2015年度國際網(wǎng)絡(luò)安全大事件技術(shù)與政策并存 機(jī)遇與挑戰(zhàn)齊飛

文/本刊記者 柒 月

2015年度國際網(wǎng)絡(luò)安全大事件技術(shù)與政策并存 機(jī)遇與挑戰(zhàn)齊飛

文/本刊記者 柒 月

2015年的網(wǎng)絡(luò)安全圈注定是不平凡的一年，各大網(wǎng)絡(luò)安全盛會精彩不斷，技術(shù)水平可見一斑；各國政府更是不遺余力，網(wǎng)絡(luò)安全相關(guān)政策法規(guī)相繼出臺，全力構(gòu)建網(wǎng)絡(luò)安全新局面。

Pwn2Own 2015在溫哥華拉開戰(zhàn)幕

2015年 3月 18日，Pwn2Own黑客大賽在加拿大溫哥華舉行。Pwn2Own是全世界最著名、獎金最豐厚的黑客大賽，由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下TippingPoint的項(xiàng)目組ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果、Adobe等互聯(lián)網(wǎng)和軟件巨頭都對比賽提供支持，通過黑客攻擊挑戰(zhàn)來完善自身產(chǎn)品。

Pwn2Own攻 擊 目標(biāo)包括IE、Chrome、Safari、Firefox、Adobe Flash和Adobe Reader的最新版本。這項(xiàng)賽事承載著黑客世界的榮譽(yù)，對安全研究人員來說，如果能在Pwn2Own上獲獎，這象征著其安全研究水平已經(jīng)達(dá)到世界領(lǐng)先的水平。Pwn2Own上各參賽團(tuán)隊(duì)的表現(xiàn)，也代表其國家網(wǎng)絡(luò)攻防技術(shù)的實(shí)力。

RSA Conference 2015在舊金山召開

2015年4月20日 至24日，全球知名信息安全峰會RSA Conference 2015在美國舊金山召開。作為IT安全領(lǐng)域的權(quán)威科技大會，RSA大會邀請了各地區(qū)著名安全專家出席與分享，并吸引匯集了全球眾多頂級安全廠商的聯(lián)袂參展。RSA大會已成為一個快速了解全球安全趨勢的風(fēng)向標(biāo)，更是影響安全產(chǎn)業(yè)轉(zhuǎn)型與持續(xù)發(fā)展的重要會議平臺。

RSA2015的主題為“Change： Challenge today's security thinking（變化：挑戰(zhàn)當(dāng)今的安全理 念）”，相比2014年的主題則更具沖擊力。本屆RSA大會議題將更加專注于探討深層次的安全技術(shù)，如加密技術(shù)、深度包檢測和啟發(fā)式檢測惡意軟件等等。

美國國防部發(fā)布網(wǎng)絡(luò)新戰(zhàn)略

2015年4月23日，美國國防部發(fā)布了一項(xiàng)網(wǎng)絡(luò)新戰(zhàn)略，首次明確討論了美國在何種情況下，可以使用網(wǎng)絡(luò)武器來對付攻擊者，并且還列出了美國自認(rèn)為威脅最大的國家。

報(bào)告認(rèn)為，網(wǎng)絡(luò)威脅無處不在，為更好地應(yīng)對這一嚴(yán)峻挑戰(zhàn)，國防部在網(wǎng)絡(luò)安全方面為自己設(shè)定了三大使命：一是防衛(wèi)國防部的網(wǎng)絡(luò)、 系統(tǒng)和信息；二是保衛(wèi)美國國土及國家利益不受重大網(wǎng)絡(luò)襲擊活動的侵犯；三是集中網(wǎng)絡(luò)軍隊(duì)力量支持軍事行動和應(yīng)急計(jì)劃。報(bào)告中指出，為了降低網(wǎng)絡(luò)空間風(fēng)險(xiǎn)，需要一個全面的戰(zhàn)略來應(yīng)對，如果需要的話還需要能夠承受顛覆性的和破壞性的攻擊。

美國公布《瓦森納協(xié)定》的修改草案

2015年5月，美國商務(wù)部工業(yè)與安全局公布《瓦森納協(xié)定》的修改草案，新規(guī)則規(guī)定美國企業(yè)或個人向境外廠商報(bào)告漏洞情況是一種出口行為，需預(yù)先申請政府許可，否則將被視為非法。

《瓦森納協(xié)定》又稱瓦森納安排機(jī)制，全稱為《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森 納 安 排》 （The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies），目前共有包括美國、日本、英國、俄羅斯等40個成員國。盡管“瓦森納安排”規(guī)定成員國自行決定是否發(fā)放敏感產(chǎn)品和技術(shù)的出口許可證，并在自愿基礎(chǔ)上向“安排”其他成員國通報(bào)有關(guān)信息。但“安排”實(shí)際上完全受美國控制。

新西蘭政府通過《數(shù)字通信欺凌法案》

2015年7月，新西蘭政府通過了《數(shù)字通信欺凌法案》，宣布網(wǎng)絡(luò)欺凌是一種犯罪行為。任何人使 用Facebook，Twitter等數(shù)字通信方式，導(dǎo)致被害人 “嚴(yán)重的情緒困擾”，被認(rèn)為是違法，并可能面臨一系列的懲罰。該法案涵蓋了那些包含種族主義者，性別歧視，殘疾內(nèi)容，宗教歧視等內(nèi)容的帖子。新西蘭目前還沒有設(shè)立專門機(jī)構(gòu)來執(zhí)行該法案。當(dāng)然，政府將面臨自稱這些法律侵犯了言論自由的反彈，而該法案似乎也可以將未成年人定罪為刑事犯罪。法案規(guī)定，社交網(wǎng)絡(luò)可以在48個小時(shí)內(nèi)刪除有害帖子，通過安全港聲明保障自己不會被新西蘭政府起訴。

法國憲法委員會通過新情報(bào)法

2015年7月 23日，法國憲法委員通過新的情報(bào)法，允許國家情報(bào)機(jī)構(gòu)更廣范圍地監(jiān)聽公眾，以應(yīng)對前所未有的恐怖威脅。

根據(jù)該情報(bào)法的規(guī)定，情報(bào)人員不再需要法官批準(zhǔn)，而是在聽取新成立的專門監(jiān)督機(jī)構(gòu)建議后就可開展監(jiān)視活動。情報(bào)機(jī)構(gòu)在特殊情況下可以使用 “IMSI捕手”偵察裝置。該裝置可記錄某一領(lǐng)域各種類型的電話、網(wǎng)絡(luò)和短信內(nèi)容。同時(shí)，情報(bào)人員可以使用傳聲器和相機(jī)竊聽嫌疑人的住所，并使用鍵盤記錄器跟蹤他們電腦上的每一次擊鍵。此外，情報(bào)機(jī)構(gòu)還可要求互聯(lián)網(wǎng)服務(wù)公司通過監(jiān)視元數(shù)據(jù)跟蹤可疑行為，比如使用特定網(wǎng)址的時(shí)間和頻率。

BlackHat 2015在拉斯維加斯如期舉行

2015年8月1日至6日，世界黑帽大會BlackHat在美國拉斯維加斯舉行，為期6天的會議吸引了自世界各地的超過1.5萬安全專業(yè)人士。創(chuàng)辦于1997年的BlackHat被公認(rèn)為世界信息安全行業(yè)的最高盛會，也是最具技術(shù)性的信息安全會議。

對于全世界的黑客來說，登上具有18年歷史的BlackHat演講臺，是對其研究成果的最高認(rèn)可。BlackHat演講議題挑選非常嚴(yán)格，只有在相關(guān)領(lǐng)域具有獨(dú)到、深度的研究，并對安全行業(yè)未來發(fā)展有深入影響的議題才會入選，具有前瞻性是BlackHat入選議題的最大的亮點(diǎn)。參會人員包括各大企業(yè)和政府的研究人員，以及來自世界各地安全廠商和研究組織的優(yōu)秀黑客。

DEFCON 2015在拉斯維加斯舉辦

2015年8月6日至9日，全球安全領(lǐng)域的頂級大會DEFCON在美國拉斯維加斯舉辦，有超過7000名黑客和安全專家參加這一盛會，參會者除了來自世界各地的黑客外，還有全球許多大公司的代表以及美國國防部、聯(lián)邦調(diào)查局、國家安全局等政府機(jī)構(gòu)的官員，影響巨大。

DEFCON黑客大會是黑客們結(jié)識朋友以及展示實(shí)力的國際平臺，每年的大會上都有精彩的技術(shù)演講，這些技術(shù)演講代表著安全領(lǐng)域的最新研究方向。除了議題演講，DEFCON還有高水平的黑客技術(shù)競賽。全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式——奪旗賽（CTFCaptureTheFlag）正是起源于DEFCON大會，而且一直是DEFCON的核心競賽之一。

美國國會參議院通過《網(wǎng)絡(luò)安全信息共享法案（CISA）》

2015年10月27日，美國國會參議院以74比21的投票結(jié)果通過了《網(wǎng)絡(luò)安全信息共享法案（CISA）》，允許公司和政府分享黑客攻擊信息，以加強(qiáng)網(wǎng)絡(luò)防護(hù)，之前眾議院也通過了這個法案，最終等到美國總統(tǒng)奧巴馬簽署后，將成為正式法律。

該法案的內(nèi)容是對企業(yè)的信息共享行為增加法律上的照顧，以鼓勵美國企業(yè)把信息安全漏洞信息共享給其它企業(yè)以及政府部門。近年來，由于計(jì)算機(jī)攻擊導(dǎo)致數(shù)百萬美國人的個人信息遭泄露，美國民主和共和兩黨的議員們一直希望能夠讓新的網(wǎng)絡(luò)安全法案正式成為法律。支持者表示，對于減少用戶信息偷竊行為而言，立法是很有必要的。

英國政府公布新版《調(diào)查權(quán)法》草案

2015年11月4日，英國政府公布新版《調(diào)查權(quán)法》草案，要求互聯(lián)網(wǎng)公司和手機(jī)制造商能永久地?cái)r截和收集通過其網(wǎng)絡(luò)傳播的個人數(shù)據(jù)，并賦予其協(xié)助安全機(jī)構(gòu)和警察調(diào)查國家安全相關(guān)事項(xiàng)的權(quán)利。

英國內(nèi)政部表示，新版調(diào)查權(quán)法的宗旨是加強(qiáng)執(zhí)法機(jī)關(guān)與情報(bào)機(jī)關(guān)完成其關(guān)鍵作業(yè)能力，彌補(bǔ)這些機(jī)構(gòu)之間的作業(yè)漏洞，使他們更有能力對可疑人等的上線活動，搜集情報(bào)和證據(jù)，其內(nèi)容包括通訊攔截、通訊數(shù)據(jù)獲取及留存、干擾設(shè)備使用等條款。英國內(nèi)政部長特麗莎表示，現(xiàn)在是數(shù)字時(shí)代，民眾通信不全使用電話而是經(jīng)由網(wǎng)絡(luò)，為了追擊犯罪，政府必須有能力監(jiān)控網(wǎng)絡(luò)通訊記錄。