歐洲央行發(fā)布TIBER-EU框架以測試金融企業(yè)網(wǎng)絡彈性

歐洲央行官網(wǎng)2018年5月2日消息，歐洲中央銀行（ECB）發(fā)布了基于威脅情報的倫理紅隊框架（Framework for Threat Intelligence-based Ethical Red Teaming，TIBER-EU）。該框架為首個針對歐洲范圍內(nèi)的金融市場網(wǎng)絡攻擊控制和定制測試框架，用以測試金融機構的網(wǎng)絡彈性，并可為處于多個監(jiān)督方下的跨境實體進行測試?？蚣軐⒆鳛橐环葜改?，已經(jīng)設計了一個針對銀行、證券交易所和金融公司的網(wǎng)絡攻擊模擬測試流程，也可為實體機構量身定制測試，幫助參與測試的實體了解自身優(yōu)勢和劣勢，并使其通過學習提高網(wǎng)絡成熟度。

點評：攻擊性檢測已成為檢驗評估網(wǎng)絡信息系統(tǒng)安全狀況的重要方式，美國軍政機構每年都要組織此類專項演習。目前，中國國內(nèi)眾測平臺得到了一定發(fā)展，吸引了大量“白帽”黑客參與，但由于受到法律法規(guī)的限制，以及缺乏專業(yè)的行業(yè)安全框架規(guī)范，測試對象主要局限于公共互聯(lián)網(wǎng)平臺，金融、能源等關鍵基礎設施的攻擊檢測還有待發(fā)展。歐洲TIBER-EU框架為我開展金融系統(tǒng)安全檢測提供了很好借鑒，有必要通過制定專業(yè)的領域性安全檢測框架，為各行業(yè)機構借助黑客技術能力，挖掘自身系統(tǒng)漏洞，完善安全措施提供規(guī)范和指導。（倪?。?/p>

全球最大DDoS市場被關閉，歐洲D(zhuǎn)DoS攻擊下降60%

Link11德國網(wǎng)絡安全公司網(wǎng)站2018年5月3日消息，隨著全球最大的DDoS市場WebStresser被關閉，整個歐洲D(zhuǎn)DoS攻擊下降了60%。WebStresser于4月24日正式被關閉，隨后歐洲刑警組織扣押了該網(wǎng)站的服務器，并逮捕了犯罪嫌疑人。據(jù)悉，WebStresser在關閉時擁有超過136000名注冊用戶，并且近年來已經(jīng)提供超過400萬次DDoS攻擊。通過這個網(wǎng)站，任何用戶都可以通過在線支付方式租用防護裝置和攻擊節(jié)點，發(fā)起對其他網(wǎng)站的DDoS攻擊?？蓤?zhí)行DDoS功能的WebStresser高級帳戶的價格約為15歐元（114.38元人民幣）。該網(wǎng)站是迄今為止市場上最受歡迎的DDoS服務市場。此次WebStresser的移除將對DDoS活動有重大影響，尤其是對整個歐洲的影響更加巨大。

點評：黑產(chǎn)市場分工已經(jīng)日趨細化，類似于WebStresser這樣的雇傭式黑客服務只是冰山一角。WebStresser以其操作簡便、菜單式服務及信譽良好等“聞名”于業(yè)界，甚至國內(nèi)市場還曾出現(xiàn)過其代購和分銷服務，可見其影響力之大。以往的經(jīng)驗表明，一個“知名”的黑市被關閉，短期之內(nèi)交易將顯著減少，但由于這類非法需求還將持續(xù)存在，未來還會出現(xiàn)其他更隱秘的替代市場。值得思考的問題是，這13.6萬的用戶是誰，他們是否應當承擔法律責任？如果不能規(guī)制需求，單純關閉市場長期效果通常不佳。（石建兵）

澳大利亞擬在醫(yī)療行業(yè)信息技術和網(wǎng)絡安全投入逾1億澳元

ZDNet網(wǎng)站2018年 5月8日消息，澳大利亞政府將在未來四年內(nèi)為醫(yī)療行業(yè)信息技術系統(tǒng)現(xiàn)代化投入1.068億澳元的資金。澳政府2018-2019年預算的主要關注點在于醫(yī)療行業(yè)的技術與科學方面。這筆資金還將用于改善藥物福利計劃、老年護理和相關支付系統(tǒng)。預算文件顯示，相關措施包括更換和停用老化的ICT系統(tǒng)，升級網(wǎng)絡安全系統(tǒng)，以及為用戶和老年護理服務提供商改善用戶服務體驗。政府將在五年內(nèi)投入2820萬澳元用于開藥軟件系統(tǒng)更新。

點評：在傳統(tǒng)產(chǎn)業(yè)中引入信息技術能夠極大提高效率，促進更可持續(xù)的發(fā)展，這已經(jīng)成為業(yè)內(nèi)共識，醫(yī)療行業(yè)顯然也不例外。信息技術能夠提高數(shù)據(jù)處理能力，促進醫(yī)療資源更有效地配置，同時創(chuàng)造大量數(shù)據(jù)，為醫(yī)療技術的進步打下堅實基礎，最終改善民眾福利。但信息技術也是一枚雙刃劍，網(wǎng)絡化會加大網(wǎng)絡安全風險，造成的損失也會加劇。因此在發(fā)展信息技術的同時，必須著力部署相應的網(wǎng)絡安全措施。（王瀅波）

中國網(wǎng)絡社會組織聯(lián)合會成立

環(huán)球網(wǎng)2018年5月9日報道，中國網(wǎng)絡社會組織聯(lián)合會成立大會在京召開。該聯(lián)合會是我國首個由網(wǎng)絡社會組織自愿結成的全國性、聯(lián)合性、樞紐型社會組織，由10家全國性網(wǎng)絡社會組織發(fā)起成立，國家網(wǎng)信辦為業(yè)務主管單位。會上，全國人大社會建設委員會副主任委員、中央網(wǎng)信辦原副主任任賢良當選為會長。阿里巴巴集團董事局主席馬云、騰訊董事會主席兼首席執(zhí)行官馬化騰、百度董事長兼首席執(zhí)行官李彥宏、京東董事局主席兼首席執(zhí)行官劉強東以及360集團董事長兼首席執(zhí)行官周鴻祎等當選為副會長。任賢良表示，聯(lián)合會的成立標志著網(wǎng)絡社會工作邁上了新臺階，網(wǎng)絡綜合治理體系建設取得新突破，互聯(lián)網(wǎng)行業(yè)管理取得新成效。據(jù)了解，中國網(wǎng)絡社會組織聯(lián)合會首批會員單位總共有300家，包括全國性網(wǎng)絡社會組織23家，地方網(wǎng)絡社會組織277家。

點評：中國網(wǎng)絡社會組織聯(lián)合會的成立，標志著國家網(wǎng)絡空間治理進入政企聯(lián)合的新階段。目前，網(wǎng)絡空間日益融入人們的生產(chǎn)生活之中，構成了一個新的網(wǎng)絡社會，中國作為世界上最大的網(wǎng)絡國家，有近8億網(wǎng)民，僅靠政府的力量去管理遠遠不夠，因此，需要充分發(fā)揮社會組織的廣泛力量。而大型互聯(lián)網(wǎng)企業(yè)具有平臺、技術、數(shù)據(jù)和人才等優(yōu)勢，能夠與政府部門的法規(guī)和行政手段相互配合、相互補充，從而充分發(fā)揮出網(wǎng)絡空間治理的綜合效益，有力促進網(wǎng)絡社會生態(tài)健康有序發(fā)展。（倪?。?/p>

區(qū)塊鏈技術國家標準將制定

《經(jīng)濟參考報》2018年5月10日報道，我國已著手建立區(qū)塊鏈國家標準。工信部電子工業(yè)標準化研究院區(qū)塊鏈研究室主任李鳴表示，目前有關區(qū)塊鏈國家標準計劃已經(jīng)公布，相關部門也將組建全國區(qū)塊鏈和分布式記賬技術標準化委員會，以從頂層設計推動區(qū)塊鏈標準體系建設，預計最快將于2019年底完成。據(jù)悉，區(qū)塊鏈國家標準包括基礎標準、業(yè)務和應用標準、過程和方法標準、可信和互操作標準、信息安全標準等方面，并將進一步擴大標準的適用性。目前，中國已經(jīng)形成了國際化區(qū)塊鏈方面的200多項專利。

點評：區(qū)塊鏈技術發(fā)展或?qū)⒊蔀槲覈莆杖蚩萍几偁幭葯C的重要一步。區(qū)塊鏈技術可應用在生產(chǎn)鏈、管理鏈、交易鏈等領域，但當前仍處于發(fā)展初期。近幾年全球范圍內(nèi)因區(qū)塊鏈安全事件造成的損失近30億美元.因此，在區(qū)塊鏈國家標準的制定中，必須并重發(fā)展其安全屬性，甚至是超前發(fā)展。在推進區(qū)塊鏈技術健康發(fā)展的同時，未來標準制定也將為行業(yè)指引方向。（本悅）

世界上第一個商業(yè)5G網(wǎng)絡在卡塔爾推出

科技網(wǎng)站VentureBeat 2018年5月14日消息，卡塔爾的Ooredoo網(wǎng)絡運營商剛剛推出了“世界上第一個商用5G網(wǎng)絡”——5G Supernet，覆蓋范圍從卡塔爾南部到哈馬德國際機場的幾十英里區(qū)域。Ooredoo運營商目前在10個國家擁有1.64億客戶，承諾在未來幾個月內(nèi)將商業(yè)5G網(wǎng)絡進一步覆蓋卡塔爾的更多地區(qū)。但Ooredoo的發(fā)展受到缺乏5G設備的限制。Ooredoo目前還沒有掌握接入5G Supernet需要的5G兼容設備相關技術，不能生產(chǎn)所需設備，只能借助蘋果、三星等公司生產(chǎn)的兼容設備。Ooredoo承諾將在一個月內(nèi)提供“客戶端設備”（CPE），并在2019年6月前推出5G智能手機。此外，美國運營商Verizon和AT＆T已承諾今年晚些時候推出5G服務。

點評：全球各地早已開始進行5G外場測試，部署預商用網(wǎng)絡領域由卡塔爾拔得頭籌。雖說規(guī)模商用只在遲早而且也是預料中的事，但正式落地仍讓人心懷激動和敬畏?；厥?G標準擬訂所走過的歷程，舉全球資源共同制定5G這樣一個普惠標準，且這個標準可為人類實現(xiàn)和萬物能夠隨時、隨地進行互聯(lián)溝通的夢想，在人類文明史上，也注定是一件值得書寫的大事。（石建兵）

美國國土安全部發(fā)布網(wǎng)絡安全戰(zhàn)略

美國國土安全部（DHS）官網(wǎng)2018年5月15日消息，美國國土安全部當日發(fā)布網(wǎng)絡安全戰(zhàn)略，希望各政府部門更積極地履行網(wǎng)絡安全使命，以保護關鍵基礎設施免遭網(wǎng)絡攻擊。該戰(zhàn)略旨在使DHS 的網(wǎng)絡安全工作按照優(yōu)先級協(xié)調(diào)開展，致力于協(xié)調(diào)各部門的網(wǎng)絡安全活動。該戰(zhàn)略確定了DHS管理網(wǎng)絡安全風險的五大主要方向：風險識別、減少關鍵基礎設施脆弱性、降低網(wǎng)絡犯罪活動威脅、緩解網(wǎng)絡事件影響、實現(xiàn)網(wǎng)絡安全成果。并明確了7個目標：評估不斷變化的網(wǎng)絡安全風險、保護美國聯(lián)邦政府信息系統(tǒng)、保護關鍵基礎設施、有效響應網(wǎng)絡事件、提高網(wǎng)絡生態(tài)系統(tǒng)的安全性和可靠性、加強管理DHS 網(wǎng)絡安全活動。

點評：總體上看，美國國土安全部對網(wǎng)絡安全領域越來越重視，并將會采取更多的具體措施。此次DHS發(fā)布新的網(wǎng)絡安全戰(zhàn)略，主要是實現(xiàn)四個層面目的：一是強調(diào)針對美國政府各部門的網(wǎng)絡安全責任監(jiān)管；二是強調(diào)網(wǎng)絡安全界的合作關系，包括政府機構、行業(yè)以及國際社會的合作伙伴；三是強調(diào)直接與行業(yè)共享網(wǎng)絡安全工具，尤其醫(yī)院、機場和化學工廠等關鍵基礎設施行業(yè)。四是強調(diào)供應鏈安全，針對美國關鍵基礎設施運營商提供的網(wǎng)絡安全支持，明確提到DHS必須重點關注系統(tǒng)性風險。（倪俊）

臉書發(fā)布最新調(diào)查，200個應用程序已被暫停

日內(nèi)瓦數(shù)字觀察網(wǎng)2018年5月18日消息，臉書發(fā)布了其正在進行的應用程序調(diào)查和審計的最新進展。在對這些應用程序進行用戶數(shù)據(jù)審查的第一階段，臉書暫停了大約200個應用程序。扎克伯格于2018年3月21日曾做出承諾，作為臉書數(shù)據(jù)泄露事件調(diào)查的一部分，臉書將會調(diào)查數(shù)千個應用程序。這些應用主要是2014年及以前的應用，當時臉書不僅允許應用直接從用戶那里獲取信息，還可以從用戶的朋友那里獲取個人數(shù)據(jù)。臉書產(chǎn)品合作部副總裁伊姆·阿齊邦（Ime Archibong）指出“要找到可能濫用臉書用戶數(shù)據(jù)的所有應用程序，還有很多工作要做，這需要時間”。

點評：“數(shù)據(jù)泄露門”之后，臉書對平臺進行了一系列干預動作：包括使用人工智能主動發(fā)現(xiàn)偽造的個人資料，雇用更多版主，以及對用戶通過臉書連接的應用程序進行全公司審查。這一審查也是順應了5月25日歐盟成員國正式實施《一般數(shù)據(jù)保護條例》的大背景，歐盟居民將被賦予更多控制權來決定自己數(shù)據(jù)的收集和使用方式，企業(yè)也被要求在獲得用戶準許之后才能收集數(shù)據(jù)。5月22日扎克伯格在比利時布魯塞爾參加歐洲議會聽證會時，重審了對于數(shù)據(jù)保護規(guī)定的支持，但他還表示，希望能夠確保下一個初創(chuàng)公司“不會在構建下一個偉大的產(chǎn)品時承擔不必要的負擔”。（方師師）

越南將出臺《網(wǎng)絡安全法》

VNExpress網(wǎng)站2018年5月21日消息，越南國會當日審議通過了《網(wǎng)絡安全法》草案。越南政府希望通過新草案加強國內(nèi)的網(wǎng)絡監(jiān)管力度，認為在越南的外國電信公司和互聯(lián)網(wǎng)服務商應遵守法律，尊重越南的國家主權、利益和安全。根據(jù)該草案的最新版本，其不再要求谷歌和臉書等公司在越南境內(nèi)設立服務器，但仍要求這些企業(yè)在越南本地儲存用戶數(shù)據(jù)及在越收集或生成的重要數(shù)據(jù)，并在當?shù)卦O立辦公點，以便協(xié)助政府的網(wǎng)絡監(jiān)管。據(jù)悉，該草案將在6月15日進行最終的投票。

點評：“斯諾登事件”之后，保護數(shù)據(jù)主權的理念在各國政策中越來越多地被提及。就當前各國實踐來看，禁止特定數(shù)據(jù)向國外傳輸、要求數(shù)據(jù)本地化存儲、數(shù)據(jù)傳輸前必須征得數(shù)據(jù)主體同意等是維護數(shù)據(jù)主權較為常見的做法。即使是美國，也在今年推出了CLOUD法案，以加強執(zhí)法中的數(shù)據(jù)獲取能力。數(shù)據(jù)主權政策的廣泛實施，必然導致跨國企業(yè)合規(guī)成本的上升和難于化解的政策沖突困境。因此，未來必然需要通過國際協(xié)定實現(xiàn)數(shù)據(jù)共享和共治。（張衠）

GDPR正式生效實施

美國有線電視財經(jīng)新聞網(wǎng)2018年5月25日消息，《一般數(shù)據(jù)保護條例》（GDPR）在歐盟正式生效。新條例適用范圍包括在歐盟地區(qū)使用或擁有數(shù)據(jù)的企業(yè)和個人。若企業(yè)違反新規(guī)，將面臨最高2000萬歐元或其全球年銷售額4%的罰款。歐洲最高司法官員維拉·朱羅瓦（Vera Jourova）表示，在歐盟通過數(shù)據(jù)獲利的互聯(lián)網(wǎng)企業(yè)應承擔保護用戶隱私權的責任。據(jù)悉，部分企業(yè)已在幾周前制定新的用戶協(xié)議，以適應歐盟新規(guī)。但仍有企業(yè)表示無法適應新規(guī)，正準備從歐盟地區(qū)撤出數(shù)據(jù)投資業(yè)務，并削減為歐盟客戶提供的數(shù)據(jù)服務。

點評：GDPR對于歐盟境外的數(shù)據(jù)治理格局所帶來的重大發(fā)展。尤其是其明確規(guī)定即使是歐盟境外的主體在特定條件下也必須遵循GDPR的相關規(guī)范，這在數(shù)字化業(yè)務乃至交易形式日趨多樣化的技術背景下，迫使我們必須考慮、評估GDPR的適用可能性及其實際影響力。在此形勢下，面對GDPR，單個企業(yè)的合規(guī)固然重要，但更加具有戰(zhàn)略意義的是國家層面在整體上給予企業(yè)開展經(jīng)營必要的支持法規(guī)和扶助措施。（吳沈括）