2015年度國際網絡安全大事件技術與政策并存 機遇與挑戰齊飛

文/本刊記者 柒 月

2015年度國際網絡安全大事件技術與政策并存 機遇與挑戰齊飛

文/本刊記者 柒 月

2015年的網絡安全圈注定是不平凡的一年，各大網絡安全盛會精彩不斷，技術水平可見一斑；各國政府更是不遺余力，網絡安全相關政策法規相繼出臺，全力構建網絡安全新局面。

Pwn2Own 2015在溫哥華拉開戰幕

2015年 3月 18日，Pwn2Own黑客大賽在加拿大溫哥華舉行。Pwn2Own是全世界最著名、獎金最豐厚的黑客大賽，由美國五角大樓網絡安全服務商、惠普旗下TippingPoint的項目組ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果、Adobe等互聯網和軟件巨頭都對比賽提供支持，通過黑客攻擊挑戰來完善自身產品。

Pwn2Own攻 擊 目標包括IE、Chrome、Safari、Firefox、Adobe Flash和Adobe Reader的最新版本。這項賽事承載著黑客世界的榮譽，對安全研究人員來說，如果能在Pwn2Own上獲獎，這象征著其安全研究水平已經達到世界領先的水平。Pwn2Own上各參賽團隊的表現，也代表其國家網絡攻防技術的實力。

RSA Conference 2015在舊金山召開

2015年4月20日 至24日，全球知名信息安全峰會RSA Conference 2015在美國舊金山召開。作為IT安全領域的權威科技大會，RSA大會邀請了各地區著名安全專家出席與分享，并吸引匯集了全球眾多頂級安全廠商的聯袂參展。RSA大會已成為一個快速了解全球安全趨勢的風向標，更是影響安全產業轉型與持續發展的重要會議平臺。

RSA2015的主題為“Change： Challenge today's security thinking（變化：挑戰當今的安全理 念）”，相比2014年的主題則更具沖擊力。本屆RSA大會議題將更加專注于探討深層次的安全技術，如加密技術、深度包檢測和啟發式檢測惡意軟件等等。

美國國防部發布網絡新戰略

2015年4月23日，美國國防部發布了一項網絡新戰略，首次明確討論了美國在何種情況下，可以使用網絡武器來對付攻擊者，并且還列出了美國自認為威脅最大的國家。

報告認為，網絡威脅無處不在，為更好地應對這一嚴峻挑戰，國防部在網絡安全方面為自己設定了三大使命：一是防衛國防部的網絡、 系統和信息；二是保衛美國國土及國家利益不受重大網絡襲擊活動的侵犯；三是集中網絡軍隊力量支持軍事行動和應急計劃。報告中指出，為了降低網絡空間風險，需要一個全面的戰略來應對，如果需要的話還需要能夠承受顛覆性的和破壞性的攻擊。

美國公布《瓦森納協定》的修改草案

2015年5月，美國商務部工業與安全局公布《瓦森納協定》的修改草案，新規則規定美國企業或個人向境外廠商報告漏洞情況是一種出口行為，需預先申請政府許可，否則將被視為非法。

《瓦森納協定》又稱瓦森納安排機制，全稱為《關于常規武器和兩用物品及技術出口控制的瓦森 納 安 排》 （The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies），目前共有包括美國、日本、英國、俄羅斯等40個成員國。盡管“瓦森納安排”規定成員國自行決定是否發放敏感產品和技術的出口許可證，并在自愿基礎上向“安排”其他成員國通報有關信息。但“安排”實際上完全受美國控制。

新西蘭政府通過《數字通信欺凌法案》

2015年7月，新西蘭政府通過了《數字通信欺凌法案》，宣布網絡欺凌是一種犯罪行為。任何人使 用Facebook，Twitter等數字通信方式，導致被害人 “嚴重的情緒困擾”，被認為是違法，并可能面臨一系列的懲罰。該法案涵蓋了那些包含種族主義者，性別歧視，殘疾內容，宗教歧視等內容的帖子。新西蘭目前還沒有設立專門機構來執行該法案。當然，政府將面臨自稱這些法律侵犯了言論自由的反彈，而該法案似乎也可以將未成年人定罪為刑事犯罪。法案規定，社交網絡可以在48個小時內刪除有害帖子，通過安全港聲明保障自己不會被新西蘭政府起訴。

法國憲法委員會通過新情報法

2015年7月 23日，法國憲法委員通過新的情報法，允許國家情報機構更廣范圍地監聽公眾，以應對前所未有的恐怖威脅。

根據該情報法的規定，情報人員不再需要法官批準，而是在聽取新成立的專門監督機構建議后就可開展監視活動。情報機構在特殊情況下可以使用 “IMSI捕手”偵察裝置。該裝置可記錄某一領域各種類型的電話、網絡和短信內容。同時，情報人員可以使用傳聲器和相機竊聽嫌疑人的住所，并使用鍵盤記錄器跟蹤他們電腦上的每一次擊鍵。此外，情報機構還可要求互聯網服務公司通過監視元數據跟蹤可疑行為，比如使用特定網址的時間和頻率。

BlackHat 2015在拉斯維加斯如期舉行

2015年8月1日至6日，世界黑帽大會BlackHat在美國拉斯維加斯舉行，為期6天的會議吸引了自世界各地的超過1.5萬安全專業人士。創辦于1997年的BlackHat被公認為世界信息安全行業的最高盛會，也是最具技術性的信息安全會議。

對于全世界的黑客來說，登上具有18年歷史的BlackHat演講臺，是對其研究成果的最高認可。BlackHat演講議題挑選非常嚴格，只有在相關領域具有獨到、深度的研究，并對安全行業未來發展有深入影響的議題才會入選，具有前瞻性是BlackHat入選議題的最大的亮點。參會人員包括各大企業和政府的研究人員，以及來自世界各地安全廠商和研究組織的優秀黑客。

DEFCON 2015在拉斯維加斯舉辦

2015年8月6日至9日，全球安全領域的頂級大會DEFCON在美國拉斯維加斯舉辦，有超過7000名黑客和安全專家參加這一盛會，參會者除了來自世界各地的黑客外，還有全球許多大公司的代表以及美國國防部、聯邦調查局、國家安全局等政府機構的官員，影響巨大。

DEFCON黑客大會是黑客們結識朋友以及展示實力的國際平臺，每年的大會上都有精彩的技術演講，這些技術演講代表著安全領域的最新研究方向。除了議題演講，DEFCON還有高水平的黑客技術競賽。全球范圍網絡安全圈流行的競賽形式——奪旗賽（CTFCaptureTheFlag）正是起源于DEFCON大會，而且一直是DEFCON的核心競賽之一。

美國國會參議院通過《網絡安全信息共享法案（CISA）》

2015年10月27日，美國國會參議院以74比21的投票結果通過了《網絡安全信息共享法案（CISA）》，允許公司和政府分享黑客攻擊信息，以加強網絡防護，之前眾議院也通過了這個法案，最終等到美國總統奧巴馬簽署后，將成為正式法律。

該法案的內容是對企業的信息共享行為增加法律上的照顧，以鼓勵美國企業把信息安全漏洞信息共享給其它企業以及政府部門。近年來，由于計算機攻擊導致數百萬美國人的個人信息遭泄露，美國民主和共和兩黨的議員們一直希望能夠讓新的網絡安全法案正式成為法律。支持者表示，對于減少用戶信息偷竊行為而言，立法是很有必要的。

英國政府公布新版《調查權法》草案

2015年11月4日，英國政府公布新版《調查權法》草案，要求互聯網公司和手機制造商能永久地攔截和收集通過其網絡傳播的個人數據，并賦予其協助安全機構和警察調查國家安全相關事項的權利。

英國內政部表示，新版調查權法的宗旨是加強執法機關與情報機關完成其關鍵作業能力，彌補這些機構之間的作業漏洞，使他們更有能力對可疑人等的上線活動，搜集情報和證據，其內容包括通訊攔截、通訊數據獲取及留存、干擾設備使用等條款。英國內政部長特麗莎表示，現在是數字時代，民眾通信不全使用電話而是經由網絡，為了追擊犯罪，政府必須有能力監控網絡通訊記錄。