时事简评

世界银行发行首支全球区块链债券

世界银行官网8月10日发布消息称，已授权澳大利亚联邦银行作为其全球首次发行的区块链债券的唯一“安排行”。此债券又被称为"Bond-i"，即区块链运营的新型债券，澳大利亚联邦银行将通过区块链技术对该债券进行创建、分配、转移和管理。目前，世界银行和澳大利亚联邦银行正在使用“以太坊”区块链实现该项目。美国微软公司将对该区块链平台的架构、安全和适应能力进行独立地审查。得到世界银行的授权后，澳大利亚联邦银行将成为世界首个完全使用区块链进行债券交易的金融机构。

点评：世界银行发行首支全球区块链债券，标志着国际主流金融机构对区块链技术的认可。当前，区块链对金融活动影响主要集中在比特币等数字加密货币的发行，但此次科技公司与金融机构联合开展区块链应用测试，将推动区块链金融应用的重大突破，包括在减少交易成本方面，验证区块链技术能否发挥关键作用等。然而，区块链技术具有典型的双刃剑效应，不仅对各国既有的政治、经济、金融体系带来复杂挑战，而且其技术自身也存在全新安全风险。面对全球区块链技术发展浪潮，如何趋利避害将区块链技术纳入安全有序的发展轨道是各国的难点。（本悦）

美国众议院情报委员会提出《安全选举法案》

Politico网站8月10日消息，美国众议院情报委员会于当日提出了《安全选举法案》草案。该法案由共和党人汤姆·鲁尼和特雷·高迪以及民主党人吉姆·希姆斯和特里·塞维尔提出，将促进联邦和州政府就选举安全展开合作，帮助州政府顺利完成选举安保工作。法案将允许地方选举办公室申请联邦拨款，购买用于选举的纸质设备以取代无纸电子投票机，防止出现因黑客攻击导致选票信息被篡改而无纸质纪录可验证的情况。此外法案还将加强政府与各州之间的合作，完善二者在选举安全上关键信息共享。而此前，两党的参议员已在数月前向参议院提出了《安全选举法案》。

点评：美国众议院提出的《安全选举法案》主要有四方面的政治考量：一是最大限度地排除外国政府干扰，这是吸取2016年总统大选中“通俄门”事件的教训，防止在11月份的中期选举中重蹈覆辙。二是强化选票安全，废除易受黑客攻击的无纸电子投票机，代之以更加可靠的纸质设备。三是确保选举后的审计工作可查可验，除了票数非常接近的州有重新计票的机会，所有的选举都可以进行双重检查与核实。四是促进联邦与州政府的信息共享与选举安全合作，以更好地防范网络威胁。遗憾的是，该法案因无法获得足够共和党议员的支持而在参议院受挫，议案推动者对国会的不作为深表遗憾与不满。（韩庆娜）

2018年上半年发现的漏洞超过1万

Risk Based Security网站8月13日消息，日前VulnDB风险安全团队在其官网上发布了《2018年上半年VulnDB风险简报》。报告显示截至2018年上半年已有超过10000个漏洞被发现，比去年同期增长1%，这一数值比CVE /NVD（美国国家漏洞库）报告的要多出3279个。在披露的漏洞中，16.6%的CVBSSv2（漏洞评分系统）评分在9.0到10.0之间，与往年相比有所下降，但在 CVE/NVD未报告的3279个漏洞中，44.2%的CVSSv2得分在9.0到10.0之间，严重程度较高。此外，报告还显示32.1%的漏洞具有公共威胁，50%的漏洞可以被远程利用，25.6%的漏洞目前没有已知的解决方案。报告还指出当前漏洞威胁形势严峻，需要政府与企业致力于漏洞管理以应对不断变化的漏洞威胁。

点评：近几年来，漏洞的数量和严重程度都在不断上升，表明了漏洞仍然是政府与企业面临的主要安全威胁之一，数字资产的防护工作难度性持续提高。同时也要注意到报告中有48.5%的漏洞能够以协商的方式披露出现，对于企业修补漏洞、降低风险提供了有效帮助。应对漏洞威胁的关键在于新的解决方案能够在覆盖之前的漏洞基础上，为可能出现的漏洞做出预警，否则漏洞的危害性将会愈发严重。（李书峰）

特朗普签署《2019财年国防授权法案》，禁止政府使用华为和中兴部分技术

美国白宫网站8月13日消息，美国总统特朗普签署了《2019财年国防授权法》（NDAA），该法案的第889条禁止美国政府部门使用或采购“隐蔽的电信设备或服务”。在该条款中，被列入“隐蔽的电信设备或服务”的有：（1）华为公司和中兴公司（或其子机构、附属机构）生产的电信设备；（2）海能达、海康威视、大华生产的用于公共安全、政府场所安全的、关键基础设施的物理安全监控等用途的视频监控及电信设备；（3）上述公司提供的电信或视频监控服务，以及对上述设备的使用；（4）其他电信、视频监控设备或服务，经国防部部长咨询国家情报总监或联邦调查局局长后，认为提供该设备或服务的公司是由中国政府持股、控制或与中国政府有联系的。

点评：作为美防务预算的指导性文件，NDAA2019是对美2018年《国家安全战略》的落实。法案的涉华涉网条款体现了特朗普政府聚焦战略竞争对手加大威慑力度的网络政策基调，同时看到，关键信息基础设施安全和供应链安全仍然是美网络安全的重要关切。禁止美政府部门购买或使用中国制造的相关设备和服务，一方面可以国家安全为由继续打压中国企业，另一方面是要防止关键基础设施通过信息技术被远程监视和控制。实际上，在信息技术产品或服务中放置后门或漏洞的做法，美情报机构的能力最强。（许蔓舒）

特朗普政府撤销第20号总统政策指令，为便于实施攻击性网络行动

路透社8月15日报道，美国总统特朗普签署行政命令，撤销了奥巴马时期的20号总统政策指令(PPD-20)，从而更易于实施攻击性网络动。PPD-20概述了政府机构在进行攻击性网络行动之前必须遵循的复杂流程。撤销此指令将放宽美国政府对部署进攻性网络武器的限制，有助于为军事行动提供支持，防止外国干预选举活动和窃取知识产权等。此举或让军方更自由地部署先进网络武器。

点评：该命令在签署之初就被支持者拥护为有效应对潜在网络安全风险的重要机制，特朗普此举取消了发起网络攻击的规则，从而使得军方不会受到来自国务院和情报系统的阻挠，无疑扩大了网络司令部的权力，无需再经白宫同意，更容易对俄罗斯、伊朗等国家以及组织、个人等发起更高频率、更加激进的攻击行动。（李书峰）

巴西总统签署数据保护法

ZDNet网站8月14日消息，巴西总统米歇尔·特梅尔（Michel Temer）签署《个人和企业数据保护法案》（Individuals and Businesses Data Protection Bill）。该法案将在18个月内实施，旨在保护个人和企业的数据安全，防止在未经相关同意的情况下将个人和企业的姓名、电话号码和地址等信息用于商业目的。该法案适用于在巴西收集和处理数据的任何公共或私人组织，当相关机构收集个人或企业的信息时，应当及时通知用户和企业，并在双方关系结束后或用户未要求删除数据的情况下主动删除相关数据。当发生诸如数据泄漏之类的事件时，相关方应当立即通知用户，并对因数据泄漏造成的任何损害负责。不遵守该法案的企业将会被罚款，罚款为企业收入的2%，最高可达5000万雷亚尔（1280万美元）。

点评：截至2017年3月，全球已经有120多个国家制定了专门的个人信息保护法。巴西数据保护法的出台，进一步更新了这一数字。与之前的法律相比，巴西的数据保护法有三个重要的特点，第一是将数据保护的对象从个人扩展到企业，值得我国立法借鉴。第二，该法律将企业和政府部门都作为保护个人信息和数据的义务承担者，从而将政府和个人一视同仁。第三是特别强调了数据泄露的问题，很显然是回应了公众对于个人信息泄露的关切。（许可）

Gartner：2018年全球信息安全支出将超过1140亿美元

Gartner官网8月15日消息，全球领先的信息技术研究和顾问公司盖特纳（Gartner）预测，2018年全球信息安全产品及服务支出将超过1140亿美元，较去年增加12.4%；预计2019年安全市场将持续增长8.7%，达1240亿美元。安全支出的三大驱动力分别是安全风险、业务需求以及行业变化。Gartner预测：（1）到2019年，隐私问题至少会带动10%的安全服务市场需求，同时将影响如身份和访问管理、身份治理与管理以及数据泄露防护等多个部门。（2）到2019年，带动全球安全支出增长的主要因素包括：更加重视建立监测与响应的能力、GDPR等隐私权法规，以及解决数字化业务风险的必要性。（3）影响2018-2019年信息安全支出的关键趋势包括：①到2019年，至少有30%的企业机构将产生GDPR相关服务的支出；②到2020年，将有超过40%的企业机构因其数字化转型计划的风险管理和隐私问题而增加安全服务支出；③到2020年，至少有50%的安全软件以服务的方式提供。

点评：全球信息安全费用的飙升凸显了一个趋势，即数据安全和隐私保护不仅是企业的负担，更可能是企业的机遇。最新的研究表明，到2020年美国隐私付费的市场可能达到50到60亿美元。同样这一数据在欧盟和其他国家也在不断地翻新。正因为如此，对于隐私保护和网络安全，应当化威胁为机遇。（许可）

埃及出台首部网络安全法

CNN网站8月18日消息，埃及总统塞西签署批准《反网络及信息技术犯罪法》（Anti-Cyber and Information Technology Crimes）。这部法律是埃及首部网络安全法，意在打击非法使用计算机和信息网络的行为，防止政府及企业法人的数据、信息系统和网络受到任何形式的攻击、渗透、篡改、毁损或破坏。法律共45条，其中第7条规定，允许监管部门在获得司法授权的情况下处罚和关闭对国家安全构成威胁或制造虚假新闻的网站，并控制相关责任人。此外，网络及通信服务运营商必须保留连续180天内的详细系统记录，有义务向监管机构提供特定用户及IP地址的信息，还有义务向用户本人提供其个人数据信息。

点评：在西方媒体的话语下，该法在起草之初就被扣上“反言论自由”“反人权”的帽子。对于发展中国家来说，互联网技术、网络安全威胁和网络自由三者之间的关系与权衡，始终应该以自身的国家利益为前提和最终的考量标准，切不可屈就于西方的意识形态攻势，从而在实际上丧失了网络空间的治理权。尤其是经历了2010年的中东变局之后，网络空间治理对于一国在维护国家安全、稳定和社会经济发展方面的作用越发凸显。（路予）

微软：俄罗斯企图通过钓鱼网站干预美国中期选举

纽约时报8月21日消息，微软发现与俄罗斯政府有关的黑客通过钓鱼网站企图干预美国中期选举。微软数字犯罪小组（Digital Crimes Unit）上周向法院移交了黑客组织APT28设立的6个钓鱼网站。APT28被认为是与俄罗斯军事情报局（GRU）有关，专门从事黑客攻击和虚假信息行动，也被称为“幻想熊”（Fancy Bear）或“锶”（Strontium）。该组织模仿美国参议院、保守派的非营利组织——国际共和研究所以及哈德逊研究所，创建了6个域名相似的虚假网站。通过虚假网站发送欺骗性的“鱼叉式网络钓鱼”（Spear phishing）电子邮件，渗透并控制访问者的计算机，从而窃取电子邮件、文档、联系人列表等信息。

点评：从该报道可以看出，美国相关公司及政府部门继续遵循2016年“通俄门”事件的行为逻辑去认识和理解黑客行为背后的意图。从技术上看，所谓“幻想熊”其实与普通黑客的钓鱼攻击没有任何本质的区别，北约早已形成了坚定的、基于意识形态和国内政治立场的认知框架。但是该认知框架与现有的技术材料之间没有形成有效的相互支撑的论点和论据的关系，更像是基于国内政治和意识形态需求所打的一场宣传攻势，从中长期的情况看，这必将为本来已经非常复杂的美俄关系增加更多的不利因素。（沈逸）

皮尤研究中心：青少年及家长网络成瘾，易受手机干扰

皮尤研究中心官网8月22日消息，美国皮尤研究中心发布调查报告称青少年及家长网络成瘾，易受手机干扰。调查结果显示，54%的美国青少年表示他们在手机上花了太多时间，2/3的家长对其孩子的手机使用情况表示担忧，然而，家长们同样也受手机干扰而分心。此外：（1）72%的青少年表示他们经常或有时会在他们醒来后立即检查消息或通知，而大约四分之一的人表示他们在没有手机时会感到焦虑，其中女孩尤甚。（2）大约三分之二的家长表示他们担心自己的孩子在屏幕前花费太多时间，57%的人表示他们会以某种方式为孩子设置屏幕时间限制。（3）一些青少年的家长承认他们也很难抵挡屏幕的诱惑，36%的人说他们自己在手机上花了太多时间。（4）51%的青少年表示，当他们试图与父母交谈时，他们经常或有时会发现他们的父母或照顾者会被其手机分心。

点评：皮尤研究中心最新的民调结果，为研究者揭示手机焦虑、网络成瘾现象生成的深层动因提供了依据。手机和网络是全民生活水平提升的观测点之一，也是未来时代各年龄段人们生活的两大构成要素，过度依赖手机和网络的背后是必须引起有效重视的巨大经济压力之下的生活焦虑。这一客观情况提醒我们需认真思索手机和网络应当以何种形式在未来构建其存在的合理性，这是人类社会从自然世界过度到人工世界所必须达成的一种“妥协”。（吴卉）