报告从立法宗旨、适用范围和原则等描述了《网络安全等级保护条例》（征求意见稿）主要内容，并对《网络安全等保2.0》内容详细概述。

报告介绍了2018年的重大移动应用相关安全漏洞，以及与移动应用相关的法律法规，并分别从移动应用安全、移动应用数据与个人隐私信息安全、移动应用权限获取3个方面给出了安全建议。

智能合约作为区块链的重要技术极大地扩展了区块链的应用场景与现实意义，被广泛地应用于金融、游戏、保险、物联网等多个领域，但同时也面临着严重的安全风险。相比于普通程序而言，智能合约的安全性不仅影响合约参与多方的公平性，还影响合约所管理的庞大数字资产的安全性。因此，对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。CSAGCR对于智能合约的安全进行系统化研究，从不同的角度去分析智能合约的安全，从智能合约开发者角度，在第一章从智能合约的安全框架出发提出了测试标准，可以为开发者在内部安全测试中参考。第二章结合部分典型案例，具体剖析曾发生过的经典智能合约安全事件和深层次原因，有利于开发者了解已经发生过的智能合约安全事件，引以为戒。第三章分析总结智能合约最佳实践，包括针对智能合约生态常见问题的基本对策、社区最佳实践和安全开发资料，以及推荐工具，可以在开发过程中使用。第四章从第三方审计的角度介绍智能合约安全审计的Checklist，供第三方审计参考使用。第五章做了简要的总结。

去中心化应用（即DecentralizedApplication，以下简称DApp）作为区块链的重要实现载体。DApp继承了传统应用的优势，结合区块链的特点，极大地扩展了区块链的应用场景与现实意义。DApp可以被广泛地应用于金融(DeFi)、游戏、保险、物联网、共享经济、人工智能等多个领域。但同时也面临着严重的安全风险，例如：2019年EOSDApp安全成为重灾之地，截止2019年5月被盗EOS达到93万。相比于普通应用程序而言，DApp的安全性不仅影响参与多方的公平性，还影响DApp所管理的庞大数字资产的安全性。因此对DApp的安全性及相关安全漏洞开展研究显得尤为重要。CSAGCR对于DApp的安全进行系统化研究，从不同的角度去分析DApp的安全。根据2020年初统计，DApps应用中最受欢迎的是DeFi，本文针对DeFi的安全应用场景进行了重点分析。

云安全联盟(CSA)作为非营利性组织，肩负着广泛推广云计算和IT技术中的网络安全最佳实践的使命。CSA还承担着对云和IT技术从业者的教育和引导作用，使他们了解所有计算形式所面临的安全问题CSA的成员众多，包括各行业从业人员、组织和专业协会。因此CSA的调研有助于评估各行业的信息安全技术成熟度和安全最佳实践落地情况。在当前“新冠”疫情背景下，CyberArk委托CSA进行一项调研，以更好地了解未来12个月内云工作负载将面临的安全挑战，尤其是如何应对这些与身份和访问管理(IAM)相关的安全挑战。CyberArk与CSA共同制定了调研计划并编写了调查问卷，从2020年4月到5月，CSA共回收了近200份调查问卷。调研对象包括运营商及大型组织中经验丰富的云安全架构师、设计人员、运维人员等。CSA的专家小组对调研数据进行了分析，并根据分析结果起草了以下报告。

欢迎来到云安全联盟关于云计算关键领域安全指南的第四个版本。云计算的兴起是一项不断发展的技术，它带来了许多机遇和挑战。通过这个文档，我们的目标是提供指导和灵感来支持业务目标，同时管理和减轻采用云计算技术相关的风险。云安全联盟促进了在云计算领域内提供安全保证的最佳实践，并为寻求采用云计算模式的组织提供了一个实用的、可执行的路线图。云计算关键领域安全指南的第四个版本是建立在之前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之上的。该版本集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。

本文介绍了DNS安全背景和攻击案例，分析了DNS攻击应对方法、攻击研究趋势及360 DNS威胁检测防御系统。

物联网将是下一个推动世界高速发展的“重要生产力”，是继通信网之后的另一个万亿级市场。2016年物联网&车联网安全问题层出不穷，引发安全从业者频频关注。本书收录5篇天线安全相关文章，帮助无线通信技术爱好者了解全球最新、最先进的无线电安全知识和技术。

Web业务的迅速发展引起黑客们的强烈关注，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。

白帽黑客与黑帽黑客，也不会真的带着标志性的帽子出现。做为一个安全公司的首席安全官，最悲催的恐怕还不是安全防线被突破，假设被攻破已经是业内的共识，过去这些年，不止一次经历过警察从眼前把团队的兄弟带走，证据确凿、手续齐全;曾经主动报案把涉嫌犯罪的兄弟送进公安局;也曾经不止一次去各地公安机关营救被抓的“白帽子”、“兄弟”，甘苦自知!

供应链安全是网络安全的主题之一，近日官网下载的XShell也被曝光自带后门，之前曾出现第三方渠道下载的Putty、Xcode被植入后门的情况，Chrome浏览器多个插件也曾被插入恶意代码，如果官网与第三方软件分发渠道都不可信，在一切都可编程，—切都要依赖软件的今天，我们该怎么办?本期《安全客》试图讨论一下在人和软件/设备的供应链都不可靠的情况下，如何保证企业核心资产的安全。

允许用户根据特定环境制定安全控制措施。用户制定安全控制措施时，应参照美国商务部的两个标准：“联邦信息和信息系统安全分类标准”（FIPS199）和“联邦信息和信息系统的最低安全要求”（FIPS200）这两个标准2。FIPS199和200将风险影响级别分为低、中或高三个等级。

近年来,物联网技术的普及和快速发展让越来越多设备智能化，在公共领域，智慧环境﴾ 家庭，办公，工厂﴿ 领域，个人和社会领域等方面都有深入应用，新的技术和设备引入也带来了新的安全和隐私风险。该报告将探讨2017年整年关于IoT﴾Internet of Things﴿ 设备相关的安全问题。

2017年5月12日爆发的“WannaCry”勒索蠕虫在短短数天内横扫150多个国家，感染了包括隔离网络在内的200万到300万台电脑，造成60-80亿美元的损失，我国某政府机构的内网有大量电脑被感染导致部分地区公众服务暂停，某能源企业的加油站网络也被感染导致超过1000个加油站回到现金加油时代。

白皮书梳理分析了工业信息安全、工业互联网安全等概念和内涵，界定了相关概念之间的关系，归纳总结了当前国内外工业信息安全标准化工作现状、存在的问题和未来发展趋势，研究提出了工业信息安全标准体系框架，为下一步工业信息安全标准化工作提出了思考和建议。

企业云转型正在迈向多云时代，据研究估计，93%的企业正在采用多云战略。随着数字化转型的不断深入和应对全球卫生危机带来的新挑战及其对业务流程的影响，企业比以往任何时候都更多地开启或扩大多云战略，来应对诸多的数字化挑战，如地区合规、成本优化、灾难恢复、数据备份、应用弹性、客户体验和全球覆盖等。多云系统可以比内部单一IT架构更好地满足这些要求，因为公司可以挑选最好的服务并将其与已有的IT基础设施进行融合，减少重复造轮子的成本，更加敏捷的推动业务的发展。

本报告在整体把握云安全威胁形势的基础上，对基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等云上安全威胁形势进行了梳理，并提出云服务厂商和使用方的责任共担已成为新威胁形势下的应对标配。