國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞425個，互聯網上出現“D-Link DIR-859和DIR-850L命令注入漏洞、ClonOS WEB control panel跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

范文仲：金融開放要做到開放與安全平衡

要建立金融風險的安全審查制度，確保引入的外資機構具備優秀的專業能力、充足的資本實力，要確保引入“活水”。>>詳細

中小銀行“分支行信息安全體系”建設實踐與思考

中小銀行需要建設一種適合自身特色的分支行信息安全管理體系，以補齊信息安全體系中相對薄弱的“短板”。>>詳細

海量合同簽署繁雜 無紙化秒解供應鏈金融簽約難題

盛易通系統通過CFCA數據身份認證對系統中的核心企業及供應商進行身份確認，之后利用無紙化電子簽章系統為每一家項目公司和供應商提供一個獨立的電子簽章數字證書。>>詳細

解密“密碼”：探索虛擬世界的信任底線

隨著商業密碼技術不斷創新，我國商業密碼產業有望持續蓬勃發展，未來市場規模持續超過百億元。密碼產業已然蓄勢待發。>>詳細

圍剿網絡“爬蟲”：監管發文不得與違規第三方數據合作

中國互聯網金融協會在該通知中要求，各會員機構應嚴守法律底線，依法合規開展個人信息的收集、處理、使用和對外提供等活動，不斷加強個人信息保護工作力度。>>詳細

江蘇破獲大型DDoS攻擊案，查獲各類網站非法控制權限20余萬個

警方圍繞租用服務器的黃某展開偵查，發現其利用控制的計算機進行網絡攻擊，并牽出一個網絡黑客犯罪團伙。>>詳細

云安全變革性技術：Gartner提出安全訪問服務邊緣(SASE)模型

Gartner 發布的《網絡安全的未來在云端》報告，詳細說明了新型網絡及安全模型基礎上云端網絡和安全轉型的潛力。>>詳細

單次數據泄露平均損失392萬美元 網絡安全保險迎機遇

網絡安全保險，近年來成為財險保險領域的新秀產品。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年11月4日-11月10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞425個，其中高危漏洞105個、中危漏洞259個、低危漏洞61個。漏洞平均分值為5.60。上周收錄的漏洞中，涉及0day漏洞80個（占19%），其中互聯網上出現“D-Link DIR-859和DIR-850L命令注入漏洞、ClonOS WEB control panel跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Cisco產品安全漏洞

Cisco Enterprise NFV Infrastructure Software是一款輕量級虛擬化平臺，將完整的VM生命周期管理、監控、設備可編程性及服務鏈集成在了一個可安裝的軟件包中。Cisco Aironet AP是一系列訪問接入點產品。Cisco Video Communications Server（VCS）是一款用于視頻會議解決方案的視頻通信服務器。Cisco Enterprise Chat andEmail（CEC）是一套企業聊天和電子郵件解決方案。Cisco Wireless LANController（WLC）Software是一套用于配置和管理WLC（無線局域網控制器）的軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，造成拒絕服務。

CNVD收錄的相關漏洞包括：Cisco Enterprise NFV InfrastructureSoftware命令注入漏洞（CNVD-2019-38848、CNVD-2019-38855）、Cisco Enterprise NFVInfrastructure Software任意文件讀寫漏洞、Cisco Enterprise NFVInfrastructure Software VNC認證繞過漏洞、Cisco Aironet Access PPTP拒絕服務漏洞、Cisco Video Communications Server命令注入漏洞、Cisco Enterprise Chat and Email跨站腳本漏洞（CNVD-2019-39701）、Cisco Wireless LANController Software輸入驗證錯誤漏洞（CNVD-2019-39768）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftInternet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以當前用戶的權限運行任意代碼。。

CNVD收錄的相關漏洞包括：Microsoft Internet Explorer腳本引擎內存破壞漏洞（CNVD-2019-39009、CNVD-2019-39013、CNVD-2019-39011、CNVD-2019-39012、CNVD-2019-39014、CNVD-2019-39015）、Microsoft Internet Explorer VBScript引擎緩沖區溢出漏洞（CNVD-2019-39010）、Microsoft InternetExplorer VBScript引擎遠程內存破壞漏洞（CNVD-2019-39018）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

ChromeOS是美國谷歌（Google）的一套基于Web的輕量型開源操作系統。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android Framework拒絕服務漏洞（CNVD-2019-38873）、Google Android Framework權限提升漏洞（CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882、CNVD-2019-38883、CNVD-2019-39720）、Google Chrome OSImagination Technologies driver輸入驗證錯誤漏洞、Google Android System緩沖區溢出漏洞（CNVD-2019-39716）。其中，除“Google Android Framework權限提升漏洞（CNVD-2019-38878、CNVD-2019-38881、CNVD-2019-38882）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Cloud Orchestrator是一套為云管理解決方案。IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解決方案。IBM OpenPages GRC Platform是一套用于管理企業風險和合規性的平臺。IBM InfoSphere Information Server是一套數據整合平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，向Web UI中注入任意的JavaScript代碼。

CNVD收錄的相關漏洞包括：IBM Cloud Orchestrator跨站腳本漏洞、IBM Cloud Orchestrator信息泄露漏洞（CNVD-2019-39203、CNVD-2019-39207）、IBM Cloud Orchestrator路徑遍歷漏洞、IBM API Connect信息泄露漏洞（CNVD-2019-39355）、IBM OpenPages GRC Platform跨站腳本漏洞（CNVD-2019-39353）、IBM OpenPages GRC Platform信息泄露漏洞（CNVD-2019-39354）、IBM InfoSphere InformationServer跨站腳本漏洞（CNVD-2019-39757）。目前，廠商已經發布了上述漏洞的修補程序。

Philips IntelliSpace Perinatal未授權訪問漏洞

Philips IntelliSpace Perinatal是一套用于醫療行業的產科護理信息管理解決方案。上周，Philips IntelliSpacePerinatal被披露存在未授權訪問漏洞。攻擊者可利用該漏洞繞過應用程序的限制，訪問Windows操作系統中未授權的信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Cisco產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，造成拒絕服務。此外，Microsoft、Google、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務等。另外，Philips IntelliSpace Perinatal被披露存在未授權訪問漏洞。攻擊者可利用該漏洞繞過應用程序的限制，訪問Windows操作系統中未授權的信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、央視新聞、金融電子化、21世紀經濟報道、中證網、證券日報、安全牛報道

責任編輯：韓希宇