WEB control panel跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

范文仲：金融开放要做到开放与安全平衡

要建立金融风险的安全审查制度，确保引入的外资机构具备优秀的专业能力、充足的资本实力，要确保引入“活水”。>>详细

中小银行“分支行信息安全体系”建设实践与思考

中小银行需要建设一种适合自身特色的分支行信息安全管理体系，以补齐信息安全体系中相对薄弱的“短板”。>>详细

海量合同签署繁杂 无纸化秒解供应链金融签约难题

盛易通系统通过CFCA数据身份认证对系统中的核心企业及供应商进行身份确认，之后利用无纸化电子签章系统为每一家项目公司和供应商提供一个独立的电子签章数字证书。>>详细

解密“密码”：探索虚拟世界的信任底线

随着商业密码技术不断创新，我国商业密码产业有望持续蓬勃发展，未来市场规模持续超过百亿元。密码产业已然蓄势待发。>>详细

围剿网络“爬虫”：监管发文不得与违规第三方数据合作

中国互联网金融协会在该通知中要求，各会员机构应严守法律底线，依法合规开展个人信息的收集、处理、使用和对外提供等活动，不断加强个人信息保护工作力度。>>详细

江苏破获大型DDoS攻击案，查获各类网站非法控制权限20余万个

警方围绕租用服务器的黄某展开侦查，发现其利用控制的计算机进行网络攻击，并牵出一个网络黑客犯罪团伙。>>详细

云安全变革性技术：Gartner提出安全访问服务边缘(SASE)模型

Gartner 发布的《网络安全的未来在云端》报告，详细说明了新型网络及安全模型基础上云端网络和安全转型的潜力。>>详细

单次数据泄露平均损失392万美元 网络安全保险迎机遇

网络安全保险，近年来成为财险保险领域的新秀产品。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年11月4日-11月10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞425个，其中高危漏洞105个、中危漏洞259个、低危漏洞61个。漏洞平均分值为5.60。上周收录的漏洞中，涉及0day漏洞80个（占19%），其中互联网上出现“D-Link DIR-859和DIR-850L命令注入漏洞、ClonOS WEB control panel跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Cisco产品安全漏洞

Cisco Enterprise NFV Infrastructure Software是一款轻量级虚拟化平台，将完整的VM生命周期管理、监控、设备可编程性及服务链集成在了一个可安装的软件包中。Cisco Aironet AP是一系列访问接入点产品。Cisco Video Communications Server（VCS）是一款用于视频会议解决方案的视频通信服务器。Cisco Enterprise Chat andEmail（CEC）是一套企业聊天和电子邮件解决方案。Cisco Wireless LANController（WLC）Software是一套用于配置和管理WLC（无线局域网控制器）的软件。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，造成拒绝服务。

CNVD收录的相关漏洞包括：Cisco Enterprise NFV InfrastructureSoftware命令注入漏洞（CNVD-2019-38848、CNVD-2019-38855）、Cisco Enterprise NFVInfrastructure Software任意文件读写漏洞、Cisco Enterprise NFVInfrastructure Software VNC认证绕过漏洞、Cisco Aironet Access PPTP拒绝服务漏洞、Cisco Video Communications Server命令注入漏洞、Cisco Enterprise Chat and Email跨站脚本漏洞（CNVD-2019-39701）、Cisco Wireless LANController Software输入验证错误漏洞（CNVD-2019-39768）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftInternet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以当前用户的权限运行任意代码。。

CNVD收录的相关漏洞包括：Microsoft Internet Explorer脚本引擎内存破坏漏洞（CNVD-2019-39009、CNVD-2019-39013、CNVD-2019-39011、CNVD-2019-39012、CNVD-2019-39014、CNVD-2019-39015）、Microsoft Internet Explorer VBScript引擎缓冲区溢出漏洞（CNVD-2019-39010）、Microsoft InternetExplorer VBScript引擎远程内存破坏漏洞（CNVD-2019-39018）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

ChromeOS是美国谷歌（Google）的一套基于Web的轻量型开源操作系统。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android Framework拒绝服务漏洞（CNVD-2019-38873）、Google Android Framework权限提升漏洞（CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882、CNVD-2019-38883、CNVD-2019-39720）、Google Chrome OSImagination Technologies driver输入验证错误漏洞、Google Android System缓冲区溢出漏洞（CNVD-2019-39716）。其中，除“Google Android Framework权限提升漏洞（CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cloud Orchestrator是一套为云管理解决方案。IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解决方案。IBM OpenPages GRC Platform是一套用于管理企业风险和合规性的平台。IBM InfoSphere Information Server是一套数据整合平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，向Web UI中注入任意的JavaScript代码。

CNVD收录的相关漏洞包括：IBM Cloud Orchestrator跨站脚本漏洞、IBM Cloud Orchestrator信息泄露漏洞（CNVD-2019-39203、CNVD-2019-39207）、IBM Cloud Orchestrator路径遍历漏洞、IBM API Connect信息泄露漏洞（CNVD-2019-39355）、IBM OpenPages GRC Platform跨站脚本漏洞（CNVD-2019-39353）、IBM OpenPages GRC Platform信息泄露漏洞（CNVD-2019-39354）、IBM InfoSphere InformationServer跨站脚本漏洞（CNVD-2019-39757）。目前，厂商已经发布了上述漏洞的修补程序。

Philips IntelliSpace Perinatal未授权访问漏洞

Philips IntelliSpace Perinatal是一套用于医疗行业的产科护理信息管理解决方案。上周，Philips IntelliSpacePerinatal被披露存在未授权访问漏洞。攻击者可利用该漏洞绕过应用程序的限制，访问Windows操作系统中未授权的信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Cisco产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，造成拒绝服务。此外，Microsoft、Google、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，造成拒绝服务等。另外，Philips IntelliSpace Perinatal被披露存在未授权访问漏洞。攻击者可利用该漏洞绕过应用程序的限制，访问Windows操作系统中未授权的信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、央视新闻、金融电子化、21世纪经济报道、中证网、证券日报、安全牛报道

责任编辑：韩希宇