国外动态

战略政策

第13届联合国互联网治理论坛聚焦“网络信任”

发布时间：2018年11月13日

第13届联合国互联网治理论坛12日在巴黎联合国教科文组织总部开幕。来自全球政界、商界、学界以及非政府组织等的3000多名代表将围绕网络信任和安全、数据隐私、人工智能等展开多场专题讨论。

在论坛开幕式上，联合国秘书长古特雷斯呼吁与会人员应特别关注能够增加网络信任的创新型解决方案。数字技术影响到每一个人，联合国互联网治理论坛应重视残疾人、老年人等人群对数字经济的贡献和需求，以及重视女性在网络研发和使用中的地位。他强调，在数字化时代，互联网治理不能只停留在讨论的层面，需要制定政策来规范管理，而不是仅由市场力量的“无形之手”来操控。

古特雷斯指出，网络发展给年青一代提供了新的工作机会，同时也带来威胁和挑战。他呼吁各方重视网络信息安全，加强在数字领域的多方合作，减小发展中国家和发达国家在网络发展方面的差距。

法国总统马克龙在致辞中呼吁各国加强公民信息数据保护，同时对含有恐怖主义等不法内容的网络传播加大管理。他表示，各方应保护网络创造、网络发明和网络经济。此外，他还倡导欧洲加强对人工智能领域的投资，并对与其相关的科技、技术和伦理进行深入探索和思考。

马克龙还就联合国互联网治理论坛在社交媒体上写道，互联网面临多种威胁并带来损害，尤其是对青年人的伤害。2019年，法国政府将与社交媒体脸书合作，加强对互联网以及社交网站的管理，打击在网上散布仇恨和攻击性言论的行为。

本次论坛将持续至14日。联合国互联网治理论坛是在2003年和2005年两次信息社会世界峰会基础上发展起来的，自2006年起每年举办一次，其宗旨是促进各利益相关方在互联网相关公共政策方面的讨论和对话。

（来源：新华社）

美国防部和国土安全部达成框架联合开展网络防御行动

发布时间：2018年11月19日

美防部和国土安全部达成开展联合网络防御的框架，阐明了两机构在防御美国网络免受先进网络威胁方面的角色和责任。国土安全部将利用其对国内网络风险状况的了解，向国防部提供信息，以先发制人、击败并阻止针对美国关键基础设施的境外恶意网络活动；国防部将帮助国土安全部追踪对手，并警告私营部门面临的威胁。根据协议，两部门将联合制定一份民用资产清单，重点列出对美国军方作战能力、作战取胜能力和军力投射能力至关重要的民用资产，并努力进行保护。此举将形成对机构所面临威胁的共同理解，进而有助于私人和公共部门捍卫其网络安全。新协议目前正在制定中，跨机构小组已于本月13日启动，旨在增强美国政府应对网络威胁的准备。

（来源：E安全）

国会通过法案，将在美国国土安全部创建网络安全机构

发布时间：2018年11月16日

本周，美国众议院（U.S. House of Representatives）通过一项法案，将在美国国土安全部（DHS）创建一个新的网络安全机构。

网络安全与基础设施安全局（简称CISA）法案已于10月获参议院通过，再经总统签字便可成为法律。国会一致通过了立法。

该法案将国家保护与计划局（简称NPPD）重组为网络安全与基础设施安全局（简称CISA），并由CISA负责网络与物理基础设施安全。

据N P P D保护司副司长克里斯托弗·克雷布斯（Christopher Krebs）称，“经国会通过的CISA法案代表国家为提升网络安全所作的诸多工作取得了真正的进展。强化美国国土安全局的网络安全任务、精兵简政以及使NPPD名副其实，反映了目前所作的工作能够切实地帮助国家更好地保护关键基础设施与网络平台。这些变化还能提升国土局的工作能力，有助于其更好地与行业及政府利益相关人合作、招募网络安全顶尖人才。”

SonicWall总裁兼首席执行官比尔·康纳（Bill Conner）认为，“急需一个在公共与私营部门间共享可起诉的威胁情报的论坛，以应对地缘政治风险的上升。”

康纳表示，“行业拥有最关键的信息资产，因此保护关键基础设施至关重要。显然，CISA的通过建立了一个致力于捍卫基础设施安全的网络安全机构，也表明了安全局对网络安全问题的高度重视。我们希望继续与联邦政府合作，以捍卫其网络安全。”

（来源：E安全）

美国近年来对能源领域的网络安全保持高度关注

发布时间：2018年11月17日

11月1-7日，美能源部完成了年度网络安全演习“自由之蚀2018”网络演习的技术演练内容，检验电力、石油和天然气基础设施的网络弹性。上月中旬，能源部新成立的“网络安全、能源安全与应急响应办公室”领导完成了演习的第一阶段桌面推演，研究国家网络事件对电力及石油天然气资源的影响。国防部也参加了此次演习，检验了DARPA正在开发的“快速攻击检测、隔离、分析系统”（RADICS）系统，该系统的目标是“实现在美国能源关键基础设施在网络袭击中电网黑启动恢复”，预期于2020年完成开发。

美国近年对能源领域网络安全高度关注。美国运输部（TSA）和NIST分别更新了管道体系网络安全措施要求；国家级行业协会“美国石油研究院”（API）上月发布了《纵深防御：天然气与石油工业的网络安全》报告。

（来源：中国信息安全）

产业发展

美国开始拍卖5G频谱

发布时间：2018年11月16日

美国联邦通信委员会14日首次启动5G频谱拍卖，这标志着美国开始陆续发放5G牌照。

联邦通信委员会说，首先拍卖的是28GHz频段的牌照，然后拍卖24GHz频段牌照。按计划，该机构还将于2019年拍卖37GHz、39GHz和47GHz这三个频段的牌照。

联邦通信委员会主席阿吉特·帕伊在一份声明中说，按计划在未来15个月推向市场的5G频谱资源，超过了目前美国通信服务商提供的陆地移动宽带频谱资源总量。

5G是第5代移动通信技术的简称，与4G相比，它的数据传输速度更快。在频谱拍卖后，获得牌照的运营商还需建设大量新型基站，才能开始提供5G服务。”

（来源：新华社）

德国政府计划向人工智能领域投资30亿欧元

发布时间：2018年11月15日

德国政府11月15日在内阁会议上提出一项人工智能战略，计划在2025年前投资30亿欧元推动德国人工智能发展。

德国政府当天在一份名为“人工智能德国制造”的战略文件中指出，德国人工智能发展水平相对滞后，尤其是广大中小型企业仍然没有任何人工智能领域的专业知识。政府计划向人工智能领域投资30亿欧元，主要举措包括建设人工智能中心、研发更贴近中小企业的新技术、扶持初创企业及规划建设欧洲人工智能创新集群等。

德国联邦外贸与投资署总经理罗伯特·赫尔曼对记者说：“德国政府对人工智能非常重视。这笔投资将促进经济界、科研界以及企业界对人工智能的研发和应用，并进一步提升德国作为高科技投资地在人工智能领域的吸引力。”

不过，德国信息技术、电信和新媒体协会批评政府投资规模太小。该协会主席阿希姆·贝格说，政府承诺在2025年前投入30亿欧元，平均每年只有几亿欧元，与人工智能的重要性不符。

（来源：新华社）

英国隐私保护组织投诉甲骨文等企业违反欧盟GDPR政策

发布时间：2018年11月14日

据中国台湾地区iThome.com.tw报道，英国非营利隐私保护组织Privacy International（PI）上周投诉包括甲骨文（Oracle）在内的7家企业违反《欧盟通用数据保护条例》（EU General Data Protection Regulation，GDPR），并督促法国、英国及爱尔兰的数据保护组织展开调查。

据报道，受到投诉的7家企业全都握有大量消费者资料，包括从事数据分析的甲骨文与Acxiom，提供广告服务的Criteo、Quantcast、Tapad，以及信用报告企业Equifax与Experian。

该隐私保护组织认为，这些企业虽然都握有数百万名消费者资料，但并非是家喻户晓的品牌，因此极少受到挑战。然而，根据企业所公开的宣传文件或隐私政策，它们在利用这些个人数据时并未取得用户同意，也没有处理这些个人机密数据的依据，还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。

换句话说，该隐私保护组织挑战的是相关企业处理个人数据的深度，而且是GDPR对业者的基本要求。

该隐私保护组织指出，GDPR上线迄今已超过5个月了，该法令强化了个人保护自己数据的能力，对个人资料的处理有更严格的规定，理论上也提供更强大的执法权力，但GDPR真正的考验就在于执行，例如这些握有大量用户数据的企业即未曾被质疑。

GDPR祭出了高额罚金，让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险，其最高罚款为2000万欧元或企业全球营收的4%，且两者取其高者。

不过，尽管GDPR听起来非常吓人，但迄今尚未有业者受到处罚，这可能是因为每一家企业都受到了有效的指导，而在规定之内安全地运作，不过也有人认为只是还没有企业被逮到而已。

（来源：新浪科技）

第一份 Android 生态安全报告出炉：系统越新越安全

发布时间：2018年10月13日

Google 公布了史上第一份Android生态系统安全报告（Android Ecosystem Security Transparency Report），这是一份季报，内容来自于Google Play Protect所检测到的“可能存在危险的应用程序”（Potentially Harmful Applications，PHA），内容显示Google Play下载的应用程序比其他渠道安全9倍。

之前，Google会提供Android年度安全报告，其中包含Android系统安全趋势、Google提供的Android漏洞奖金，以及在Android上提供的保护机制等。而此次季度报告主要针对PHA。

Android内置的Google Play Protect平均每天扫面500亿的应用，当发现可能存在危险的应用时，就会对使用者提出警告，并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标，分别是PHA的来源（Google Play及非Google Play），各种Android版本所包含的PHA比率，以及不同国家的Android系统的PHA比率。

Google表示，从Google下载程序的Android设备，只有0.09% 会识别到PHA，今年前三季下降到了0.08%；相比之下，从包含Google Play和第三方应用市场下载程序的设备，检测到PHA的比率高达0.82%，不过，今年前三年也出现了下滑，数值到0.68%。

Google还表示，越新的 Android 系统检测到PHA的比率越低，如，棒棒糖（Lollipop，Android 5.0）检测到PHA的比率>棉花糖（Marshmallow，Android 6.0）>牛轧糖（Nougat，Android 7.0）>奥利奥（Oreo，Android 8.0）>最新的“派”（Pie，Android 9.0）。

Google解释说，这是因为公司持续加强Android平台和API，加上常规平台和程序更新，也限制了程序对机密信息的访问。此外，包括Nougat，Oreo和Pie都更能够承受权限扩展攻击，让过去尝试扩展权限以避免被删除的 PHA 无处遁形。

而在 Android的前十大市场，至少安装一个PHA的装置百分比中，以印度，印尼及美国的比率最高。

（来源：开源中国）

网络攻击暴露法国核电站敏感数据

发布时间：2018年11月04日

据外媒报道，法国公司Ingerop受到了黑客攻击。黑客对法国公司Ingerop发起网络攻击，窃取与法国核电站计划相关的机密文件。

早在六月，该黑客就已窃取逾65G文件，这些文件包括核电站计划，和监狱及有轨电车网络的蓝图等内容。

据媒体报道，在德国某租用服务器中发现部分失窃数据。

据德国网站“DW.com”报道，“德国与法国媒体于周五报道，某法国公司服务器中数千份与核电站、监狱及有轨电车相关的敏感文件在一次网络攻击中失窃。”

“据德国公共广播电视公司‘北德广播公司（NDR）’，‘南德意志报’及法国‘世界报’报道，法国公司Ingerop于六月遭非法窃取的数据高达65G。”

北德广播公司援引Ingerop发言人的话道，黑客窃取了十余个项目的1.1万余份文件。

这些敏感文件包含一座法国戒备森严的监狱摄像机的位置、计划置于法国东北部的核废料倾倒场等核电站的细节信息。

黑客还窃取了千余名Ingerop工作人员的个人信息。

有报道称，部分文件与法国最早的核电站费森海姆核电站（Fessenheim）相关，该核电站位于德国边境，将于2022年关闭。

此类数据落入恶人之手，将把该核电站及公司员工置于恐怖主义阴谋等诸多威胁之下。

（来源：E安全）