2015年度国际网络安全大事件技术与政策并存 机遇与挑战齐飞

文/本刊记者 柒 月

2015年度国际网络安全大事件技术与政策并存 机遇与挑战齐飞

文/本刊记者 柒 月

2015年的网络安全圈注定是不平凡的一年，各大网络安全盛会精彩不断，技术水平可见一斑；各国政府更是不遗余力，网络安全相关政策法规相继出台，全力构建网络安全新局面。

Pwn2Own 2015在温哥华拉开战幕

2015年 3月 18日，Pwn2Own黑客大赛在加拿大温哥华举行。Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI（Zero Day Initiative）主办，谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。

Pwn2Own攻 击 目标包括IE、Chrome、Safari、Firefox、Adobe Flash和Adobe Reader的最新版本。这项赛事承载着黑客世界的荣誉，对安全研究人员来说，如果能在Pwn2Own上获奖，这象征着其安全研究水平已经达到世界领先的水平。Pwn2Own上各参赛团队的表现，也代表其国家网络攻防技术的实力。

RSA Conference 2015在旧金山召开

2015年4月20日 至24日，全球知名信息安全峰会RSA Conference 2015在美国旧金山召开。作为IT安全领域的权威科技大会，RSA大会邀请了各地区著名安全专家出席与分享，并吸引汇集了全球众多顶级安全厂商的联袂参展。RSA大会已成为一个快速了解全球安全趋势的风向标，更是影响安全产业转型与持续发展的重要会议平台。

RSA2015的主题为“Change： Challenge today's security thinking（变化：挑战当今的安全理 念）”，相比2014年的主题则更具冲击力。本届RSA大会议题将更加专注于探讨深层次的安全技术，如加密技术、深度包检测和启发式检测恶意软件等等。

美国国防部发布网络新战略

2015年4月23日，美国国防部发布了一项网络新战略，首次明确讨论了美国在何种情况下，可以使用网络武器来对付攻击者，并且还列出了美国自认为威胁最大的国家。

报告认为，网络威胁无处不在，为更好地应对这一严峻挑战，国防部在网络安全方面为自己设定了三大使命：一是防卫国防部的网络、 系统和信息；二是保卫美国国土及国家利益不受重大网络袭击活动的侵犯；三是集中网络军队力量支持军事行动和应急计划。报告中指出，为了降低网络空间风险，需要一个全面的战略来应对，如果需要的话还需要能够承受颠覆性的和破坏性的攻击。

美国公布《瓦森纳协定》的修改草案

2015年5月，美国商务部工业与安全局公布《瓦森纳协定》的修改草案，新规则规定美国企业或个人向境外厂商报告漏洞情况是一种出口行为，需预先申请政府许可，否则将被视为非法。

《瓦森纳协定》又称瓦森纳安排机制，全称为《关于常规武器和两用物品及技术出口控制的瓦森 纳 安 排》 （The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies），目前共有包括美国、日本、英国、俄罗斯等40个成员国。尽管“瓦森纳安排”规定成员国自行决定是否发放敏感产品和技术的出口许可证，并在自愿基础上向“安排”其他成员国通报有关信息。但“安排”实际上完全受美国控制。

新西兰政府通过《数字通信欺凌法案》

2015年7月，新西兰政府通过了《数字通信欺凌法案》，宣布网络欺凌是一种犯罪行为。任何人使 用Facebook，Twitter等数字通信方式，导致被害人 “严重的情绪困扰”，被认为是违法，并可能面临一系列的惩罚。该法案涵盖了那些包含种族主义者，性别歧视，残疾内容，宗教歧视等内容的帖子。新西兰目前还没有设立专门机构来执行该法案。当然，政府将面临自称这些法律侵犯了言论自由的反弹，而该法案似乎也可以将未成年人定罪为刑事犯罪。法案规定，社交网络可以在48个小时内删除有害帖子，通过安全港声明保障自己不会被新西兰政府起诉。

法国宪法委员会通过新情报法

2015年7月 23日，法国宪法委员通过新的情报法，允许国家情报机构更广范围地监听公众，以应对前所未有的恐怖威胁。

根据该情报法的规定，情报人员不再需要法官批准，而是在听取新成立的专门监督机构建议后就可开展监视活动。情报机构在特殊情况下可以使用 “IMSI捕手”侦察装置。该装置可记录某一领域各种类型的电话、网络和短信内容。同时，情报人员可以使用传声器和相机窃听嫌疑人的住所，并使用键盘记录器跟踪他们电脑上的每一次击键。此外，情报机构还可要求互联网服务公司通过监视元数据跟踪可疑行为，比如使用特定网址的时间和频率。

BlackHat 2015在拉斯维加斯如期举行

2015年8月1日至6日，世界黑帽大会BlackHat在美国拉斯维加斯举行，为期6天的会议吸引了自世界各地的超过1.5万安全专业人士。创办于1997年的BlackHat被公认为世界信息安全行业的最高盛会，也是最具技术性的信息安全会议。

对于全世界的黑客来说，登上具有18年历史的BlackHat演讲台，是对其研究成果的最高认可。BlackHat演讲议题挑选非常严格，只有在相关领域具有独到、深度的研究，并对安全行业未来发展有深入影响的议题才会入选，具有前瞻性是BlackHat入选议题的最大的亮点。参会人员包括各大企业和政府的研究人员，以及来自世界各地安全厂商和研究组织的优秀黑客。

DEFCON 2015在拉斯维加斯举办

2015年8月6日至9日，全球安全领域的顶级大会DEFCON在美国拉斯维加斯举办，有超过7000名黑客和安全专家参加这一盛会，参会者除了来自世界各地的黑客外，还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员，影响巨大。

DEFCON黑客大会是黑客们结识朋友以及展示实力的国际平台，每年的大会上都有精彩的技术演讲，这些技术演讲代表着安全领域的最新研究方向。除了议题演讲，DEFCON还有高水平的黑客技术竞赛。全球范围网络安全圈流行的竞赛形式——夺旗赛（CTFCaptureTheFlag）正是起源于DEFCON大会，而且一直是DEFCON的核心竞赛之一。

美国国会参议院通过《网络安全信息共享法案（CISA）》

2015年10月27日，美国国会参议院以74比21的投票结果通过了《网络安全信息共享法案（CISA）》，允许公司和政府分享黑客攻击信息，以加强网络防护，之前众议院也通过了这个法案，最终等到美国总统奥巴马签署后，将成为正式法律。

该法案的内容是对企业的信息共享行为增加法律上的照顾，以鼓励美国企业把信息安全漏洞信息共享给其它企业以及政府部门。近年来，由于计算机攻击导致数百万美国人的个人信息遭泄露，美国民主和共和两党的议员们一直希望能够让新的网络安全法案正式成为法律。支持者表示，对于减少用户信息偷窃行为而言，立法是很有必要的。

英国政府公布新版《调查权法》草案

2015年11月4日，英国政府公布新版《调查权法》草案，要求互联网公司和手机制造商能永久地拦截和收集通过其网络传播的个人数据，并赋予其协助安全机构和警察调查国家安全相关事项的权利。

英国内政部表示，新版调查权法的宗旨是加强执法机关与情报机关完成其关键作业能力，弥补这些机构之间的作业漏洞，使他们更有能力对可疑人等的上线活动，搜集情报和证据，其内容包括通讯拦截、通讯数据获取及留存、干扰设备使用等条款。英国内政部长特丽莎表示，现在是数字时代，民众通信不全使用电话而是经由网络，为了追击犯罪，政府必须有能力监控网络通讯记录。