标签: 网络安全

公安部:《网络安全等级保护条例》拟将于本周发布

南都讯 记者蒋琳 6月25日,网络安全标准论坛在京召开。南都记者获悉,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》(以下简称“条例”)拟将于本周在网上发布。   公安部网络安全保卫局总工郭启全在发言中表示,关键信息基础设施保护是网络安全等级保护制度2.0的重点。目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。 物联网被纳入网络安全等级保护制度2.0 “网络安全等级保护制度是中国的基本国策、基本制度和基本方法,是对过去二十年经验的总结和创新”,郭启全指出。那么,网络安全等级保护制度1.0和2.0有什么区别? 郭启全透露,首先,制度2.0纳入了《中华人民共和国网络安全法》规定的重要事项;其次,制度1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管;此外,制度2.0把监管对象从体制内拓展到了全社会。 《条例》还在具体条例上增加了新要求。 比如,根据《信息安全等级保护管理办法》,对于信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害的情况,最高保护等级只到第二级。《条例》将“会造成特别严重损害”的情况下,信息系统应采取的保护等级提高到第三级。郭启全认为,这是《条例》“最大的变化”。 《条例》还下调了等级测评周期。“原来第三级网络的运营者一年测评一次,第四级半年一次,刚测完又要测”,郭启全说,《条例》把上述规定改为“第三季以上网络的运营者应当每年开展一次网络安全等级测评”。 《关键信息基础设施保护条例》起草完成 “等级保护制度是普适性制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点”,郭启全在发言中强调,关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。 “关键信息基础设施保护其实不是新思想”,郭启全提到,2007年,公安部等四部委下发《信息安全等级保护管理办法》,核心就在于提高中国基础信息网络和重要信息系统的信息安全保护能力和水平,“换了一个词,其实十几年一脉相承”。 他指出,去年12月中央提出最新要求:建立实施关键信息基础设施保护制度,加强能源、金融、通信、交通等重要领域关键信息基础设施安全保护。“目前中央层面、部委层面已经完全协调一致,由中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作也已经完成,目前正在走司法程序”,他说。   稿源:南方都市报,封面源自网络;

物联网产业规模将达到 9 万亿 网络安全投入却不足 3%

万物互联的智慧生活渐行渐近, 物联网 是现代科技高度集成和综合运用的体现,对新时代产业变革和社会经济发展具有决定性位置。当前,物联网设备呈现指数级增长态势,然而在物联网高速增长下,安全问题却暴露出来。 根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。 一个看似不起眼的物联网设备,却成了黑客攻击的目标。因为它称得上是整个赌场内部网络的“后门”——最薄弱环节,黑客先是入侵智能鱼缸,进入赌场内部网络,然后进行扫描,发现漏洞后进入网络中的其他地方,最终神不知鬼不觉地将赌场数据窃取。数据安全不仅涉及国家数据主权安全、企业和公民个人网络安全,也和IT以及互联网行业的创新密切相关。 试想一下,黑客通过某种途径读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头……似乎已经掌握你衣食住行的方方面面,立刻毛骨悚然。用户会越来越多地发现各类软件的“大数据”可能比我们自己还了解自己,这些大数据其实就是通过对用户日常生活轨迹的记录、累积和统计,再使用分析软件得出结论,保护好自己的数据不言而喻,真正能够保护自身数据安全的物联网设备才是第一道闸门。 物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。 针对物联网设备攻击的危害远不止于数据失窃那么简单。将勒索软件安装到家庭的智能恒温器上。将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。随着无人驾驶日益普及,黑客可以控制车辆,乃至引发交通事故。 物联网设备安全远比你想象中威胁大,近年来,网络安全建设受到政策大力支持,尤其是网络安全法正式实施后,相关政策加速出台。涉及网络安全的配套政策快速下沉到电信、互联网、工业、教育、农业等行业。网络安全风口以至,网络安全行业快速发展,网络安全投资迎来热潮。2017年,安全领域创业企业总融资额创新高。据不完全统计,网络安全领域当年全球投资300亿美元,国内仅为5.4亿美元;据分析,在欧美发达国家和地区,企业在网络安全方面的投入占IT方面投入达到10%-13%,国内仅1%-3%。 网络安全包括多个层面及维度,细分市场广泛。随着云计算和大数据时代到来,数据安全受到越来越多的重视,将成为行业发展风口。 稿源:搜狐科技,封面源自网络;

北京检方发布《网络安全刑事司法保护白皮书》

近年来,随着信息技术的发展,我国已成为全球网民数量第一的互联网大国,互联网在极大促进社会发展的同时,也带来网络安全及数据安全案件的高发。 北京市海淀区人民检察院6月7日发布《网络安全刑事司法保护白皮书》,白皮书显示,网络犯罪主体呈现低龄、低学历化特征,犯罪行为产业化特征明显,日渐形成完整、闭合的产业链条。 据了解,2016年9月以来,海淀检察院共受理网络犯罪案件450件1076人,其中审查逮捕245件588人,审查起诉205件488人,涉及27个罪名。以审查逮捕案件为例,涉案人数较多的罪名包括诈骗罪、扰乱无线电通讯管理秩序罪、侵犯公民个人信息罪、盗窃罪等。 白皮书披露,网络犯罪普遍呈现低龄化,该类案件中“90后”占比近38%,“80后”占比约48%。犯罪行为人普遍学历较低,本科及以上学历人数仅占21%,初中、中专、小学等教育主体占比超过60%。该类犯罪突破了传统地域空间限制,跨地域作案特征明显。被害人分布于各个省份,与犯罪分子相隔万里;共同犯罪的犯罪主体之间,帮助行为主体与实行行为主体往往并不认识,仅通过网络论坛、QQ群、微信群进行联络就能实施犯罪。 此外,网络犯罪的产业化链条特征明显,其上中下游犯罪分工明确。上游负责获取用户电脑中的信息或者直接将用户的电脑予以控制;中游或通过这些信息来盗取财产,或直接将其转卖获利;下游则以盗窃、诈骗等形式将获取的数据变现。在网络犯罪涉及的侵犯财产权案件中,针对不特定公众的诈骗数额虽小,但其影响范围广,受害人数多,因而总体犯罪数额较大。如郭某某电信诈骗案中,行为人先后冒充检察官、警察,以被害人涉嫌刑事犯罪为由骗取其人民币1800余万元。在欧某某非法吸收公众存款案中,行为人以微信公众号的形式宣传其理财产品,向百余名民众吸收存款5000余万元。 基于社会实践和打击的需要,白皮书将网络犯罪分为网络黑产犯罪和网络化的传统犯罪两种基本类型。其中,网络黑产犯罪以计算机数据、程序、系统或者软件等作为犯罪对象,形成了一条封闭的产业链,上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产。在实践中,此类案件主要以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。 随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现赌博、贩毒、色情等传统犯罪向网络社会延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势。 针对上述问题,海淀检察院将持续创新专业化办案机制,精准高效办理网络犯罪案件,并积极发挥提前介入优势,引导侦查取证有力。同时积极参与社会治理创新,深化与行政监管机关、行业协会协作,推动风险防治共建,切实推动网络安全保护,进一步延伸职能,推进检企联络,服务区域科技创新发展。   稿源:法制网,法制网记者:黄洁,法制网见习记者:张雪泓,封面源自网络;

美国人网络安全意识调查:佛州最为糟糕

网络安全公司Webroot近日联合Ponemon Institute开展的研究调查发现,佛罗里达州是美国境内在网络安全方面做的最差的州。Ponemon对美国境内4000名受调查者进行了网络安全知识和相关措施的调查,其中怀俄明州和蒙大拿州仅次于佛州是安全意识最差的州,而新罕布什尔州,马萨诸塞州和犹他州的调查者安全意识很高。 根据受访者提供的样本,不到四分之一(24%)的美国人会定期监控银行和信用卡账单,阻止弹窗内容、更新在线账户密码,或者在点击电子邮件之前会采取预防措施。此外只有50%的美国人会在笔记本电脑、台式机和智能手机上使用防病毒产品或者其他互联网安全产品。 72%的佛州人表示他们会和其他人共享密码或者其他访问凭证。而相比之下超过一半(53%)的新罕布什尔州调查受访者声称他们绝不会与其他人分享密码。   稿源:cnBeta,封面源自网络;

外媒:白宫取消网络安全协调员职位

据多家外媒报道,特朗普政府已经撤除了白宫网络安全协调员的职位。获悉,该职位由前美国总统奥巴马在2009年设立,当时黑客和网络安全威胁还没有像现在这么普遍。据各家媒体指出,国家安全委员会此举则是为了减少官僚主义现象而非出于安全目的。 批评者们认为,这一职位具有重要的象征意义,同时在结构上也非常重要。参议院Mark Werner表示,协调员是联邦政府唯一一个负责协调整个政府应对日益增长的网络威胁的人。 参议员Martin Heinrich则认为,特朗普政府此举显示了他们并没有认真对待来自俄罗斯网络军队的威胁,这与民众所需的正好相反。 白宫并未立即回复记者置评要求。   稿源:cnBeta,封面源自网络;

前雅虎因 2014 年黑客案被美 SEC 罚款 3500 万美元

美国证券交易委员会(SEC)周二宣布对 Altaba(前雅虎)处以 3500 万美元罚款以了结后者受到的一项指控,该指控的内容是前雅虎被指在两年多时间里向投资者隐瞒 2014 年大规模网络安全漏洞。这是美国证券交易委员会首次因为一家公司未披露网络安全漏洞相关信息而对其加以处罚。Altaba 同意了结此案,但并未承认或否认任何不当行为。 Altaba 发言人尚未就此置评。 美国证券交易委员会发表声明称,在 2014 年网络攻击事件发生几天后,前雅虎的信息安全团队就已得知此事。在此次攻击事件中,俄罗斯黑客窃取了前雅虎用户的电邮地址、密码和安全问题。声明指出,尽管前雅虎的信息安全团队得知了此次攻击事件,并向高级管理和法律部门进行了上报,但该公司并未对此展开合适的调查,而且直到两年后才向公众披露此事,当时该公司正处在被 Verizon 通信公司(Verizon Communication Inc)收购的过程中。 美国司法部去年宣布针对四名涉事人员在 5 亿个雅虎账号被盗一案中扮演的角色展开调查,其中包括俄罗斯联邦安全局(Federal Security Service)的两名官员。其中一名涉事人员是出生于哈萨克斯坦的加拿大公民卡里姆·巴拉托夫(Karim Baratov),他已在去年底认罪,承认其曾帮助俄罗斯情报机关破解电邮账号。预计巴拉托夫将因其在雅虎黑客案中扮演的角色而在周二受到宣判。 在对 2014 年黑客案进行调查时,前雅虎还发现了 2013 年的另一桩网络攻击事件,此次事件中该公司的所有 30 亿 个账号全部被盗,这是到目前为止规模最大的已知消费者信息失窃案。 稿源:cnBeta、新浪科技,封面源自网络;

加拿大政府斥资 10 亿美元预算用于打击网络犯罪

外媒 2 月 25 日消息,有关消息人士向新闻媒体透露,加拿大联邦政府预计为网络安全引入 10 亿美元的资金,以解救网络犯罪盛行、政府难以应对的困境。 根据加拿大当地媒体报道, 加拿大政府将于本周发布预算细节: 拟议的预算中将为打击国家网络犯罪提供资金,这可能会包括培训下一代网络专业人员、通过外包本地私营公司来加强军方的网络安全能力的费用。 此外,预算还将为政府和私营部门共同开发的网络项目提供资金。例如,加拿大的网络安全由加其信息和技术公司提供,而这些公司将与联邦政府合作开发硬件和软件解决方案。 与此同时,一些匿名消息人士告诉加拿大 CBC 新闻 ,鉴于美国 2016 年总统选举期间发生的事情, 加拿大联邦政府可能还打算获得单独资金,以帮助保护 2019 年的全国选举免受外国干涉。 加拿大加强网络安全的措施被认为是及时的,因为如果在没有具体计划的情况下去制止网络攻击,很可能会浪费金钱和资源。正如联合国秘书长安东尼奥·古特雷斯在里斯本大学 2 月 19 日发表的讲话中所说,各国应该开始制定明确的规则(即国际规则), 以保护公民免受网络犯罪。 消息来源:futurism,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国司法部网络安全工作组将重点关注美国大选操纵情况

据外媒 SlashGear 报道,美国司法部将成立一个名为 “ 网络数字工作组 ” 的全新网络安全工作组。这一新的安全举措将由美国司法部长杰夫·塞申斯( Jeff Sessions )命令创建,他曾表示恐怖分子和其他人曾处于恶意原因利用互联网。网络数字工作组将评估解决这些问题的方法。 该声明广泛报道了俄罗斯 “ 网络喷子 ” 对美国大选的干扰,这些 “ 喷子 ” 利用社交媒体帐户传播不实信息并操纵选民。根据 Sessions 的说法,特别工作组主要关心的是 – 通过在线研究美国选举,避免再次发生 2016 年的情况。 Sessions 在一份声明中表示: 互联网为我们提供了令人惊叹的新工具,帮助我们工作、交流和参与经济活动,但这些工具也可能被犯罪分子、恐怖分子和外国政府利用。在司法部,我们认真对待这些威胁。这就是今天我命令创建一个网络数字工作组的原因,以便就本部门能够提供应对这些威胁并保证美国人民安全的最有效方式向我提供建议。 除了研究与在线平台相关的选举干涉之外,网络数字工作组还将优先考虑与网络安全相关的关键基础设施干扰,互联网被用来传播危险意识形态和招募新成员的方式,以及技术如何被用来 “ 避免或阻碍执法 ”,黑客如何窃取大量数据及劫持计算机。 司法部警告说,新的工作组不仅限于这些任务,而是它将关注其后可能涉及的其他事情。这个工作组的第一份报告将在六月底之前提交给美国司法部长。 稿源:cnBeta,封面源自网络;

Kroll 报告:全球网络安全和反欺诈任务仍重

 导读:1 月 24 日,全球风险管理咨询公司 Kroll 发表《 2017/18 年度全球反欺诈及风险报告》,报告指出欺诈、网络安防及实体安防事故数字仍然在高水平。 1 月 24 日,全球风险管理咨询公司 Kroll 发表《 2017/18 年度全球反欺诈及风险报告》,报告指出欺诈、网络安防及实体安防事故数字仍然在高水平。在中国,86% 的受访企业表示 2017 年曾遭受欺诈,较全球平均值的 84% 略高 2 个百分点。其中两项最常见的欺诈行为包括卖方、供货商或采购的欺诈( 29% ),以及贪污贿赂( 29% ),数字明显高于全球平均值的 20% 及 21% 。 虽然如此,相对去年,认为欺诈会影响在华业务的受访者数字大幅减少。只有 11% 的受访者表示,去年曾因欺诈行为而考虑暂停在中国的业务,数字较 2016 年报告的 25% 下跌超过一半。 Kroll 高级执行董事兼大中华区企业调查和纠纷调解部主管何越表示,随着中国推动反贪腐运动,加上大部份企业已实施相关防欺诈措施,如财务管理( 82% )、内部告密制度( 81% )及资产保护( 80% ),令受访的管理人员更有信心在华经营业务。 她表示,这些企业还缺少了一个重要部分,即员工尽职调查及持续监控。“ 在中国,员工与卖方或供货商之间有联系是十分常见的,这令欺诈行为更难发现,引致公司更大损失。所以,了解员工是一套完整防欺诈框架的基础,这个方面还有很多工作需要做。” 除欺诈行为外,75% 受访者表示在过去一年在中国曾受实体安防事故影响,较全球平均值的 70% 高于 5 个百分点。其中以盗窃或知识产权损失最为常见。值得关注的是,只有 9% 的受访者认为实体安防会影响在华业务,由 2016 年的 21% 大幅减少。 另外,88% 受访者表示企业于过去 12 个月曾遭受网络攻击、或信息被盗或遗失,较全球平均值略高 2 个百分点,亦较去年上升2个百分点。 这项调查共访问了 540 名来自世界各地多个行业的高级管理人员,发现过去一年曾遭受欺诈行为影响的企业,比率由 2012 年的 61% 及去年的 82% ,上升至 2017 年的 84% ,数字表现企业面对各方面的威胁正日渐增加。 稿源:21 世纪经济报道,封面源自网络;

新华社 综述:加强网络安全,欧洲在行动

勒索病毒攻击令全球上百个国家的计算机网络系统纷纷 “ 中招 ”、全球最大芯片厂商英特尔被曝其芯片存在重大安全漏洞。近年来,网络安全事件层出不穷。世界经济论坛日前发布的《 2018 年全球风险报告》将 “ 网络威胁 ” 与生物多样性减少、地缘政治紧张局势加剧和新一轮经济危机共同列为全球面临的四大紧迫挑战。 面对 “ 脆弱 ” 的网络环境,如何有效保障网络安全?数千名欧洲网络安全专家及从业者 23 日至 24 日聚会在法国里尔举行的第十届国际网络安全论坛,希望通过加速能力提升和体制完善、鼓励技术创新、推进跨境合作共同加强欧洲整体网络安全防卫,并努力使欧洲成为全球网络安全的引领者。 欧盟负责安全事务的委员朱利安·金在论坛上说:“ 如今各国政府机构越来越多地成为网络攻击的目标,而网络威胁与地缘政治问题的关联程度也在逐渐加深。事实证明,在数字化转型的大背景下,任何社会领域都无法独善其身,当务之急是采取果断行动应对挑战。” 他呼吁各国进一步落实欧盟在 2017 年 9 月提出的关于网络安全的一揽子计划,提升抗击风险能力、鼓励技术创新、完善追踪能力和定责机制、密切国际合作,以整体加强欧洲地区的网络安全。 朱利安·金说:“ 在各类条例、规范和标准仍待完善的大背景下,我们有潜力探索出一条欧洲(的网络安全)道路,并将风险转化为机遇。” 事实上,2018 年将是欧盟计划在网络安全 “ 有所建树 ” 的一年。 被看作是数据保护里程碑式法律的欧盟《通用数据保护条例》将于今年 5 月 25 日正式生效,力求在大数据发展的环境下加强对个人隐私权、物联网隐私权的保护;欧盟正在积极推动谈判调整欧洲网络与信息安全局的职能,意在使这一机构能为成员国之间加强网络安全合作提供更有力的支持;欧盟还正在致力于建立一套适用于全欧盟范围的、有关网络安全“产品、服务和程序”的统一安全认证体系。 作为连续十年举办这一论坛的东道国,法国政府也为加强本国网络安全建设做出了积极承诺。 法国内政部部长科隆在论坛首日宣布,在政府承诺增设的 1 万个警察和宪兵岗位中,将有 800 人专门从事网络安全工作,同时政府也将在年内进一步整合用于应对网络威胁的现有资源,以提升整体工作效率。 同样出席论坛的法国国防部部长帕利也在当天宣布,法国国防部计划在 2019 年至 2025 年间投入 16 亿欧元用于网络安全建设,并将该部从事打击网络威胁的人员总数从 3000 人增至 4000 人。进一步加强在校园、企业以及全社会范围内的网络安全知识和技能普及也在政府的计划当中。 欧洲国家日益完善的区域网络安全战略合作机制固然值得期待,但面对全球化的网络威胁,真正实现全球联动的有效网络安全治理仍不是一个简单的任务。 欧洲网络犯罪中心官员让·多米尼克·诺莱告诉新华社记者,多年来欧洲国家之间形成的保密性数据交换规范等传统优势条件,使得欧洲内部的网络安全合作更为快速有效。但是,跨大洲的相关合作往往需要依靠国际刑警组织的全球网络来实现,且不同地区国家的网络防卫体系时常难以彼此兼容,给及时交流沟通信息造成一定困难。 诺莱认为,国与国之间战略互信的建立需要一个过程,网络安全领域的全球性合作也需要经历时间的考验。 稿源:新华网,新华社记者张雪飞;封面源自网络;