时事简评

英特尔芯片漏洞涉及面广，几乎影响所有现代计算设备

路透社2018年1月3日消息，网络安全研究人员当日披露了两个安全漏洞。他们表示，这两个漏洞存在于英特尔、AMD和ARM架构的芯片当中，能够让黑客盗取几乎所有的现代计算设备中的敏感信息。研究人员将两个漏洞称作“熔断”（Meltdown）和“幽灵”（Spectre）。其中，“熔断”只存在于英特尔芯片中，而“幽灵”则影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。英特尔和ARM坚持认为，该问题不属于设计缺陷，但仍要求用户下载补丁，对操作系统进行更新来修复它。

点评：这个漏洞历史悠久，其源于早期芯片设计理念中的一个缺陷。当代芯片设计不幸继续沿用，几乎无一幸免，虽暂无利用此漏洞攻击的案例，也足以让人忧惧。这也是技术史上的超级危机，涉及整个IT产业链。去年谷歌曾向厂商通报漏洞，但在约定修复期限前一周被科技媒体踢爆。这背后不仅要探讨合理的漏洞披露政策，还关乎大家是否还能共同应对下一场危机。 （石建兵）

国家互联网信息办公室约谈“支付宝年度账单事件”当事企业负责人

中国网信网2018年1月6日消息，针对新闻媒体报道的“支付宝年度账单事件”，国家互联网信息办公室网络安全协调局约谈了支付宝（中国）网络技术有限公司、芝麻信用管理有限公司的有关负责人。网络安全协调局负责人指出，支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神，违背了其前不久签署的《个人信息保护倡议》的承诺；应严格按照网络安全法的要求，加强对支付宝平台的全面排查，进行专项整顿，切实采取有效措施，防止类似事件再次发生。支付宝和芝麻信用表示，将认真落实监管部门要求，从源头查找问题，深刻汲取教训，全面整改。

点评：我国网络产品和服务开发者欠缺隐私保护理念，创意创新背后合规管理不足的短板在这一事件中暴露无遗。最新颁布的《个人信息安全规范》作为国家推荐性标准，为《网络安全法》个人信息保护相关条款有效落地提供了最佳实践的标准，是互联网企业数据处理活动的重要指引。《规范》中蕴含的个人信息保护逻辑体现出了目前国际上广为认可的“通过设计保护隐私”（Privacy by Design）的理念。（张衠）

俄罗斯国防部将转用国产操作系统的计算机以提升网络安全

俄罗斯《消息报》2018年1月11日报道，俄罗斯国防部的计算机将转用国产Astra Linux系统，以提升网络安全。这是俄罗斯完全自主研制的国产产品。其研发者为莫斯科RusBITech公司，为俄国防部办公计算机选择了其扩展版Astra Linux Special Edition，有内嵌的办公软件包。据悉，下一阶段新操作系统将装入特种办公智能手机和平板设备中。报道指出，国防部两个主要的局--通信局和信息技术发展局负责操作系统的应用。如果新操作系统符合军方的要求，则会将其安装在国防部所有计算机上。未来该操作系统将成为自动化指挥系统和工作点、服务器及便携军用设备的主操作系统。

点评：开放还是封闭？这是一个问题。开放者灵动，拿来就用；封闭者强，横刀立马岿然不动。当今网络军火库中，进攻花样繁多，大多针对三大操作系统，若无自主权，防控不易。事实上，俄罗斯早在2011年《信息社会》规划中即提出自主目标，国家操作系统是其一，自主芯片是其二，当前成果两者兼有。技术是有难度，生态系统确非朝夕可成，但决心才是关键。（石建兵）

美议案拟禁政府采购华为等产品和服务

美国国会山网站2018年1月12日报道，美国国会两位重量级议员发起一项议案，拟禁止政府机构采购华为、大唐及中兴的产品和服务，称其“与中国军方关系密切”。这项由美国得克萨斯州的共和党众议员科纳韦和怀俄明州的众议员切尼提出的“美国政府通讯保护法案”，提出禁止政府采购或使用这些公司的电信设备或服务，禁止把他们的设备和服务作为美国电信设施的核心技术组成部分。法案援引美国情报界的报告指出，这些电信公司“时常受制于国家政策，并曾与中国政府共享一些敏感信息”。该提案已于1月9日被提交到美国国会。

点评：随着中国在网信领域的快速发展，美国对中国的警惕和防范日益加剧，不断加强对中国企业的审查与限制。中美在网络信息领域的竞争表面上是安全问题，深层次原因是美国担心在高科技领域竞争中输给中国，最终在战略上被中国超越。而中国网信企业需要充分把握中美战略竞争长期存在的现实情况，以此为参照点开展对美合作，降低投资风险。（倪俊）

国家标准委2018年将推进互联网等关键领域标准研制

国家标准委2018年1月15日发布消息，近五年来，国家标准委已累计完成1.3万项强制性标准整合精简评估，开展10余万项推荐性标准的集中复审。2018年，国家标准委将推进第三方支付信息安全、电子商务、智慧城市、互联网、新能源利用等关键领域标准研制，并将进一步推动我国标准国际化工作，加大与国际组织标准化合作力度。

点评：标准是国际公认的国家质量基础设施，是质量的前提和基础。标准水平的高低，往往代表一个国家或地区质量水平的高低。现阶段，我国市场标准发展正处在起步阶段，成长空间大。而在当前先进制造、人工智能、数字经济等新兴产业领域标准显著偏少。积极推进互联网等关键领域的标准研制，推动中国标准“走出去”，将为我国互联网产业发展建设带来积极影响。（本悦）

法国政府考虑禁止外国企业收购涉及数据保护等领域的企业

TheRegister网站2018年1月15日消息，法国财政部长Bruno Le Maire在随同总统马卡龙访华期间发表讲话称，法国政府正考虑对涉及数据保护和人工智能领域的企业收购行为进行限制。这项投资限令将被添加至蒙特布尔（Montebourg）的法令中。该法令已经对外国公司在能源供应、水、交通、电信和公共卫生部门的收购行为有所限定。Le Maire称，外国企业来到法国或欧洲，如果只想获得先进技术而不能给当地带来利益，这样的企业将不会受到欢迎。另外，他指出，增加对涉及数据保护和人工智能领域收购的限制并不意味着禁止外国资本的进入，而是外国企业投资必须服从政府的监管。

点评：法国政府考虑从投资的角度限制涉及个人数据和人工智能的公司是一个并不理性的决策。购买涉及个人信息的公司并不意味着企业就能够任意使用和向境外传输这些数据，欧盟在这一方面已经建立了极为严苛的个人信息保护规范。另一方面，以不能为当地带来贡献为由限制在人工智能领域的投资也不是一个适当的理由。企业之间的交易，只要不涉及到一些特别敏感的领域，都不应当随意设限。欧盟过去的数字政策经验表明，过高的投资门槛只会给法国在数字经济领域的发展带来困难。（鲁传颖）

美国众议院通过法案，将在国务院设立网络事务办公室

Cyberscoop网站2018年1月17日消息，美国众议院当日通过了《网络外交法案》（Cyber Diplomacy Act），该法案将在美国国务院设立一个网络事务办公室（Office of Cyber Issues）。作为美国与其他国家网络外交的沟通渠道，网络事务办公室将很大程度上恢复曾被废除的网络事务协调员办公室（Office of the Coordinator for Cyber Issues）的职能。但办公室领导人将从原先的由参议院确认转变为美国总统直接任命，并与美国大使享有同等地位和权力。

点评：特朗普上台至今没有很好的弥合两党分裂，此次网络安全议题将成为美国两党合作的重要契机。该法案如果生效，将倒逼美国政府加大对网络空间国际事务和网络外交的投入，从而重新凝聚美国国内政府部门、产业、学界的力量，并对美国传统盟国具有吸引力。就中美网络关系而言，网络空间博弈议题将更加广泛，网络意识形态战略有可能重新提上议程，短期内或将对我国在全球网络空间治理形势产生消极影响。（惠志斌）

特朗普签署法案授权NSA监控项目，继续监听外籍人士收集情报

美国国会山网站2018年1月22日消息，当地时间1月19日，美国总统特朗普宣布他已经签署《外国情报监控法（FISA）第702条修改再授权法》，延续美国国家安全局（NSA）的互联网监控计划，同意授权NSA监听外籍人士以及收集与之相关的情报。据报道，最新授权将在2023年12月到期。此前，美国参议院以65对34票的结果通过了该项法案。特朗普在官方声明中表示，这份法案将能使情报机构收集关于国际恐怖分子、武器扩散者及其他重要外国情报人员的重要情报信息。

点评：美国《外国情报监控法》修正案第702条一直以来都饱受争议，恐令美滥用监控权现象进一步恶化。这意味着美国国家安全局（NSA）能够继续在全球开展大规模网络监听，并且收集与外国人员通信的美国公民的相关情报。该修正案将进一步巩固NSA的情报获取和监控权力，使得美国政府有权向互联网企业提出数据要求，对其他国家和民众的数据和隐私安全构成严重威胁。（倪俊）

韩国发布加密货币管理新政策，拟向交易所征税

韩联社2018年1月22日消息，韩国政府表示，今年将从韩国的加密货币交易所收取高达24.2%的企业和地方所得税。据了解，前段时间韩国警方对国内最大的两个加密货币交易所进行突击检查，比特币出现阶段式下跌，并于1月18日跌至9185美元。这是继此事件之后，韩国政府对加密货币市场采取的最新手段。根据韩国国内现行法律，所有收入超过200亿韩元(合1870万美元)的公司必须支付22%的企业所得税和2.2%的地方所得税。韩国战略与金融部的一名官员表示，虚拟货币交易所应在3月底前缴纳企业所得税，并在4月底前缴纳地方所得税。

点评：寒冬之后是即将迎来春天，还是继续另一个凛冬？当前加密货币交易处于分化路口，已监管的国家只会采取更严格的措施。韩国作为亚洲第四大经济体，其虚拟货币市场异常狂热。韩国政府此前以观望为主，但随着市场交易上垂髫与耄耋，皆侧身其中，风险蓄积可观。此次韩国政府出台交易收税适当降温可能只是第一步。（石建兵）

世界经济论坛牵头成立全球网络安全中心

世界经济论坛官网2018年1月24日消息，由第48届达沃斯世界经济论坛（WEF）牵头的全球网络安全中心（Global Centre for Cybersecurity）于2018年1月23日正式成立。这一全新机构旨在提升网络韧性，同时建立起一套独立的最佳实践库，并将针对不同攻击场景提供指导性意见。全球网络安全中心的活动主要涉及五个方面：巩固现有倡议（比如其《网络韧性手册》）；建立最佳实践库；提升合作伙伴对网络安全的理解；推动监管框架的建立；以及作为未来网络安全场景（比如第四次工业革命和量子计算）的智库。据了解，中心将常设于日内瓦，并计划于2018年3月正式开始运作。

点评：此前，世界经济论坛（WEF）发布了《2018年全球风险报告》（Global Risks Report 2018），该报告认为，与环境恶化、经济压力和地缘政治紧张一样，网络安全问题是世界上最关键的风险之一。全球网络安全中心的成立为公私合作来解决日渐增长的网络安全问题提供了平台和机会。此外，中心受到了充足的资金支持和世界各地的合作相应，但其成效如何有待实践检验。（本悦）