战略政策

新加坡发布新的网络安全法案

发布时间：2019年08月08日

据外媒报道，新加坡金融管理局（Monetary Authority of Singapore，简称MAS)正式确立了旨在提高新加坡金融机构网络安全态势的新立法。

立法中规定金融机构必须遵守六项主要要求，例如为着重确保IT系统的安全性，及时进行安全更新、并部署安全设备以限制未经授权的网络流量等。这些公司还必须实施措施以降低恶意软件感染风险、确保特权系统账户的安全以及加强关键系统的用户身份验证

此外，该立法还基本确定将强制要求企业执行现有的MAS技术风险管理指南（TechnologyRisk Management Guidelines）中的关键规定。据了解，该指南于2013年推出，提供了风险管理建议、安全实操建议和控制实操建议，以降低企业的技术风险。

MAS还对将系统外包给第三方进行管理的金融实体发出了特别提醒，要求这些金融实体必须在与其承包商的合约加入该法案提到的相关条款和条件，以确保由第三方管理的系统符合通知中列出的要求

据了解，这些措施将于明年8月6日生效，金融机构需要在一年内做好准备来确保这些措施得到遵守。

（来源：E安全）

除华为外，又有四家中国科技企业被美国打压

发布时间：2019年08月09日

据外媒报道，美国国防部、总务管理局和美国国家航空航天局8月7日发布了一项临时规定，禁止联邦机构从华为和其他四家中国公司购买电信设备。该临时规定将于8月13日生效。

据了解，除华为外，临时规定中提及的其他四家中国公司分别是中兴通讯股份有限公司、海能达通信股份有限公司、杭州海康威视数字技术股份有限公司和浙江大华技术股份有限公司。暂时没有任何一家公司对此规定作出回应。

具体而言，该规定禁止联邦机构从上述公司采购、延长或续订合同以获取任何用设备、系统或服务。规定中还提出，有关政府实体在做出合理解释后可以得到一次性豁免权。该豁免权允许这些机构与最多一家上述公司继续开展业务，直至2021年8月13日。

据悉，管理和预算办公室（Off ice of Management and Budget）将负责执行该规则。该机构发言人在一份声明中称，美国政府将致力于保护美国不受外国对手的影响，并将完全遵守国会对中国电信和视频监控设备公司实施的禁令。

根据之前的报道，今年5月，美国总统特朗普签署了一项行政命令，该命令授权他阻止任何对美国国家安全产生威胁的外国科技公司在美开展业务。虽然该行政命令中没有提及具体公司名称，但在同一周，美国商务部宣布将把华为添加到其名为“实体名单”的黑名单中。而这次发布的新禁令表明特朗普政府已决定加强对中国相关科技公司的打压。

（来源：E安全）

美国陆军制定新的网络人才培养计划

发布时间：2019年08月07日

据外媒报道，美国陆军的网络学校正在制定关于信息战的新教学计划。据悉，美国陆军计划改造目前的所有课程以将新材料纳入其中。专家表示，改造后的课程会提供额外的网络培训。美军还计划将已入伍的电子战专家带到戈登堡进行培训。与此同时，一支流动训练队将帮助尚未抵达戈登堡的电子战专家了解网络空间行动。

尽管整体信息战方面仍然没有明确计划，但美国陆军基本上确定将实行网络部队与电子战部队并行的制度。此外，美国陆军还希望相关规划人员帮助陆军中的所有梯队成员规划网络和电磁活动（cyberand electromagnetic activities，简称CEMA）。这些规划人员将告知指挥官如何使用非动能选项（non-kinetic options）来实现任务目标，并能够与相应的组织共同执行任务。

专家表示，接受额外网络训练的电子战人员将成为CEMA规划人员或新的地面电子战部队中的一员。其中的佼佼者还有机会进入美国网络司令部执行战略任务。

（来源：E安全）

俄罗斯军队已建立起完善的网络安全系统

发布时间：2019年08月13日

据外媒报道，俄罗斯军队已建立起一个强大的网络安全系统以保护军事内部网络。据了解，俄军还将为这个系统配备一支由经过特殊高等教育的技术军官组成的特殊部队。

据专家介绍，该系统包括数道强大的防火墙以及特殊设计的防病毒软件。在特殊程序和设备的帮助下，这套系统可以检测发生网络攻击的确切位置以及攻击者所用的网络信号。据悉，这个系统的主要优点是其独立于外部网络，这意味着它不易受到来自外部的黑客攻击。专家表示，该系统允许军事内部网络在几千公里的范围内以300Mbit/s的速度交换信息，并保护所有通信渠道免受黑客攻击。

此外，俄罗斯武装部队还将建立起一个多业务传输通信网络（multi service transport communication network），并计划在今年年底完成第一阶段的工作。

（来源：E安全）

FBI准备监视Facebook和Twitte等社交平台对美国的潜在威胁

发布时间：2019年08月14日

《华尔街日报》称，美国联邦调查局目前正计划从Twitter、Instagram和Facebook等社交平台开始积极收集数据，这些平台似乎也与各自的隐私政策相冲突。尤其是Facebook，作为与联邦贸易委员会达成协议的一部分，它必须遵守一些限制，这些限制与它收集和处理用户数据的方式有关。

联邦调查局正在向第三方供应商寻求社交媒体早期警报工具，以缓解多方面威胁。该技术解决方案将用于主动识别和反应性地监控对美国及其利益的威胁。该请求是在最近在德克萨斯州和俄亥俄州发生的枪击事件发生前几周提出的，供应商要在本月底之前提交提案。Twitter的一位发言人告诉《华尔街日报》，其隐私政策明确禁止任何实体出于监视目的使用用户数据，或以任何与用户对隐私合理期望不符的方式使用用户数据。

从请求的措辞来看，该机构只寻求收集公开的数据，并打算在尊重公民自由和隐私保护的同时收集这些数据。美国联邦调查局表示，它将从公众档案中收集姓名、图片和身份证，并将它们与其他来源的信息以及在社交互动中标记特定关键字的算法结合起来。

大型技术平台拥有大量用户数据，人工智能工具可以比人类更快地进行筛选，但算法威胁检测可能会导致大量误报。联邦调查局表示，警报将由专门的人员团队处理，他们也可以调整算法频率。

（来源：cnBeta）

“数据就是新的石油”——阿联酋大力发展人工智能

发布时间：2019年08月13日

据阿联酋通讯社近日报道，微软和安永联合发布的相关报告指出，阿联酋过去10年在人工智能（AI）方面投资21.5亿美元，位居中东和非洲地区前列。调查显示，94%的阿联酋公司管理层会关注公司在人工智能领域的参与度，居中东非洲受访国家之首。同时，阿联酋在人工智能领域的领导力也居于地区首位。

近年来，阿联酋大力推进人工智能发展。2017年，阿任命世界上首位“人工智能国务部长”奥马尔·乌莱马；2018年，阿内阁批准组建“人工智能委员会”。乌莱马在去年的阿布扎比国际石油博览会上表示：“数据就是新的石油，能以更低的成本实现更高的利润。”他表示，阿联酋的最终目标是建设“未来之城”，希望在2031年使阿联酋成为人工智能领域的全球领导者。

今年5月，阿联酋在迪拜举办了人工智能全球峰会，吸引80多个国家和地区的130多家相关企业参会。迪拜警察局在峰会上举行了一次机器学习竞赛。事实上，从2017年开始，迪拜警方就推出了一款在街头巡逻的人工智能机器人警察。这款机器人警察具备人脸识别功能，能够甄别甚至跟踪犯罪嫌疑人。通过机器人胸前的触摸屏，人们可以报警、提交文件和缴纳交通违章罚款，也能够直接与迪拜警察呼叫中心对话。迪拜计划在2030年前建立全球第一家机器人警察局，将机器人警察占比提升至25%。

交通领域，迪拜未来基金会与迪拜道路和交通管理局共同启动了“迪拜自主交通战略”，计划到2030年，25%的迪拜交通系统将采用自动驾驶模式，使迪拜成为自动驾驶领域全球领先的范例。

阿联酋的人工智能布局吸引了各方投资。迪拜最近的一份外国直接投资报告称，在2015年至2018年期间，迪拜吸引了逾210亿美元的外国直接投资用于AI和机器人项目。

布局人工智能发展，人才培养是关键。今年早些时候，阿联酋政府拨款4.08亿美元建设一批中小学，这些学校将配备机器人实验室和人工智能设施。迪拜英国大学也启动了阿联酋首个人工智能本科课程。该校副校长阿卜杜勒在接受本报记者采访时表示，该课程是一门基于计算机科学与智能解决方案的集成学科。课程设置分两个方向，一是利用计算机模型使学生理解人工智能，二是使学生能够创新并开发构建具有决策和行动能力的系统。此外还设置有人工智能使用过程中涉及的社会、道德和法律的相关课程。“除了课堂教学，我们将积极为学生提供物联网、云计算和认知计算等领域的相关实习机会，帮助他们了解人工智能领域最前沿的技术与知识。”

“人工智能的发展是影响未来国家实力的重要因素，同时也是该地区摆脱石油依赖，发展经济多元化的关键驱动力。”阿卜杜勒说。普华永道的一项研究显示，到2030年，采用人工智能解决方案可以使阿联酋的国内生产总值增长960亿美元，通过将人工智能运用于教育、交通、能源、太空等领域，每年可以节省50%的成本。

（来源：人民日报）

产业发展

美国银行巨头出现严重信息泄露事件，上亿美国公民受到影响

发布时间：2019年08月02日

据外媒报道，美国银行巨头“第一资本“（Capital One Financial Corp.）经历了一次极为严重的信息泄露事故，涉及约1亿美国人和600万加拿大人。

Capital One在7月19日被第三方通知其数据出现在代码托管网站GitHub上，它立即通知了联邦调查局（FBI）。经过调查，黑客获得了140,000个社会安全号码和80,000个银行账号。除此之外，泄露的信息还包括电话号码、电子邮件地址、出生日期、信用评分、账户余额以及一些特定时间的交易信息片段等。该银行声称账户密码、密保问题等安全信息并没有被泄露。

Capital One表示，受影响的客户主要是2005年至2019年间申请信用卡的普通客户和小企业客户，并建议担心信息被泄露的客户向银行索取他们的信用报告或申请冻结他们的信用卡账户。

目前FBI 已经逮捕了一名Amazon Web Services (AWS)的前雇员。据了解，AWS是亚马逊的云计算部门，而这名嫌疑人在2015年至2016年期间担任AWS的系统工程师。专家表示，Capital One近年来一直热衷于使用云技术存储其数据，并且是AWS云平台的大客户。但AWS否认亚马逊的云系统与此次事故有关。

（来源：E安全）

亚马逊为美国警方开发高科技监控工具 引发社会担忧

发布时间：2019年8月9日

北京时间8月8日晚间消息，据美国财经网站CN BC报道，亚马逊子公司Ring不仅制造无线安全摄像头，它还可以访问警方数据，提醒居民注意潜在的犯罪行为，鼓励用户分享可疑行为的录音，并将其与执法部门联系起来。对此，隐私和公民自由的倡导者认为，Ring与政府的合作关系正在创造一种新的政府监控层。

今年的7月12日，在黎明之前的几个小时，美国亚利桑那州钱德勒（Chandle）地区的一名男子被手机上的警报惊醒。警报来自于他的Ring安全摄像头，后者检测到有人在他家外面移动。

视频显示，一群年轻人闯入了几辆汽车。这名男子从前门向他们大喊，然后报警。当一名警官赶到时，这几名男子乘车疾驰而去，留下了手机、作案工具和其他一些东西。当天上午晚些时候，他们自首了。当时，房主已经向警方展示了其摄像头所拍摄的视频片段，并将其发布到了Ring的应用程序Neighbors上。

后来，这位房主在Neighbors上写道：“感谢Ring！！！”而钱德勒的一名警官回复称：“感谢你的发帖。”

这次交互是警方使用Ring的典型方式，在利用Ring侦查和调查犯罪的同时，也帮助Ring拓展业务。Ring在钱德勒的这种部署也是全美数十个这样的合作关系中的一部分，也是亚马逊更广泛努力的一部分，即加深与执法部门的合作。但同时，也有批评人士指出，亚马逊这是在帮助政府强化对国人的监控。

如今，亚马逊的政府业务已经成为该公司拓展电子商务以外业务、进入互联网工具市场的重要组成部分。金融咨询服务公司韦德布什证券（Wedbush Secur ities）分析师丹尼尔·艾夫斯（Daniel Ives）称，通过云计算子公司Amazon Web Services（AWS），亚马逊与政府部门（包括警察部门、联邦执法部门、国家情报机构和移民当局）签订的合同规模已经从2014年的2亿美元激增到今天的20亿美元。

艾夫斯说：“在许多调查中，时间是至关重要的。与亚马逊的合作，使得许多警察部门能够更快地获取数据，并以更有帮助的形式获取数据。”

但批评人士却指出，亚马逊与政府的合作表明，一家公司在与政府的合作中如何定位至关重要，它可能导致过度扩张和滥用。

隐私权和公民自由的倡导者警告说，Ring的合作伙伴关系正在创造一个新的政府监控层。亚马逊员工、人工智能研究人员和激进投资者已要求亚马逊停止向执法部门出售其面部识别服务，停止向联邦移民局提供网络托管服务，并成立一个委员会来审查其产品的潜在社会后果。

倡导数字权利的非营利性组织“新美国开放技术研究所”（New America’s Open Technology Institute）政策主管莎伦·布拉德福德·富兰克林（Sharon Bradford Franklin）称：“虽然提供安全的云存储似乎不会构成隐私威胁，但提供一系列技术，包括面部识别和门铃摄像头等强大的监控工具，再加上将数据汇集到大型数据库并运行数据分析的能力，确实会造成真正的隐私威胁。”

对此，亚马逊在一份声明中称：“我们相信我们的客户，包括执法机构和其他致力于保护我们社区安全的团体，应该能够获得最好的技术，并相信云服务可以使社会获得实质性的裨益。”

事实上，亚马逊此前在这方面已经引发了社会的担忧。通过子公司R ing，亚马逊将摄像头安放在数百万人的门铃上，还邀请他们跟邻居、警察通过一个预防犯罪的社区共享视频。此外，亚马逊还向警方和私企出售人脸识别系统。

（来源：新浪科技）

微软、谷歌和BAT等巨头成立机密计算联盟，联手保护数据安全

发布时间：2019年08月23日

微软近日在其开源博客中宣布加入机密计算联盟（Confidential Computing Consortium，简称CCC）。该组织致力于定义和加速推进机密计算的采用，并将托管在 Linux基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司，它提供了一个让行业聚集起来的机会，以促进使用机密计算来更好地保护数据。

建立机密计算联盟的需求源于这样一个事实：随着计算从内部部署转移到公共云和边缘，对数据的保护变得更加复杂。当前的数据保护通常作用于静态（存储）或（网络）传输状态的数据。但是当数据正在被使用时，仍然存在风险，这也是数据保护中最具挑战性的一个步骤。

因此，机密计算将侧重于保护使用中的数据，并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据，而不会将其暴露给系统的其余部分，并减少敏感数据的暴露，为用户提供更好的控制和透明度。

“保护使用中的数据意味着数据在计算过程中不会以未加密的形 式显示，得到访问授权的数据除外”，微软 Azure 首席技术官 Mark Russinovich 表示，“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它，数据将完全处于私密状态。”

机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析，或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。

目前，联盟成员已经为机密计算做出了一些开源贡献，包括：

英特尔@软件保护扩展（英特尔®SGX）软件开发套件，旨在帮助开发人员使用受保护的代码和数据，避免数据在硬件层被泄露或修改。

微软 Open Enclave SDK，这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序，以保护正在使用的数据。

红帽 Enarx，为可信执行环境（TEE）提供平台抽象，支持创建和运行“私有、可替换、无服务器”的应用程序。

Linux 基金会执行董事 Jim Zemlin 表示，现有的联盟只是一个开始，后续将会有更多企业加入。

（来源：开源中国）

乌克兰某核电厂发生严重网络安全事故

发布时间：2019年08月24日

据外媒报道，近日，位于乌克兰南部的Yuzh-noukrainsk市附近的核电站出现严重安全事故，数名雇员将核电厂内部网络连上了公共网络，以供其挖掘加密货币。乌克兰特勤局（Ukrainian Secret Service）将负责调查此次事故。

目前，乌克兰特勤局尚未告知如何检测到此次事故。7月10日，乌克兰特勤局特工突击搜查了该核电站，并在核电站管理办公室搜查到了一批设备，专门用于挖掘加密货币。此次事故被列为国家机密泄露事故，调查人员已经开始研究黑客是否可利用联网设备入侵核电厂内网，并窃取机密信息。

报道指出，因为某些国家机构中的设备拥有强大计算能力，且此类机构通常拥有稳定的电力供应，所以一些国家机构雇员会利用职务之便为其挖掘加密货币。俄罗斯核能中心、罗马尼亚国家核物理和工程研究所，以及澳大利气象局就曾曝出类似事件。

（来源：E安全）

世界最大加密货币交易所发生数据泄露事故

发布时间：2019年8月28日

据外媒报道，近日，世界最大加密货币交易所Binance发生了信息泄露事件，已有数百名用户的身份证明图像被发布到网上，且未来可能影响上万用户。

据了解，此次泄露的身份证明图像被称为“客户了解”（Know Your Customer，简称KYC）图像，黑客在成功入侵Binance第三方供应商后得到了这些数据。

消息人士称，黑客在窃取信息后，曾威胁该交易所支付300比特币，否则将公开其窃取的所有KYC图像。Binance证实，黑客公布的KYC图像中有一部分与事实相符，但其他图像或为虚假图像。迹象表明，被泄露图像可能已被用于更改账户信息以及设置诈骗账户。

目前，相关调查仍在进行中，Binance已开始联系受影响用户，并建议受害者重新申请身份证明文件。Binance表示，它将为所有受到影响的用户提供终身VIP会员资格。据悉，Binance VIP会员资格将包括交易费减免，技术支持和更多服务选项。此外，Binanc还将悬赏25比特币，以奖励给向其提供攻击者身份的举报者。

报道指出，该交易所在5月份也曾被曝出严重网络安全事故。在此次事件中，黑客窃取了价值4000万美元的比特币，以及关键用户信息。

（来源：E安全）