C ONTENTS 目录 2017 年 01 月 2 期刊总第 307 期 主办中国信息安全博士网协办国工信科技发展 ( 北京 ) 有限公司 安全圈 总编辑刘晴执行主编扶苏编辑部李金鹏宋玉婷美术编辑迟涛特约记者边锋郭子扬网址 广告发行北京艾得威尔信息咨询中心联系电

Transcription

1 C ONTENTS 目录 2017 年 01 月 2 期刊总第 307 期 主办中国信息安全博士网协办国工信科技发展 ( 北京 ) 有限公司 安全圈 总编辑刘晴执行主编扶苏编辑部李金鹏宋玉婷美术编辑迟涛特约记者边锋郭子扬网址 广告发行北京艾得威尔信息咨询中心联系电话 / 联系人刘奇投稿邮箱 sectougao@163.com 宗旨 政府的智库行业的参谋产业的推手学术的高地媒体的先锋 舆情消息 04 美俄 黑客门 发酵特朗普又要改口? 06 希拉里 电邮门 迎转机? 美国司法部重启对 FBI 调查产业观察 年互联网隐私 : 预测和安全建议 09 研究发现 : 企业害怕移动设备成为最大安全威胁源 10 越过网络层看威胁 : 为什么全攻击界面才是最重要的政府之声 13 湖南省第五届网络文化节闭幕 14 广州加快步伐打造 大数据之城 15 太原理工大学成立大数据学院和研究院 15 重庆市成立重大决策网络舆情风险评估专家咨询委员会 17 贵阳携手印度国家信息学院共建大数据人才培训基地 18 陕西将建成 互联网 + 政务服务 实现办事一网通学术交流 19 五种手段抵御社会工程攻击 20 如何发现防不胜防的边信道攻击? 21 如何通过 限制管理权限 来保护您的企业? 23 技术创新促进互联网安全防御能力 27 怎样充分利用安全预算 29 何让 PGP 短密钥 ID 免于碰撞攻击? 31 新 幽灵主机 技术加强僵尸网络生存能力 32 医疗大数据爆发点临近个人隐私如何保护? 黑客攻防 34 质疑 : 英警方建议用 WIFI 干扰器惩罚黑客 35 手机破解专家 Cellebrite 公司被黑,900GB 数据泄露 36 特朗普终于接受三大情报部门结论 : 有黑客干预美国大选 38 美国食品药物管理局证实 : 心脏医疗设备可被黑客入侵安全动态 39 网络安全信息与动态周报 ( 至 ) 年网络安全存储发展预测 44 个人信息应谁使用谁负责 45 使用多个 DNS 供应商以缓解 DDoS 攻击 46 CNNVD: 关于微信 藏蛟 漏洞情况的通报 47 卡巴斯基反病毒产品现漏洞可被中间人攻击 49 智能电量表和电气设施都存在安全隐患业界新闻 51 国家网络空间安全战略 透露了什么 52 支付宝焦虑症 : 安全漏洞与社交执念 年全球网络空间安全大事记 ( 政策篇 ) 62 瑞士认定 Windows 10 违反隐私法微软同意修改 63 欧盟 : 美国未对雅虎扫描用户电邮项目作出足够解释 64 Flashpoint 报告 : 俄 中 美为最大的地缘政治网络安全威胁

2 C ONTENTS 目录 热点 舆情消息 海外来风 65 英国反对 全面监视 法案的运动迅速完成众筹 66 美国联邦贸易委员会与 D-Link 撕上法庭, 称其路由器安全性太差 67 欧盟拟出台新隐私法规谷歌等公司面临更严格监管 68 欧盟委员会提议实施高标准隐私规则更新欧盟机构数据保护规则广告索引 : 12 信息安全实训平台 26 信息安全攻防竞赛平台 42 中国信息安全博士网 58 中国信息安全人才网 69 信息安全实验教学产品系列敬请关注中国信息安全博士网微信公众帐号 美俄 黑客门 发酵特朗普又要改口? 美国当选总统唐纳德 特朗普身边多名 幕僚 8 日透露, 这位先前对美国情报部门关 于 黑客门 事件调查 不认账 的地产大亨 又改主意了, 不再否认俄罗斯通过黑客网络攻击干预美国总统选举 特朗普态度出现转变即将出任白宫办公厅主任的赖因斯 普里伯斯当天接受福克斯新闻台采访时暗示, 特朗普 6 日听取情报部门关于 黑客门 调查的汇报后, 态度出现转变 普里伯斯说 : 我认为他接受了调查结果 他并不否认这一 ( 网络 ) 攻势背后黑手是某些俄罗斯实体 特朗普的另一名高级顾问凯莉安妮 康韦 8 日在美国有线电视新闻网 国情咨文 节目中说, 特朗普 相信 俄罗斯和其他国家曾多次对别国政府机构 企业和个人 发动网络攻击 美国中央情报局 联邦调查局和国家安全局三大情报部门 6 日公布了一份解密版调查报告, 点名俄罗斯总统弗拉基米尔 普京下令发动这场网络攻击, 以削弱民众对美式民主的信心, 破坏民主党总统候选人希拉里 克林顿的获胜前景 报告称, 俄罗斯政府对特朗普有明显偏好, 期望通过诋毁希拉里的方式来提高特朗普获胜的几率 报告称, 俄罗斯军事情报机构授意黑客攻击了美国民主党全国委员会和多名民主党大佬的电子邮件服务器, 并将邮件内容泄露给 维基揭秘 等第三方 报告还说, 俄方行动不限于黑客攻击, 还包括大量宣传攻势 俄罗斯政府通过官方媒体和网络 水军 在传统媒体和社交媒体上大肆散播中伤希拉里的负面消息和 假新闻 重申自己当选合法性美国情报部门官员 6 日就调查结果向特朗普作汇报 普里伯斯等人也陪同特朗普参加了这场长达两个多小时的闭门会议 特朗普会后对是否认同这一调查结果未予置评, 只是重申自己当选的合法性, 声称俄方行动对美国大选结果 完全没有 造成任何影响 迄今为止, 特朗普尚未在公开场合承认俄罗斯制造 黑客门 事件以助自己当选 按照美联社说法, 特朗普时常与幕僚

3 舆情消息 舆情消息 唱反调, 推翻他们代表自己说过的话, 因此, 特朗普会否改口承认 黑客门 有待观望 特朗普此前多次质疑美国情报部门作出的俄罗斯干预美国大选的评估, 将 黑客门 与伊拉克战争前夕所谓在伊拉克发现大规模杀伤性武器的说法相提并论 美国媒体也一度传言他与情报部门 闹僵, 打算整改情报机构, 换血裁人 俄罗斯官方尚未对美国情报部门这一最新调查报告作出回应 值得一提的是, 这份报告的大部分内容都是老调重弹, 没有出示任何确凿证据, 招致不少人士诟病 摘自 :E 安全敬请关注中国信息安全博士网 希拉里 电邮门 迎转机? 美国司法部重启对 FBI 调查 美国司法部监察长 Michael Horowitz 周四表示, 将开始调查司法部和联邦调查局 (FBI) 在总统竞选期间对希拉里电邮门的处理情况 现在距离特朗普当选美国总统 1 月 20 日的就职典礼还有整整一周时间 司法部称, 复审将检视 FBI 局长就希拉里电邮门调查问题沟通时候是否遵循了司法部和 FBI 相应的政策和程序, 并将调查 FBI 在调查决定上是否存在不恰当的考量 调查将包括 FBI 局长 James Comey 在去年 7 月举办的新闻发布会, 以及大选到来前 FBI 两次致信国会的情况 FBI 选择在 10 月底和 11 月初公布信息自由法案 (Freedom of Information Act) 文件的时机, 以及利用推特账户进行公开, 均受到 不当 原因的影响, 司法部说道 去年 10 月 28 日, 美国联邦调查局局长 James Comey 透露, 正在调查一批涉及民主党总统候选 人希拉里的新电邮, 引发总统大选是否会出现变数的关注 FBI 或司法部在进行调查时通常不会 大张旗鼓, 以免影响调查进程 然而 FBI 却一反惯例, 致函国会, 高调表示要展开调查, 连司法部也大表反对 之后希拉里和特朗普的支持率差距瞬间缩小, 甚至有民调显示, 特朗普支持率反超希拉里 11 月 1 日,FBI 披露 2001 年针对前总统克林顿离任前特赦在逃美国富商里奇事件的长达 129 页的调查文件, 直指克林顿基金会的利益往来 之后克林顿团队反击称, 披露已结案文件 非常奇怪, 因为早已超过信息自由法案的规定时限 司法部表示, 复审是应众多国会监督委员会 多家机构的主席和高级成员的要求 摘自 : 华尔街见闻 敬请关注中国信息安全博士网微圈

4 特邀作家团激励计划 启动中国信息安全博士网产业观察 产业观察 2017 年互联网隐私 : 预测和安全建议 个孤立的事件 随着物联网 (IoT) 设备的广泛应用, 它们将继续受到攻击 因为这些智能设备很少更换或升级, 而物联网设备制造商往往只包括最低功能, 缩短开发 胁 看来,2017 年世界各地的互联网隐私安全性将更多地下降 例如, 美国人担心新一任政府可能会 侵蚀网络隐私, 英国现在推出了一个前所未有的监督法, 允许大规模黑客合理 过程和削减成本 这对于企业的隐私是特 存在, 而这可能导致大量数据泄露 而给人们 很明显,2016 年可能是网络隐私最糟糕 的一年, 考虑到世界各国政府越来越严格的监管法律以及黑客肆虐, 例如超过数以百万计雅虎用户帐户泄露, 一些国家对互联网进行限制 那么, 人们在 2017 年可以期望什么? 这种趋势是否会继续下去, 人们是否会面临更多的互联网限制和黑客入侵? 以下是调查机构 NordVPN 公司对于 2017 年互联网隐私发展的预测, 并提供了一些如何保护自身安全的建议 (1) 移动勒索软件将增加 黑客使用勒索软件和恶意程序安装在计算机上, 阻止用户访问系统或某些文件 当用户支付勒索软件的创建者 ( 通常是比特币 ) 时, 这种软件才被删除 虽然预计一般勒索软件会随着新技术的创建和法律执行力加强而减少, 但针对移动设备的勒索软件预计会上升 由于移动用户通常在云上备份他们的数据, 移动勒索软件将直接从他们的帐户窃取用户的银行凭证 (2) 物联网恶意软件将增加 不幸的是, 2016 年 10 月的 Dyn 公司遭受 DDoS 攻击并不是一 别危险的, 因为较少的安全特征意味着更容易的后门访问 当一个设备受损时, 黑客可以容易地侵入互连设备的整个系统 2017 年, 将有更多的智能设备可能已经安装恶意软件或具有后门漏洞, 这将是对隐私是一个巨大的隐患 (3) 无人机加强控制 如今, 无人机越来越受欢迎, 无人机既可以是一个个人爱好, 也可以用于企业业务 无人机的应用将在 2017 年变得越来越普遍, 这是合乎逻辑的 不幸的是, 有一些证据表明, 黑客可以控制无人机们 亚马逊公司和物流巨头 UPS 公司都宣布计划通过无人机向消费者提供包裹 黑客可能会采用手段控制无人机, 从而拦截发送给消费者的包裹 除此之外, 许多执法机构正在使用无人机进行监视 据预测, 监视无人机的视频和音频馈送可能会被黑客拦截或解除 (4) 更大的审查和政府监督力度 根据调查机构的研究, 互联网自由度已经连续六年下降, 并且没有停止的迹象 2016 年, 大量的互联网自由遭遇打击, 如引入严格的数据保留法 ( 即在英国和波兰等 ) 和 WhatsApp 和 Viber 等法律攻击通信应用程序, 以及阻止某些社交媒体网站 这些对通信应用和社交媒体网站的打击与限制公民隐私和增加大规模监控的尝试密切相关 这可能是人们的隐私所面临的最大威 带来了一个有希望的消息是当前的欧盟法院裁决, 将会打击英国的监督法 如何在 2017 年确保自己的网络安全为了更好地保护自己的隐私, 人们对于网络活动必须保持警惕 互联网用户需要小心, 不要点击奇怪的电子邮件链接, 并且不从非官方的应用程序市场下载软件, 所有的账户具有高强度的密码, 并在上网时谨慎小心 强烈建议学习互联网隐私最佳实践, 因为人们将进入 2017 年 此外, 强烈建议使用安全的隐私工具, 如 VPN, 帮助隐藏用户的真实位置 (IP 地址 ) 和加密通过互联网传输的所有信息 这样的用户变得不可能跟踪,NordVPN 通过其现代安全协议可以帮助用户匿名浏览互联网, 并且没有日志政策 一般来说, 没有理由相信,2017 年的全球隐私安全性会比 2016 年更好, 因此很可能会面对网络犯罪犯罪分子, 大规模数据收集, 以及更多的数据泄露威胁 互联网用户需要采取自己的预防措施, 以保证安全和隐私 摘自 : 机房 360

5 产业观察 产业观察 研究发现 : 企业害怕移动设备成为最大安全威胁源 在 Tech Pro Research 最近的一次调查 中发现,45% 的受访者认为移动设备是其公司在安全性方面最薄弱的环节 根据 Tech Pro Research 在 5 月进行的一项在线调查显示, 日常威胁 ( 如涉及移动设备的安全漏洞 ) 比网络犯罪行为更令人担忧 这项研究的更多结果如下图所示 : 总体而言, 受访者更关心的是关于运行的网络安全漏洞而非网络攻击 本次调查中有近一半的调查对象来自员工人数在图片来源 : E r i k 50 人以下 Underwood/TechRepublic 的小型企业, 报告作者杰克 沃伦 (Jack Wallen) 指出, 大家都误解了, 以为小型企业不是网络犯罪分子所针对的对象 Wallen 表示 : 虽然大多数网络攻击都有更大的目标, 但是网络攻击者用更小的目标来当做攻击 最终目标的垫脚石这也并非不可能 当被问及他们认为什么是他们公司内最薄弱的安全环节时, 45% 的员工选择了移动设备 鉴于智能手机, 笔记本电脑, 平板电脑和可穿戴设备在工作场所的广泛应用, 这并不是一个令人惊讶的发现 Tech Pro Research 在 2016 年早些时候的移动安全调查中曾发现,47% 的受访者表示他们公司中的几乎所有员工都使用公司提供的或个人移动设备来工作 该调查的受访者还表示, 用户认证 数据加密和设备管理软件等安全措施的使用经常是不一致的 为了解决移动设备安全的问题, 以及许多其他报告的 无线链路 ( 如无线网络和员工数据 ) 问题, 受访者认为关键在于对最终用户和管理层的安全教育 教育加上研究政策所得的解决方案以及最佳做法能够高于其他策略 将系统迁移到更安全的平台或更换更安全的提供商, 再或购买更安全的硬件, 都能够解决弱链接等问题 Tech Pro Research 报告软文查看以及本文资料来源 : techproresearch.com/downloads/ cybersecurity-research-2016-weaklinks-digital-forensics-andinternational-concerns/ 摘自 :ZD 至顶网安全频道 越过网络层看威胁 : 为什么全攻击界面才是最重要的 随着新技术融入企业环境, 安全实践者必须更全面整体地看待企业风险管理 几十年来, 企业都将自身安全工作重点放在网络边界防御, 以及保护服务器 计算机和网络设备方面 然而, 在互联世界, 硬件定义的 方法不再具有意义 随着企业转向软件定义的网络, 他们需要越过网络层来防护不断扩张的攻击界面并考虑 : 无边界攻击界面是怎样让今天的企业安全模型失效的? 企业可以采取哪些措施来跟上不断进化的威胁? 在网络安全上, 企业面对的是难以攻克的高地, 因为他们需要保护的攻击界面已经扩张了很多, 且还在进一步膨胀中 在过去, 保护好网络和终端便已足够, 但现在这种应用 云服务和移动设备 ( 比如平板 手机 蓝牙设备和智能手表 ) 越来越多的情况下, 企业要面对的, 是一个大为延伸了的攻击界面 全球风险管理调查揭示, 今天 84% 的网络攻击都针对的是应用层而非网络层 企业需要 将安全工作的范围扩大到包含进这些新领域 但是, 有 2 个攻击领域是被企业安全人员忽视得最严重的, 尽管它们代表了对业务的严重威胁, 且越来越受到了黑客的青睐 : 物联网 (IoT) 和微服务 / 容器 1 物联网虽然政客和安全专家一直在提醒网络攻击的风险, 他们却极少 ( 如果有的话 ) 提到 IoT 相关的风险 鉴于所有设备全球连接性引发的严重安全问题, 他们应该做出这方面警告的 IoT( 例如 : 物理安全系统 灯泡 家电 空调系统 ) 将全球公司企业暴露在了更多的安全威胁之下 美国中情局 (CIA) 前 CISO 罗伯特 比格曼认为, 管理个人健康和安全系统的 IoT 设备, 将成为下一个勒索软件金矿 正如自带设备办公现象, 公司企业需要调整他们的风险管理实践, 扩大风险评估范围, 将所有联网设备囊括进来 如果员工的智能手表可被用以窃取公司 WiFi 口令, 那这款手表就落入了公司风险评估的范围内 这种情况下, 公司企业面对的主要挑战之一, 是怎样存储 追踪 分析由于网络风险评估过程囊括进 IoT 而产生的大量数据,

6 产业观察 产业观察 并让这些数据发挥作用 新兴网络风险管理技术可能会对此有所帮助 让事情更复杂的是,IoT 产品的开发先于通用安全框架或标准的产生 对很多 IoT 产品而言, 安全都只是事后考虑的问题 解决 IoT 设备安全缺失问题的唯一合理方案, 就是设立要求使用可信网络和操作系统的新标准和政府监管 在那之前, 企业至少应保证部署的 IoT 设备遵循标准友好的中心辐射式网络协议, 这样能更好地抵御攻击 另外, 公司企业或许也可以考虑扩大渗透测试的范围, 将这些化外设备包括进来 2 微服务/ 容器咨询公司 451 Research 最近的报告指出, 近 45% 的企业要么已经实现, 要么计划明年推出微服务架构或基于容器的应用 该数字证实了围绕这些新兴技术的大肆宣传, 这些技术应能简化应用开发者和开发运维团队的生活的 微服务被用于有效分解大型应用, 使之成为更小巧独特的服务 ; 而容器在这种环境下则被视为微服务架构的天然计算平台 通常, 每个服务出于特定目的提供一组功能, 不同服务相互作用以组成整个应用 中型应用由 个服务构成 相应地, 这些微服务应用的物理特性就与它们的 多层次前辈们大不相同了 将传统应用分解成大量微服务实例, 自然扩大了攻击界面 因为应用不再集中在少数隔离的服务器上 而且, 容器也可在数秒内被中断或关停, 导致几乎无法手动追踪所有这些改变 基于微服务的应用的引入, 需要我们重新思考安全假设和实践, 将重点放在监视服务间通信 微分段, 和未使用及传输中数据的加密上 最后, 企业不应害怕对新兴技术的利用, 它们可以提升业务效率, 对公司的总体成功做出贡献 然而, 安全实践也必须随之应用更整体的方法来搞定企业风险管理 这意味着不仅仅采取更广泛的供应商风险管理, 还包括了从新攻击界面上收集安全数据 鉴于大多数 IoT 设备和微服务都欠缺足够的安全框架或工具来检测安全漏洞, 传统方法, 比如渗透测试, 应重新纳入考虑 尽管它们价格不菲 摘自 : 安全牛敬请关注中国信息安全博士网微信公众帐号

7 政府之声 政府之声 湖南省第五届网络文化节闭幕 民带来了全新的互动体验 其中, 音画湖湘美 全景 游 三湘 回望出发的地方 网友重走长征路 千古湖湘风雅 1 月 12 日晚, 湖南省第五届网络文化节闭幕式暨芒果 TV 互动电视盛典在长沙举行 由湖南省委宣传部 湖 非遗 党史微故事大家讲 最美基层文化人等活动, 通过各种形式和渠道向外推介湖南 展示湖南, 讲述了一个个精彩的湖湘故事 新湖南 华声在线获评湖南十大最受欢迎移动应用软件晚会以歌舞秀 互联时代 拉开序幕, 气氛热烈, 整台晚会紧扣网络文化发展主题, 奉献了 半床棉被的传承 蒙达尔纪 湖南第五届网络文化节闭幕式现场 南省委网 小品情景秀 一家老小的互动生活 互动相 信办主办, 以 天朗气清新家园 为主题, 建设富饶美丽幸福新湖南为主线的第五届网络文化节圆满收官 在闭幕式现场, 新湖南 华声在线获评 2016 年湖南十大最受欢迎的移动应用软件产品, 受到湖湘网友的热情 点赞 讲湖湘好故事 800 万网友传递网络正能量本届网络文化节共设 时代之光 湖湘之美 传承之道 公益之花 青春之旅 五大板块 27 项主题活动, 是项目最多 参与单位覆盖面最广的一届, 系列活动为网友奉上一道丰盛的文化大餐 据统计, 本届网络文化节共吸引近 800 万网友参与, 征集作品数量 9635 件, 全网总点击及互动次数超 2.5 亿次, 实质帮扶对象达 人 与前四届网络文化节相比, 此届文化节活 声秀 迟到 青春歌舞秀 最好的时光 等 16 个精彩节目, 以歌 舞 小品 相声 朗诵等节目艺术再现网络文化, 内容丰富, 精彩纷呈, 充满创意 闭幕式上, 湖南省委网信办发布了 2016 年湖南十大正能量互联网新闻事件, 女红军 半床棉被 故事打动无数年轻网友, 寻找红色小镇蒙达尔纪与湖南 血脉相连 的故事告诉年轻网友 我们出发的初心, 网络精准扶贫网络微公益呼应 四跟四走 拔穷根, 京广线上最 暖心 菜农专列让全国网友感动得一塌糊涂 正能量从网络空间奔涌而来, 温暖满满 2016 年湖南十大最受欢迎的移动应用软件产品也同步发布, 它们分别为新湖南 华声在线 芒果 TV 时刻 掌上长沙 掌上浏阳 友阿海外购 智搜搜 搜农坊 映客直播 动表现形式更丰富, 涉及范围更广, 更注重新技 术 新应用的展现, 利用 VR H5 等技术为广大网 摘自 : 华声在线 广州加快步伐打造 大数据之城 1 月 14 日电, 广州推广电子处方 电子病历 ; 推动各级文物文博公共服务机构开放部分高价值数据 ; 培育大数据产业体系, 到 2020 年引进 培育大数据产业园区 ( 小镇 )10 家 这是近日广州市政府印发的 关于促进大数据发展的实施意见 中披露的 意见从夯实大数据基础设施建设 促进大数据资源共享开放流通 推动大数据应用 布局大数据产业 加强大数据安全防范等多方面, 全方位展示了广州加快步伐打造 大数据之城 的规划和行动 以政府 信息孤岛 现象为例, 意见提出加快开展政府数据资源共享开放绩效评估, 以政绩考核的方式, 倒逼市区两级政府加快数据资源的交换与共享, 减少群众办事 多跑腿 现象 而对于数据共享开放的基础 各类数据的标准问题, 意见提出加快推进政府数据资源目录体系建设, 逐步实现政府数据向政府数据汇集平台归集, 实现一数一源 广州市政府还鼓励社会对政府数 据资源进行增值利用以及社会数据共享共用 意见提出要释放政府数据红利, 综合利用政府数据开放平台, 以多种形式, 安全 公平地对社会开放交通 人口 旅游 医疗 教育 商务 信用等多方面政府数据资源 同时, 引导企业 行业协会 科研机构整合相关资源, 结合政府脱敏后的公共数据资源, 为企业提供行业大数据服务, 激发大数据领域创新创业活力 为了优化大数据产业布局, 构建产业集聚优势, 广州还计划构建由 东部大数据产业带 广州大数据创新创业驱动核 广州大数据产业聚集发展核 一区一特色大数据产业 组成的 一带双核多区 产业空间结构 此外, 意见还提出了广州大数据发展的目标, 通过政府数据开放及应用引领, 到 2020 年, 打造具有广州特色的大数据产业体系, 成为全国大数据应用先行区 大数据创新创业示范区 大数据产业核心集聚区, 并力争主营业务收入超过 20 亿元的大数据龙头企业超过 10 家, 主营业务收入过亿元的大数据骨干企业超过 30 家 摘自 : 新华社

8 政府之声 政府之声 太原理工大学成立大数据学院和研究院 1 月 12 日, 太原理工大学举行大数据学院 研究院 暨山西省大数据发展联盟揭牌仪式 山西省省长楼阳生对成立大数据学院和研究院作出批示, 副省长张复明出席并揭牌 楼阳生批示指出, 大数据战略是山西省委 省政府深化转型综改 实施创新驱动的重大战略选择 作为植根三晋的领军高校, 太原理工大学认真贯彻落实山西省委 省政府决策部署, 在充分落实教学科研目标 产业协同项目和合作企业的基础上, 依托在煤炭与非煤产业链等工业领域积累的丰厚数据基础, 实体化成立了大数据学院 大数据研究院, 充分彰显了太原理工大学矢志不渝服务地方经济发展的鲜明办学导向 希望太原理工大学进一步发挥工业大数据 空间信息大数据等领域研发优势, 把大数据学院 大数据研究院办出特色 办出水平 办成一流, 统筹政产学研用协同发力, 把大数据广泛应用到深化转型综改的主战场, 为山西省实施大数据战略, 培育数字经济, 建设智慧山西, 促进转型升级, 实现振兴崛起作出新的更大贡献 太原理工大学校长黄庆学表示, 大数据学院以统计学 计算数学 数据科学与技术等学科为支撑, 可实现与高分辨率卫星遥感数据 机械制造 能源 管理学 环境学等学科的深度交叉研究, 并在人才培养 协同研究 管理优化 学科发展四个方面先行先试 探索创新 摘自 : 山西日报 重庆市成立重大决策网络舆情风险评估专家咨询委员会 1 月 11 日, 为进一步提升重大决策网络舆情风险评估的准确性 权威性, 推进科学决策 民主决策 依法决策, 重庆市委网信办成立重庆市重大决策网络舆情风险评估专家咨询委员会 据了解, 作为重庆市社会治理创新实践探索, 目前重庆已在全国率先建立了重大决策网络舆情风险评估机制 提升重大决策质量我市探索建立网络舆情风险评估机制记者了解到, 为贯彻落实党的十八大关于 坚持科学决策 民主决策 依法决策, 健全决策机制和程序, 发挥思想库作用, 建立决策问责和纠错制度 的要求,2016 年, 重庆市在全国率先把网络舆情风险评估与合法合规性审查 社会稳定风险评估等工作同时纳入重大决策 重大项目 重大改革措施等制定实施过程中的前置程序, 进一步优化完善了决策机制和程序, 为进一步推进科学决策 民主决策 依法决策夯实了基础 重庆市委网信办负责人介绍, 建立重大决策网络舆情风险评估机制, 其主要任务是在重大决策实施前, 围绕决策的可行性 民意认可度等方面, 对项目 进行预判, 进而调整决策 建立风险防范和处置措施, 从源头上预防和减少风险, 确保重大决策顺利实施 开展重大决策网络舆情风险评估工作启动以来, 市级各部门积极落实网络舆情风险评估机制, 更加注重从决策 政策 项目 改革等方面加强利益协调 诉求表达和权益保障等机制建设, 认真查找并解决各种矛盾和问题, 切实维护人民群众的合法权益 截至目前, 重庆市委网信办已对提交重庆市委常委会和以重庆市委名义公开发布的文件 30 余项重大决策进行了网络舆情风险评估审查, 并提出舆情风险防控意见 专家助力为提高重大决策 含金量 加码为增强网络舆情风险评估审查的权威性, 由二十余位资深新闻记者 法律专家 舆情专家和相关综合部门负责人组建的重大决策网络舆情风险评估专家咨询委员会正式成立 他们的主要职责是 : 对提请市委常委会审议的党内法规 政府规章 规范性文件 拟公开发布的文件以及重大民生等重大决策进行网络舆情风险评估, 提出意见建议 ; 对社会关注 影响较大的文件及重大民生事项等话题进行评论解读, 以利于社会公众正确理解相关政策 某些重大决策有可能初衷是好的, 但好的出发点要变成好的落脚点, 并达到好的效果 委员会成员 重庆大学舆情信息研究所副所长凌晓明认为, 实施重大决策网络舆情风险评估工作, 是市委优化执政能力 顺应民众需求的重要探索, 其意义在于通过上情下达 下情上达, 更大程度 更大范围征求意见, 让决策尽可能减少争议, 尽可能多的达成共识 西南大学新闻传媒学院副院长秦红雨认为, 如今, 网络已成为最大的表达诉求平台, 社会各阶层参政议政愿望越来越高 成立专家咨询委员会可以促进决策民主化 透明化 科学化, 打通政府和民众亲密接触的 最后一公里, 是一种非常有益的尝试 重庆大学新闻学院院长董天策说, 他自己本身也是民众中的一员, 更能从民众的切身利益去感受重大决策 ; 同时也可以从专业角度去评估重大决策的合理性 现实性 为网络舆情风险评估机制增加这道关口, 能让重大决策的制定更加科学 更接地气, 更能符合民众诉求和利益 首批受聘专家纷纷表示, 将在参与社会深层治理中发挥特长, 用经验和智慧推进重大决策事项顺利实施 切实保障群众切身利益, 为深入开展重大决策网络舆情风险评估机制贡献力量 摘自 : 重庆日报

9 政府之声 政府之声 贵阳携手印度国家信息学院共建大数据人才培训基地 6 日消息, 记者从贵阳国家高新区管委会获悉, 贵州省贵阳市与印度国家信息学院 ( 简称 NIIT) 共建的贵阳安艾艾迪大数据云教学实训基地 6 日在贵阳国家高新区正式落成, 该培训基地将为贵阳发展大数据产业提供人才保证和智力支撑 NIIT 目前是全球最大的 IT 教育和提供 IT 解决方案的公司之一, 总部位于印度新德里, 已在世界 33 个国家开展业务, 也是最早进驻中国的印度 IT 企业之一 贵州是中国首个大数据综合试验区, 贵阳作为贵州创建国家大数据综合试验区的核心区, 在发展大数据方面已取得显著成就 目前, 贵阳已经成为国内知名的大数据应用中心, 在中国率先创建国家级大数据产业发展集聚区, 举办全球首个以大数据为主题的博览会和峰会, 并且成立了全国首家大数据交易所, 建设首个全域公共免费 WiFi 城市和大数据战略重点实验室 贵阳市政府副市长徐昊表示, 近年来贵阳与印度友好交流频繁 合作不断深化 早在 2014 年 12 月,NIIT 就与贵州在发 展中印大数据和软件产业进行了友好交流 ; 2015 年 5 月, 中印经贸论坛上, 贵州省政府与印度工业联合会签署了相关合作谅解备忘录, 明确贵州省政府与印度工业联合会在贵州大数据产业领域扩大全方位交流与合作 ; 2016 年 5 月, 在中国贵阳电子商务大会暨贵阳国际大数据产业博览会上, 贵阳市人民政府与 NIIT 签署了战略合作协议 2016 年 11 月, 贵阳国家高新区与 NIIT 正式签署投资合作协议,NIIT 在高新区注册成立贵州安艾艾迪教育科技有限公司, 并在贵阳国家高新区建立贵阳安艾艾迪大数据云教学实训基地 贵州省委常委 贵阳市委书记陈刚曾指出, 贵州 贵阳发展大数据, 关键在人才, 短板也在人才, 而解决大数据人才短板问题, 短期靠引进, 长期靠培养 据了解, 贵阳安艾艾迪大数据云教学实训基地将依托 NIIT 创新的大数据教育和培训优势, 配备先进的教学设备, 开启全球领先动感云课堂教学模式, 结合企业实际需求, 制定复合型培训课程体系及项目实训, 为贵阳大数据产业的发展培养更多精英人才 摘自 : 中国新闻网 陕西将建成 互联网 + 政务服务 实现办事一网通 近日, 陕西省人民政府办公厅正 式发布 关于加强推进全省 互联网 + 政务服务 工作的实施意见 ( 陕政发 号 ), 加快构建陕西 互联网 + 政务服务 体系, 推动政务职能转变, 提升政务服务水平 意见 要求, 坚持系统谋划 坚持问题导向 坚持开放共享 坚持依法行政四个基本原则, 整合利用已有线上线下政务服务资源, 实现政务服务工作规范化 便捷化 2017 年底前, 基本建成省级 互联网 + 政务服务 平台, 全面公开政务服务事项, 实现统一申报 统一受理 统一反馈和全流程监督, 显著提升省级政务服务能力 到 2019 年, 建成省级统筹 部门协同 贯通市县乡村的多级联动 互联网 + 政务服务 体系, 做到政务服务事项 应上必上 全程在线, 实现办事一号申请 一窗受理 一网通办, 大幅提升政务服务标准化 网络化 智慧化水平 意见 提出, 建立健全政务服 务体系 推进实体服务中心与政务服务网深度融合 通过统一建设的数据共享交换平台, 依托电子政务网络和互联网, 实现线上线下的深度融合和省 市 县 乡 村五级联动 规范优化政务服务 规范政务服务事项管理, 构建多方参与的权力运行监督体系, 创新政务服务模式 夯实基础支撑 建立健全制度标准, 健全电子证照和身份认证管理, 完善网络基础设施, 加强网络和信息安全保障 加强组织保障 强化组织领导, 理顺管理体制, 严格督促考核 摘自 : 中国网信网 敬请关注中国信息安全博士网

10 学术交流 学术交流 五种手段抵御社会工程攻击 社会工程已成为 75% 普通黑客们的 工具包, 而对于成功的黑客, 这个比例 在 90% 以上 约翰 迈克菲破防火墙很难 ; 通过电话冒突充技术支持很简单 动机满满的黑客, 极少会从一开始就去尝试用技术手段攻击目标, 他们更喜欢从人入手而不是去黑服务器 显然, 要解决社会工程问题, 很大程度上应将重点放在培训上 太多的公司都遵循 犯错就炒鱿鱼, 我们来告诉你你啥时候饭了错 的策略, 但这并不能完全免除 IT 员工的责任 我们可以看看下列很容易就能实现的一些措施 1 合理的访问控制一般情况下, 自由地共享信息是件好事, 但真的有必要让每个员工都有路由器管理员口令吗? 而另一个极端, 是 连工作所需的资源都禁止访问, 比如某科学家的办公环境防火墙甚至不让她访问 科学技术 类别 后一个案例中, 该科学家认为是 IT 部门造成了这个麻烦, 但从个人角色和所处环境考虑, 其实她也可以用重路由搞定的 如果规则毫无意义, 雇员就会绕开它们, 让访问策略形同虚设 理想的信息策略应是简短而全面的 例如, 会计部门要能够看到客户数据库, 但前台接待员就没必要也有这个权限了 2 给员工放权这一条跟上一条看起来似乎是自相矛盾的 重点在于 : 黑客利用的就是面对实权人物时人们的焦虑, 比如面对公司主管或律师时 如果雇员不够胆拒绝请求, 黑客就成功可期 很多公司里的标准实践就是 : 除了最常规的要求, 不轻易接受任何电话请求 ; 无论是谁接到电话, 都会问对方姓名和公司 不是电话号码, 号码是要查黄页后回拨的 这么做, 就能知道对方是不是如声称的在某公司担任某职务了 3 不断强化某种形式的正规强制培训无疑是不错的想法, 但强迫人们坐到一个房间里听老师滔滔不绝 1 小时, 是不太可能让他们积极转变的 在鼠标垫上打印邮件附件和 U 盘警示花不了几个钱, 同时, 每周一封简短的入侵案例研究邮件能起到很 好的意识培训效果 4 社交媒体大多数人会想都不想就把度假地点和孩子学校名称给发布到网上 在黑客假装是熟人的时候, 问题就来了 人们大多不好意思在聊天的时候问对方 你谁啊? 脸书 微信什么的当然可以用, 但一定要注意潜在的风险, 好好想想该怎么安全畅游社交网络 5 外部帮助有预算的话, 请外援是个很有价值的选项, 或许就是一系列渗透测试和随之而来的研讨会 除了见识到陌生人获取内部信息是多么容易, 由外部组织进行的培训通常还会被以全新视角看待 结论沦为诈骗受害者的, 很多都是接受过良好教育的聪明人, 只不过, 没能认识到其中风险而已 帮助别人, 是一种高尚而非常人性的冲动 关键在于, 要确保不能毫不怀疑地就把可能造成伤害的信息交到坏人手上 如果员工和管理层不能相互倚赖, 员工的不良情绪就可能切实伤害到公司安全 而鉴于所属行业, 公司或许还要考虑诸如勒索等对高层发起的攻击 开明的公司氛围, 会让员工在觉得有 钓鱼 嫌疑的时候发出质疑, 防止掉某些最具破坏性的攻击 内部人威胁 摘自 : 安全牛 如何发现防不胜防的边信道攻击? 反 病毒软件捕捉不到 Rowhammer 及类似边信道攻击, 于是, 一组美国科学家着手研究该怎样捕获这些攻击的特征 一旦考虑到实验室环境和间谍工具之类的东西, 边信道攻击就是很具体的事儿了 举个例子,Rowhammer 攻击 这是一个通过快速重写 RAM 行, 以纯软件方式翻转 RAM 上邻近存储单元的攻击方法 最终, Rowhammer 能使攻击者搞崩内核进程, 获取到 root 权限 美国马萨诸塞州伍斯特理工学院 (WPI) 的 3 名研究员, 在国际密码研究学会 (IACR) 发表了一篇论文, 展示了类似病毒扫描的边信道攻击检测技术 他们在文章中指出, 标准反病毒软件检测不了 Rowhammer 之类的漏洞利用, 因为此类攻击 明显基于无辜的指令集 虽然防御此类 微架构 攻击是可能的, 但这 3 名研究人员提出的方法, 是在边信道恶意代码部署之前 ( 比如投送到应用商店 ), 就扫描软件以确保二进制代码干净 他们的工具名为 MASScan( 微架构静态扫描 ), 基于对恶意边信道攻击方式的分析 : 缓存攻击 通过制造缓存争用起效 此类攻击的共同特征, 是对高分辨率计时器的需求 ; 它们使用内存屏蔽来连续针对性读取操作 ; 利用共享的内存刷新指

11 学术交流 学术交流 令等实现缓存驱逐 DRAM 访问攻击 造成系统内存冲突 此类攻击与缓存攻击类似, 共享计时器 内存屏蔽和缓存驱逐特征 Rowhammer 攻击 仅有缓存驱逐一个明显特征 通过阻断内存总线制造隐秘信道 高分辨率计时器和锁定指令的组合, 目的是拖住内存总线以在两个共存进程间建立隐秘信道 MASScan 的重点在于分析二进制文件以发现这些特征 当今病毒扫描器发现不了的特征 MASScan 是一组 IDA Pro 反汇编调试器脚本集, 可被转译成适用于其他二进制分析器的代码 比如说,cflush 指令本身不是恶意的, 那么 MASScan 寻找的就是 cflush 指令的循环执行 也就是缓存攻击 DRAM 访问攻击和 Rowhammer 攻击全都利用的操作 比较遗憾的是 : 除了资本化, MASScan 同时也是 Errata Security 出品的一款声名狼藉的端口扫描器的名字, 那款扫描器名为 Masscan, 仅仅是大小写不同而已 希望 WPI 三人组发布代码的时候能改个名字, 免得撞名 摘自 : 安全牛 如何通过 限制管理权限 来保护您的企业? 们发现有这样一个问题可用来判断我 IT 部门的安全能力 这个问题并不是有关他们的认证 预算 防火墙或者下一代行为分析工具, 这些常见的信息安全做法都无法有效缓解简单安全配置错误带来的风险 这个问题是 : 是否所有用户都有对工作站的管理权限 那么, 为什么这个问题可判断他们的信息安全能力呢? 我们听到 IT 部门的借口通常包括这几样 他们解释说他们的软件需要管理访问权限, 如果没有就无法运行 其他人则解释这样可让用户更容易地对应用进行软件更新, 因为让用户可自己安装软件,IT 部门就不会有太多工作要做 放下借口这些借口有一定的道理 有些应用确实需要对工作站的管理权限访问, 这些应用通常需要直接访问硬件, 它们不使用标准的 Windows API 这些类型的应用示例包括集成自定义 CD/DVD 刻录工具或者硬件许可证加密狗 然而, 这些应用例外并不足以让 IT 部门为所有用户提供管理访问权限 ; 毕竟这样做的风险太高 同时, 大多数 IT 部门都缺乏人才资源,IT 部门的员工都需要做各种各样的事情 检查每个应用并确定适当的安全权限已经成为 IT 遥远的记忆 新应用经济和 DevOps 式管理让系统管理技能黯然失色 不仅没有人有时间来正确配置安全, 当他们试图花时间来构建安全的系统时, 实际上还会被视为障碍 没有人意识到花费在安全配置系统的时间可确保企业的安全投资获得最大的投资回报率 那些允许所有用户对 Windows 计算机具有管理访问权限的企业更容易受到攻击 攻击者只需要让受害者访问带有恶意有效载荷的网页或者打开附件即可, 随后该有效载荷可通过受害者的登录凭证安装在所有用户机器中 攻击者还可禁用防病毒软件允许他们使用更多工具进行进一步攻击 他们甚至可清除事件日志来掩盖攻击者的踪迹并防止被发现 大多数企业没有意识到的最大问题是, 在这样的攻击情况中, 攻击者还可访问存在于被攻击机器中所有的凭证信息 Mimikatz 等工具可用于直接从系统内存获取这些秘密 复杂的 27 个字符的密码都会失去作用, 即使是上世纪 90 年代的旧工具 Cain&Abel 都可用于从 Windows 电脑提取凭证信息 最初配置系统的电脑技术人员已经缓存本 地存储的凭证信息, 这些都可以被访问以及破解, 电脑中运行的服务账号也容易受到攻击 通过利用这些凭证信息, 攻击者可访问网络中所有计算机, 并可通过有效的登录信息轻松地横向移动, 让检测几乎变得不可能 他们可利用这些技术访问一台电脑, 最终获取对网络的域管理员权限, 这样的话, 我们将看到严重的数据泄露事故 保护您的企业对于这种攻击, 最佳防御是严格限制管理权限以减少曝光 这样, 当攻击者试图在工作站升级其权限, 这样您就有机会可抓到他们 大多数需要管理权限的应用只需要访问 C:Program Files 目录或者 C:Windows 下的系统目录 它们还可能需要能够写入到用户配置文件外注册表区域, 例如 HKLM 微软 Sysinternals 中的 Process Explorer 和 Process Monitor 等免费工具可有效识别注册表及文件系统中的这些权限问题 然而, 如果没有投入所需的时间来配置, 这些工具将无法发挥作用 IT 人员可与管理层合作, 向他们说明妥善管理的机器可减少支持技术基础设施的整体成本 这种成本降低而非风险降低技术会让大多数企业更好地理解以及作出响应 如果所有这些都失效, 则应该考虑向管理层展示 mimikatz 或类似工具清除测试计算机中所有凭证的过程 如果这都不能吸引他们的注意力, 那就没有其他了 摘自 :TechTarget 中国

12 学术交流 学术交流 技术创新促进互联网安全防御能力 业关注的重点问题 但目前很多企业并没有对网络安全问题引起足够的重视, 企业往往从成本考虑, 无暇顾及 并未发生的安全风险, 甚至有的中小企业从未将信息安全防 护措施 不想承担更多安全成本的的企业来说, 一旦发生网络攻击, 数据泄露等问题, 将会成为一场噩梦 此外, 仅有 25% 被调查的企业有信心在遭遇网络攻击的 48 小时 网络安全态势, 及时掌握重要信息系统相关网络安全威胁风险, 监测网络攻击 僵尸网络 病毒木马 安全漏洞情况, 及时发现网络安全事件线索对网络恶意攻击行动, 智能 护纳入企业计划 有个有趣的数据, 在有信 内, 恢复正常业务运营, 将近五分之一的被 告警网络安全威胁, 及时采取有效措施, 全 络与信息安全形势日趋复杂严网峻, 在过去的 2016 年网络安全问题频发, 从网络攻击 系统漏洞 勒索软 息安全预算的企业中,80% 以上的企业是因为曾经遭遇过安全攻击并遭受到损失 据相关机构统计显示, 国内大中型企业一年内因信息安全事件平均每家损失达 240 万美元, 调查者认为, 他们没有信心在公司遭到猛烈的网络攻击后可以在 48 小时内恢复公司运营, 这一点是十分令人担忧的 要知道, 如果不能立即采取有效手段来止损, 响应不够 程进行识别和监视, 及时预警, 阻止和 击落 攻击信号 做到实时预测 提前感知 事前预防, 事中检测, 事后措施, 从基础层面保障网络安全 件 黑客丑闻 数据泄漏等, 网络安全事件 而每年计算机及网络犯罪活动带来的损失超 迅速, 很有可能给企业带来不可估量的严重 二 丰富的防御资源 动力在线在全 带来的影响, 已经逐渐深入扩展到政治 法 过 4450 亿美元 但是根据调查,23.9% 的企 损失 国建立了的分布式防御节点, 对于攻击流量 律 军事 经济 民生等各个层面 在网络 业没有信息安全团队,30.3% 的企业每年基 企业希望寻找安全服务商给予足够的支 直接就近牵引 防护和回注 动力在线还自 安全道路上, 我国正在全面推进, 2016 年 本上没有信息安全预算, 接近 40% 的小微企 持, 尽管当前网络信息安全技术发展迅速, 主研发了全局负载均衡系统, 当单一节点受 11 月 7 日, 第十二届全国人大常务委员会第 业 (100 人以下 ) 没有信息安全团队和资金预 但没有任一种绝对安全解决方案可以防御所 到大流量攻击失效时, 全局负载均衡系统会 二十四次会议表决通过了 中华人民共和国 算, 超过 50% 的金融企业没有任何安全方面 有危及信息安全的攻击, 安全服务商需要不 迅速调度分布式节点进行分布式防御, 因此 网络安全法, 并将于 2017 年 6 月 1 日实施 ; 的投入 2016 年大量网络安全事件被曝光, 断创新技术, 才能为互联网安全保驾护航 单节点的失效并不影响整体安全防护性能 12 月 27 这也意味着大多数中小企业并没有采取合适 在此种形势下, 专注于安全的 IT 基础 该节点原来负责的攻击防护区域的攻击流量 日, 国家 且完善的网络安全防护措施 服务商 北京动力在线通信服务有限公司 自动切换到其他最近节点防护, 切换速度毫 互联网信 企业要了解网络面临的各种威胁, 采 ( 以下简称动力在线 ) 综 秒级响应, 对于业务影响几乎为零 息办公室 取有力措施, 防范和消除这些隐患, 才能保 合自身在 IaaS 领域的优势, 提供多种先进的 三 技术上持续创新 互联网技术日 发布 国 证企业信息安全 对企业而言, 网络安全的 安全技术和独创的网络不间断服务, 保障客 新月异, 相应的安全应对措施也要与时俱 家网络空 威胁主要有 : 1. 软件漏洞 ;2. 配置不当 ; 户网络安全 那么, 动力在线都是从哪些方 进 动力 间安全战略, 网络安全已经上升到国家战 3. 安全意识不强 ;4. 病毒 ;5. 黑客 ;6 同行 面来做到 安全 的 在线在 略高度 恶意竞争等 并且网络威胁将随着 互联网 一 健全的防护体系 在 CDN 领域, PowerCDN 网络安全风险无处不在, 复杂性不断 向纵深领域扩散与泛化, 高级威胁向普通 动力在线一直以来以安全著称, 对于 CDN 而 平台上持 升级, 让今天的互联网企业网络防护比以往 威胁转化的速度会日趋加快, 网络威胁深入 言, 各种形式的 DNS 攻击,DDoS 攻击 CC 攻 续投入较 更为困难 网络风险将仅次于金融风险和 到各行各业, 金融 能源 互联网 教育 击, 任何一种攻击, 都足以让 CDN 大面积甚 大研发力 运营风险, 成为危害公司健康的最大威胁之 医疗 媒体 电商等, 不仅仅是大型企业是 至是全部瘫痪 动力在线建立了完善的防护 量, 几乎每年都会根据用户需求进行性能优 一 如何确保网络数据安全, 万一发生网络 网络攻击的目标, 更多的中小企业同样会 体系, 以感知 防护 检测 响应 恢复为 化和功能增强 针对由于外部等因素致使数 风险事件和信息泄露如何处理, 应该成为企 面临风险 对于不采取或者盲目采取安全防 核心, 建立网络的实时监视系统, 实时掌握 据中心网络中断的问题, 动力在线最新自主

13 学术交流 学术交流 研发了 PowerUNS 不间断网络服务, 在主机房异常时, 自行由链路冗余设备通过专有网络连接主机房持续提供服务, 实现内路链路冗余服务, 保障客户业务的连续性 PowerUNS 在测试期间, 就有用户主动参与共同测试, 并获得用户好评 四 定制化解决方案 越来越多的企业明白, 单一的标准化服务无法满足日益更新的业务需求, 针对这种情况, 动力在线可根据用户不同需求进行定制化安全防护策略, 根据节点 带宽等个性化需求, 为用户提供深层次的业务分析, 定制一套最贴合企业自身业务的解决方案 现阶段, 安全防御成本特别是 DDoS 防御成本较高, 对于某些中小企业而言, 大流量的防御价格可能有些难以接受 因此, 动力在线定制化的防御策略的高资源利用率可以尽可能地降低用户的安全成本 动力在线还根据客户需求提供了许多有效的运维工具, 帮助客户运维人员提高工作效率 动力在线已经为政府 电商 金融 媒体 互联网 教育 餐饮等领域的企业级客户提供安全防护服务 动力在线将不断创新, 发挥安全 稳定的技术优势, 使 安全之盾 更坚, 以防御不断锋利的 矛, 将互联网安全当成自己的使命, 让互联网更美丽 更干净 更安全 摘自 : 中关村在线

14 学术交流 学术交流 怎样充分利用安全预算 全预算会间接影响到信息安全经理安保护公司及其资产的效果, 反过来说, 这也将决定他们在公司能待多久的问题 但信息安全预算大部分来自 IT 部门, 安全经理常常抱怨其不够用, 这已是老生常谈的问题 然而, 事情未必就是矛盾重重难以解决, 聪明的信息安全经理知道在今天这种经济状况下, 自己必须更谨慎地利用资源 对信息安全经理而言, 这意味着更有效地使用资金, 充分利用现有解决方案, 以保护好他们真正担心的重要资产 提升员工技能, 推出性价比高的安全意识项目也包含在其中 1 警惕大黑洞据说,IT 安全预算占总体 IT 预算的 5% 至 15% 取决于你信任谁, 以及你怎样定义安全 本月早些时候发布的一份报告中, Gartner 将这一数字定在了 5% 左右, 并睿智地点出 : 与业内同行做比较是无意义的, 因为你可能将钱花在了错误的地方, 然后依然极度不安全 这阐明了安全预算问题的复杂棘手性 这些预算因公司而异, 取决于报告结构 ( 比如说, 向 CIO 报告而不是向 CFO 报告, 就很可能只拿到更少的预算 ) 高管级关系, 以及现有技术解决方案 然后, 还要确保任何新增购置要与公司现有风险管理和合规实践想吻合 于是, 留给信息安全经理去问的问题还有很多 : 我需要将钱花在什么地方? 已经有解决方案在保护我们了吗? 供应商只是在吹嘘他们的产品吗? 这笔投资对我们管理风险和改善安全的能力到底有多大促进? 知道自家公司面临的威胁态势非常重要, 但却极少有公司做到 埃森哲咨询公司 2016 高性能安全报告 中, 对大型企业 2000 名安全主管的调查发现 :53% 的受访者认为内部人威胁是对公司最具实质性影响的, 而这些公司中大多数都把钱花在了终端和云安全上 而在这数据泄露日益加大, 网络犯罪团伙不断复杂化的时代, 过度开销或投钱到无尽黑洞的危险, 是存在的 我们可以看看美国银行 去年,CEO 布莱恩 莫伊尼汉称, 该美国第二大债权人将投入 4 亿美元到网络安全上, 网络安全将是该公司 20 年预算史上首个不设上限的业务单元 无独有偶, 在 2014 年 8 月的数据泄露事件后, 摩根大通也称其 2016 网络安全预算将达 5 亿美元, 是其上一年度的 2 倍还多 而科伦传播公司最近的文章指出, 花旗银行 IT 安全预算是 3 亿美元 雅虎财经报道, 富国银行每年投入 2.5 亿美元在网络安全上 分析师公司网络安全风投则预测 : 来年网络安全预算还会有进一步增长, 政府和商业方面都有 很明显, 钱越多越好, 但钱花得聪明才是真的好, 尤其是在业内普遍对 多投钱等于更好的安全 这一理论持有怀疑的情况下 2 申请更大的投入虽然说 人不能总是得到自己想要的, 但现实是信息安全预算领域不能遵守这条规律 只要安全与业务目标相一致, 可以分析评估团队表现, 与董事会开诚布公沟通良好, 进一步讨论与预算重评估的机会总是存在的 信息安全经理们应该大胆要求更多的资金 那么, 信息安全经理们怎么弄到更多的钱呢? 用老板们能理解的语言跟他们说啊! 说白了, 就是用 风险 来说服他们 传统上, 信息安全被视为业务成本, 由不理解风险管理的员工负责 技术是二进制竞技场, 通常是基于规则的 但风险不是, 它是个倾斜的天平 信息安全经理需要做的, 是用精炼的语言向业务部门和董事会阐明一项决策可能带来的风险等级 考虑到他们会权衡一个项目的总体风险, 而信息安全经理可以最小化信息安全风险让他们在项目其他部分更冒险一些, 这是完全可行的 通过清除阐述这些, 安全主管将能证明安全给业务带来的价值, 而不是眼前能感受到的开支 这将极大加强可见性, 让董事会了解安全部门的需求, 然后达成一个更好的 预算解决方案 与高管层建立良好关系, 确保他们理解潜在的风险和后果, 尝试与同行比较以显示投资差异, 利用 跟上行业最佳实践 的说辞 将安全项目编织进公司其他项目中, 贴上 使能器 的标签 举个例子, 想要远程访问? 缺了双因子身份验证 (2FA) 可不行 现在你有筹码了吧? 只需更好地理解公司目标, 拿到更多安全预算并非难事 捍卫预算其实全在于展示安全是怎样驱动业务项目的 跟业务部门合作以弄清他们的优先事项, 然后理解让这一切发生所需的安全活动, 然后, 就能给投资创建一个业务用例了 3 充分利用现有条件鉴于以上讨论, 安全预算基本不会太过庞大, 除非是美国银行或摩根大通那种商业巨轮 去年, 尽管 2/3 的信息安全专业学会成员称他们的安全预算增加了, 却有 60% 的人都表示这还是没跟上威胁态势的发展脚步 只有 7% 报告称他们的安全预算比威胁上涨得快 但是, 即便没有理想的预算, 充分利用现有预算达到最大效果还是可能的 就是个围绕风险展开的事儿 可以尝试防御整个公司网络不受攻击, 但实际上, 只有干脆断电断网才有可能做到这一点 信息安全经理们需要更聪明的做法 守护最重视的数据, 而在整个网络部署基础层面上的防御 同时, 可以与供应商沟通, 看他们有没

15 学术交流 学术交流 有充分用好他们的现有解决方案 联系厂商, 问问哪些服务是你尚未实现而值得花钱购入的 仔细考察他们的产品集, 看看还有其他什么功能可以作为增量许可购入 同时, 还可以找找扩大覆盖范围又简化工具集的方法 如果你有一个桌面管理 App 和一个笔记本管理 App, 你能合并简化之吗? 安全项目价值最大化也是个管理好坏的事儿 关注开支, 良好的项目或支持管理, 问问这几个简单的问题 : 为什么? 什么时候? 做什么? 要让资金能撑到最后, 并且花在正确的地方 有效性审查十分重要, 必须查看预算是否对目标有效 2017 应见证信息安全经理在预测安全能力上投入更多 鉴于 SANS 指出了大批新兴花钱领域, 明年消费习惯的快速改变将成为挑战也一点不令人惊讶了 因此, 无论规模大小, 总有办法让安全预算收益更多 何让 PGP 短密钥 ID 免于碰撞攻击? 对开发人员的碰撞攻击针让我们发现 Pretty Good Privacy(PGP) 短 ID 的漏洞, 该漏洞允许攻击者创建假 ID 密钥, 这会给收件人解密或验证邮件制造问题 那么, 这个漏洞的工作原理是什么, 以及为什么短密钥 ID 会成为问题? 散列值的两组不同数据片段 而 PGP 是对消息或文件进行加密和数字签名的加密工具,PGP 的用户会有公钥和私钥, 公钥通常在密钥服务器发布 由于这些密钥都非常长 ( 通常为 1024 至 8096 位 ), 所以我们通常使用公钥的指纹或哈希值来标记密钥, 让某些密钥管理工作更容易和更快速, 例如验证属于其他用户的密钥或者验证证书颁发机构 然而, 当转换为十六进制数字时指纹为 40 位, 这对于人类来说仍然太长而难以使用, 因此人们和很多应用仅使用指纹的最后八位数 这被称为短密钥 ID-- 长 ID 是指指纹的最后 16 位数字 下面是例子 : 指纹 :0D29 F56F 12BD BA07 7B37 15AB 851F 799A B4FF 1057 长 ID:851F 799A B4FF 1057 短 ID:B4FF 1057 识 尽管如此, 使用短密钥 ID 仍然是常见做法, 并构成真正威胁, 特别是当涉及文件下载的完整性时, 例如 Linux 内核 尽管 PGP 本身没有缺陷或漏洞, 但使用短密钥 ID 基本上是不安全的糟糕做法 用户不应该信任比公共 PGP 密钥完整指纹更短的 ID 用于验证 ; 密钥 ID 的目的是帮助搜索密钥, 而不是验证它 用户和软件都需要开始显示和检查完整指纹, 或者至少使用长 ID 长密钥 ID 也可能存在碰撞, 但可能性较小 软件开发人员应该明确编写或重新编写代码以包含整个指纹, 毕竟云计算使得攻击者可为长密钥 ID 生成碰撞攻击 现在那些将 PGP 密钥短 ID 印在名片背面的 PGP 支持者们可能会想要增加指纹的前两位来帮助他人验证其密钥 摘自 :TechTarget 中国 摘自 : 安全牛 Michael Cobb: 当为电子邮件 文档或文件创建哈希值或者消息摘要时, 虽然现代密钥散列函数几乎不存在具有相同哈希值的两个输入, 但两个哈 需要通过使用密码散列函数来生成内容 希值最后八位数相同的几率还是很高 的短数字指纹, 这种数学算法会将任意 事实上, 我们已经发现很多具有相同短 大小的数据映射到短的固定长度值作为 密钥 ID 的欺骗性 PGP 密钥 其唯一标识 哈希值被广泛用于安全的 多年来, 大家已经知道这种碰撞 很多方面, 例如数字签名和数据完整性 攻击成功的可能性 在 2011 年, 软件工 检查, 人们通常会精心选择散列函数以 程师 Asheesh Laroia 有效证明了这种攻 确保它们有较强的抗碰撞性 -- 即两个不 击的可行性, 这个问题在 RFC 4880: 同的输入无法创建相同的散列值, 因为 OpenPGP Message Format 3.3 章节中也 敬请关注中国信息安全博士网 敬请关注中国信息安全博士网微圈 攻击者的碰撞攻击会试图寻找具有相同 有提及 -- 不应该假定密钥 ID 为唯一标 微信公众帐号

16 学术交流 学术交流 新 幽灵主机 技术加强僵尸网络生存能力 过改变域名和向 HTTP 主机字段通加入非恶意主机名, 恶意软件开发者将 Web 安全系统玩弄于鼓掌之间 这种新方法可确保恶意软件作者的 C&C 服务器不被安全系统封禁 发现该技术的 Cyren 安全公司将其称为 幽灵主机, 涉及在僵尸网络通信的 HTTP 主机字段包含进未知主机名 由于这些主机名既有已注册的, 也有未注册的, Web 安全和 URL 过滤系统便会被其骗过 使用该技术的恶意软件家族之一, 还为域名 提供域名解析, 导致多家安全公司将该域名标记为恶意, 对该域名的 HTTP 请求无法通过这些公司保护下的网络 不过, 紧跟 IP 地址的域名解析, 在对新感染僵尸网络发送的 C&C 指令进行分析时,Cyren 研究人员发现了昭示着成功感染新主机的 HTTP 包 而且, 观察到的目的 IP 地址是已知 不良服务器, 而用于请求的 HTTP 主机字段却是完全不同的域 这些就是所谓 幽灵主机 在该具体案例中, 虚假域为 events.nzlvin.net 和 json.nzlvin.net 鉴于只有初始解析的域被封禁, 幽灵主机名依然存活, 所以使用该技术的恶意软件作者能够确保与 C&C 服务器的通信不受影响 而且, 僵尸网络拥有者可以操纵服务器根据收到的 编码 消息 ( 利用不同的幽灵主机名 ), 做出不同的响应 该 C&CURL 的 IP 地址通常不被封禁, 这主要是因为服务器的内容可能合法和非法的两种都含有 如果整个服务器 IP 被封, 用户就再也不能访问合法服务了 上述案例中与不良 IP 关联的幽灵主机还有很多 其中一些是注册过的 ( 与该恶意软件出现的日期一致 ), 更多的则没有注册 但是, 对虚假域名的检测率很低 意味着僵尸网络作者将继续使用 幽灵主机 技术 有效规避检测的技术, 傻子恶软作者才会弃用 幽灵主机是犯罪侵入技术复杂性的又一例证, 也极好地证明了 : 网络犯罪骗术日渐高明的时代, 安全厂商通常是保护公司企业的不二选择 摘自 : 安全牛 医疗大数据爆发点临近个人隐私如何保护? 年来, 我国医疗机构大都各自为政, 多即便是一个医院内部也很难做到信息共享, 如今, 国家力推健康医疗大数据的共享和应用, 但这又将是一个信息共享和个人隐私的博弈 医疗大数据 建立国家级人口与健康科学数据共享平台有重大意义 首先, 我国优质医疗资源不平衡, 如何去了解全国的医疗服务分布, 如何在跨省医疗时得到更精准的信息, 这类数据对此类宏观政策的制定有着很好的帮助和借鉴 ; 其次, 数据更加规范 根据国家的标准去制定 采集和储存数据, 使得数据更具准确性和权威性 1 月 4 日, 中国医学科学院北京协和医学院院校长曹雪涛接受 华夏时报 记者采访时表示, 医疗大数据的共享是基础, 规范发展是关键, 安全是核心, 如何在数据共享过程中保障个人隐私是需要着重去考虑的重要方面 医疗数据平台热潮涌动面对即将到来的 医疗健康大数据 时代, 大数据技术与医疗健康产业融合创新的热潮涌动 2016 年 3 月, 国务院发布的国民经济与社会 十三五 规划纲要中正式提出, 实施国家大数据战略 2016 年 6 月, 国务院办公厅发布 关于促进和规范健康医疗大数据应用发展的指导意见 ( 下称 指导意见 ), 首次把生物学资源和医疗大数据作为国家的基础战略资源, 也把它纳入了国家大数据战略的布局 同年 8 月召开的全国卫生工作会议上, 国家主席习近平特别提出了要完善人口健康信息服务体系建设, 推进健康医疗大数据应用 10 月份, 健康中国 2030 规划 得以发布, 在这个规划里面也把医疗健康大数据应用创新与发展列入了国家一项重要任务 2016 年, 国家召开了一系列的会议, 并且出台了一系列关于医疗健康大数据指导原则和相关文件 曹雪涛表示, 国家级的医疗健康大数据平台对我们国家政府的决策, 对于病人就诊和医改体系完善 科学研究都会作出应有的贡献 据记者了解, 多年来, 我国的防控项目主要应对的是传染病, 很少涉及到慢性病, 因为数据样本小, 慢性病很难统计, 更谈不上预防 对于卒中的发病情况, 高危人群和低危人群相比, 它的发病情况高了 10 倍,2010 年到 2013 年 40 岁以上卒中发病人群还在增长, 项目点还在以 4% 左右的速度增长, 这个增长速度是很难令人想象的 同时, 卒中病人里中年人已经占到将近 50% 这些数据是我们通过国家人口与健康数据共享平台, 经过几百万人的海量数据获得的, 覆盖全国所有的省市 1 月 4 日, 全国人大教科文卫副主任委员王陇德在国家人

17 学术交流 黑客攻防 口与健康科学数据共享平台科技资源发布会上表示, 多年来, 卒中患病率一直没有明确, 如今, 经过这样一个数据平台提供的大样本数据得到了 2% 的患病率结果, 同时得出结论, 卒中病人的数据占比如果控制不好, 对国家和家庭的威胁实在太大 根据这样的数据结果, 王陇德的团队给国家领导人写了一封建议信, 筛查和干预中年人的中风风险刻不容缓, 并且得到国家高层的重视, 要求重视开展中年人中风筛查, 为此, 国家开展卒中综合方案, 在国家建立区域的防控体系, 同时加大中年人筛查干预和防控力度, 到 2020 年, 争取建立起全国的防治体系 据记者了解, 在政策和需求驱动下, 医疗信息化建设将处于景气上升期, 未来几年在医院端电子病历 移动医疗 远程医疗 医学影像等系统的部署将成为行业主要增长点, 预计行业将保持在 15%-20% 左右的增速 ; 同时我国各地市区域医疗信息化平台招投标正在快速展开, 预计未来几年公共卫生信息化将保持在 20%-30% 的高速增长 个人隐私如何保护? 医疗健康大数据的共享和应用是政府管理 商业发展和技术创新的需要, 但也给个人隐私安全带来了威 胁, 使得医疗领域的大数据共享变成了双刃剑 根据 指导意见 的设想, 数据不能只是躺在某个医院的信息系统中, 各家医疗卫生机构的数据应该汇聚到一块 ; 数据也不能只是在健康医疗行业中实现聚合, 应该打破卫生计生 工信 民政 公安 社保 环保 食药品监管等部门的壁垒, 做到跨部门的数据互联共享 ; 数据还不能只是在公共部门内流转, 还应该探索推进 可穿戴设备 智能健康电子产品 健康医疗移动应用等产生的数据资源规范接入人口健康信息平台 而这, 无疑给卫计委等相关部门提出了一个棘手的课题 : 如何做好健康医疗大数据的共享和开放工作 其实, 医疗数据共享与个人隐私的矛盾在发达国家同样是个棘手的问题 2013 年, 英国曾推出一个 Care. data 计划, 将有关病人的数据采集 汇总, 进行共享和使用, 但是实施不过 3 年,2016 年 7 月份, 该项目被关停, 更多的原因则是隐私方面的问题没有做得很好 首先, 对数据的保密性关注不够, 比如, 对个人隐私进行匿名化和脱敏处理之后, 该系统和其他系统关联后, 依然可以通过数据挖掘的方式辨别有关病人 其 次, 项目里没有界定数据开放共享的用处 最后, 采集病人的数据信息时, 并未征得患者的同意 人口健康大数据发展的难题是隐私保护和共享, 比如, 我们的健康档案建了好多, 但我们应用健康档案时出现过好多问题, 有时候半年也拿不到一个市区的数据, 因为他们要保护隐私 1 月 4 日, 国家人口与健康科学数据共享平台管理中心常务副主任尹岭表示, 对于个人隐私, 其平台从数据采集到应用均有一套管理制度, 比如每个单位只授权一个人管理数据库, 责权相对明确, 同时, 将业务数据导出来作为科研数据使用时, 要把个人的姓名 住址等隐私信息去掉 就此, 中国政法大学传播法研究中心研究员朱巍曾表示, 我国现行法律仅将 非法公开 作为承担侵权责任的构成要件, 虽然有利于大数据隐晦性使用的发展, 但也可能导致大数据使用被滥用 为此, 建议在立法上尽早引入 被遗忘权 立法观念, 将用户作为自己信息的控制者, 在不继续使用服务或产品之后, 相关信息保有者应立即彻底删除相关信息记录, 同时, 必须在立法上明确, 法律应禁止医疗信息的非法流动 摘自 : 华夏时报 质疑 : 英警方建议用 WIFI 干扰器惩罚黑客 关罪犯的地方是哪儿? 在监狱 但是对于黑客犯罪来讲, 监狱好像很难关住他们 为此, 英国警方提出了一个建议 : 被定罪的黑客应该穿戴 Wi-Fi 干扰器替代狱中服刑 英国总警司加文 托马斯, 最近声称被定罪的黑客应该穿戴 Wi-Fi 干扰器替代狱中服刑, 以确保他们无法连接到互联网 托马斯表示, 这是正确的惩罚黑客的方式, 每年可以节省大笔费用 目前, 英国一名监狱囚犯平均每年要消耗政府开支 英镑, 而无线网络干扰器会便宜很多 但是这种方法究竟能否行得通呢? 不同的人有不同的看法 从吃瓜群众的角度来看, 这种方法似乎有 偷鸡不成反蚀把米 的意思 有网友表示不能破解 WIFI 告饶期的黑客不是好黑客, 有人说, 不用 wifi 也可以用上网卡上网 ~ 当然还有人认为, 这种方式方式似乎有碍人权 但是从英国警方的角度来看, 这种用 WIFI 干扰器代替监狱服刑的方式不仅减轻了资金投入的压力, 还能更好的惩戒黑客 但笔者只想吐槽 : 为什么我满脑子都只有美剧 ( 猫鼠游戏和傲骨贤妻 ) 中的 GPS 追踪脚环 摘自 : 中关村在线

18 黑客攻防 黑客攻防 手机破解专家 Cellebrite 公司被黑,900GB 数据泄露 这一次, 猎人被狐狸咬了一口 Cellebrite, 这家位于以色列, 长期协助政府执法机构, 提供数字取 证服务及手机破解工具的公司近日被 证实遭到黑客入侵, 共 900G 数据失 窃 据悉, 这些数据中包含了大量 Cellebrite 的用户资料 ( 包括登录信息 ), 技术细节, 遭到破解的手机数据和公司设备日志 其中部分资料显示该公司曾向阿联酋, 土耳其和俄罗斯等政府提供手机破解设备 目前失窃数据还未遭到公开, 显然黑客更倾向于私下交易 在事发后, 黑客联系了 Motherboard 的记者 Joseph Cox, 向他展示了部分遭窃数据, 并表示自己正尝试通过网上中继聊天室出售这些数据和入侵后门 谈及攻击的动机时, 黑客告诉 Cox 这是因为他们对近一段时间西方国家政府立场的不满, 不然本来没人会知道这些东西 除此之外, 他拒绝透露更多细节 我不能向你解释太多我在 Cellebrite 的系统里做了些什么 黑客表示, 抽他们的脸是一回事, 把他们鼻青脸肿的样子照下来又是另一回事了 Cellebrite 的回击与此同时,Cellebrite 官方也作出了回应 他们坦承一台外网服务器遭到了 未经授权的访问, 并表示现已就本次入侵启动调查 据称, 遭到入侵的服务器里有一个 my.cellebrite 的较老的数据库备份, 包含公司的用户许可管理系统 但在事前公司已经转移到了新的用户管理系统上 目前已确认遭到入侵的数据包含曾注册购买公司预警 提醒服务的用户的基本联系信息和一部分尚未转移至新系统的用户密码, 但这些密码已经被加密过 本次事件不会给用户安全带来任何特殊威胁 但为了保险起见, 我们建议广大用户修改密码 目前公司正在与相关部门协作调查此事, 一旦调查结束, 我们将会采取适当措施增强安全力度以应对未来可能发生的攻击 Cellebrite 公司以其掌握的强力破解工具 万能取证设备 (UFED) 闻名, 该工具能帮助调查人员解密智能手机设备, 甚至包括 iphone 它可提取包括短信, 邮件, 通话记录和系统密码的所有手机信息 官网数据显示,Cellebrite 服务超过 15,000 家政府部门和执法机构 就在去年 3 月,Cellebrite 曾协助 FBI 破解制造了 2015 年 12 月加州圣伯纳迪诺枪击案的恐怖分子 Syed Rizwan Farook 的 iphone 摘自 :FreeBuf.COM 特朗普终于接受三大情报部门结论 : 有黑客干预美国大选 特朗普曾有表态, 虽然美国怀疑俄罗斯开展了黑客行动, 但他还是谋求与俄罗斯发展良好关系 据新华社报道, 美国候任总统特朗普 11 日承认俄罗斯在去年美国大选期间对美国民主党方面实施了网络攻击 而此前他一直不愿接受美国情报机构作出的这一判断 当天, 特朗普在纽约举行的大选获胜后首次记者会上说 : 在黑客攻击问题上, 我认为是俄罗斯所为, 但我同时认为美国一直遭到许多其他国家和个人的黑客攻击 他还批评民主党方面未做好抵御黑客攻击的防范措施 目前, 特朗普和其内阁提名人正面临公众对他们对俄态度和潜在利益冲突的质疑 特朗普曾有表态, 虽然美国怀疑俄罗斯开展了黑客行动, 但他还是谋求与俄罗斯发展良好关系 他还在推特上表示 : 与俄罗斯建立良好关系是好事, 并非坏事 据报道, 美国中央情报局 联邦调查局和国家安全局三大情报部门 6 日公布了一份解密版调查报告称, 俄罗斯总统普京下令发动这场黑客网络攻击干预美国总统选举, 以削弱民众对美式民主的信心, 破坏民主党总统候选人希

19 黑客攻防 黑客攻防 拉里的获胜希望 报告提到, 俄罗斯政府对特朗普有明显偏好, 期望通过诋毁希拉里的方式来提高特朗普获胜的几率 俄罗斯方面则否认这些报告内容, 总统新闻秘书德米特里 佩斯科夫称 : 这些臆断毫无根据, 没有任何实质内容, 水准极其业余, 相当情绪化 我们仍然不知道他们使用了什么数据来支撑那些毫无依据的指控 而就在 10 日, 美国有线电视新闻网 (CNN) 爆料, 美国情报部门几天前向特朗普汇报俄罗斯涉嫌通过网络攻击干预美国总统选举的情况时, 在一份机密报告背后附加了两页纸的提要, 提醒他防范俄罗斯, 因为对方掌握了他私人生活和财务状况的 黑料 向特朗普汇报这些情况的包括美国国家情报总监詹姆斯 克拉珀 联邦调查局局长詹姆斯 科米 中情局局长约翰 布伦南和国家安全局局长迈克尔 罗杰斯四位情报界大佬 但是由于事件敏感, 报告涉及的一些知情人士都不愿公开姓名 特朗普本人则很快在推特上发文称 CNN 的这则报道是 假新闻 据新华社报道, 在 11 日的记者会上, 特朗普首先 表扬 了包括 纽约时报 在内的一些新闻媒体, 因为这些机构在不能核实内容真伪的情况下没有报道上述有关 黑料 报告的线索 特朗普称, 这些机密信息包含 虚假 内容, 报道中的事 从未发生过, 他还抨击美情报机构披露这些假消息是 可耻 的行为 另外, 特朗普还拒绝给 CNN 记者吉姆 阿科斯塔提问的机会, 并用手直指该记者, 批评 CNN 报道 假新闻 特朗普说 : 我不会给你提问机会, 你们是假新闻 ( 机构 ) 摘自 : 第一财经日报 美国食品药物管理局证实 : 心脏医疗设备可被黑客入侵 美国食品药物管理局 (FDA) 本周 一证实, 圣犹达医疗公司出品的心脏移植设备存有可供黑客访问的漏洞 一旦入侵发生, 黑客可以耗尽设备的电量 设置错误的跳动节奏和震击 心脏起搏器和除颤器等设备都在漏洞影响之列, 而这些设备原本用于监视和控制患者的心脏功能, 以防止心脏病发作 圣犹达公司已经开发了一个软件补丁来修复漏洞, 从周一开始它将自动应用于各种设备的调整 要获取这一补丁, 必须启动发通讯模块并与 Merlin.net 连接 食品药物管理局声称, 病人可以继续使用这些设备, 而该漏洞未造 成病人的损伤 圣犹达近期花 250 亿美元收购的阿尔伯特实验室表示, 工作室与食品药品管理局和国土安全部就受涉及设备的安全性能的更新和提高达成了合作 阿尔伯特实验室的发言人坎迪斯 斯蒂尔 弗利平对媒体表示 : 网络安全, 包括设备安全, 是整个行业面临的挑战, 而所有的植入设备与远程监控都存在潜在的漏洞 多年来我们始终在努力, 我们将继续致力于解决网络安全风险 修补潜在漏洞以及改善系统 漏洞出现在通讯模块读取设备中的数据并将其和医师共享的过程里 食品药品管理局称, 黑客可以通过访问通讯模块控制设备 2016 年 8 月,Muddy Waters 的创始人卡森 布洛克发表了一份报告, 声称圣犹达公司的设备有黑客入侵风险, 并表示正在减持自己的股票 圣犹达公司则辩解说 : 纯属一派胡言, 同年 9 月, 圣犹达公司对前者发起诉讼 布洛克表示, 周一的声明 证实 了公司的研究 这份声明重申了我们的立场 : 除非我们将漏洞公布于众, 否则圣犹达公司不会修复它 然而不管怎样, 这次公开的修复并没有解决多少更重要的问题, 比如嵌入装置中普遍存在的某些代码可让其遭受黑客控制 圣犹达公司的漏洞风波敲响了警钟 : 物联网可能威胁到健康 12 月, 食品药品监管局发布了一份帮助厂商主动解决安全风险的指南 摘自 : 安全牛敬请关注中国信息安全博士网敬请关注中国信息安全博士网微圈

20 安全动态 安全动态 网络安全信息与动态周报 ( 至 ) 有约 7.5% 位于境外 根据对放马 URL 的分析发现, 大部分放马站点是通过域名访问, 而通过 IP 直接访问的涉及 9 个 IP 地址 316 个, 平均每个 IP 地址承载了约 3 个仿冒页面 本周网络安全基本态势 省和福建省 本周重要漏洞情况 针对 CNCERT 自主监测发现以及各单 本周, 国家信息安全漏洞共享平台 位报送数据,CNCERT 积极协调域名注册机 (CNVD) 新收录网络安全漏洞 171 个, 信 构等进行处理, 同时通过 ANVA 在其官方网 息安全漏洞威胁整体评价级别为中 站上发布恶意地址黑名单 本周网站安全情况 本周 CNCERT 监测发现境内被篡改的 本周 CNVD 发布的网络安全漏洞中, 本周网络病毒活动情况本周境内感染网络病毒的主机数量约为 62.0 万个, 其中包括境内被木马或 网站数量为 1544 个 ; 境内被植入后门的网站数量为 1506 个 ; 针对境内网站的仿冒页面数量为 929 是应用程序漏洞占比最高, 其次是 Web 应用漏洞和网络设备漏洞 被僵尸程序控制的主机 39.7 万以及境内 感染飞客 (conficker) 蠕虫的主机约 22.3 万 本周境内被篡改政府网站 (GOV 类 ) 木马或僵尸程序受控主机在我国大陆的分布情况如下图所示, 其中红色区域是木马和僵尸程序感染量最多的地区, 排名前三位的分别是广东省 江苏 放马站点是网络病毒传播的源头 本周,CNCERT 监测发现的放马站点共涉及域名 104 个, 涉及 IP 地址 334 个 在 104 个域名中, 有 30.8% 为境外注册, 且顶级域为.com 的约占 75.0%; 在 334 个 IP 中, 数量为 36 个 ( 约占境内 2.3%); 较上周环比下降了 48.6%; 境内被植入后门的政府网站 (GOV 类 ) 数量为 42 个 ( 约占境内 2.8%), 较上周环比下降了 16.0%; 针对境内网站的仿冒页面涉及域名 594 个,IP 更多漏洞有关的详细情况, 请见 CNVD 漏洞周报

21 安全动态 安全动态 本周事件处理情况本周,CNCERT 协调基础电信运营企业 域名注册服务机构 手机应用商店 各省分中心以及国际合作组织共处理了网络安全事件 672 起, 其中跨境网络安全事件 184 起 国家互联网应急中心 本周,CNCERT 协调境内外域名注册机构 境外 CERT 等机构重点处理了 599 起网页仿冒投诉事件 根据仿冒对象涉及行业划分, 主要包含银行仿冒事件 591 起和互联网服务提供商仿冒事件 4 起 本周,CNCERT 协调 31 个应用商店及挂载恶意程序的域名开展移动互联网恶意代码处理工作, 共处理传播移动互联网恶意代码的恶意 URL 链接 130 个

22 安全动态 安全动态 2017 年网络安全存储发展预测 也许你第一次听说 :2017 年将成网络安全 的元年 2016 年是一个充满漏洞, 黑客攻击, 网络混乱的一年 在此之后, 企业对于保护其敏感数据方面十分关注 行业人士提醒 2017 年需要注意网络安全威胁, 但是人们知道如何保护其组织免受这些危险吗? 在这里提出一些具体的网络安全趋势, 预计将在 2017 年产生重大影响 以下了解一下安全行业必须采取的防止网络攻击的措施 1 安全将成为所有员工的关注事项在新的一年里, 人们应该看到许多组织将为各级员工和各部门提供安全培训 随着网络威胁持续增加, 行业安全专家的数量仍然停滞不前 应对这种情况的第一步是让员工为自己的数据承担更多责任, 并保护自己的数据 这意味着 CIO 和其他董事会成员将需要为其员工提供安全工具和安全教育 商业领袖让员工做好准备的一些方式包括 : 教导他们如何识别可疑活动 确定哪些技术解决方案可以帮助他们管理和保护敏感数据 制定逐步应对计划, 以便在数据泄露后采取措施 2 更多的人开始倡导网络安全行业的变革可以肯定地说, 数据在未来一年将会无限增长 可以想像一下那些已经使用的物联网 (IoT) 设备, 以及他们如今创建了多少数据 在 2017 年, 更多的网络连接设备将进入市场 这意味着通过 Google 搜索可以获得更多的信息 ( 有些人认为是私人的 ) 例如电话号码, 电子邮件地址, 家庭地址等, 世界各地的攻击者可以容易地访问这些信息 因此, 对于个人来说, 也要意识到需要保护他们的数据 随着安全威胁的增加, 特别是传播式攻击肆虐, 越来越多的消费者, 商业专业人士甚至立法者将提倡增加安全实践和法律 3 灾难恢复(DR) 计划将开始包括勒索软件响应策略目前大多数组织需要有灾难恢复 (DR) 计划, 将会概述在发生灾难时如何恢复和运行灾难恢复 美国一些州政府甚至有立法规定防御自然灾害, 如佛罗里达州 然而, 组织很可能面临勒索软件攻击, 而不是洪水或暴风雪导致业务中断 随着风险的增加, 更多的政府官员和组织代表对此更加关注 无论立法是否通过, 人们预计更多的组织将开始采用勒索软件响应, 并将其纳入到他们的灾难恢复计划中 摘自 : 企业网 D1Net 个人信息应谁使用谁负责 最近某快递公司推出了隐形快递单的服务 单据上的姓名 地址 电话等关键信息被隐藏 只有快递员从内部系统才能与收件寄件人联系 一个信息的泄露口被堵住了, 用户可以放心大胆地扔掉单据了 个人信息被泄露往往令人深恶痛绝, 造成不便的同时更是产生了很多安全隐患 显而易见的是, 个人往往处于信息保护的弱势 不得不填写交代各种信息, 却又无力守卫安全 信息泄露后, 即便自己有能力识别, 身边人也不一定能幸免 相比而言, 企业干这事其实并不困难 规范化信息使用环节的保密服务 将信息置于相对安全的系统内, 减少人工参与, 通过制度设计就可以在一定程度上杜绝泄露 反之, 轻松地要来了用户信息, 但用过之后不能放任自流, 这 是对消费者的不负责任 因而加大对法人 社会组织等公民个人信息使用者的责任砝码尤为重要 应将其纳入许可制度和安全生产制度下进行管理, 即必须有一定资质和必要, 才可取得用户一定安全级别的信息, 同时, 信息保护措施不严密不到位, 都应予以问责惩戒, 泄露信息而无法自证无责时则要承担责任 换句话说, 企业和社会组织保护用户信息不再成为 良心善举, 而是显示权责统一的 入门规则 随着我国市场经济的发展, 社会的多个层面都走在由量变向质变的道路上 很多社会问题不是没有发生, 只是还未严重到引起足够的重视, 但一定在来的路上 个人信息安全守卫不力 消费者 企业和社会组织及立法机构都有责任 与其每年因信息泄露造成社会资本流失和浪费, 不如花大力气在事前堵住泄露口 快递公司能在单据上推出隐藏信息服务, 正是主动防卫用户安全之举, 更是适应社会变化及时作出的调整, 减小了侵权和违约的可能性 而其他企业及行业也应主动履行责任, 共同搭建信息安全防护网, 才能促进经济运行健康有序 摘自 : 北京晨报

23 安全动态 安全动态 使用多个 DNS 供应商以缓解 DDoS 攻击 SYN cookie 也有自己的问题, 在 Linux 3.x 版本中, 一个系统级别的锁用于生成 SYN cookie 由于这个级别的锁定, 无论内核实际数量多少, 系统均如单核系统一样运行, 从而降低了其实际处理能力 Linux 此使用多个 DNS 供应商有助于解决这一问题 要使用多个 DNS 供应商, 必须允许编辑各个 DNS 供应商的域名服务器记录, 以便 CNNVD: 关于微信 藏蛟 漏洞情况的通报 随着不安全物联网 (IoT) 设备的激增, 针对域名系统 (DNS) 供应商的分布式拒绝服务 (DDoS) 攻击在数量和规模上正在不断增加 这些攻击随之影响依赖于这些供应商进行域名解析的网站 虽然 DNS 供应商采取了各种方法来保护自己免受此类攻击, 但网站保护自身的方法之一是使用多个 DNS 供应商 2016 年发生了史上最大规模之一的 DDoS 攻击, 这一攻击是针对 DNS 供应商 Dyn 的 此次攻击前后有三波, 它通过已感染 Mirai 恶意软件的物联网设备组成的僵尸网络进行攻击 许多公司都受到此次攻击的影响, 比如 Amazon Paypal Reddit 和 Github 该攻击导致 Dyn 无法响应由其域名服务器解析的域名的有效 DNS 查询, 以至于终端用户无法访问相关域名 据 Dyn 技术副总裁 Phil Stanhope 所说, 此次 Dyn 攻击事件还包括一个基于 TCP SYN cookie 的攻击, 该攻击利用了 Linux 内核的一个错误 SYN cookie 是一种用于缓解 SYN flood 攻击的方法,SYN flood 攻击通过连续发送 TCP SYN 请求来耗尽目标系统的资源 然而, 4.x 版本通过使用针对各个 CPU 内核的局部锁来解决这个问题 DNS 供应商采用了各种方法来防止攻击, 比如清理 (scrubbing) 清理是通过第三方来过滤所有流量 第三方以提供保护为服务, 清除恶意流量, 使合法流量通过并到达最终目的地 许多厂商提供这样的服务, 比如 Akamai AT&T Verizon 和 Arbor Networks 对某个网站或域名的任何 HTTP( 或其他协议 ) 请求, 都需进行 DNS 查询, 以将域名解析为一个或多个 IP 地址 该请求穿行于域名中各个级别的授权服务器的多个解析器 例如, 对 的请求, 首先是根服务器, 然后再查询.com 的顶级域名 (TLD) 服务器, 最后查询 infoq.com 的授权服务器 整个过程中的解析器可能会缓存结果, 以便更快地进行后续响应 缓存可以由 DNS 响应中的生存时间 (TTL) 值控制 针对 infoq.com 授权服务器的 DDoS 攻击可能使得这些授权服务器无法响应有效查询, 并且最终导致整个网站无法访问 一般来说,DNS 服务器冗余可以防止此类中断 也就是说任何商业 DNS 供应商都将为一个既定域名提供多个 DNS 服务器 dig 或 drill 命令可用于查看域名服务器记录 ( 下面以 infoq.com 为例 ) 但是, 如果某个供应商遭到 DDoS 攻击, 那么可能其所有的域名服务器都会受到影响 因 所有记录都可以作为响应的一部分进行发送 另外, 每个供应商都将拥有多个域名服务器, 并且各供应商的所有域名服务器的顺序是打乱的 这样对一个供应商的失败请求会引起对另一个供应商的请求, 而不是一直在尝试第一个供应商的所有其他域名服务器, 因为这些服务器可能也是失效的 确保 DNS 可靠性的其他方法还有 Anycast, 在这个方法中, 多个域名服务器具有相同 IP 地址 进行 DNS 查询时, 数据包被传送到最近的域名服务器 在失效的情况下, 数据包由底层路由协议自动传送到最近的有效域名服务器 设置正确的 TTL 非常重要, 这样即使记录由服务于响应的中间服务器进行缓存, 也可以实现发生故障时切换到辅助服务器 正如 Stanhope 在 Velocity 的演讲中所说, 未来 NetOps DevOps SecOps 和 SRE 团队之间需要更多的协作来缓解这种攻击 查看英文原文 :Multiple DNS Providers to Mitigate DDoS Attacks 摘自 :INFOQ 近日, 国家信息安全漏洞库 (CNNVD) 收到关于微信 Android 客户端访问控制错误漏洞 (CNNVD ) 的情况报送, 并于第一时间与腾讯安全应急响应中心 (TSRC) 进行了沟通 TSRC 收到漏洞通报后, 确认该漏洞存在, 并于 1 月 10 日确认漏洞已修复 漏洞相关情况如下 : 一 漏洞简介腾讯微信 (WeChat) 是中国腾讯 (Tencent) 公司的一套跨平台的免费通讯工具 该工具支持发送语音短信 视频 图片和文字等 微信 Android 客户端是针对于 Android 系统推出的版本 微信 Android 客户端存在访问控制错误漏洞 (CNNVD ) 该漏洞是由于微信客户端收藏功能未做

24 安全动态 安全动态 权限校验, 使得攻击者可以在普通权限的情况下, 通过本地木马或者恶意 APP 获取该客户端的数据库文件, 通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器 二 漏洞危害攻击者可通过本地木马或者恶意利用该漏洞访问微信客户端的任意私有目录, 窃取数据库文件并解密, 从而得到用户的隐私信息, 例如好友列表, 聊天记录等 三 修复措施目前, 微信官方已在 及以上版本修复了该漏洞, 对于历史版本也以 Android 热补丁技术修复了该漏洞 本报告由蚂蚁金服巴斯光年安全实验室 (AFLSLab) 提供支持 CNNVD 将继续跟踪上述漏洞的相关情况, 及时发布相关信息 如有需要, 可与 CNNVD 联系 联系方式 : cnnvd@itsec.gov.cn 摘自 : 国家信息安全漏洞库敬请关注中国信息安全博士网微信公众帐号 卡巴斯基反病毒产品现漏洞可被中间人攻击 研究者发现, 基于脆弱的 32 位签名的证书验证机制很容易受到不同站点相同签名的碰撞影响 卡巴斯基实验室近期更新了反病毒产品, 本次更新修补了致使用户易受流量劫持的漏洞 谷歌的漏洞研究员塔维斯 奥尔曼迪最早发现这一漏洞, 该漏洞存在于卡巴斯基杀毒软件用来检测加密链接内的潜在威胁时所用的 SSL/TLS 流量检测功能里 和其他终端安全产品一样, 卡巴斯基会在电脑上安装一个自签名的 CA 根证书, 并用它延伸出的 叶 证书进行拦截访问, 从而对用户访问的所有 https 可用的站点授予证书 这允许杀毒软件对本地浏览器和远程服务器之间的链接进行加 / 解密操 作 奥尔曼迪发现, 每当卡巴斯基的反病毒产品生成一个拦截证书时, 它会基于网站提供的原始证书序列号生成一个 32 位的密钥并缓存这一对应关系 而这一机制使得当用户再次访问同一网站时, 杀毒软件会使用缓存的叶证书而不是再次生成新的证书 但问题在于, 这个 32 位的密钥十分脆弱, 攻击者能通过碰撞而轻易伪造出一个匹配密钥的假证书 奥尔曼迪描述了一个攻击可能的情形 : 比如, 一个叫马洛里的黑客想要拦截你与 mail.google.com 的通信, 而这一通信对应的密钥是 0xdeadbeef 那么首先, 马洛里向你发送 mail.google.com 的真实叶证书, 卡巴斯基会验证该证书并生成它自己的证书和密钥 然后, 马洛里使发送另一个站点 ( 比如 attacker.com) 同样使用 0xdeadbeef 作为密钥的检验证书, 并形成碰撞 现在马洛里成功将对 mail.google. com 的域名解析定向到了 attacker.com, 卡巴斯基开始使用缓存的证书, 而攻击者则完全控制了对 mail.google.com 的访问 这意味着攻击者拥有了网络通信中的中间人位置, 从而把用户对 mail.google. com 的访问通过域名解析重定向到攻击者所控制的流氓服务器 该服务器拥有并使用 attacker.com 这一域名的证书 在正常情况下, 浏览器本应当提示证书错误, 因为 attacker.com 的证书和用户要访问的 mail.google.com 不匹配 然而, 由于浏览器实际看到的不是原始证书, 而是卡巴斯基杀毒软件为 mail.google.com 生成的证书, 因此它将不会报错并建立连接 32 位的密钥过于脆弱, 这导致即使正常的浏览也可能发生证书碰撞 例如, 奥尔曼迪发现卡巴斯基为 news.ycombinator. com 和 autodiscover.manchesterct.gov 的证书生成了相同的密钥 卡巴斯基实验室的研究员指出, 除了 32 位密钥以外, 还有一个额外的域名检查机制 这会提高实施中间人攻击的难度, 但是攻击仍有可能发生 奥尔曼迪在一个周三公开质询会上表示 : 我们提出了仍可能发生的替代性攻击方式, 卡巴斯基很快解决了问题 他说, 卡巴斯基公司在 12 月 28 日就解决了这一漏洞 安全厂商常宣称, 为了保护用户免受恶意网络服务器在内的各种威胁, 必须实现 SSL /TLS 拦截 然而, 拦截的启用常常会反过来导致安全问题 因为, 要想准确无误地验证证书很难, 这必须经过浏览器厂商自身多年的完善 摘自 : 安全牛

25 安全动态 安全动态 智能电量表和电气设施都存在安全隐患 智能电表中严重的安全漏洞将会继续让 用户和电力基础设施暴露于恶意网络攻击的安全风险之中 但更加可怕的是, 有些安全专家认为黑客甚至可以直接让这些智能电表爆炸 智能电表可以让用户更加清楚地了解自家的用电量, 而供电局也可以通过智能电表来对用户的用电情况进行远程监控, 并随时连接或切断供电 目前, 全球范围已经有数百万台这样的设备部署于家庭用户和政府机构中, 而专家预计, 在接下来的几年时间里, 智能电表将会完全取代传统电表 智能电表中存在严重的安全漏洞 2010 年至 2012 年之间, 一些安全专家曾经详细描述过用户在使用智能电表的过程中可能会遇到的安全和隐私问题, 而 SecureState 公司甚至还专门针对这种设备发布了一个开源的漏洞扫描框架 Vaultra 公司 ( 一家专门为智能硬件提 供安全解决方案的公司 ) 的创始人 Netanel Rubin 也表示, 智能电表的安全保护机制中依然存在严重的安全缺陷, 这些安全问题将允许恶意攻击者对用户和电力设备进行攻击 在德国汉堡举行的第 33 届混沌通信大会 (33C3) 上,Rubin 向全世界演示了如何来对这些智能电表进行攻击 安全专家表示, 由于各种保护措施的限制, 物理攻击的可行性并不高, 所以基于恶意软件的远程攻击将会成为攻击者的首选方法 智能电表所使用的通信标准包括 ZigBee 和 GSM,ZigBee 主要负责用户家中的智能设备通信, 而 GSM 负责处理智能电表和电力设施之间的通信 众所周知,ZigBee 和 GSM 中存在很多严重的安全漏洞, 而这些漏洞会使智能电表的安全状况更加糟糕 虽然安全专家在好几年前就已经提醒过厂商了, 但是在使用 GSM 网络的时候, 很多电力设备现在依然没有引入任何形式的加密手段 有些设备确实使用了加密保护技术, 但是他们使用的是 A5 算法, 而这种算法同样存在漏洞 安全研究专家表示, 攻击者通过向外广 播比合法基站更强的信号来让智能电表连接至他们所搭建的恶意 GSM 基站 智能电表连接至伪基站之后, 将会尝试使用硬编码的用户凭证来完成身份验证, 而攻击者此时就可以劫持通信数据并获取到目标设备的控制权 除此之外, 由于很多电力设备部署的智能电表使用的都是相同的凭证, 所以攻击者很有可能一次性入侵某一组织中的所有智能电表 在这种针对消费者家庭网络的攻击场景中, 黑客可以利用 ZigBee 来完成他们的目标 与其他设备 ( 例如智能集线器 ) 使用 ZigBee 的方法不同, 智能电表在与同一网络中新加入的设备共享网络密钥之前, 并不会对新加入设备的合法性进行验证 而攻击者此时就可以利用这个网络密钥来入侵目标网络, 并接管该网络中的其他设备 由于 CPU 和内存等资源对于智能电表来说是非常宝贵的, 因此其中的 ZigBee 代码通常是最简版的, 而这些代码往往没有经过安全审查, 所以其中可能会存在内存崩溃漏洞, 例如缓冲区溢出漏洞等等 此时, 攻击者就可以直接利用这些漏洞来让目标设备崩溃, 甚至还可以直接让智能电表爆炸 安全风险根据安全专家的描述, 恶意攻击者入侵智能电表之后, 可以获取到用户的用电量数据, 并根据这一信息判断当前用户家中是否有人 除此之外, 攻击者也可以通过修改数据来让用户的电费单收费暴涨 在此之前, 波多黎各也发生过类似的事件, 当时黑客通 过进行智能电表欺诈活动给电力公司带来了数亿美元的损失 更令人担忧的是, 由于智能电表可以直接与用户家中其他的智能设备进行网络通信, 因此这些智能家居设备同样会处于安全风险之中, 包括智能门锁在内 除此之外, 专家还认为攻击者可以通过修改智能电表中的电控软件来让设备发生爆炸 Rubin 也指出, 加拿大曾经发生过类似的事件, 不过有关部门并没有公开事件的详细调查结果 不过各位用户也不用过度担心, 目前厂商和安全社区正在努力提升这些设备的安全 Vaultra 公司也正准备发布一款针对智能电表的模糊测试工具, 该工具预计将会在半个月后与大家见面 安全专家在 33C3 大会上的演讲视频如下 : sec/38560.html 摘自 :FreeBuf.COM 敬请关注中国信息安全博士网

26 业界新闻 业界新闻 国家网络空间安全战略 透露了什么 2015 年第二 届世界互联网大会上, 习近平就共同构建网络空间命运共同体提出 5 点主张 视觉中国供图 ( 资料图片 ) 截至 2016 年 6 月, 我国网民规模已达 7.1 亿, 是名副其实的网络大国, 但远远不是网络强国 建设网络强国, 需要从战略上把握网络脉动, 加强顶层统筹和规划 2016 年 12 月 27 日, 国家互联网信息办公室发布了 国家网络空间安全战略 ( 以下简称 战略 ), 它是我国网络安全的战略框架, 是建成网络强国的战略设计, 具有 4 个显著特点 第一, 确立了网络空间的战略空间地位 2003 年 2 月, 美国发布 网络空间安全国家战略, 强调网络安全的战略属性, 却没有明确网络空间与其他实体空间同等重要的地位, 直到 2011 年 7 月美国国防部发布 网络空间行动战略, 才将网络空间列为与陆 海 空 太空并列的 行动领域 战略 则明确指出, 网络空间已经成为与陆地 海洋 天空 太空同等重要的人类活动新领域 这就要求政府部门必须像重视其他实体空间一样, 协调推进网络空间建设和发展, 大力发展网络技术, 建设世界一流信息网络, 让 互联网 + 成为经济 政治 军事发展的新引擎 第二, 明确网络空间主权是国家主权的重要构成 网络空间承载的国家利益越来越大, 它与国家安全和发展息息相关, 因此一个国家能否独立自主 不受外来干涉地处理网络空间事务, 直接表明国家主权的独立性 维护网络空间安全和完整的权力, 也就成为维护国家统一 稳定和发展的新权益, 网络空间主权应运而生, 这是国家网络空间利益的根本体现和可靠保证 战略 鲜明指出, 国家主权拓展延伸到网络空间, 网络空间主权成为国家主权的重要组成部分 时代催生了网络空间主权, 国不论大小, 都要尊重他国网络空间主权, 同时必须像维护实体空间主权一样, 捍卫网络空间合法权益 战略 明确规定 采取包括经济 行政 科技 法律 外交 军事等一切措施, 坚定不移地维护我国网络空间主权 这为我们采取各种措施反制通过网络颠覆我国国家政权 破坏我国国家主权的行为, 提供了法律依据和基本遵循 第三, 明确网络安全是国家安全的核心 网络安全已经成为国家安全和发展的 生命线 奥巴马政府也将网络威胁与核威胁 生化威胁列为美国 21 世纪面临的三大威胁 建设网络强国, 首先必须有效应对网络安全威胁, 维护网络安全 战略 着眼维护国家安全, 阐释了网络渗透 网络攻击 网络恐怖和违法犯罪 网络有害信息对政治 经济 社会和文化的危害, 明确要求坚决防范 制止和依法惩治任何利用网络危害国家安全的行为, 充分体现了总体国家安全观 同时, 明确我国网络空间的战略任务之一, 是尽快在核心技术上取得突破, 鼓励网络安全企业做大做强, 建立完善国家网络安全技术支撑体系, 实施网络安全人才工程, 全面夯实网络安全基础 第四, 倡导合作共治的责任担当 战略 指出, 在相互尊重 相互信任的基础上, 加强国际网络空间对话合作, 推动互联网全球治理体系变革 当前, 西方网络强国主导着世界网络规则的制定, 现有网络空间治理规则还不能充分反映大多数国家意愿和利益 面对 棱镜门事件 震网 病毒入侵核设施等现实威胁, 各国都有 我们的网络安全吗 的疑问 世界各国必须针对互联网领域发展不平衡 规则不健全 秩序不合理等问题, 坚持互信互利的理念, 摈弃零和博弈观念, 推进互联网领域开放合作, 健全完善全球互联网治理体系 我国将深化网络空间国际合作, 积极参与网络空间规则制定, 借助各种国际平台宣传 网络空间主权 概念, 传递维护网络安全的合理关切, 成为网络发展和权益维护的强国 ( 作者单位 : 军事科学院 ) 摘自 : 中国青年报 支付宝焦虑症 : 安全漏洞与社交执念 支付宝疑似可以篡改别人登录密码的新闻, 昨天轰轰烈烈得霸占了一整天头条 这场安全风波或许很快就会过去, 就像前几天爆表的大面积雾霾, 重见蓝天之后, 逃离北京的念头会渐渐隐去, 然而, 只要还没有把握好发展与健康的平衡点, 雾霾, 迟早还是会来 对于支付宝, 道理也是一样 我们看到, 一年以来, 支付宝在社交上动作频频, 包括集五福 生活圈 到位 校园日记 等, 但多数用力过猛 ; 而作为支付平台, 支付宝的资产安全问题也屡禁不止, 比如信息泄露 账号被冒充认证 篡改密码等, 一波未平一波又起 究竟什么被支付宝团队置于战略第一位, 什么又应该是这个团队最重要的价值观? 支付宝在平衡支付与社交两者上的摇摆与焦虑, 将是其接下来很长一

27 业界新闻 业界新闻 段时间的命题 安全漏洞, 社交执念简单回顾这次事件, 昨日凌晨有网友在微信群称支付宝可以更改别人的密码, 按照网友的说法, 支付宝的漏洞原理如下 : 支付宝 APP 登录 选择 忘记密码 选择 手机不在身边 这时支付宝会让你选择 淘宝买过的东西 (9 张图片选 1 个 ) 你可能认识的人 (9 个好友选 1 个 ) 如果选择对就可以重置密码 因此, 若是陌生人, 则有八十一分之一的机会登陆你的支付宝, 而对方若是你的熟人, 且又熟悉你的日常生活, 则对方有百分之百的机会登陆你的支付宝 支付宝方面很快回应仅在特定情况下才会实现, 并且表示已经提高了风控系统安全等级 网易科技也于回应后第一时间进行实测, 已经无法破解密码, 看来支付宝方面的确已经解决了相关问题 这次的安全风险并不是第一波, 此前还出现过用户个人信息泄露 账号被冒充认证 余额被盗等等类似的问题 对支付平台而言, 安全应该是最基础也是最重要的, 但为何还是屡屡出现状况? 对此, 安全专家李铁军曾对媒体表示, 支付宝出现时间较长, 功能不断增加, 用户群也在不断扩大, 其账号体系是牵一发而动全身的状态, 在某种情况下出现意外的处理可能就很棘手 因此, 我们可以想到, 要尽可能避免安全风险, 支付宝团队可能需要从技术 运营 产品等多个角度加固, 颇 费一番力气 然而刚刚过去的 2016 年, 我们更多看到的是, 似乎只是支付宝在社交上的孜孜以求 你一定不会忘记,2016 年春节, 全民收集 敬业福 的丧心病狂 ; 可能也隐约知道, 支付宝 8 月份的 9.9 版本, 把类朋友圈的 生活 动态放到了首页, 还被推送了一堆 可能认识的人 ; 或许也有幸欣赏过 校园日记 里长相差不多的大尺度美女照片 ; 大概曾经也颇为期待 到位 中 附近的有钱人 功能 支付宝将这里面有的定义为社区尝试, 有的翻译为场景探索, 但最终都还是指向了两个字 社交 我们也终于有所察觉, 支付宝做起社交来好像经常用力过猛, 似乎总是忽略其本身作为支付平台的金融服务属性 为什么是不能放弃的社交? 那么为什么? 为什么社交对于支付宝而言, 不能放弃? 人口红利对于互联网公司而言正在消失, 当用户数已经接近天花板, 用户增长乏力之时, 淘宝通过其内容和直播战略来延长用户使用时长 对于头顶 500 亿美元估值, 或许在 2017 年即将上市的蚂蚁金服而言, 必须依靠一个日活过亿的超级 APP, 但若是具备浓厚工具属性的支付宝, 很难支撑起这样的估值和上市故事, 那么, 黏性超强的社交, 则成为了支付宝团队眼里最好的一剂良药 如果说内生原因是这个问题的必要性, 那么外部原因的重要性则更为关键 微信支 付给支付宝带来的压力正在日益加剧, 而这种压力, 由最初模糊的感知已经演化为清晰的数据 2015 年春节, 微信在两天内仅靠红包就帮顶了 2 亿张银行卡, 而支付宝, 达到这一成绩则花了 8 年, 这其中包括漫长的市场教育阶段 再看钛媒体整理的易观的一组数据 : 支付宝与财富通几乎占据了国内第三方移动支付近九成的市场, 而一个颇为明显的趋势, 支付宝市场份额减少的同时, 财付通不断在增加, 而支付宝减少的 18% 市场份额, 似乎刚刚好就是财付通增加的百分比 加之 1 月 9 日上线的第一批小程序, 其中各家商户平台在微信生态中产生的购买支付行为, 当然不会和支付宝发生什么关系 压力的不断加剧, 支付宝的社交势在必行 为什么是一直做不好的社交? 略微遗憾的是, 尽管支付宝在社交上一直怀揣梦想, 但还是屡战屡败 为什么支付宝的社交, 一直做不好? 第一是产品边界的问题 每个产品都有自己无法跨越的天然边界, 而在产品经理纯银看来, 支付和社交并没有什么基因连接 你或许会问, 微信不就突破社交边界 做了支付吗? 要明确的是, 微信里更多的是 零钱 概念, 你会用这些小钱去发红包, 去便利店买一些小额商品 ; 但支付宝里的, 更多还是 财产 的概念, 没有多少人愿意把自己的财产作为聊天话题的 知乎用户 惊云 认为, 支付宝这次登录密码事件, 考虑到手机不在, 通过个人隐私信息找回密码, 从产品角度是没有问题的, 但支付宝忘记了其社交功能, 熟人可以看到你分享的购物商品, 现实生活中也可以看着你拆开包裹知道你买了什么 因为线上的便捷性而忽视线下的复杂性, 是互联网最容易让人忽视的危险 另一方面则是关于支付宝的管理团队, 2016 年 12 月 17 日, 蚂蚁金服宣布其新组织阵型, 其中支付宝事业群总裁樊治铭被调任, 支付宝事业群将尝试新的组织管理模式, 也就是班委制 根据虎嗅当时的整理, 此次支付宝班委的组成 : 井贤栋担任班长, 曾松柏 ( 首席人力官, 负责人才战略与人力资源 ) 与倪行军 ( 负责技术, 阿里巴巴合伙人 ) 担任副班长, 班委成员包括邹亮 ( 负责商家服务与开放平台 ) 袁雷鸣 ( 负责农村金融 ) 陶莹( 同样来自 HR 部门, 负责人才战略和人力资源相关工作 ) 六个班委中没有一位具备产品背景, 支付宝在用户端的产品研发与运营, 若是没有产品背景的灵魂人物, 会将支付宝在社交上带向何方? 而两个多月前的 9 月 26 日, 彼时蚂蚁金服宣布其支付事业群升级为支付宝事业群, 总

28 业界新闻 业界新闻 裁由樊治铭担任 樊曾首创 快捷支付, 并开创出 余额宝 这一明星产品, 因其业务作风比较 生猛, 樊给自己起了樊小虎的名字 樊被调任的时间点刚好在 校园日记 圈子事件之后不久, 有分析认为, 其调任或与该风波有关, 那么, 樊的调任, 又是否意味着支付宝将在切入社交业务上有所放缓? 社交是支付宝战略使然, 未来支付宝还会出什么奇招, 又是否能够攻城略地, 我们都不好过早下判断 对支付宝来说, 安全风控和社交, 治疗焦虑症的第一步, 是想清楚什么是根本 什么是延展 摘自 : 网易科技报道敬请关注中国信息安全博士网微圈 2016 年全球网络空间安全大事记 ( 政策篇 ) 新一代网络信息技术发展推动网络空间与现实世界融合日益加深, 网络空间安全的内涵不断扩展, 影响日趋增大, 成为关系各国国家安全 经济发展与社会治理的核心议题 2016 年, 虽然各国政府和企业更加重视应对网络空间安全的威胁, 但各国网络安全重大事故仍然频发 聚焦数字经济的网络犯罪产业化发展态势并没有被遏制, 网络攻击 网络勒索 电信诈骗等网络犯罪活动持续升级 针对重要关键信息基础设施和工业系统的攻击更加智能 隐匿且影响巨大 用户个人信息 企业商业秘密甚至政府和政党的政治机密遭到大规模泄露 围绕大选等重大政治事件的黑客攻击成为国家间意识形态战略博弈的新形式 与之对应的是, 全球网络空间治理体系正经历新一轮变革, 各主要国家围绕网络安全的重大战略 政策法规相继落地 针对网络犯罪和网络反恐的公共安全政策迫切且务实, 政府 企业 公民围绕国家安全与隐私保护的分歧与博弈开始凸显 网络安全与数据保护成为 国际产业竞争的关键壁垒, 安全驱动 ICT 产业创新发展的态势更加明显 本专题基于国内外相关媒体的权威报道, 对 2016 年国内外网络空间安全重大事件 重要法律 政策等进行梳理和分析, 对 2016 年全球网络空间治理的总体形势进行观察研判 本篇为 2016 年全球网络空间安全大事记 ( 政策篇 ) 1 美国发布 网络安全国家行动计划 政策概要 :2016 年 2 月 9 日, 美国政府发布了 网络安全国家行动计划 (CNAP) 该计划是美国政府七年来的经验总结, 吸纳了来自网络安全趋势 威胁 入侵等方面的教训, 主要内容包括以下六点 : 一是设立 国家网络安全促进委员会, 成员包括龙头企业代表和顶尖技术专家, 该委员会致力于制定网络空间安全的十年行动路线, 促进美国联邦政府 州政府及企业之间在网络安全方面的交流与合作 二是提升国家整体网络安全水平, 包括升级网络基础设施 提升个人网络安全防护能力 加大网络安全投入等, 设立 联邦首席信息安全官, 协调联网政府内部的安全政策执行 三是打击网络空间恶意行为, 对外加强国际合作, 对内扩建网络部队 ; 推动国际社会订立国家行为准则 四是提升网络事件响应能力, 出台联邦网络安全事件合作政策, 制定安全事件危害性评估方法指南, 完善网络安全事件政企协同应对机制 五是保护个人隐私, 成立 联邦隐私委员会, 制定实施更具战略性和综合性的联邦隐私保护准则, 推动隐私保护技术的研发和创新 简要点评 : 这份为期十年的网络安全发展线路图显示出美国持续强化国际网络空间的前瞻性布局, 试图维持美国全球领先地位的努力 美国通过推广 最佳实践 作为网络基础设施保护的重要手段, 鼓励公私合作, 发挥企业的技术特长和优势, 强调政企技术能力均衡发展 美国还将网络安全宣传与培训作为增强网络安全的核心任务之一, 不仅注重意识培养, 更重视技能培训 2 欧盟推出 一般数据保护条例 法律概要 :2016 年 5 月 4 日, 欧盟正式颁布 一般数据保护条例 (GDPR) 条例 将取代实施了 20 年的 1995 年数据保护指令, 在新的技术 经济和社会环境下保护欧洲公民的隐私权 条例的主要内容包括 :(1) 扩大适用范围, 任何向欧盟公民提供商品或服务的企业都将受制于 一般数据保护条例, 不管该企业是否位于欧盟境内, 是否使用境内的设备 (2) 提出 删除权 / 被遗忘权 和 个人数据可携权 这两项新型权利, 以应对大数据环境下数据主体无法有效控制个人数据 信息不对称等愈发严重的问题 (3) 针对大数据利用的风险作出规制, 严格限制数据画像 (profiling) 行为, 这将严重影响当前大数据产业的业务实践 (4) 进一步加强监管机构的权力, 成员国数据保护机构有权对违背欧盟数据保护法律的企业做出惩罚, 罚金最高可达 2000 万欧元或企业全球年营业额的 4% (5) 提出处理个人数据的公共机关将需要设置数据保护官, 以加强相关公共机关的信息安全治理力度 (6) 提出数据泄露通知义务, 要求数据控制者须在知晓数据泄露事件的 72 小时内, 向相关监管机

29 业界新闻 业界新闻 构进行上报通知 简要点评 : 欧盟通过的 一般数据保护条例 旨在进一步加强个人的数据保护权利, 让欧洲人民在自身数据的使用方式上拥有更大的发言权, 也是全球数据保护制度发展的重要标志性事件 欧盟的数据保护改革在提高个人数据保护标准的同时, 也增加了企业的合规成本, 限制了数据商业价值的开发 鉴于欧盟法律的域外效力和对于数据跨境传输的严格要求, 其制度的溢出效应将会促使其他国家提高数据保护水平, 以免数据保护成为造成国际贸易的阻碍 3 欧盟发布 网络与信息系统安全指令 法律概要 :2016 年 7 月 6 日, 欧盟立法机构正式通过首部网络安全法 网络与信息系统安全指令, 指令旨在 促进各成员国之间的合作, 制定基础服务运营商和数字服务供应商应遵守的安全义务 为实现这一目标, 该指令要求运营商采取相关措施, 对网络安全风险进行管理, 并就安全事件进行汇报 此外, 该法要求成员国制定网络安全国家战略, 要求加强成员国间合作与国际合作, 要求在网络安全技术研发方面加大资金投入与支持力度 简要点评 : 作为欧盟网络安全整体战略的关键一环, 此次欧盟指令的出台在网络安全监管领域释放出几个方面的明确信号 : 一是高度重视网络与信息安全监管, 强化全面监管和协调联动, 并在欧盟及成员国层面新设或强化既有监管机构, 确保 其具备实质履行职能的充分能力 ; 二是强化企业的义务, 为企业规定了采取合理网络安全管理措施 网络安全信息共享等义务, 尤其是新增的企业安全事件通报义务成为此次指令的最大亮点 ; 三是避免过度监管, 在指令历次修订中, 各方曾就指令的适用范围及相应主体义务展开过激烈争论并数次大幅修改, 欧盟当局尤其强调避免过度监管造成企业负担, 特别是避免损害中小企业的创新能力, 规定企业义务的承担要与引发风险的程度相符合 4 美欧批准 隐私盾协议 政策概要 :2016 年 7 月 12 日, 欧盟正式批准了欧美间数据条约 隐私盾协议 (Privacy Shield), 取代原有的 避风港协议 新的协议将为跨大西洋两岸的数据传输中的个人隐私保护提供新的规范 隐私盾协议 的主要内容包括 :(1) 隐私盾原则 : 行为准则明确在对欧盟向美国传输的个人数据进行处理时应对其进行保护 美国企业可依据美国法对行为准则做出强制性承诺 (2) 监管和执行 : 所有相关美国政府机构最高层签署的函件明确了框架管理和执行的相关内容 (3) 监察员机制 : 该机制是促进自欧盟传输至美国的有关国家安全数据访问相关要求程序的新机制 (4) 保障措施和限制 : 国家情报机构首长办公室和司法部的函件对适用于国家安全和执法关于数据访问的保障措施和限制进行阐述 简要点评 : 欧盟废除安全港协议, 重新建立了隐私盾协议, 主要是出于 棱镜

30 业界新闻 业界新闻 门 事件的推动 欧美在隐私保护上的分歧由来已久, 欧盟倾向于采取严格的立法规范个人数据跨境流动, 而美国则长期依赖于自律机制, 认为政府不得为个人数据跨境流动 获得美国企业全球用户的各种数据 2016 年 7 月 14 日, 美国联邦第二巡回上诉法院就 微软诉美国政府 案作出判决, 从 2013 年发端的 FBI 是否有权获取微软存储在爱尔兰数据中 络反击能力 第三大要点是大力培养网络人才 发展最新技术, 跟上全球互联网技术发展的步伐 英国将设立网络安全研究所, 与高校合作研究提升智能手机 平板电脑和笔 于网络安全的专用法律, 贯彻了发展和安全的辩证思维, 强调要做到网络安全和信息化发展并重 网络安全法提出安全可信的要求, 即要求用户自己的信息 系统 设备用户自己作 设置障碍, 否则将影响网络自由, 阻碍数字经济发展 欧盟对数据跨境流动的监管不仅仅出于保护欧盟公民的个人数据和隐私权利益, 也是欧盟在数字经济发展 产业能力构建和政治外交博弈中的映射 5 美国法院判决 FBI 搜查令不具域外效力基本案情 :2013 年 12 月, 美国纽约南区联邦地区法院助理法官詹姆斯 佛朗西斯 心的用户数据的争议暂时告一段落 上诉法院的三位法官一致认为,FBI 的搜查令不具域外效力 ; 要获取境外数据, 通过双边司法协助条约方是正途 简要点评 : 本案的判决给了跨国互联网公司一定程度的法律确定性 : 在一个国家运营, 只需遵守一个国家的法律 ; 且这个国家的法律不应产生域外效力 这个判决也强化 记本电脑等设备的安全性 明年将推出一项网络创新基金, 给予网络安全创业公司培训及资金支持, 帮助这些创业公司寻求投资, 商业化其技术成果 简要点评 : 英国政府七年内出台了三份国家网络安全战略, 以构建繁荣 可靠 安全和具有弹性的网络空间, 确保在全球网络空间的优势地位 从框架体系来看, 英国 主, 禁止产品和服务提供者非法获取用户系统 设备中的信息, 非法控制 操纵用户的系统 设备, 损害用户对自己信息 系统 设备的自主权和支配权 网络安全法的出台, 对保护网络主体合法权益, 保障网络信息依法 有序 自由流动, 促进网络技术创新, 最终实现以安全促发展具有重要意义 8 英国议会通过 2016 调查权法 (James C. Francis) 签发搜查令 (Search 了数据本地化的趋势 如果美国法院认为数 已经基本建立起较为完备的网络安全战略框 法律概要 :11 月 30 日, 英国议会通过 Warrant), 要求微软公司协助一起毒品案件 据存储的地点至关重要, 那只会有越来越多 架, 目标清晰 原则明确 举措具体有可操 2016 调查权法 该法要求网络公司和电信 的调查, 将一名用户的电子邮件内容和其他 的国家为了躲避美国的监控, 提出更多 更 作性 英国的战略导向以发展网络经济为 公司收集客户通信数据, 并存储 12 个月的网络 账户信息提交给美国政府, 而微软拒绝交出 严格的数据本地化要求 本案的判决不仅仅 主, 在行动方案中要求加大网络安全投资, 浏览历史记录, 以供警方 安全部门和其他公 该用户的电子邮件内容 2014 年 8 月 29 日, 美 是美国政府执法权的范围问题, 更是关系各 使全球网络空间的发展朝着有利于英国经济 共机构在追查涉嫌恐怖活动与严重犯罪活动者 国曼哈顿联邦地区法院法官洛蕾塔 普雷斯加 个国家网络空间的自主权问题 和安全利益的方向发展 战略侧重从单纯的 时调阅使用 公司有义务协助有关部门绕过加 (Loretta Preska) 下令, 微软需向美国检察 6 英国发布 国家网络安全战略 网络安全和被动防御朝着增强战略主动性和 密程序以便执行任务 同时英国各级政府 税 官们提交存储在爱尔兰数据中心的用户电子 政策概要 :2016 年 11 月 1 日, 英国公布了 威慑性的方向发展 务员和其他公务机关也将有权收集公民在网站 邮件信息 法官裁定微软必须提交电子邮件数据的理由是这些数据虽然存储于国外, 但却处在一家美国公司的控制之下 微软拒绝服从该法庭的命令, 随即向美国联邦第二巡回上诉法院提起上诉 本案的核心争议是, 美国执法部门是否有权强迫美国公司提供存储在美国境外的数据内容 也就是说, 美国政府是否拥有这项权力 所有使用美国企业的产品和服务的用户, 无论身处何方, 无论国籍, 也无论美国互联网企业是否采取 数据存储本地化, 美国政府都能合法地 新一轮 国家网络安全战略 新的网络安全战略包含三大要点 : 防御 威慑和发展 防御是英国政府提出的三步战略的第一步, 旨在加强互联网防御能力, 尤其是能源 交通等关键产业领域 英国政府将同产业部门以及私企一道, 采用自动防御技术抵御黑客网络攻击 病毒 垃圾邮件等的侵害 威慑是第二大要点 英国政府认为, 对网络攻击采取有效反击有助于降低威胁 英国政府计划从两方面加强网络执法能力 ; 加强国际合作, 共同应对网络威胁 ; 提高技术, 增强网 7 中国出台 网络安全法 法律概要 :2016 年 11 月 7 日, 中国 网络安全法 获得通过, 并将于 2017 年 6 月 1 日起施行 这是中国第一部关于网络安全的基础性法律 网络安全法 明确了网络空间主权的原则, 网络产品和服务提供者的安全义务和网络运营者的安全义务, 完善了个人信息保护规则, 建立了关键信息基础设施安全保护制度, 确立了关键信息基础设施重要数据跨境传输的规则 简要点评 : 网络安全法 作为一部关 与社交媒体上的活动信息 新版 调查权法 旨在 加强执法机关与情报机关完成其关键行动的能力, 进而弥补这些机构之间的工作漏洞, 使安全部门有更大的权力针对可疑人等的线上活动搜集情报和证据 简要点评 : 对政府而言, 应对恐怖主义活动的威胁等现实任务需要政府在数字时代对网络通信数据加以监管 与此同时, 民众的网络信息安全意识不断提高 斯诺登事件的持续影响也使政府加大网络信息安全监管触碰了民众的敏感神经 个人隐私与国家安

31 业界新闻 业界新闻 全之争, 其实质是数据之争 权利之争 这与国际 国内的政治经济形势密切相关, 两者处于此消彼涨的动态平衡之中 9 俄罗斯发布新版 联邦信息安全学说 政策概要 :2016 年 12 月 5 日, 俄罗斯颁布修订 俄罗斯联邦信息安全学说 本文件是对 2015 年 12 月 31 日俄罗斯联邦总统签署的第 683 号命令中所确定的俄罗斯联邦国家安全战略以及其他法令中的战略计划文件的发展 该文件旨在保证俄罗斯在信息领域的国家安全, 并从战略层面防止和遏制与信息科技相关的军事冲突 文件共分为总则 信息领域的国家利益 主要信息威胁和信息安全状况 保障信息安全的战略目标和主要发展方向 信息安全保障的组织基础等五个部分 从国防领域 国家和社会安全领域 经济领域 科研 技术和教育领域 维护战略稳定和平等战略伙伴关系领域提出了保障信息安全的主要发展方向 简要点评 : 该学说为俄罗斯后续文件和法案的制定提供了框架和基础 文件显示出俄罗斯政府对外国黑客攻击 媒体负面报道 外国情报部门在俄罗斯活动等一系列威胁的担忧 俄罗斯作为正处在转型期的大国, 国家的对内对外政策一直处于不断调整的态势 俄罗斯与西方, 特别是与美国在网络空间领域形成了一种全新的对抗 10 中国发布 国家网络空间安全战略 政策概要 :12 月 27 日, 国家互联网信息办公室发布 国家网络空间安全战略, 标志着我国国家网络强国顶层设计的基本完备, 宣告了我国政府将更加开放和自信地推动网络强国的建设和网络空间的治理 战略 从机遇与挑战 目标 原则和战略任务四个方面阐述了我国网络空间安全的核心 理念和战略主张 战略 对网络空间的概念和影响做出了系统性的界定, 提出推进网络空间和平 安全 开放 合作 有序, 维护国家主权 安全 发展利益, 实现建设网络强国的战略目标, 确定了尊重维护网络空间主权 和平利用网络空间 依法治理网络空间 统筹网络安全与发展的四大原则, 提出坚定捍卫网络空间主权 坚决维护国家安全 保护关键信息基础设施 加强网络文化建设 打击网络恐怖和违法犯罪 完善网络治理体系 夯实网络安全基础 提升网络空间防护能力 强化网络空间国际合作等九大战略任务 简要点评 : 战略 将与法律法规和组织建设一起共同构成我国网络强国的制度性支柱 2014 年, 党中央从体制机制改革入手, 打破网络空间安全管理部门壁垒, 成立网络安全与信息化领导小组办公室 ; 在此基础上历时一年多主导推出我国网络空间安全的基本法 网络安全法, 如今进一步出台 国家网络空间安全战略, 完成了我国网络强国顶层设计的闭环 这一系列的制度举措均体现出我国在网络空间安全治理方面的开放与透明, 这是我国融入世界体系建设网络强国的制度标配 同时, 战略虽然是顶层设计, 但其实现需要依靠自下而上的企业和社会力量, 需要立足安全但又要超越安全 战略 不仅是对新时期我国经济社会发展的全面保障, 更是网络时代我国社会发展和治理模式的一次全新探索, 只有这样才能从根本上保障我国的公民权益和企业的创新繁荣, 更好地融入国际网络空间发展与治理体系 构建网络空间命运共同体, 这是我国网络强国建设和网络空间安全的根本之意 摘自 :CGi 瑞士认定 Windows 10 违反隐私法微软同意修改 北京时间 1 月 11 日晚间消息, 瑞士数据保护机构 瑞士联邦数据保护与信息委员会 ( 以下简称 FDPIC ) 今日称, 经调查发现,Windows 10 因自动上传用户隐私信息而违反了瑞士的数据保护法 2015 年 8 月,FDPIC 开始调查 Windows 10 是否违反该国的隐私保护法 如果确认违法,FDPIC 将要求微软做出调整 如果微软拒绝, 则 FDPIC 可以选择在本国封杀 Windows 10 FDPIC 称, 如今调查已经结束, 发现 Windows 10 自动上传用户隐私信息, 这违反了瑞士的数据保护法 但由于微软已经同意修改 Windows 10 在数据处理方面的透明度, 决定不对微软提起诉讼 FDPIC 在一份声明中称 : 我们的调查结果显示,Windows 10 的数据处理方式并不完全符合瑞士的数据保护法 对于该调查结果, 微软已经提交了修改方案, 且得到了 FDPIC 的批准 FDPIC 称 : 今年晚些时候, 微软将在全球范围内发布 Windows 10 的两个新版本, 从而对信息处理方式进行修 改, 以符合我们的要求 Windows 1 0 与之前的 Windows 版本不同, 虽然早已推出 Windows 10 正式版, 但微软仍在不断测试新版本, 以修复漏洞, 强化功能 微软发言人对此表示, 微软很高兴能有这样的机会与瑞士数据保护机构讨论 Windows 10 该发言人称: 作为一家跨国企业, 微软致力于遵守所有国家 ( 已推出服务和产品的国家 ) 的所有适用法律 FDPIC 在一份报告中称, 调查发现,Windows 10 自动激活几乎所有数据的传送和访问程序, 这意味着大量的用户数据将被自动上传到微软服务器, 包括用户的详细位置 浏览器访问记录 搜索记录 键盘输入记录, 以及近的 WiFi 网络信息等 FDPIC 最后称 : Windows 10 的 快速访问 和 设置 页面并未完全符合我们的透明度要求, 缺乏许多信息, 如浏览器信息 反馈和诊断数据, 以及已上传数据的存储时长等 摘自 : 新浪科技

32 业界新闻 业界新闻 欧盟 : 美国未对雅虎扫描用户电邮项目作出足够解释 北京时间 1 月 12 日消息, 据路透 社报道, 欧盟司法委员薇拉 居日瓦 (Vera Jourova) 近日在接受媒体采访时表示, 对于雅虎扫描所有用户电子邮件以寻找恐怖活动线索一事, 美国方面的解释并未打消欧盟的疑虑 欧盟总部 2016 年 11 月, 欧盟委员会要求美国政府就一项与雅虎有关的法庭秘密命令作出澄清, 此举也是欧盟委员会对新的跨大西洋协议例行监督的一部分 新协议为企业之间交换个人数据提供了便利 为了促成欧美数据传输框架协议 隐私之盾 (Privacy Shield), 华盛顿方面曾承诺不实施无差别 大规模监控项目 这一承诺消除了欧盟委员会对保 存于美国境内服务器上的欧洲用户数据隐私的担忧 2013 年, 美国国家安全局前承包商爱德华 斯诺登 (Edward Snowden) 披露美国情报机构正在对欧洲民众的通信进行监控, 这让欧盟委员会感到十分担忧 居日瓦在接受路透社采访时表示 : 我之所以不满意, 是因为我觉得答案来得相对较晚, 相对笼统, 我会尽可能在第一时间向美方表示, 这种解释让我们无法快速 全面地理解信息交换 一位欧盟官员表示, 尽管雅虎并未签署 隐私之盾 协议, 而这一扫描项目在 隐私之盾 出台前就已存在, 但这个问题却是检验新的体系以及美国是否履行对监控工作承诺的第一个试验案例 隐私之盾 协议也是规模达 2600 亿美元的欧美数字服务交易的基础 隐私之盾 协议允许企业可以将欧洲用户的个人数据无缝传输到美国, 无论是用于完成信用卡交易 预订宾馆, 还是出于精准广告目的分析用户浏览习惯, 当然, 所有这些活动的前提是遵守欧盟严格的数据保护法规 居日瓦说 : 在涉及国家安全问题上, 美方的解释无法做到 100% 准确, 我对此也很理解 尽管如此, 居日瓦仍然表示她希望在雅虎扫描用户电子邮件问题上, 美方应该对事情经过和原因提供更详细的信息 路透社曾在去年 10 月份报道称, 根据美国对外情报监视法庭的一项命令, 雅虎扫描了用户所有电子邮件, 以寻找与外国恐怖主义资助者有关的数字签名 隐私之盾 每年都会进行一次评审, 以确保美国履行承诺以及这一数据传输框架的效力 第一次年审将在今年夏天进行, 届时当选总统唐纳德 特朗普 (Donald Trump) 将正式入主白宫 居日瓦表示, 对于未来的特朗普政府, 她并不感到担心, 但她会密切关注特朗普如何推行美国政府有关美国监控活动的总统政策法令, 以及新设立的美国国务院监察员办公室如何处理欧洲公民对美国监控活动的投诉 居日瓦表示, 我相信特朗普政府明白哪些事情对企业有好处, 哪些事情对企业有害处 而这 ( 指 隐私之盾 协议 ) 是对企业有利的事情 我们必须明白, 我们相互之间仍然值得信任 摘自 : 凤凰科技 Flashpoint 报告 : 俄 中 美为最大的地缘政治网络安全威胁 Flashpoint 本周三发布的一份报告称, 俄罗斯和中国造成严重网络影响的可能性是最高的, 但美国及其盟友同样能引发全球安全问题 Flashpoint 公司成立于 2010 年, 历经 6 年发展, 已从仅专注反恐, 扩张至包含网络安全在内的各类风险评估 新出炉的报告基于该公司与黑客组织的联系, 关注今年可能影响网络安全的全球地缘政治环境因素 一个有趣的趋势是, 尽管俄罗斯一直在网络犯罪和政治动机的攻击上更为激进, 中国如今已后来居上 去年, 中美双方开始采取行动, 实施 2015 年签署的网络安全协定 每个人都半信半疑, 但总体上, 中国针对美国的间谍活动确实减少了, 尤其是出于工业间谍的目的 而且, 中国自己也加强了对国内网络环境的管控 比如, 中国抓捕了 名网络罪犯, 包括一些在美国直接敦促下逮捕的 但中国并未打算完全放弃网络活动, 一可能是卷土重来之前的蓄力阶段 二是网络犯罪打击行动, 也是中国国内反腐和打击犯罪的一部分 在美国, 连同其他 4 个主要英语国家 英国 加拿大 澳大利亚和新西兰, 同样处于顶级威胁序列 不过, 这倒是未必意味着新西兰是主要的国际网络威胁 只是这 5 国组成了一个主要的国际势力 这几国都算进来, 是因为他们在间谍和破坏性活动上都是拥

33 业界新闻 海外来风 有顶级网络能力的 且美国的能量占据压倒性位置 朝鲜 尽管只有约 1000 个 IP 地址和 28 个网站, 却属于中级风险 ; 伊朗和网络犯罪也在此列 这些人也许受到了中国的支持 事实上, 他们就在中国的一个酒店进行操作 当然,IP 地址是可以伪装的, 或许是在嫁祸中国也非常可能 而且朝鲜已经展示出了攻击意愿, 尤其是针对韩国和索尼 那最不重要的威胁是谁呢? 圣战分子黑客 说到网络攻击, 恐怖分子往往是光说不练假把式 很多组织都是昙花一现, 冒出来声称为某事件负责, 然后立马消失 比如说, 放出个美国人刺杀名单, 但上面列的人名全是公开数据库里的 这些人就不是能执行高度复杂攻击的 该报告还列出了可能成为 2017 网络安全危险地带的区域, 包括台湾和中国南海周边的紧张局势 韩国的政治动荡 俄罗斯对西方目标的持续攻击 报告下载地址 : intel.com/bri-decision- Report-2016 摘自 : 安全牛 英国反对 全面监视 法案的运动迅速完成众筹 英国最近通过了一项名为 调查权力 的法案, 使之成为一条法律 该法案规定, 除警察机构外, 政府部门也可以获取英国国民一年之内的网络历史记录, 另外, 安全服务机构有权在必要时同时对大批个人用户进行网络攻击 对此, 英国民众发起了一场人权保护运动 Liberty, 并对这一法案发起了一项法律挑战 目前为止, 该运动已经完成了初步的众筹计划, 共集资 英镑, 这笔资金将用来请求最高法院对这一新法律进行重新审核 不仅是隐私保护组织, 英国的科技公司也纷纷指责这一新法律 欧盟甚至对此谴责称 该法案是非法的, 是一个民主社会所不能容忍的 但由于英国已经公投脱欧, 因此来自欧盟的压力也不会有太大影响 反对这一法案的又一请愿活动收集到了超过 20 万名英国公民的签名, 要求政府对这一立法举行再一次辩论 摘自 :cnbeta.com 美国联邦贸易委员会与 D-Link 撕上法庭, 称其路由器安全性太差 美联邦贸易委员会 (FTC) 于上周四控告台湾友讯集团 (D-Link), 称其生产的路由器和网络摄像头存在安全漏洞, 用户面临被黑客攻击的风险 诉讼文档据旧金山联邦法院收到的指控称,D-Link 多次未能采取合理的安全措施确保设备安全, 其产品存在的漏洞使得黑客可以远程监控用户活动, 并进一步实施盗窃等犯罪行为 但 FTC 在本次诉讼中并没有提供任何关于 D-Link 设备已被黑客攻陷的事实, 只是分析了用户受到上述攻击的可能性 当然,D-Link 正藉此予以反驳 他们否认 FTC 的所有指控并认为他们毫无依据 立场强硬的 FTC 据悉,FTC 此举是其致力于物联网 (IoT) 安全, 保护消费者隐私措施的一部分 众所周知, 黑客会利用网络设备漏洞, 通过劫持设备来打造僵尸网络, 对主干网发动大规模 DDoS 攻击 在去年的 9 月至 10 月,Mirai 僵尸程序就曾通过感染路由器 摄 像头 DVR 等设备瘫痪了安全新闻网站 KrebsOnSecurity.com, 法国网站主机 OVH, 美国域名服务商 Dyn 等企业网络 FTC 声称, 正是由于他们非常了解这些潜在威胁, 才决定起诉 D-Link 他们指出,D-Link 在此前一直宣传自身产品拥有高安全度且具备 先进的网络安全性能 但事实上, 这些产品存在极易受到攻击的安全漏洞, 而这些漏洞本是可以预先修复的 比如其网络摄像头的默认用户名和登录密码都是 guest, 非常容易被猜到 不仅如此,D-Link 也未能及时修补软件中的安全缺陷, 遗留了命令注入等漏洞, 使得黑客能够远程控制用户设备 此案中,D-Link 被指违反了多项 FTC 条例, 包括涉嫌在设备界面和广告渠道采用虚假的安全性宣传, 诱导 欺骗消费者 ; 没有实施必要的防治措施来避免用户遭受一系列已知安全漏洞的攻击等 目前, FTC 还没有明确表示是否会对有类似问题的公司提起诉讼 职权范围之争不过 D-Link 似乎并不买账 :D-Link 拒绝承认 FTC 的指控, 并且表示会 对此采取进一步措施 (taking steps to defend the action) 事实上, 不只 D-Link, 数量众多的物联网设备公司都存在糟糕的安全问题 安全专家一直在

34 海外来风 海外来风 建议美国政府出台强硬的行业安全条例来规范厂商的行为 而面对近些年日益严峻的 IoT 威胁态势,FTC 所采取的手段也愈发强硬 在此之前,FTC 就曾起诉过华硕和 TRENDnet, 并最终与华硕达成和解 然而,D-Link 针对本次指控的强烈否认却引发了人们另一层面的思考 :FTC 的监管是否过于宽泛和严格? 部分业内人士对 FTC 的做法表示了质疑 Errata Security( 美国网络安全公司 ) CEO,Robert Graham 认为, 对于 FTC 而言, 无论你是 D-Link, 微软, 还是思科, 只要你承诺自身产品的安全性但又没能及时, 完整地公布安全漏洞, 就会遭到指控 而绝对的安全是不可能的,FTC 的标准显然过于霸道了 而来自 Frankfurt Kurnit Klein&Selz 法律事务所的 Jeremy Goldman 的分析或多或少印证了 Robert 的观点, 目前美国没有相关法律规定这些网络设备所要具备的最低安全标准是怎样的 FTC 此举在向众多物联网设备厂商传递一个强硬信号的同时, 也以保护消费者安全的名义尝试建立一些新的标准 他说, 诉讼的关键在于,FTC 要向联邦法院证明 D-Link 的网络设备已经给消费者造成实质损失, 或至少是极可能带来严重后果的 摘自 :FreeBuf.COM 欧盟拟出台新隐私法规谷歌等公司面临更严格监管 北京时间 1 月 10 日消息, 据国外媒体报道, 随着欧盟计划出台新的隐私法规, 寻求对互联网公司使用用户数据的行为进行限制, 谷歌 Facebook 及其他互联网公司将面临更严格的监管 欧盟周二在布鲁塞尔提出了新的隐私法草案, 让互联网用户可以对他们的网络设置具有更多的控制力 欧盟表示, 新规将让欧盟电子隐私法律的适用范围超出电信运营商的范畴, 覆盖 新的电子通信服务提供商, 比如 WhatsApp Facebook Messenger Skype Gmail imessage 或 Viber 等服务 欧盟负责数字市场的副主席安德鲁斯 安西普 (Andrus Ansip) 在一份声明中称 : 我想要确保 电子通信的保密性和个人隐私 我们的 电子隐私监管 (eprivacy Regulation) 草案达到了适当的平衡 : 它会很好地保护消费者的利益, 同时又让企业可以去创新 最新提案也是互联网企业在过去几年面临的诸多监管障碍之一, 因为欧盟监管部门正试图严厉打击互联网公司擅自处理用户个人数据的行为 欧盟委员会还在其他领域加强对美国科技巨头的监管 谷歌多年来就面临欧盟的反垄断调查, 而苹果在去年 8 月份被责令向爱尔兰补缴最多 130 亿欧元 ( 约合 146 亿美元 ) 的税款及利息 就在新的电子隐私法草案提出前的几个月, 欧盟对数据保护法规进行了全面修订 新的数据保护法案将于 2018 年 5 月份生效, 各成员国隐私监管部门将首次有权对违规企业处以最多相当于他们全球年销售收入 4% 的罚款 摘自 : 凤凰科技 欧盟委员会提议实施高标准隐私规则更新欧盟机构数据保护规则 据欧盟委员会官网 2017 年 1 月 10 日报道, 欧盟委员会于当日特别提议进行新立法, 以确保加强电子通信隐私, 并开拓新的商业机会 欧盟委员会提出的诸多措施旨在更新现有规则, 将其适用范围扩大至所有电子通信提供商 ; 创造处理通信数据的新途径 ; 并加强数字单一市场的信任与安全, 而这是数字单一市场战略的主要目标之一 委员会还提出新的规则, 以确保欧盟机构处理个人数据时, 隐私保护标准与 通用数据保护条例 适用于成员国的标准相同, 并制定了有关个人数据跨境转移的战略方针 拟议的新规则 私隐和电子通信条例 将加强对公民私人生活的保护, 并开拓新的商业机会 欧盟委员会还建议就国际个人数据传输问题提出相关战略方针, 以促进商业交流和更好的执法合作, 同时确保高水平的数据保护 委员会将积极参与讨论, 与东亚和东南亚的主要贸易伙伴达成 适当决定 ( 允许个人数据自由流向与欧盟数据保护规则基本一致的国家 ) 此外, 欧盟委员会还将充分利用新的欧盟数据保护规则中的其他机制, 促进与无法达成适当决定的其他第三方国家交换个人数据 欧盟委员会表示, 将继续推动在国际多双边层面发展数据保护高标准 信息来源 : en.htm 摘自 : 欧盟委员会官网

35