國外動態

戰略政策

新加坡發布新的網絡安全法案

發布時間：2019年08月08日

據外媒報道，新加坡金融管理局（Monetary Authority of Singapore，簡稱MAS)正式確立了旨在提高新加坡金融機構網絡安全態勢的新立法。

立法中規定金融機構必須遵守六項主要要求，例如為著重確保IT系統的安全性，及時進行安全更新、并部署安全設備以限制未經授權的網絡流量等。這些公司還必須實施措施以降低惡意軟件感染風險、確保特權系統賬戶的安全以及加強關鍵系統的用戶身份驗證

此外，該立法還基本確定將強制要求企業執行現有的MAS技術風險管理指南（TechnologyRisk Management Guidelines）中的關鍵規定。據了解，該指南于2013年推出，提供了風險管理建議、安全實操建議和控制實操建議，以降低企業的技術風險。

MAS還對將系統外包給第三方進行管理的金融實體發出了特別提醒，要求這些金融實體必須在與其承包商的合約加入該法案提到的相關條款和條件，以確保由第三方管理的系統符合通知中列出的要求

據了解，這些措施將于明年8月6日生效，金融機構需要在一年內做好準備來確保這些措施得到遵守。

（來源：E安全）

除華為外，又有四家中國科技企業被美國打壓

發布時間：2019年08月09日

據外媒報道，美國國防部、總務管理局和美國國家航空航天局8月7日發布了一項臨時規定，禁止聯邦機構從華為和其他四家中國公司購買電信設備。該臨時規定將于8月13日生效。

據了解，除華為外，臨時規定中提及的其他四家中國公司分別是中興通訊股份有限公司、海能達通信股份有限公司、杭州海康威視數字技術股份有限公司和浙江大華技術股份有限公司。暫時沒有任何一家公司對此規定作出回應。

具體而言，該規定禁止聯邦機構從上述公司采購、延長或續訂合同以獲取任何用設備、系統或服務。規定中還提出，有關政府實體在做出合理解釋后可以得到一次性豁免權。該豁免權允許這些機構與最多一家上述公司繼續開展業務，直至2021年8月13日。

據悉，管理和預算辦公室（Off ice of Management and Budget）將負責執行該規則。該機構發言人在一份聲明中稱，美國政府將致力于保護美國不受外國對手的影響，并將完全遵守國會對中國電信和視頻監控設備公司實施的禁令。

根據之前的報道，今年5月，美國總統特朗普簽署了一項行政命令，該命令授權他阻止任何對美國國家安全產生威脅的外國科技公司在美開展業務。雖然該行政命令中沒有提及具體公司名稱，但在同一周，美國商務部宣布將把華為添加到其名為“實體名單”的黑名單中。而這次發布的新禁令表明特朗普政府已決定加強對中國相關科技公司的打壓。

（來源：E安全）

美國陸軍制定新的網絡人才培養計劃

發布時間：2019年08月07日

據外媒報道，美國陸軍的網絡學校正在制定關于信息戰的新教學計劃。據悉，美國陸軍計劃改造目前的所有課程以將新材料納入其中。專家表示，改造后的課程會提供額外的網絡培訓。美軍還計劃將已入伍的電子戰專家帶到戈登堡進行培訓。與此同時，一支流動訓練隊將幫助尚未抵達戈登堡的電子戰專家了解網絡空間行動。

盡管整體信息戰方面仍然沒有明確計劃，但美國陸軍基本上確定將實行網絡部隊與電子戰部隊并行的制度。此外，美國陸軍還希望相關規劃人員幫助陸軍中的所有梯隊成員規劃網絡和電磁活動（cyberand electromagnetic activities，簡稱CEMA）。這些規劃人員將告知指揮官如何使用非動能選項（non-kinetic options）來實現任務目標，并能夠與相應的組織共同執行任務。

專家表示，接受額外網絡訓練的電子戰人員將成為CEMA規劃人員或新的地面電子戰部隊中的一員。其中的佼佼者還有機會進入美國網絡司令部執行戰略任務。

（來源：E安全）

俄羅斯軍隊已建立起完善的網絡安全系統

發布時間：2019年08月13日

據外媒報道，俄羅斯軍隊已建立起一個強大的網絡安全系統以保護軍事內部網絡。據了解，俄軍還將為這個系統配備一支由經過特殊高等教育的技術軍官組成的特殊部隊。

據專家介紹，該系統包括數道強大的防火墻以及特殊設計的防病毒軟件。在特殊程序和設備的幫助下，這套系統可以檢測發生網絡攻擊的確切位置以及攻擊者所用的網絡信號。據悉，這個系統的主要優點是其獨立于外部網絡，這意味著它不易受到來自外部的黑客攻擊。專家表示，該系統允許軍事內部網絡在幾千公里的范圍內以300Mbit/s的速度交換信息，并保護所有通信渠道免受黑客攻擊。

此外，俄羅斯武裝部隊還將建立起一個多業務傳輸通信網絡（multi service transport communication network），并計劃在今年年底完成第一階段的工作。

（來源：E安全）

FBI準備監視Facebook和Twitte等社交平臺對美國的潛在威脅

發布時間：2019年08月14日

《華爾街日報》稱，美國聯邦調查局目前正計劃從Twitter、Instagram和Facebook等社交平臺開始積極收集數據，這些平臺似乎也與各自的隱私政策相沖突。尤其是Facebook，作為與聯邦貿易委員會達成協議的一部分，它必須遵守一些限制，這些限制與它收集和處理用戶數據的方式有關。

聯邦調查局正在向第三方供應商尋求社交媒體早期警報工具，以緩解多方面威脅。該技術解決方案將用于主動識別和反應性地監控對美國及其利益的威脅。該請求是在最近在德克薩斯州和俄亥俄州發生的槍擊事件發生前幾周提出的，供應商要在本月底之前提交提案。Twitter的一位發言人告訴《華爾街日報》，其隱私政策明確禁止任何實體出于監視目的使用用戶數據，或以任何與用戶對隱私合理期望不符的方式使用用戶數據。

從請求的措辭來看，該機構只尋求收集公開的數據，并打算在尊重公民自由和隱私保護的同時收集這些數據。美國聯邦調查局表示，它將從公眾檔案中收集姓名、圖片和身份證，并將它們與其他來源的信息以及在社交互動中標記特定關鍵字的算法結合起來。

大型技術平臺擁有大量用戶數據，人工智能工具可以比人類更快地進行篩選，但算法威脅檢測可能會導致大量誤報。聯邦調查局表示，警報將由專門的人員團隊處理，他們也可以調整算法頻率。

（來源：cnBeta）

“數據就是新的石油”——阿聯酋大力發展人工智能

發布時間：2019年08月13日

據阿聯酋通訊社近日報道，微軟和安永聯合發布的相關報告指出，阿聯酋過去10年在人工智能（AI）方面投資21.5億美元，位居中東和非洲地區前列。調查顯示，94%的阿聯酋公司管理層會關注公司在人工智能領域的參與度，居中東非洲受訪國家之首。同時，阿聯酋在人工智能領域的領導力也居于地區首位。

近年來，阿聯酋大力推進人工智能發展。2017年，阿任命世界上首位“人工智能國務部長”奧馬爾·烏萊馬；2018年，阿內閣批準組建“人工智能委員會”。烏萊馬在去年的阿布扎比國際石油博覽會上表示：“數據就是新的石油，能以更低的成本實現更高的利潤。”他表示，阿聯酋的最終目標是建設“未來之城”，希望在2031年使阿聯酋成為人工智能領域的全球領導者。

今年5月，阿聯酋在迪拜舉辦了人工智能全球峰會，吸引80多個國家和地區的130多家相關企業參會。迪拜警察局在峰會上舉行了一次機器學習競賽。事實上，從2017年開始，迪拜警方就推出了一款在街頭巡邏的人工智能機器人警察。這款機器人警察具備人臉識別功能，能夠甄別甚至跟蹤犯罪嫌疑人。通過機器人胸前的觸摸屏，人們可以報警、提交文件和繳納交通違章罰款，也能夠直接與迪拜警察呼叫中心對話。迪拜計劃在2030年前建立全球第一家機器人警察局，將機器人警察占比提升至25%。

交通領域，迪拜未來基金會與迪拜道路和交通管理局共同啟動了“迪拜自主交通戰略”，計劃到2030年，25%的迪拜交通系統將采用自動駕駛模式，使迪拜成為自動駕駛領域全球領先的范例。

阿聯酋的人工智能布局吸引了各方投資。迪拜最近的一份外國直接投資報告稱，在2015年至2018年期間，迪拜吸引了逾210億美元的外國直接投資用于AI和機器人項目。

布局人工智能發展，人才培養是關鍵。今年早些時候，阿聯酋政府撥款4.08億美元建設一批中小學，這些學校將配備機器人實驗室和人工智能設施。迪拜英國大學也啟動了阿聯酋首個人工智能本科課程。該校副校長阿卜杜勒在接受本報記者采訪時表示，該課程是一門基于計算機科學與智能解決方案的集成學科。課程設置分兩個方向，一是利用計算機模型使學生理解人工智能，二是使學生能夠創新并開發構建具有決策和行動能力的系統。此外還設置有人工智能使用過程中涉及的社會、道德和法律的相關課程。“除了課堂教學，我們將積極為學生提供物聯網、云計算和認知計算等領域的相關實習機會，幫助他們了解人工智能領域最前沿的技術與知識。”

“人工智能的發展是影響未來國家實力的重要因素，同時也是該地區擺脫石油依賴，發展經濟多元化的關鍵驅動力。”阿卜杜勒說。普華永道的一項研究顯示，到2030年，采用人工智能解決方案可以使阿聯酋的國內生產總值增長960億美元，通過將人工智能運用于教育、交通、能源、太空等領域，每年可以節省50%的成本。

（來源：人民日報）

產業發展

美國銀行巨頭出現嚴重信息泄露事件，上億美國公民受到影響

發布時間：2019年08月02日

據外媒報道，美國銀行巨頭“第一資本“（Capital One Financial Corp.）經歷了一次極為嚴重的信息泄露事故，涉及約1億美國人和600萬加拿大人。

Capital One在7月19日被第三方通知其數據出現在代碼托管網站GitHub上，它立即通知了聯邦調查局（FBI）。經過調查，黑客獲得了140,000個社會安全號碼和80,000個銀行賬號。除此之外，泄露的信息還包括電話號碼、電子郵件地址、出生日期、信用評分、賬戶余額以及一些特定時間的交易信息片段等。該銀行聲稱賬戶密碼、密保問題等安全信息并沒有被泄露。

Capital One表示，受影響的客戶主要是2005年至2019年間申請信用卡的普通客戶和小企業客戶，并建議擔心信息被泄露的客戶向銀行索取他們的信用報告或申請凍結他們的信用卡賬戶。

目前FBI 已經逮捕了一名Amazon Web Services (AWS)的前雇員。據了解，AWS是亞馬遜的云計算部門，而這名嫌疑人在2015年至2016年期間擔任AWS的系統工程師。專家表示，Capital One近年來一直熱衷于使用云技術存儲其數據，并且是AWS云平臺的大客戶。但AWS否認亞馬遜的云系統與此次事故有關。

（來源：E安全）

亞馬遜為美國警方開發高科技監控工具 引發社會擔憂

發布時間：2019年8月9日

北京時間8月8日晚間消息，據美國財經網站CN BC報道，亞馬遜子公司Ring不僅制造無線安全攝像頭，它還可以訪問警方數據，提醒居民注意潛在的犯罪行為，鼓勵用戶分享可疑行為的錄音，并將其與執法部門聯系起來。對此，隱私和公民自由的倡導者認為，Ring與政府的合作關系正在創造一種新的政府監控層。

今年的7月12日，在黎明之前的幾個小時，美國亞利桑那州錢德勒（Chandle）地區的一名男子被手機上的警報驚醒。警報來自于他的Ring安全攝像頭，后者檢測到有人在他家外面移動。

視頻顯示，一群年輕人闖入了幾輛汽車。這名男子從前門向他們大喊，然后報警。當一名警官趕到時，這幾名男子乘車疾馳而去，留下了手機、作案工具和其他一些東西。當天上午晚些時候，他們自首了。當時，房主已經向警方展示了其攝像頭所拍攝的視頻片段，并將其發布到了Ring的應用程序Neighbors上。

后來，這位房主在Neighbors上寫道：“感謝Ring！！！”而錢德勒的一名警官回復稱：“感謝你的發帖。”

這次交互是警方使用Ring的典型方式，在利用Ring偵查和調查犯罪的同時，也幫助Ring拓展業務。Ring在錢德勒的這種部署也是全美數十個這樣的合作關系中的一部分，也是亞馬遜更廣泛努力的一部分，即加深與執法部門的合作。但同時，也有批評人士指出，亞馬遜這是在幫助政府強化對國人的監控。

如今，亞馬遜的政府業務已經成為該公司拓展電子商務以外業務、進入互聯網工具市場的重要組成部分。金融咨詢服務公司韋德布什證券（Wedbush Secur ities）分析師丹尼爾·艾夫斯（Daniel Ives）稱，通過云計算子公司Amazon Web Services（AWS），亞馬遜與政府部門（包括警察部門、聯邦執法部門、國家情報機構和移民當局）簽訂的合同規模已經從2014年的2億美元激增到今天的20億美元。

艾夫斯說：“在許多調查中，時間是至關重要的。與亞馬遜的合作，使得許多警察部門能夠更快地獲取數據，并以更有幫助的形式獲取數據。”

但批評人士卻指出，亞馬遜與政府的合作表明，一家公司在與政府的合作中如何定位至關重要，它可能導致過度擴張和濫用。

隱私權和公民自由的倡導者警告說，Ring的合作伙伴關系正在創造一個新的政府監控層。亞馬遜員工、人工智能研究人員和激進投資者已要求亞馬遜停止向執法部門出售其面部識別服務，停止向聯邦移民局提供網絡托管服務，并成立一個委員會來審查其產品的潛在社會后果。

倡導數字權利的非營利性組織“新美國開放技術研究所”（New America’s Open Technology Institute）政策主管莎倫·布拉德福德·富蘭克林（Sharon Bradford Franklin）稱：“雖然提供安全的云存儲似乎不會構成隱私威脅，但提供一系列技術，包括面部識別和門鈴攝像頭等強大的監控工具，再加上將數據匯集到大型數據庫并運行數據分析的能力，確實會造成真正的隱私威脅。”

對此，亞馬遜在一份聲明中稱：“我們相信我們的客戶，包括執法機構和其他致力于保護我們社區安全的團體，應該能夠獲得最好的技術，并相信云服務可以使社會獲得實質性的裨益。”

事實上，亞馬遜此前在這方面已經引發了社會的擔憂。通過子公司R ing，亞馬遜將攝像頭安放在數百萬人的門鈴上，還邀請他們跟鄰居、警察通過一個預防犯罪的社區共享視頻。此外，亞馬遜還向警方和私企出售人臉識別系統。

（來源：新浪科技）

微軟、谷歌和BAT等巨頭成立機密計算聯盟，聯手保護數據安全

發布時間：2019年08月23日

微軟近日在其開源博客中宣布加入機密計算聯盟（Confidential Computing Consortium，簡稱CCC）。該組織致力于定義和加速推進機密計算的采用，并將托管在 Linux基金會。聯盟創始成員還包括阿里巴巴、Arm、百度、谷歌、IBM、英特爾、紅帽、瑞士電信和騰訊等科技公司，它提供了一個讓行業聚集起來的機會，以促進使用機密計算來更好地保護數據。

建立機密計算聯盟的需求源于這樣一個事實：隨著計算從內部部署轉移到公共云和邊緣，對數據的保護變得更加復雜。當前的數據保護通常作用于靜態（存儲）或（網絡）傳輸狀態的數據。但是當數據正在被使用時，仍然存在風險，這也是數據保護中最具挑戰性的一個步驟。

因此，機密計算將側重于保護使用中的數據，并為敏感數據提供完全加密的生命周期。它將在內存中處理加密數據，而不會將其暴露給系統的其余部分，并減少敏感數據的暴露，為用戶提供更好的控制和透明度。

“保護使用中的數據意味著數據在計算過程中不會以未加密的形 式顯示，得到訪問授權的數據除外”，微軟 Azure 首席技術官 Mark Russinovich 表示，“也就是說甚至連公共云服務提供商或邊緣設備供應商都可能無法訪問它，數據將完全處于私密狀態。”

機密計算功能可以做到協作共享數據——例如訓練多方數據集機器學習模型、對多方數據集執行分析，或是在數據庫引擎中啟用機密查詢處理——但同時無需對這些數據進行直接訪問。

目前，聯盟成員已經為機密計算做出了一些開源貢獻，包括：

英特爾@軟件保護擴展（英特爾?SGX）軟件開發套件，旨在幫助開發人員使用受保護的代碼和數據，避免數據在硬件層被泄露或修改。

微軟 Open Enclave SDK，這個開源框架創建了一種可插入的通用方法來創建可再發行的可信應用程序，以保護正在使用的數據。

紅帽 Enarx，為可信執行環境（TEE）提供平臺抽象，支持創建和運行“私有、可替換、無服務器”的應用程序。

Linux 基金會執行董事 Jim Zemlin 表示，現有的聯盟只是一個開始，后續將會有更多企業加入。

（來源：開源中國）

烏克蘭某核電廠發生嚴重網絡安全事故

發布時間：2019年08月24日

據外媒報道，近日，位于烏克蘭南部的Yuzh-noukrainsk市附近的核電站出現嚴重安全事故，數名雇員將核電廠內部網絡連上了公共網絡，以供其挖掘加密貨幣。烏克蘭特勤局（Ukrainian Secret Service）將負責調查此次事故。

目前，烏克蘭特勤局尚未告知如何檢測到此次事故。7月10日，烏克蘭特勤局特工突擊搜查了該核電站，并在核電站管理辦公室搜查到了一批設備，專門用于挖掘加密貨幣。此次事故被列為國家機密泄露事故，調查人員已經開始研究黑客是否可利用聯網設備入侵核電廠內網，并竊取機密信息。

報道指出，因為某些國家機構中的設備擁有強大計算能力，且此類機構通常擁有穩定的電力供應，所以一些國家機構雇員會利用職務之便為其挖掘加密貨幣。俄羅斯核能中心、羅馬尼亞國家核物理和工程研究所，以及澳大利氣象局就曾曝出類似事件。

（來源：E安全）

世界最大加密貨幣交易所發生數據泄露事故

發布時間：2019年8月28日

據外媒報道，近日，世界最大加密貨幣交易所Binance發生了信息泄露事件，已有數百名用戶的身份證明圖像被發布到網上，且未來可能影響上萬用戶。

據了解，此次泄露的身份證明圖像被稱為“客戶了解”（Know Your Customer，簡稱KYC）圖像，黑客在成功入侵Binance第三方供應商后得到了這些數據。

消息人士稱，黑客在竊取信息后，曾威脅該交易所支付300比特幣，否則將公開其竊取的所有KYC圖像。Binance證實，黑客公布的KYC圖像中有一部分與事實相符，但其他圖像或為虛假圖像。跡象表明，被泄露圖像可能已被用于更改賬戶信息以及設置詐騙賬戶。

目前，相關調查仍在進行中，Binance已開始聯系受影響用戶，并建議受害者重新申請身份證明文件。Binance表示，它將為所有受到影響的用戶提供終身VIP會員資格。據悉，Binance VIP會員資格將包括交易費減免，技術支持和更多服務選項。此外，Binanc還將懸賞25比特幣，以獎勵給向其提供攻擊者身份的舉報者。

報道指出，該交易所在5月份也曾被曝出嚴重網絡安全事故。在此次事件中，黑客竊取了價值4000萬美元的比特幣，以及關鍵用戶信息。

（來源：E安全）