Security awareness relies on balance of technical, human-behavior skill sets

Imagine a teeter totter (or seesaw, if you will). One one side, sits a technical security practitioner. On the other side, sits a person with advanced skills in changing behaviors and community engagement. In order for the teeter totter to stay level, each person needs to have equal experience, or one needs to move further to the center to achieve the desired equilibrium. If one level of experience too demonstrably outweighs the other, the right balance of talent won’t be achieved.
板块轮动主力看好五板块
Special Feature
Security and Privacy: New Challenges
和iOS及WP的大集中式应用管理大不同的是,Android软件商店太多太杂了,移动终端设备要安全,首先不要乱安装不明来历的软件。
As big data, the IoT, and social media spread their wings, they bring new challenges to information security and user privacy.
Read More
Talent for what? The oft-misunderstood role of the security awareness professional.
Security awareness at its most basic level is the act of applying technical security knowledge to programs and activities that raise the awareness — and diminish risky behaviors — of employees within a given organization. This includes everything from phishing and password test programs, to community engagement with educated practitioners teaching less security savvy users how to change their behavior to better secure protect themselves or their companies.
It’s long been stated that security is not convenient, and for many years cybersecurity teams were challenged with addressing the human element of security risk (patch your systems! change your passwords! no, that is not a real email from George Clooney!) while also trying to create a secure infrastructure that defends the organization from external attackers. While the challenge of insider threats is real and malicious employees do exist, there’s an equal chance that human faux pas creates a significant risk — whether it be someone losing a device, clicking on a malicious link, or emailing the wrong file to the wrong person.
Hence the importance of security awareness programs.
According to Masha Sedova, co-founder of Elevate Security, and former trust engagement leader at Salesforce, a good awareness program gets feedback from the rest of the security organization into what the top people-centric risks are for the company and, then creates an effective campaign to address those risks.
“Security awareness was initially started about 10 years ago with the advent of regulation and compliance requirements,” Sedova said. “Unfortunately, they were designed with the wrong question in mind. They ask ‘show me how many people have taken your training.’ Instead they should have asked ‘show me metrics that your program yields improvement in X behavior.’ The companies leading the charge in the awareness space today are creating their programs around this question.”
This leads back to the discussion around the right balance of talent for creating these programs. According to the SANS 2016 report on security awareness, more than 80 percent of security awareness personnel have a technical background, but also need soft skills such as communications, change management, learning theory, and behavior modeling, in order to be most effective.
The report calls out one option to address this gap: Adding a communications professional to the security awareness team. Although not wrong, this is a tricky one. While facets of marketing and communications expertise are helpful for many teams, as represented in the soft skills written above, the old adage applies: “you can’t secure what you don’t see.” And if you don’t have a firm understanding of security, and how risk can be created by humans and how such risk tracks back to security technology and implementation, marketing and communications skills alone cannot create the robustness required for a security awareness team.
More security news

Senate votes to repeal broadband privacy rules
Apple iCloud ransom demands: The facts you need to know
Google proposes sending Symantec to TLS sin bin
Contact centers branded the ‘Achilles heel’ of the enterprise
In fact, too much of a focus on the communications elements of the security awareness role can somewhat water down its criticality. While communications programs, educational events, community dialogue and networking are important components, security awareness programs are not built on this kind of skill. These are just merely channels for influencing more people to understand their part in securing their organizations, or their communities at large.
“Most marketing people can’t identify the underlying behaviors that need most focus, and unfortunately most technology-focused security people aren’t great at that either,” Sedova said. “Security folks will say ’employees need to be less dumb’ which is hard to measure and drive a specific campaign for. And marketing people will say ‘don’t click on phishing links’ but can’t spend the time to explain why an employee should care about not clicking on phishing links and how it connects to a bigger picture. A good security awareness practitioner can bridge both skills sets.”
The other component in achieving the proper torque in the seesaw, is ensuring there are resources available to fuel these security awareness programs. They are must-haves as much as basic security programs are themselves. According to the same SANS security awareness report, more than 50 percent of security awareness professionals survive on a budget of less than $5,000, or those professionals are not able to dedicate all of their time to awareness. The report also says that the amount of support is relative to the maturity of a security awareness program, so a focus on education, the human actor, and demonstrable metrics is crucial.
Corporate support, whether it be freeing up budget or resources, for security awareness programs and professionals is a must-have, as they need to scale as their organizations do.
“What needs to happen are programs that can create and educate local security champions throughout the organization,” Sedova said. “This includes subjects such as secure coding, vulnerability identification and remediation, and threat sharing. These programs are great areas for security awareness practitioners to partner with security subject matter experts and create effective programs that scale. Overtime, I hope to see this happening more in this field.”Hackers can steal your data just from a PC’s blinking LED lights
公司高管的保密意识也可能比较淡漠,组织需要强制全员参加信息安全保密意识培训,对于敏感和重要的岗位,更是需要加强信息安全监管。

猜您喜欢

腾讯云携第三方安全服务 LOCKet,建立安全云生态体系
防泄密意识培训课
网络安全意识培训——电信诈骗防范
“学霸女神”再升级!佟大为妻子关悦参加博鳌圆桌会议
BUSINESSWEST THECAFFEINATEDQUILTER
保密意识第一弹:准确定密并正确标识国家秘密

DoubleAgent ‘vulnerability’ – just how bad is it?

Share on Twitter
Share on Google+
Share on LinkedIn
Share on Reddit
Much has been made of a reported zero-day exploit called DoubleAgent. According to security vendor Cybellum, this is a nasty threat that attackers can use to compromise antivirus software. The hijacked antivirus is then turned against the very organizations they’re meant to protect.
Is it really as menacing as all that? Not exactly.
Sophos is conducting its own investigation to see if it’s affected by such a threat. So far, the answer is no.
But there’s more to this story than whether or not antivirus is under threat.
Security practitioners commenting on the KernelMode.info forum have picked apart Cybellum’s findings in recent days, noting that it’s specifically a Windows vulnerability. Some pointed out that the affected component was not undocumented, as reports have suggested. The feature has been around for a long time, and Microsoft published a technical breakdown in August 2012.
Sophos Home
Free home computer security software for all the family
小议企业级信息安全管理
Learn More
Meanwhile, Alex Ionescu , vice-president of EDR strategy at CrowdStrike, claimed in a series of tweets that Cybellum copied and distorted his own research:
With all that in mind, let’s look at what this vulnerability is really about, when it was actually discovered and what Sophos is doing to protect people.
DoubleAgent explained
DoubleAgent exploits a legitimate Windows tool known as Microsoft Application Verifier and supposedly works against antivirus products from numerous vendors. An article in Dark Reading made it sound particularly ominous, saying:

The exploit gives attackers a way to turn an antivirus product … into malware for snooping on users, stealing data from their systems, and for moving laterally across the network and sabotaging the system, Cybellum said. Most importantly, since the malware would masquerade as an AV product, it would also give attackers a way to maintain persistence on a compromised system for as long as they wanted.
The Microsoft Application Verifier feature at the heart of this vulnerability has been around since at least Windows XP. It’s a Windows feature that allows developers to perform runtime verifications of their applications to find and fix flaws.
日前多名通过计算机网络窃取他人巨额财产的“黑客”被逮捕,他们主要利用计算机病毒窃取受害者的银行资料如信用卡信息等等,并通过国际电子支付系统在国境内外兑现。
The Dark Reading article describes Application Verifier as an undocumented feature. In fact, Microsoft mapped it out back in August 2012, describing it this way on the Microsoft website:
Application Verifier (AppVerif.exe) is a dynamic verification tool for user-mode applications. This tool monitors application actions while the application runs, subjects the application to a variety of stresses and tests, and generates a report about potential errors in application execution or design. Application Verifier can detect errors in any user-mode applications that are not based on managed code, including user-mode drivers. It finds subtle programming errors that might be difficult to detect during standard application testing or driver testing.
Mitigating factors
Several antivirus vendors called out as potentially vulnerable said late last week that they’ve already patched their products against this flaw and are not at risk. Those using Intercept X are protected from DoubleAgent. Sophos said:
From what we have seen so far, this is a bit of an overblown threat. If an attacker can get code to run with administrator permissions on your computer, this is one of several ways to inject malicious behavior into existing software. And it will work on most software, not just antivirus. In our tests with the proof-of-concept code, the attack doesn’t work on a computer with Intercept X installed. That said, we take any potential threat seriously, so we’ll be looking at what else we can do to detect and block this type of threat in the future.
For its part, Microsoft already has a mechanism called Protected Processes that’s designed to protect antivirus from code-injection attacks of this type.
DoubleAgent is also another example of an exploit that takes advantage of admin rights. Though Intercept X protects users against this sort of thing, it’s another reminder that admin access should be granted sparingly. In other words, users should only get the access they need to do their jobs and nothing more.
In many cases, people are still admins on their PCs without really needing it, though this is also something Microsoft and others have remedied with newer versions of their operating systems. Windows 10, macOS and Linux all start off with non-root accounts. A person’s access can be increased as needed, but it’s no longer by default. 
数据丢失情况报告发现年度的资料丢失数量上比往年有了下降,源自内部的威胁上升较多,社会工程学的使用也得到了加强,保障数据安全需从人员的安全管理抓起。

猜您喜欢

不同壁纸营造别样家居环境
随机密码生成器、密码卡、密码文件、本地还是在线存储
在线开放式EHS基础知识和理念培训班
女星最近都穿了哪些美衣
KULA-TECH FEEDSPOT
网络安全公益短片小心披露您的地理位置信息

APAC accounted for majority of botnet detections globally

Asia-Pacific is proving to be a haven for botnets, accounting for more than half of all detections worldwide, but remains somewhat unscathed from ad fraud, adware, and ransomware.
Three countries in the region were among the top five locations for botnet detections, led globally by the Philippines, according to a report by Malwarebytes, which assessed data from nearly 1 billion malware detections between June and November 2016, across some 100 million Windows and Android devices in 200 countries. The report focused on six threat types: ransomware, ad fraud malware, Android malware, botnets, banking Trojans, and adware.
Latest news on Asia
​Apple wins Chinese iPhone patent case: Report
​Qualcomm blocked Samsung from selling Exynos chips: KFTC
如何防范智能手机、平板电脑和可穿戴式设备成为互联网犯罪人员的跳板或肉鸡呢?
不管我们的数据在哪儿,都应该得到适当的保护,事实上也是如此,不能因为有了安全的防火墙就可高枕无忧,边界安全面临挑战,云计算、社交网络、消费电子、移动应用让我们的数据已经而且越来越会变得无处不在。

Baidu to establish second R&D center in Silicon Valley: Report
​Australia and China sign AU$12m ‘Dialogue on Innovation’
Samsung Galaxy S8: Six big questions – and answers
Botnet detections in the Philippines were nearly four times more than that in Indonesia, which was ranked second on the global list. India also was among the top five, while Thailand and Malaysia were among the top 10 countries globally with the most botnet detections. These five Asia-Pacific markets alone accounted for nearly half of total detections.
The report further noted that developed markets in the region accounted for less than 0.5 percent of global botnet detections.
“In Asia Pacific, we are seeing that botnets are particularly rampant, ” said Jeff Hurmuses, Asia-Pacific area vice president and managing director for Malwarebytes, which regional headquarters was Singapore.
“A particularly sneaky malware, botnets can remain undetected for long periods of time and expose users to other malware threats and infections,” Hurmuses. “As individuals and businesses become more reliant on computing in their professional and daily life, it is imperative they remain aware of new cyberattack methodologies and how these can impact them.”
Three markets in the region also were among the world’s top 10 locations for malware infections, with Indonesia placed fourth, while India and the Philippines were seventh and eighth, respectively.
Again, emerging markets such as Indonesia, India, Philippines, Thailand, and Malaysia seemed more susceptible to malware infections, the report noted, which suggested that this could be due to the high availability of pirated software and number of third-party app stores in these markets.
The region, though, remained somewhat unscathed from ad fraud malware, adware, and ransomware. All markets here accounted for no more than 2.5 percent of detections globally in these three threat categories, where attacks had focused on developed markets in Europe and the US.
This, however, could change when these regions rolled out measures to combat such tactics, prompting cybercriminals to divert their attention towards developed markets in Asia-Pacific.
The Malwarebytes report also found increased use of randomisation in malware attacks to circumvent detection by mobile security systems. This had driven up the number of malware infections on Android devices worldwide.
Such malware was particularly rampant in Indonesia, India, the Philippines, and Malaysia, fuelled largely by the use of unsecured third-party app stores. In fact, Indonesia, India, and the Philippines were among the top 10 global locations for Android malware detections, accounting for more than 15 percent of total detections.
E-mail remained a popular distribution platform for malware, with phishing attacks including malicious attachments resurfacing in the second half of last year. Malwarebytes projected that exploit kits, particularly RIG, also would reemerge as the standard for malware distribution in the near future.
The Philippines and Thailand also accounted for more than 20 percent of banking Trojan detections globally, with the former contributing almost twice as many as the number detected in the Thai market. The Asia-Pacific region accounted 27 percent of the global number of banking Trojans.
A Trend Micro report earlier this month revealed that Asia-Pacific saw the highest number of attempted attacks across different forms last year, clocking 317,833 online banking malware, for instance, This was three times higher than North America and six times more than Latin America.
In addition, 27 percent of ransomware attacks launched were targeted at enterprises and individuals based in Asia-Pacific, compared to 25 percent aimed at EMEA, and 22 percent at Latin America. Last year also saw record number of online extortion, where ransomware grew by 752 percent and clocked US$1 billion in financial gains, according to Trend Micro.
公司越来越重视员工的培训和职业发展,最近建立了专门的电子学习系统用于内部员工的在线学习。有了平台,就剩下开发或采购各种课程了!

猜您喜欢

建业集团首席人才官曹仰锋:今天不转型 明天就要被别人转型
缺失的信息安全方针政策
三分钟,改变安全培训人员的工作状态
未来!谷歌两轮人形机器人曝光 轻松跨障碍
PAKUSE SAMUELSCHOOL
信息安全意识试卷

Cloudflare泄露客户数据,IT部门可从中吸取什么教训?

点击标题下「蓝色微信名」可快速关注
喜欢铤而走险的网络犯罪份子们明白:直接进行攻击很容易被追溯到源头,所以他们往往会利用跳板作为攻击者的IP来源,进而给案件的侦查带来困难和阻力,同时,他们还会尝试删除访问日志记录,以企图掩盖自己的获罪行为。
网站和手机应用程序信息在哪里泄露?无人知晓。但是,IT部门应该考虑怎样做才能确保信息安全。
如何解除恶意软件
一旦信息暴露于互联网,就会永远留在那里。虽然内容分发网络服务提供商Cloudflare已经修复了导致客户数据在网上泄露的代码问题,这个事件远未结束,因为成千上万的网站靠该公司提供安全和内容优化服务。
本次数据泄露变得奇怪且令人沮丧,因为网站管理者并没有真正搞清楚他们的的信息是否被泄露或者应该如何补救。虽然根据在搜索引擎文档发现的数据,Cloudflare知道哪些客户受到了影响,但是并不确定具体是什么信息被泄露以及泄露的对象。
Cloudflare有四百万用户,其中包括政府、电子商务网站和金融服务机构,所以产生的连锁反应是巨大的。问题是没有人知道具体有多大或者是不是很大。
虽然泄露始于9月,但最大的潜在影响是2月12日开始的,Cloudflare的CTO John Graham-Cumming说。目前没有证据显示在代码修复之前,有人发现并开始利用这个安全隐患。
为了最小化损失,IT部门可采取哪些措施
IT管理员很有先见之明设想他们也受到了影响并采取相应行动。
其中一个选择是强行改变所有用户的密码。在网站被盗并不严重的情况下,这样做可能是不可取的,但是如果管理员证书或者其他敏感证书已经暴露,那么中断可能是必要的,Ryan Lackey(Cloudflare前安全工程师)建议。
IT管理员应该主动彻底搜索网站寻找泄露认证令牌及用户证书,David Weinstein(NowSecure 的CTO)提出。如果找到信息,应终止会话,为受影响的账号重新设置密码。
如果Cloudflare后台的应用程序使用cookies,那么就要涉及到开发商,以便了解cookies落入坏人之手的风险。如果你是Cloudflare的客户,应马上进入完全风险评估模式,Lori MacVittie(F5 Networks技术专家)说道。
补发证书更换秘钥不是微不足道的小任务,尤其是对于大型机构而言。但是假设他们并未受到影响就如同鸵鸟式反应,拒绝承认存在的问题。所以,IT团队必须全面了解他们使用的秘钥、在哪里使用以及如何管理。假如他们知道了泄露导致的后果,就可以采取适当的措施。否则,他们就不得不决定,是幻想什么也不会发生,还是咬紧牙关实施昂贵且全面的证书和秘钥补发。

行云管家独创类堡垒机 帮助云计算用户安全管理

服务的iOS应用程序。站点应该使手机应用程序的认证证书失效,并且促使用户重新注册应用程序和设备。
虽然这些听上去只是潜在的警报,但是我们应该知道至少有一个区域仍然安全。Cloudflare的 Graham-Cumming说过属于客户的SSL私人秘钥未被泄露,因为堆处理SSL秘钥与漏洞代码使用是完全分开的。
什么导致了Cloudflare泄露数据
所有的信息是如何被泄露的?谷歌内部的超级黑客团队Project Zero中 的Tavis Ormandy偶然发现了敏感信息被泄露给一些返回给用户的响应和搜索引擎爬虫,所以他将其反馈给Cloudflare的工程师。
因为编程失误影响到三个次要功能(邮件混淆,自动HTTPS重写以及服务器端不包括在内)达数月,Cloudflare的系统把服务器内存随机块泄露到用户能看到的网页和搜索引擎爬虫,Cloudflare的Graham-Cumming在公司的详细事后析误中如此讲到。
结果,一个用户访问一个Cloudflare技术支持的网站有可能获得他人的网站流量,即使那些本应被加密隐藏在页面。包括私人信息、会话cookies、认证令牌、POST数据、加密秘钥和用户证书等信息有可能会被搜索引擎隐藏。这个数据有可能在存在于其他缓存中,比如用户电脑的本地浏览器缓存,或者被其他私人运行的网络搜索服务保存。
Cloudflare与搜索引擎一起从缓存页面净化被泄露的信息,但是谁都无法确定数据泄露的影响会持续多久。

接到骚扰电话或短信该怎么做|街扑

转自:中国信息安全博士网

长按二维码关注精睿安全

墨西哥野生动物园母狮欲袭击游客 失手掉进安全壕沟_《参考消息…

微信号:jrsecurity
消费电子的普及迫使IT安全部门认真考虑移动设备的安全
微信扫一扫关注该公众号

SQL注入问题的解决最终只能依赖程序开发人员的安全意识,另外,不少人都喜欢在不同的网站使用相同的密码,这也太危险。

猜您喜欢

昆明理工大学分析测试研究中心举办消防安全知识培训
信息安全素养快速小贴士
环境、健康、安全大讲堂之HSE在线课件
究竟还差多少上汽荣威i6挑战大众速腾
PRIXOS JETSETMODELS
黑客社交攻防大挑战

【每日一报】58同城被曝简历数据泄露;去年个税收入上万亿;黄光裕率国美涉足汽车电商


58同城被曝简历数据泄露:700元可采集全国简历信息
58同城简历数据库出现泄密情况,原本高价出售的简历信息现在均可廉价获取。目前,并不确定此类泄密事件对58影响几何,但如果信息广泛流通,一旦被诈骗分子利用,就可以根据求职者的求职意向、更新简历频率、年龄、学校定制诈骗内容。
成都限购升级后,3月以来出手调控的城市已达21个

企业间就某个项目签署的合同,约定保密信息的脱密期是5年,那企业…

继北京、广州、长沙、石家庄等城市启动或加码限购后,成都也加入了。据不完全统计,自3月份以来,全国已有21城启动或升级了限购。此外,通知规定,在成都高新区西部园区、锦江区、青羊区等区域内购买住房的,购房者须具有限购区域户籍,或在限购区域稳定就业且连续不间断缴纳社会保险24个月以上。
去年个税收入上万亿,北上广深占了四成!
财政部1月发布的数据显示,2016年全国个税收入10089亿元,同比增长17.1%。这也是我国个税收入首次突破万亿大关。一线城市的税收收入远远领先于其他城市。北上广深四大一线城市个税收入总量占全国的比重达到四成左右。
又一大佬涉足汽车领域,黄光裕率国美涉足汽车电商
本周,低调运行了数月的国美汽车事业部将召开2017战略发布会,正式吹响进军汽车行业的号角。从公开信息看,黄光裕无意进军汽车制造领域,还是从其最擅长的销售渠道入手,利用国美的渠道优势,打造线上与线下结合的汽车营销渠道。
国际原油价格持续回落,成品油价或迎年内最大降幅

韩国队做足情报工作 要带三分回家
信息化和软件服务业司在杭州、厦门组织开展工业控制系统信息安全…

近日,美国原油库存和产量双双攀升加重了市场对减产行动提振效果的担忧情绪,即使美元继续走低也未能帮助油价企稳反弹,布伦特原油盘中更是一度跌破50美元/桶关口。总体来看,国际外围利空因素明显,市场整体悲观情绪较重,而市场价格已接近低位运行。
辉山乳业在港交所紧急停牌,早盘一度狂跌逾90%
港股辉山乳业临近午盘暴跌,创历史最大跌幅。截至午盘,该股跌85%,报0.420港元。去年底,美国知名做空机构浑水在报告中将辉山乳业直呼为“骗子”,称该公司至少从2014年开始发布虚假财务报表、夸大其资产价值及负债颇多,因此,该公司估值实际接近零。
-END –
为了保障安全,多个国家的政府拟禁止使用免费邮件服务和网络硬盘。
适用于所有行业的HSE在线培训课件

点击阅读原文
微信扫一扫关注该公众号

网络诈骗、网络传销、网络色情、网络赌博等违法犯罪活动频发,要进行打击,但是它们总是有些市场,通过教育互联网用户,可以压缩这些市场需求和规模。

猜您喜欢

保密培训课件
突破网络安全管理瓶颈的力作
简单三步,轻松实现全员EHS意识教育
身背208条交通违法记录交警查扣一辆"流氓车"
SEAFOLLY OAKHAVENAUSTIN
信息安全事件捂着盖着还是立即通报

锡林浩特市公安局组织举办保密教育专题培训班

淄博职业学院召开餐饮安全工作培训会

万物互联安全性?请咨询IT顾问团

荆门有个安全防范”百姓说唱团”

市政府办公厅开展保密教育专题学习活动

微信扫一扫关注该公众号
云计算也会带来安全方面的挑战,因此我们需要评估云服务提供商的能力,以便保护数据的保密性,可用性和完整性。在合同中,我们需要列明的要求,包括供应商将如何化解风险和处理数据。

多因素身份验证是保护可信任计算机和安全地远程访问网络的很棒的方法。虽然多因素身份管理并不能解决所有问题,但是能够解决密码被共享和被破解的问题。

猜您喜欢

实现全国产化办公系统 维护互联网信息安全
信息安全基础试题
如何识别和防范假冒WiFi热点
成都市民与售楼人员协商好价格几天后房价却涨10万
TRUEFUCKTUBE MATSUMOTOSHAVEICE
业务成功与信息安全意识

Google Slams Symantec for ‘Failures’ in SSL/TLS Certificate Process

Google Slams Symantec for ‘Failures’ in SSL/TLS Certificate ProcessGoogle Chrome engineers railed on Symantec for allegedly issuing thousands of security certificates that had not been properly validated. Google Chrome engineers this week called out Symantec for failing to properly validate SSL/TLS digital certificates it has issued.
In a scathing blog post, Google Chrome engineers said that since Jan. 19 they have been investigating a “series of failures by Symantec Corporation to properly validate certificates” and that Google’s investigation into 127 Symantec-issued certificates ballooned into at least 30,000.
Symantec fired back in a statement, saying “Google’s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading.”
According to Google Chrome’s Root Certificate Policy, root certificate authorities are expected to ensure that server certificates receive domain control validation, frequently audit logs to monitor for any evidence of unauthorized certificate issuance, and guard their infrastructure against the issuance of fraudulent certificates.
所有的企业IT基础架构都存在着各种漏洞,要有效应对它们非常依赖的是最终用户的意识,而非功能强大的系统。
“On the basis of the details publicly provided by Symantec, we do not believe that they have properly upheld these principles, and as such, have created significant risk for Google Chrome users,” Google said in its post.
Google plans to reduce the validity period of a newly released Symantec-issued certificate to nine months or less, and called for Symantec to gradually revalidate and replace its currently trusted certificates on various Chrome releases. In addition, Google said it intends to remove the recognized Extended Validation status for at least one year on Symantec-issued digital certificates.
These changes will result in compatibility issues, Google warned, which will likely cause problems for users and website operators. Site operators will be forced to use certificates from other companies that have authority to issue certificates and users, as a result, will face a “substantial” number of errors until operators make the switch to other certificate authorities.  
 

高危区域的信息安全风险防范之道
使用高科技设备跟踪移动用户的位置需法律授权,位置跟踪服务催生一批新经济,执法机关可用,坏人们也可用,规范是迟早的事儿。

猜您喜欢

58同城回应简历数据泄漏:已开展追查并加固信息安全
保密意识淡薄带来的危害,防范军事间谍
企业安全意识之歌
俄罗斯S400一旦交付中国意味着什么?美日空中优势被大大削弱
BIGZ THEFISHSITE
个人数据安全保护基础

互联网金融管理需要与时俱进

2016年10月13日,国务院办公厅发布《互联网金融风险专项整治工作实施方案》,各地政府积极开展了互联网金融以及相关子行业的专项整治,相关工作将于2017年3月结束。那么,此次互联网金融专项整治行动取得了哪些成果?又留存了哪些问题需要今后继续解决呢?日前,中国人民大学金融与证券研究所研究员顾雷博士接受《理论周刊》专访,就此发表了自己的看法。
特朗普提名前纽约市长朱利安尼任网络安全顾问 称其可信赖

…太阳场申请代理基层官兵使用朋友圈调查:99%的人会有保密意识

不满的员工,特别是不满的前员工是组织的一大安全威胁,他们熟悉组织的弱点,也比较容易造成巨大的破坏。首先,公司应该守法经营,更要能证明是守法的,加强员工的职业操守和道德素养。
本轮治理的着力点
记者:您认为本轮互联网金融专项整治的重点集中在哪些方面?
顾雷:一方面,重点整治的是网络贷款行业(P2P),强调网贷业务只能为借款人与出借人(即贷款人)直接借贷提供信息搜集、信息发布、资信评估、信息交互、借贷撮合等服务,对异化为信用中介并违规开展融资等业务的平台机构,给予了必要的排查和整治,并及时采取负面清单管理,明确了“13条红线”,诸如不得设立资金池,不得发放贷款,不得非法集资,不得自融自保、代替客户承诺保本保息、期限错配、虚构标的,不得通过虚构、夸大融资项目收益前景等方法误导出借人。目的就是使网络贷款机构回归其“信息中介”本质。
另一方面,重点整治的是众筹业务,强调众筹融资必须坚持“公开、小额”属性,重点整改“八类问题”,诸如以“股权众筹”名义募集私募股权投资基金;未经批准擅自公开或者变相公开发行股票;平台及其工作人员挪用或占用投资者资金等问题。
此外,本轮互联网金融专项整治对资产管理和跨界金融业务也有所涉及。
重点整治业务不规范的互联网资产管理业务平台:一是将线下私募发行的金融产品通过线上向非特定公众销售,或者向特定对象销售但突破法定人数(200人)限制。在出现法律纠纷时,由于虚假宣传和误导式宣传,未揭示投资风险或揭示不充分,或者未采取资金托管等方式保障投资者资金安全,侵占、挪用投资者资金,不仅无法保障投资者的合法权益,而且已经涉嫌非法公开发行业务。二是未严格执行投资者适当性标准,通过多类资产管理产品嵌套开展资产管理业务,向不具有风险识别能力的投资者推介产品,或未充分采取技术手段识别客户身份,规避监管中对合格客户(投资者)的法定要求。
重点查处非金融企业跨界开展资产管理的互联网平台:一是金融机构委托无代销业务资质的互联网平台代销金融产品;二是未取得资产管理业务资质,通过互联网平台开办资产管理业务的平台(尤其是非银行第三方支付业务);三是未取得相关金融业务资质,跨界开展P2P、股权众筹、互联网产品、第三方支付、资产管理等业务以外的平台。
记者:我们注意到,专项整治对跨界开展非银行第三方支付和涉房业务的清理力度也比较大,其原因是什么?
顾雷: 本轮专项整治首先通过非银行第三方支付的业务规模、社会危害程度、违法违规性质和情节轻重分类施策,整治了一大批不良第三方支付、无牌支付机构,有效发挥震慑作用。同时,再通过重点排查支付机构客户备付金风险和跨机构清算业务,逐步取消对支付机构客户备付金的利息支出,建立支付机构客户备付金集中存管制度,规范支付机构开展跨行清算行为,加快了第三方支付效率,有效维护了互联网金融支付系统秩序。
而配合房地产市场调控也是本轮专项整治的重点之一。去年以来,伴随着一、二线城市的房地产行业飞速发展,一些互联网金融从业机构,故意采取“首付贷”、“连环贷”等各式花样的场外配资形式,将金融杠杆拓展至收入和信用水平都不高且不符合银行贷款标准的群体。我们以“首付贷”为例,其月息通常在1.5%-2%之间,年化资金成本往往达20%甚至更高,大幅提高了购房者的“金融杠杆”,直接增加了购房者的违约风险。

“入侵云服务” 新的网络犯罪手段不容忽视

本轮专项整治工作的目标之一就是扭转互联网金融某些业态偏离正确创新方向的局面,撤掉楼市“虚火”,规范金融杠杆,规范互联网“众筹买房”等行为,严禁各类机构开展“首付贷”、“连环贷”和“赎楼贷”业务,取缔了针对个人购房者发放短期高息的“过桥贷款”,大大降低金融杠杆和金融风险。
尚待解决的问题

记者:本轮专项整治处理了互联网金融领域中很多违规违法问题,收到了很好的实际效果,还有哪些问题需要关注加以解决?
顾雷:本轮专项整治并没有完全解决互联网金融领域的所有问题,其中一个比较突出的问题就是金融资产交易所的潜在风险并没有及时消除,诸如有的金交所建立资金池,主动违规发行理财产品,为机构提供融资担保等。具体讲有以下两方面:
首先,从业务创新模式分析,金交所存在着创新产品带来的潜在风险。目前,我们通过对国内40家金交所观察,从产品构架上看,除传统的挂牌交易、登记结算和资产托管外,还有保险、私募、理财、P2P等业务,线上、线下业务属性重叠。从商业模式上看,从最早B2B发展至B2C、B2F和C2B等业务,更有甚者,大量开展与互金形态极为相似的“理财业务”,募集渠道越来越多地依赖于互联网线上募集、手机APP,并支持会员(投资者)的线上绑卡、支付和清算。因此,金交所线上交易与互联网金融平台已无实质性差别,都直接向融资方提供定向融资计划、理财计划等“类证券化”融资服务,还共同参与地方债融资、房地产融资等专项业务。
上述这些所谓“创新模式”的正当性值得思考,其交易结构的实质就是委托定向投资、定向融资、收益权分享或收益权转让等模式,不仅模糊了其与互联网融资机构的界限,而且这些产品直接投向了房地产资产,演变成房地产抵押融资类理财产品,带来了较大的短期带息负债的风险。金交所已经充当起理财产品的发起人,成为当今金交所国内非标债权融资的另一“赚钱通衢”。
其次,国务院38号文明确禁止“不得将任何权益拆分为均等份额公开发行”,目前仍有不少金交所公然违反38号文令,以“金融创新”名义将拆分权益类资产销售,开展类资产证券化业务,且销售对象人数变相突破200人限制,直接导致拆分转让受让主体扩大到非合格的投资人群。由于持有人并未有实质性变更,对这类标的的拆分、转让不能有效追偿和维权,对于200名以外的投资者利益是无法保护的。这等于是向不合格投资者公开募集、销售、转让私募产品,实际上就是利用私募基金低门槛的准入资格去套利公墓基金高标准的融资利润。曾一度引起市场关注的蚂蚁金服“招财宝”与部分金交所联合运作的私募债违约纠纷就是最好的证明。
金交所开展所谓“理财业务”和“涉房融资业务”,从本质上讲,就是非持牌机构违规开展金融专属业务。如果任由这两类所谓“创新业务”发展而不加以约束,长此以往,不守规矩的做法将大行其道,有可能形成“破窗效应”,诱使乃至倒逼更多合法者仿效,进而破坏互联网金融环境。因此,监管机构应对金交所采取专项整治,回归其作为一个交易平台的初衷,使其成为一个纯粹的互联网金融产品交易的中介场所,而不是异化为一种类似担保公司的信用中介和利益当事人,避免交易所成为一个“柠檬市场”。
未来工作的重点
记者:如此看来,本轮专项整治并不是互联网金融风险清理的终结。那么,您认为2017年对互联网金融的整顿重点应放在哪里?
顾雷:我认为,2017年后三季度互联网金融市场有以下几个方面必须要梳理整治:
其一,提高投资者的风险意识,加大互联网金融市场交易的透明度,强化金融消费者保护。相对于传统金融,互联网金融消费者的组成结构更复杂、数量更庞大,一旦发生风险对社会的冲击力更强。以网络理财为例,对创新产品信息披露不完整、不充分,弱化保险产品性质,片面夸大收益率,缺少风险提示等问题一律视为违法,检察机关将严惩通过互联网平台进行非法吸收公众存款、集资诈骗等涉众型经济犯罪,强调充分公开市场信息,强化市场价格形成机制,还投资者一个真实透明的互联网金融市场,让正义的阳光普照资金市场的每一个角落。
其二,加快互联网金融行业细分,加速网贷平台转型。今年,互联网金融准入门槛提高将加速行业洗牌。金融产品的网络代销行为将被逐步规范,部分持牌的从业机构违规对资管产品进行拆分、过分夸大产品收益等行为将会受到约束。根据央行数据显示:截至2017年第一季度,全国正常运营的网贷代销机构共计1374家,其中,完成银行资金存管、符合监管要求的平台不足3%。客户流量小、风控能力差、涉嫌违规的代销机构将在2017年要么面临转型、要么出局,绝对不可姑息。

威胁情报到底是怎么回事儿 不用会死吗?

其三,股权众筹平台与房地产企业合作推出的“众筹买房”产品必须得到有效遏制。不允许再把这些产品直接投向房地产资产,变成了房地产抵押融资类理财产品,平台将遵循“公开、小额、大众”原则,致力于解决小微企业融资难题,支持创业和创新。
其四,对金交所的整治必须提到议事日程上。一是确保交易中介机构杜绝信用担保。现在网络贷款平台(P2P/众筹)与金交所合作,大多涉及到债务转让、收益权转让、定向融资计划等信用交易。为此,我们建议金交所通过互联网在面向B端(机构投资者)的理财业务时,特别是认购其定向融资计划、金e淘等产品,金交所必须引入第三方的强担保措施,拒绝信用担保,最大化保护投资者利益。二是避免向C端(个体投资者)客户销售理财产品。据悉,部分金融资产交易所和新设立的地方金融资产交易中心均已涉足C端理财业务,正在将一系列次级贷、次级债卖给普通民众。要知道,与机构投资者相比,由于个体投资者缺乏对风险的识别力和估值能力,资金实力和抗风险能力都差。如果金交所将不良资产等高风险债权打包为理财产品售予个体投资者,或者拆分转让收益权变相突破200人的界限,一旦发生兑付风险,就会波及更大范围的个人投资者(相当于股市中“小散户”),可能引发群体恐慌性抛售,进而引发社会群体性动乱。三是使用新的互联网金融网络支付清算平台。现在的互联网第三方支付都是直接对接银行接口,绕过了独立的清算机构,始终缺少统一的“游戏规则”,存在一定风险漏洞。2017年,中央银行将建立“非银行支付机构网络支付清算平台”,实现对第三方支付统一监管。由于该平台在功能上与银联十分相似,也被业内俗称为“网联”。我们认为新设的“网联”机构,完全可以覆盖全国40家金交所平台业务,一端连接持有互联网支付牌照的支付机构,另一端对接银行系统,十分有利于看清第三方支付机构的资金流向,降低金交所拓展与维护银行渠道的成本,更可以大大消除系统金融风险隐患。
顾雷:法学博士,金融学博士后,高级经济师,中国人民大学金融与证券研究所研究员。长期致力于股份制改造、资产兼并收购和证券市场违法犯罪等领域研究。历任科瑞天诚投资控股有限公司首席律师、北京大学产业与文化研究所办公室主任、天津金融资产交易所总经理助理、首席经济学家。在《中国法学》、《财经研究》等核心期刊上发表学术论文40余篇,并有个人专着《站在法律与金融的交汇处》、《上市公司证券违规犯罪解析》等6部分。
微信扫一扫关注该公众号

由于人员是安全不可分割的一部分,没有受过安全训练的员工可能在社交网络上披露公司的敏感数据,或点击恶意网站,被黑客利用来渗透到企业内部网络。

猜您喜欢

略阳消防组织全县邮政系统员工开展灭火培训
几人知晓系统及安全日志审查
海外安全培训课程课件,帮助国外出差人员强化安全防范意识,积极应对劫持与绑架:
河南省慈善总会注销14个问题基金
UCI-KINOWELT ANARCHYAFTERWORD
缺失的信息安全方针政策

【网安智库】以网络安全为基础建设网络强国

请输入标题 bcdef
2017 年2 月21 日,由中国计算机学会计算机安全专业委员会和新华社《经济参考报》互联网+周刊联合主办的2016 中国网络安全大事发布会在公安部第一研究所召开,会议由公安部第一研究所原所长、研究员严明主持。此次活动通过对2016 年重大网络安全事件的梳理,采用专家组评选和网络投票的方式,分别评选出2016 年网络安全大事件。发布会上,来自中国工程院、中国科学院、公安部的专家学者,以及来自多家安全企业的业内人士,包括中国工程院院士、国家信息化专家咨询委员会委员沈昌祥,公安部网络安全保卫局原局长顾建国,中国计算机学会计算机安全专业委员会秘书长、公安部网络安全保卫局处长唐前临,安天网络安全技术有限公司副总裁李波等均表示,网络安全正在成为影响国民经济发展的重要因素,并且已逐渐深入扩展到政治、法律、军事、民生等各个层面,进而影响着整个社会的稳定和运转。为此,我国应该进一步加强网络安全的防范工作,以此为基础建设网络强国,让互联网在国民经济中产生更加积极的影响和推动力。
请输入标题 abcdefg
2016 年中国网络安全大事件
1、中国互联网基金会设立网络安全专项基金并表彰首批优秀人才
2016 年2 月2 日,中国互联网发展基金会网络安全专项基金宣告正式成立。该基金设立“网络安全人才奖”、“网络安全优秀教师奖”等奖项,以奖励为国家网络安全事业做出突出贡献的人员。2016 年9 月19 日,在第三届“国家网络安全宣传周”开幕式上,表彰了网络安全杰出人才1 名、优秀人才10 名、优秀教师8 名。
2、国家密集出台法律政策全面加强网络安全
2016 年3 月17 日,“十三五”规划发布,网络安全和信息化工作在“十三五”规划中得到全面加强。2016 年7 月27 日, 中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》。2016 年11 月7 日, 十二届全国人大常委会第二十四次会议经表决,通过了《中华人民共和国网络安全法》,将于2017 年6 月1 日起正式施行。2016 年12月27 日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》。
3、习近平多次就网络安全发表重要讲话
习近平总书记在2016 年4 月19 日网络安全和信息化工作座谈会、2016 年10 月9日中共中央政治局就实施网络强国战略进行第三十六次集体学习、2016 年11 月16 日世界互联网大会等会上,就网络安全发表重要讲话。
4、国家网络安全宣传周制度化、常态化
2016 年5 月19 日,中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六部门联合印发了《国家网络安全宣传周活动方案》。方案明确从2016 年开始,网络安全宣传周于每年9 月第三周在全国各省区市统一举行。2016 年9 月19 日至25 日, 第三届国家网络安全宣传周在武汉举行,本届安全周的主题是“网络安全为人民 网络安全靠人民”。
5、习近平考察民营网络安全企业
2016 年5 月23 日至25 日, 中共中央总书记、国家主席、中央军委主席习近平在黑龙江考察调研,2 0 1 6 年5 月2 5 日上午,习近平在哈尔滨市考察了高新技术企业和科研单位。在哈尔滨安天科技股份有限公司,习近平现场了解反病毒引擎技术研发、开展网络安全威胁实时监控等情况,同现场科技人员亲切交流。他指出, 网络安全是国家安全的重要组成部分。维护国家网络安全需要整体设计、加强合作,在相互学习、相互切磋、联合攻关、互利共赢中走出一条好的路子来。
6、国内多所大学设立网络安全学院
2016 年6 月6 日,中央网络安全和信息化领导小组办公室等六部门下发《关于加强网络安全学科建设和人才培养的意见》;已有首批29 所院校获得网络空间安全一级学科博士学位授权资格,多所大学相继设立了网络安全学院。
7、我国加强同美、俄、英网络空间安全合作
2 0 1 6 年, 我国同世界主要国家的网络空间安全沟通密切, 合作取得重要成果。2 0 1 6 年5 月1 1 日, 第二次中美打击网络犯罪及相关事项高级别对话在美国华盛顿举行, 双方就“ 网络空间的国家行为规则及其他关键国际安全问题”议题进行会谈。2 0 1 6 年6 月1 4 日, 首次中英高级别安全对话在北京举行, 中英双方就打击恐怖主义、打击网络犯罪及相关事项、打击有组织犯罪和国际地区安全问题合作四个方面达成对话成果声明。2 0 1 6 年6 月2 5 日,《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》发布。2 0 1 6 年1 2 月7 日, 第三次中美打击网络犯罪及相关事项高级别对话在华盛顿举行。
8、多起电信网络诈骗犯罪案件震惊全国
2016 年8 月19 日, 山东省临沂市高考录取新生徐玉玉被诈骗导致心脏衰竭死亡;2016 年8 月12 日, 山东理工大学学生宋振宁被诈骗导致心脏骤停;2016 年7 月19 日,广东省惠来县高考录取新生蔡淑妍被诈骗导致身亡。这些事件暴露出我国大量网站和公共服务安全投入不足,安全责任不清,以及过量采集信息,不妥善保管信息,导致个人信息泄露严重,被网络犯罪利用,最终酿成人员死亡和财产损失的惨痛教训。
9、三部门联合发文加强国家网络安全标准化工作
2016 年8 月24 日,经中央网络安全和信息化领导小组同意,中央网信办、国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》,对加强网络安全标准化工作作出部署。
10、六部委联手重拳打击电信网络诈骗犯罪
2016 年9 月23 日,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》,分别对公安机关、检察院、法院、电信企业、各商业银行等打击治理电信网络诈骗提出具体要求。
11、敲诈者病毒泛滥成为网络安全新态势
2016 年,敲诈者病毒在全球的攻击量疯长了3 倍,平均每40 秒就有一家企业被感染,平均每10 秒就有一个个人用户中招。据360 安全中心统计,全国至少有497 万多台电脑遭遇攻击。敲诈者病毒泛滥标志着网络安全已经成为重大民生问题。
12、网络安全学术、技术交流活动空前活跃
2016 年,国内网络安全行业学术技术交流活动空前活跃。2016 年3 月25 日,中国网络空间安全协会在北京成立。2016 年8 月16日,第四届中国互联网安全大会在京举办。2016 年11 月16 日至18 日,第三届世界互联网大会设置了专门的网络安全论坛。该年度网络安全学术、技术交流活动有几个重要的特点:一是网络安全对抗赛呈星火燎原之势;二是众多网络安全会议逐渐成为网络安全行业观点和技术交流的重要平台;三是网络安全战略和技术研究平台深化拓展。四是以可信计算为代表的自主可控网络安全技术研发和应用动态活跃。
专家点评
严明
中国计算机学会计算机安全专业委员会主任
公安部第一研究所原所长、研究员
网络安全的重要性和深远影响日益凸显
2016中国网络安全大事评选活动意义重大。一方面,此次活动评选出的大事,是对2016 年网络安全领域的归纳、回顾和总结。通过这些事件,我们可以清晰地看到网络安全领域的事态发展和行业趋势。另一方面,这些大事也促使各界对网络安全、信息安全、网络经济等重要领域进行重新思考。通过回顾和分析这些事件的产生,我们不难发现,网络安全的重要性以及对各行各业的深远影响日益凸显。特别是构建国家网络安全战略和严厉打击网络安全犯罪行为,已成为关系到各行各业和几乎所有人的重要问题。通过对网络安全重要性的审视,以及网络安全形势的分析,我们应从国家战略部署、政策法规、技术应用以及打击网络犯罪等层面入手,不断加强网络安全环境的建设,以此促进网络安全的健康发展。
沈昌祥
中国工程院院士
国家信息化专家咨询委员会委员
加快安全可信的网络产品推广应用
2016 年我国出台了一系列和网络安全相关的法律法规和政策文件。此前,我国并没有针对网络安全的国家级别的法律法规,而2016 年一系列法律法规的出台,说明我国对网络安全问题的重视已经上升到国家层面,并成为重要的国家战略。与此同时,多个重要的政策和文件还提出,在网络安全领域,要加快安全可信网络产品的推广应用,这意味着我国在网络安全领域正向自主可控的大方向努力。通过使用安全可信的网络产品,云计算、大数据、物联网等各类重要的信息技术和应用,都将得到可靠的安全保护,就能有效避免2016 年年底美国东海岸大面积网络瘫痪等类似事件的发生,这将为我国未来的网络安全环境的建设奠定基础。更为重要的是,应用安全可信的网络产品还能确保我国大量经济基础设施和重大项目的安全。此外,我们还应加强网络安全设备和技术的标准制定,只有这样我们才能形成自主可控的、全方位的安全体系。这不但可以保护我国自身的网络空间不被侵犯,还能促进相关领域的标准和知识产权走出国门,为我国建设网络强国创造条件。
曲晓东
360 企业安全集团高级副总裁
保障关键信息基础设施的安全
2016 年,网络安全被提升到了一个前所未有的高度,发展是安全的保障,安全是发展的目的,这样一个定位奠定了网络安全行业发展的重要基础。网络安全是相对的,不是绝对的,是整体的,不是局部的,是动态的,不是静态的,也给网络安全行业指明了发展思路。对于网络安全行业而言,目前很难在所有方面都做到最好,比如操作系统、CPU、数据库等就是我们的短板,短期内实现自主可控也是不现实的。但在短期内无法自主可控的前提下,我们能够保障关键信息基础设施的安全,这不但能够成为我国确保网络安全的重要战略之一,也能够成为网络安全产业的发展思路。

上期所关于做好2017年清明节期间市场风险控制工作的通知


刘志乐
杭州安恒信息安全有限公司高级副总裁、首席安全官
法律法规从源头杜绝网络安全事件发生
2016 年一系列法律法规的出台,保护了网络秩序及国家和人民的利益,这是对个人信息、网络消费者权益和用户知情权的保护,也是对网络非法入侵、网络窃取、散布违法有害信息等行为的大力打击。相关法律法规的出台,既让我国7 亿网民在网络空间的知情权、参与权、表达权、检查权等方面得到了充分保障,又从根本上扩大了网民网络安全的意识和防护技能,有效地破除了网络空间的虚拟性和无序性,真正落实了网络安全为人民的理念。此外,监测预警与应急处置制度、关键信息基础设施的重点保障、安全标准、安全的检测和认证、安全的风险评估、安全审查等措施的出台,从技术手段、行政手段、运行流程上建立起了严谨科学规范的政府网络安全治理体系,进一步巩固了网络安全的法律防线。更重要的是,这些法律法规围绕着行政监管、行业自律、技术保障、公众监督、社会教育等共建的网络治理体系,一方面加强了网信平台的主体责任,提高了网信利益相关方的责任意识与约束程度,消除了网信空间法律活动灰色地带;另一方面还为网信企业在网络空间的经营活动划定了高压线,以秩序代替了丛林法则,重申了网信企业诚信规则和依法竞争,从产业链的源头杜绝了网络安全事件的发生。
刘欣然
国家计算机网络应急技术处理协调中心副主任
网络安全国际合作将成全球共识
2016 年我国加强了同美、俄、英的网络空间安全合作。这一事件所代表的国家间在网络安全领域的国际合作,将能够在未来一二十年甚至更长时间内成为全球共识。大国之间的合作将是国际网络安全合作的基石,试想如果WTO没有美国参与,其影响力和作用将大打折扣。作为重要的合作基础,中国和美、英、俄之间的协作是在寻求四个国家之间双边最大公约数,如果找到这个公约数,能够实现打击网络犯罪、实施反恐、保护个人信息、防范金融诈骗、打击儿童色情信息传播等目标。一旦这些国家在这方面能做出榜样,未来多个国家之间的网络协作就很有可能以此为样板进行推广。目前,这四个国家中网民最多的是中国,技术第一的是美国,而英国、俄罗斯则是国际网络安全领域重要的中坚力量。另外,这四个国家的网络经济的商业价值和应用前景也都在全球具有领先地位。因此,这些国家之间的双边合作将会开启网络安全的国际合作,并能够创造一个全球可以参考的合作样板,这将为未来国际网络合作奠定基础。
尽管社交网络很盛行,但是邮件系统对组织的日常运作仍然很重要,得考虑灾难恢复计划,建立备份和救援机制,服务运营商不保证百分百可用,出现故障时如果没有备援计划,只能后悔莫及。
深化改革的核心是”综合管理体制”
于锐
公安部第一研究所副所长、研究员
打击电信诈骗是一场持久战
六部委联手重拳打击电信诈骗犯罪是2016年重大安全事件之一。此前,由于法律、监管、技术、宣传和意识的缺失和滞后,电信网络成为滋生犯罪的温床。电信诈骗风险小、成本低、隐蔽性强、敛财快的特性,更是吸引了部分犯罪分子。电信诈骗对人民群众的财产造成了重大的损失,对国家安全和社会稳定也造成了巨大的隐患,制造了一幕幕的人间悲剧。从2016年的徐玉玉事件我们不难看出,电信诈骗已进入了需要政府进行严厉处置的阶段。六部委联合重拳打击电信诈骗,不但明确了监管和执法的责任,而且实现了全方位、全链条的联合管控,体现了国家打击电信诈骗的意志和决心。值得注意的是,六部委联合打击电信诈骗的同时,我国出台了一系列配套措施和办法,开展了广泛的宣传和教育,这提升了民众的网络安全意识,有效地督促了政府机关主动履职。取得成效的同时,还应该清醒地认识到,电信诈骗是非常艰苦的持久战,这场战斗政府有责任,企业有义务,百姓也要有觉悟,要打立体战和全民战。我希望2016 年六部委的举措是我们展开这场战斗的宣言,我们要加强立法和监管,要扎紧制度的笼子,要开展技术研究,加强宣传教育,以此建立起一个立体、健康、透明的网络环境。
隆永红
卫士通信息产业股份有限公司高级副总裁

聚焦大数据时代下个人隐私付融宝用金融科技加码

大学网络安全学院应成为重要交流平台
网络安全正受到全球个人、企业、机构、政府的广泛关注,但网络安全人才目前却极为缺乏。因此,2016 年国内多所大学设立网络安全学院的消息才会备受热议。这一事件意义重大,一方面这与我国建设网络强国的整体战略吻合,同时也预示着大学将成为网络安全人才培养的摇篮。第二,应该贯彻和平安全开放合作的网络空间治理理念,并以此理念让大学成为网络安全合作交流的平台。第三,学校应该注重校企合作。为此,卫士通去年成立了密码实验室,跟很多高校展开合作,目的就是希望能打造出一个全国范围内的校企合作平台,为网络安全领域培养更多人才。谷歌首席科学家李飞飞说过,做研究的人眼睛看到的前方应该是比较空旷的,如果眼睛看到的前方是热闹的,那个方向就不是最好的研究方向,空旷的地方一般不是热点,因此你必须找准自己的焦点。网络安全无疑是一个热闹的方向,但同时它也很空旷,我希望每个大学的网络安全学院在热闹的方向上可以找准自己的焦点,为我国的网络安全事业做出应有的贡献。

桃源检察院高度重视涉密信息系统管理

郑志彬
华为技术有限公司战略部副总裁
大数据时代应加强个人隐私保护
2016 年徐玉玉受骗致死等多起电信诈骗案件震惊全国,通过这一系列事件,我们更应重视对个人隐私的保护。个人隐私通过很多渠道都可以获得,而且渠道会越来越多,但这些渠道都是非法的,给保护个人隐私造成了很大的困难。未来是大数据时代,那时存在最大的问题就是数据共享,通过数据的综合分析挖掘,很多用户的隐私都被挖掘出来了。这就意味着,大数据时代个人隐私泄露问题会更严重,而且它是通过正常的渠道被获知的。所以如何在大数据时代更好地保护个人隐私,更好地使得个人的利益不受侵犯,将是我们必须着手解决的问题。为此,应该针对电信和互联网行业的数据安全保护,设置必要的规范和标准,从国家层面去解决这些个人无法解决的问题。徐玉玉事件还让我们意识到,网络安全意识应从青少年阶段开始培养。近年来,网信办开展的网络安全周等活动已大大增强了青少年的防诈骗意识和防诈骗能力。但这只是城市的情况,很多边远地区的情况还不容乐观。因此,我们应该针对边远地区的青少年,加强宣传和教育,帮助他们有能力去分辨诈骗行为,有效地保护自己不受伤害。
李娜
绿盟科技有限公司战略发展部总监
应对勒索式病毒需社会共同努力
2016 年勒索式病毒泛滥成为网络安全新态势。虽然它的规模并不是很大,但它具有比较低的技术性、很强的隐蔽性和非常高的利润性,对于黑客来说,这是非常理想的攻击方式。值得注意的是,最新的勒索软件的破坏性越来越强,攻击对象也从过去偏重于个人用户,开始倾向于企业用户,尤其是金融、制造业和医疗等行业的用户。这一威胁还开始向物联网扩散,这就会造成更大的危害。由于目前的各类大数据平台多采用开源系统,这就给勒索病毒进行攻击提供了机会。目前,中国有8300 多个Hadoop 集群的端口暴露在公网上,这构成了巨大的风险隐患。从技术手段上来说,网络安全攻防的本质在于攻防的较量,勒索病毒的发展与对抗攻防是持续进化的过程,随着攻防手段的完善,人们完全可以对这类网络安全威胁做到有效的防范。作为企业,我们也相信勒索病毒是可以防范的,但这是一个系统工程,需要行业企业共同努力给出针对性的解决方案,协力应对这种新的网络安全威胁。
(本文选自《信息安全与通信保密》2017年第三期)
网 络 强 国 建 设 的 思 想 库
—— 安 全 产 业 发 展 的 情 报 站 ——
创 新 企 业 腾 飞 的 动 力 源
···························································
投稿网址:http://www.txjszz.com
合作热线:010-88203306
内容转载自公众号
微信扫一扫关注该公众号

互联网罪犯开始利用云来发动攻击,联网设备越多,可能暴露的弱点也就越多,当然我们需要保护的也就越多,信息安全负责人要与时俱进,及时评估和制定相应的连网设备尤其是移动设备的安全使用策略。

猜您喜欢

选择上海防泄密软件的三大建议
大规模网络钓鱼活动转向商业领域
网络信息安全小调
南苏丹发生军队派系冲突 双方10日再次交火
XGIRLS SIMPLYBEME
智能终端用户需小心基于WIFI的ARP欺骗

俄罗斯网络安全机制的构建 | 俄罗斯的“信息安全”PK美国的“网络安全”

点击上方文字“信息化协同创新专委会”关注我们
2017年1月6日,美国首次公布情报部门针对所谓的俄罗斯指使黑客干扰美国2016年大选的官方评估报告。该报告指称,俄罗斯政府明确倾向特朗普当选总统,俄总统普京更是直接下令对美国2016年大选实施干扰,抹黑民主党候选人希拉里,这直接影响了美国大选结局。此事标志美俄两国间的网络交锋达到多年来的顶峰。

韩日签署《军事情报保护协定》朴槿惠是要转移注意力?

事实上,俄罗斯网络一直也是各国攻击的焦点。据《俄罗斯报》网站报道,在2011年9月~2012年8月短短1年间,就有74%的俄罗斯电脑遭受过病毒感染,43%用户的社交网站密码被窃取,这两项数据均高居世界第一。根据俄联邦安全局提供的资料显示,俄罗斯总统网站和议会上下院的网站,每年遭受攻击多达1万余次。
近年来,为确保国家与军事领域的网络安全,俄罗斯强化顶层设计、完善法规体系、构建保障系统、谋求技术支撑,积极打造网络安全有效防护机制。
顶层设计
规划牵引、政策扶持,将网络安全提升至战略高度。俄罗斯将网络安全提升至国家战略高度,其网络安全战略与西方发达国家有许多不同之处,体现出了俄罗斯强化国家安全、实现国家复兴整体战略目标的鲜明特点。
俄罗斯信息化指挥中心的航空航天部队
2013年1月,普京签署总统令,要求建立国家计算机信息安全机制,用来监测、防范和消除计算机信息隐患,确定从战略层面评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立电脑攻击资料库等统筹事项和顶层设计。2014年1月,俄罗斯公布了《俄罗斯联邦网络安全战略构想》草案,对网络安全战略的原则、行动方向和优先事项进行了明确,对发展国内网络的扶持政策进行了说明:向国内网络安全设备生产商提供国家支持,减免税费、支持产品推向国际市场;放宽软件的推行,制定系统措施推广使用国产软硬件,包括网络安全保障设备;更换国家行政信息网、信息通信网、至关重要的基础设施项目信息网等。
在战略构想的牵引下,一系列信息技术、网络安全的政策得以出台。2014年,俄罗斯出台《2030年前科技发展前景预测》,对本国网络发展进行战略规划,明确了各阶段建设目标,内容包括:借助信息和通讯技术完善国家管理体系;促进本国信息技术的开发;培养信息技术领域专业人才;借助信息技术应用发展经济和金融;增加信息技术研发投入等。
出台信息网络发展资金扶持政策。2014年6月,普京总统表示,在实施政府采购时,俄罗斯国产软件产品定价可高于外国产品金额的15%;至2020年,俄罗斯计划每年投资100亿卢布发展信息产业;在2018年前,完成50个信息技术领域创新研发中心建设。根据《2030年前科技发展前景预测》文件,在2020年前,俄罗斯政府的信息技术开发费用支出在国内生产总值中的比重将由目前的1.5%增长到3%。
出台信息网络产业税收优惠政策。俄罗斯规定,从事软件研发的公司所缴纳的退休金、医疗保险和社会保险的费率,由34%降到14%。此外,俄罗斯国家杜马通过对创新科技园区入驻企业实施税收优惠的修改法案,规定入驻创新中心的企业在10年之内免缴增值税,社会统一税缴纳比例降至14%。
纲举目张
政令明确、制度牵引,构建网络安全法律法规体系。依据2013年1月普京签署的总统令,要求能够有效应对黑客入侵和对信息系统及电信网络的攻击。为此,俄罗斯安全局建立了国家网络安全系统,主要目的是对俄罗斯联邦信息安全领域的态势进行预测分析,在受到网络极端攻击的情况下,对俄罗斯联邦信息设施的防护程度进行监控,同时负责协调信息资源的拥有者、通信运营商及信息防护领域经授权许可的其他主体之间的工作。2014年5月5日,普京签署《知名博主新规则法》,就规范网络空间秩序采取新措施。
事实上,在20世纪,俄罗斯网络安全法律法规体系的构建工作就已展开。1995年2月,俄罗斯颁布《联邦信息化和信息保护法》,将信息资源的独立和具体项目列为国家财产予以保护,并规定“当信息被认为涉及国家机密时,国家有权从自然人和法人处收购该文件信息”,“含有涉及国家机密的信息资源,其所有者仅在取得相应的国家政权机关的许可时,方能行使所有权”。1995年4月,着眼于对密码的研制、生产、销售、使用、进出口进行严格控制,俄罗斯颁布《禁止生产和使用未经批准许可的密码设备》的第334号总统令,规定将国家权力机关专用信息远程通信系统列为总统计划;禁止国家机关和企业使用未经许可的密码设备、加密设备、信息存储、处理和传输设备;禁止向使用未经许可加密设备的企业和机构进行政府采购。此外,第334号总统令还对法人和自然人从事研制、生产、销售、使用加密设备以及信息存储、处理和传输的技术保护设备等活动进行了明确规定。
此后,俄罗斯相继出台了《俄罗斯网络立法构想》《俄罗斯联邦信息和信息化领域立法发展构想》《信息安全学说》等一系列文件,修订了《俄罗斯联邦因特网发展和利用国家政策法》《信息权法》等20余部法律,通过政令明确和制度牵引,俄罗斯网络空间的法律法规条款逐步趋于完善,为确保网络安全提供了法规依据与制度基础。
俄罗斯信息化指挥中心的航空航天部队
层层设防
虚实结合、软硬互补,构建网络安全多重保障体系。在实践领域,为确保网络安全,俄罗斯多管齐下,虚实结合,软硬互补,构建了多重安全保障。
在软件及体制建设方面,一是建立强制认证机制。俄罗斯建立了专门的认证机构和认证测试实验室,将信息安全分为A、B、C、D、E5个等级,只有获得认证的信息安全产品,才能在市场上销售和使用。对于网络上的密码产品,认证条件更趋严格:密码保护设备必须是国内研制的,并且要经相关部门鉴定。二是建立机密信息保护机制。1997年,俄罗斯颁布《机密信息清单》;2005年9月,针对信息安全的新威胁,对《机密信息清单》进行重新修订;2006年,批准通过新的《机密信息技术保护条例》。三是建立网络检查和审核机制。允许相关部门对经由互联网传播的信息进行监查,同时规定政府机构、公民事业单位及商业公司应将信息安全审核列为经常审核的安全项目之一。
索契冬奥会30亿美元打造了海陆空全方位的安全防护网,号称史上最贵
为有效应对网络威胁,俄罗斯也一直致力于打造安全防护的有形力量。目前,俄罗斯在各强力部门都设有网络威胁应对机构。例如,在内务部设有专门局,负责调查境内网络犯罪活动;在安全局设有信息安全中心,负责对抗危害俄国家和经济安全的外国情报机构、极端组织和犯罪组织;国防部的网络司令部负责遏制其他国家在网络空间对俄国家利益的侵犯。围绕某一重大任务,各部门之间往往会展开密切协作,以应对网络安全威胁。例如在2014年索契冬奥会期间,俄联邦安全局和内务部联合对冬奥会项目的互联网、电话和其他通讯享有充分的、畅通无阻的访问权限,同时部署无人机执行监控任务。俄罗斯高效有力的部门协同网络安全防控,使美国国务院曾建议公众前往索契观看冬奥会时,把智能手机或者笔记本电脑放在家里,以免遭到数据拦截。
2012年,在俄罗斯喀山举办的首届信息技术奥林匹克竞赛
技术支撑
自主研发、并行发展,形成网络安全整体技术优势。俄罗斯对于网络安全保障确立了自主研发的发展思路,并将其贯穿于各项技术发展规划。

日韩最快下月重启军事情报共享谈判 或年内签协定

网络安全短片之办公室区域环境安全意识
自主研发处理器与操作系统。2014年6月,俄罗斯宣布政府机构和国营企业,将不再采购以Intel或AMD为处理器的计算机,转而采用以俄罗斯本国生产的处理器为芯片的计算机;采购的计算机不安装微软的Windows系统或苹果的Mac操作系统,而是安装俄罗斯专门开发的Linux操作系统。
多年来,俄罗斯一直试图摆脱使用微软操作系统,通过自主研发操作系统减少对Windows的依赖。2010年底,时任俄罗斯政府总理的普京签署命令,开发一款基于Linux的国产操作系统,以减轻对微软Windows系统的依赖,更好地监控计算机安全。2011年,俄罗斯政府批准了俄罗斯版视窗系统的计划。2012年9月,为防止本国敏感机信息外泄,俄罗斯推出了一款特制的平板电脑,配备给国防工作人员使用。这款平板电脑安装了俄罗斯自主研发的“俄罗斯移动操作系统”,不但可以防止黑客攻击,还能有效避免用户在使用过程中泄露个人信息。2014年7月,俄罗斯推出一款名叫“Rupad”的超级平板电脑,配备了自主研发操作系统。Rupad平板电脑分为军用和民用两个版本。军用版本配有抗震外壳,可保护电脑从2米高的地方安全落地,防尘防水,在深度不超过1米的水下可以正常工作1小时;为保证网络安全,设置有一个特殊的保护按键,可帮助使用者及时切断麦克风、摄像头、GPS、蓝牙、WiFi等模块传递的信号;对传出的所有信息都进行了加密,并对收取的信息解密。目前,俄罗斯国防部、内务部和联邦安全局等部门已开始试用这款电脑。
2016年12月,俄罗斯自主研发的Sailfish OS作为Android的替代者,已经获得俄罗斯政府和企业的使用认证
解密美国“棱镜”计划
斯诺登事件对俄罗斯的网络安全造成了很大冲击。2013年2月,俄罗斯媒体报道,为确保本国公民的个人信息安全,摆脱类似美国“棱镜”计划的监控,俄罗斯展开建立具有自主知识产权的公共电子邮件服务系统。
2014年3月,克里米亚回归俄罗斯,美国于3月20日宣布对俄部分官员、企业界人士和银行进行经济制裁后,国际上最大的两家信用卡支付平台维萨和万事达对俄罗斯银行和北海航线银行终止服务,造成50多万张信用卡无法使用,俄罗斯多家银行几近瘫痪。事件发生后,俄罗斯总统普京多次强调尽快建立国家支付系统。目前,俄罗斯正在建立自主的银行支付系统,以求减少对欧美同类金融服务的依赖,应对美欧未来可能的制裁,进一步确保网络安全。
关于俄罗斯干涉美国总统大选的声音喧嚣尘上
数据丢失情况时有发生,有足够资金的大型企业在吸取了教训之后采取了足够的补救和防范措施,黑客们开始转变攻击目标,中小型企业面对更多的安全攻击。
(来源:《军事文摘》(ID:mildig),发表于2017年第3期,作者:贾易飞、梅占)
俄罗斯的“信息安全”PK美国的“网络安全”
自1995年以来,俄罗斯一直使用“信息安全”(информационнаябезопасность)概念。俄罗斯联邦安全会议当年曾召开专门会议,讨论了《俄联邦信息安全纲要》(草案)。该纲要首次将以往通用的“信息保护”(защита информации)概念变更为更加广泛和更加现代的概念——“信息安全”。普京总统2000年9月签署《俄罗斯联邦信息安全学说》,首次将“信息安全”一词写入官方正式文件中。该学说是对1995年《国家信息安全纲要》草案基本内容的完善,将保障信息安全提高到保障国家安全的战略高度。2016年12月,俄总统普京批准了新版《俄罗斯联邦信息安全学说》,仍然没有使用“网络安全”一词。然而,除官方正式文件外,最早由美国人正式提出来的“网络安全”(кибербезопасность)的概念已得到更广泛的使用。这一复合词源于英文cybersecurity,并且已经深入人心,见诸于各类大众媒体和文献中。可以看出,俄罗斯国内在使用“信息安全”或“网络安全”概念问题上存在争议和混用现象,甚至将其混为一谈。
一、俄罗斯信息安全与网络安全的概念
长期以来,俄罗斯的信息安全专家都按照自己的意愿来定义“信息安全”,使读者产生了概念混淆。对“信息安全”的一般理解就是“信息保护”,更深入的理解就是指对信息机密性、完整性和可访问性进行保护的情况。2000年9月,俄罗斯总统正式批准《俄罗斯联邦信息安全学说》。该学说指出,“俄罗斯联邦信息安全是指俄罗斯国家利益在信息领域受保护的状态,是由个人、社会和国家利益平衡后的总和决定的①”。但这一定义并不十分清晰,也不太好理解,并没有得到专家学者的完全认可和广泛引用。
2011年11月,俄罗斯国防部发布《俄联邦武装力量全球信息空间活动构想》,被外界解读为俄军网络空间战略。该构想对武装力量信息安全的定义是:保护武装力量信息资源免遭信息武器影响的状态②。
2012年,俄罗斯联邦委员会邀请各行业专家讨论制定俄联邦网络安全战略时,来自各个行业包括大众传媒与通信部、联邦安全局、科研院校以及商业公司的专家对网络安全有着自己的解读,最后只好将本来不会混淆的概念拼凑在一起,一起揉进网络安全战略草案中。直到2014年1月,俄罗斯联邦委员会网站正式公布《俄罗斯联邦网络安全战略构想》,才对“信息安全”与“网络安全”有了明确的定义。但该构想指出:“分析表明,在俄罗斯有关信息安全的正式文件中,‘网络安全’这一术语没有从‘信息安全’概念的范畴中分离出来,没有单独使用。与此同时,大多数国家已经将它作为一个单独的定义来使用。必须考虑到,由于网络空间的跨国性,仅在国家层面上对网络空间进行规范是不可能的。因此,必须在俄罗斯有关信息安全的文件中对‘网络安全’这一术语予以明确,这样才能确定俄罗斯和其他国家标准文件之间的关系,为参与网络空间安全领域的国际法律规范制定工作创造条件”。因此,该战略对信息安全的定义是:信息安全是指国家、组织和个人及其利益免遭信息空间各种破坏和其它不良影响威胁的受保护状态。而网络安全是指网络空间所有组成部分免遭极大威胁以及不良后果影响的条件总和。不过,这个草案却因为在“信息安全”和“网络安全”概念上的分歧严重而胎死腹中。

兰州市开展防范电信网络诈骗为主题的宣传活动

2016年月12月生效的《俄联邦信息安全学说》中专门对“信息安全”一词下了定义——俄联邦信息安全是指个人、社会和国家不受国内外信息威胁的防护状况。这与以前的定义差别不大。
由此可以看出,俄罗斯官方文件对这一定义的理解仍然是“信息保护”或者是“信息系统和信息资源保护”,但按照外交部的说法,信息安全涵盖广泛的任务和方向,从信息访问、信息保护到抵制负面信息和数字主权无所不包。一些俄罗斯专家认为,网络安全更侧重于网络的管理,而信息安全则更关注信息的状态,不完全是一回事。从目前情况看,俄罗斯对信息安全与网络安全的概念还存在模糊认识,缺乏国家层面的统一调节和权威部门的认定。但可以肯定的是,俄罗斯所定义的信息安全不能等同于网络安全,更不能替代网络空间安全。
二、俄罗斯外交部坚持使用信息安全术语的原因
俄罗斯外交部门之所以坚持使用“信息安全”概念,是与俄美外交斗争的历史分不开的。
俄罗斯外交部从八十年末就开始在国际舞台上维护俄罗斯在信息空间的利益,并且持续不断地坚持使用“信息安全”这一术语。由于当时受到网络认知的局限,外交部将信息安全的内涵限定在信息保护范畴,并不涉及其它相关问题。后来一些国家发生颜色革命后,俄罗斯当局十分担忧颜色革命扩散,不希望美国通过互联网、社交网络和其它信息来源来控制俄罗斯人的意识,影响普通民众的情绪,进而引发社会动荡,因此,俄罗斯外交部人为地将信息安全所涵盖的领域扩大了,将网络空间出现的新问题尤其是意识形态和国家安全问题纳入到信息安全范围内。
2011年9月12日,中、俄、塔、乌四国向第66届联大提交《信息安全国际行为准则》时,美国认为,“信息安全”这一术语本身颇具争议。有专家评论,俄罗斯用“信息安全”替代美国等大多数国家所使用的“网络安全”,背后有着深层次考量和意识形态因素。美国认为,“网络安全”仅与硬件(网络和系统)、软件及储存和传输于这些系统中的数据(无论是何内容)技术层面上的安全相关。“准则”使用“信息安全”一词,旨在强调储存于上述系统中的“内容”明确隶属于“准则”规范范畴。因此,该文件从整体上可以理解为“规范言论和通讯内容、服务于政府利益的准则”,这是美国不能支持的。美国强调保障互联网自由,在联合国坚决反对俄罗斯使用“信息安全”概念,坚持使用“网络安全”或“网络空间安全”。正因为这个原因,俄美双方经过多次讨论和协商,达成了一项折衷方案:在俄美双边关系中使用“信息通信技术安全”(безопасность прииспользовании информационно-коммуникационных технологий–ИКТ)这一术语④,并将其限制在信息安全领域,集中于技术层面,但这一复合词只出现在俄美关系方面。这是俄罗斯外交部新挑战与威胁司的一项杰作。如今,全世界都在使用“网络安全”一词。尽管俄外交部明确抵制使用“网络”(кибер)这一词头,但这词已深深扎根于俄罗斯的常用词汇,包括俄总统使用的词汇中,因为他在谈到网络空间及其军事化时经常引用。
2013年6月,俄罗斯总统普京与美国总统奥巴马在爱尔兰“八国峰会”期间达成协议,两国在俄美总统发展合作委员会设立一个正式的机构,全称叫“信息通信技术领域威胁问题和国际安全领域信息通信技术问题工作组”,简称“网络空间安全工作组”。俄方工作组主席由安全会议副秘书克利马申担任,而美方工作组主席由总统特别助理兼白宫网络安全协调员丹尼尔负责。双方经过多轮谈判,准备在年底前正式完成《俄罗斯与美国保障网络空间安全和预防网络事件协议》。这一名称反映出俄美双方在网络空间安全问题上的相互妥协,即小组名称按照俄罗斯的说法,简称依从美国的叫法,而协议的名称用世界通用的网络空间安全。
2013年9月,俄罗斯外交部网站发布《2020年前俄罗斯联邦国际信息安全国家基本政策》,作为应对未来信息安全威胁的主要战略性文件。俄罗斯外交部明白,仅靠信息安全不能涵盖网络空间领域出现的新威胁,包括网络武器、网络恐怖活动、网络暴力、网络犯罪、网络宣传等,因而使用了“信息通信技术”一词,将出现新威胁的原因全部纳入信息通信技术范畴,拒绝使用网络空间一词。
由此可以看出,俄外交部坚持使用信息安全以及信息通信技术安全是出于对美外交斗争的需要,是与美争夺网络空间主导权的抓手,是冷战思维延续下来的产物。
三、俄罗斯国内使用网络安全术语的现状
俄罗斯领导人首次使用“网络安全”概念是在2008年4月,俄国家杜马安全委员会主席符拉基米尔·瓦西里耶夫在解释普京总统的《俄罗斯联邦信息发展战略》时多次使用了这个词。

2011年4月,俄罗斯莫斯科大学信息安全研究所和美国东西方研究所就20个网络空间关键术语达成一致。而同一年,美国相继发布《网络空间可信标识国家战略》、《网络空间国际战略》和《网络空间行动战略》,引起世界各国包括俄罗斯的高度关注,俄罗斯官方和媒体越来越多地使用网络空间和网络安全术语。2012年2月20日,普京在其发表的《强大是俄罗斯国家安全的保障》一文中首次使用了“网络空间”一词。他指出:“各国在太空领域、信息对抗领域,首先是网络空间领域拥有的军事能力,对武装斗争的性质即便没有决定意义,也有重大意义”⑤。2012年12月28日,普京总统在克里姆林宫为高级将领任职和授衔仪式上发表讲话时称:“必须进一步系统地和积极主动地采取行动,与包括反间谍、保护战略基础设施以及与经济领域和网络空间领域里的犯罪行为作斗争”⑥。这是我们已知的俄总统在公开场合第二次使用“网络空间”一词,而不是过去常用的“信息空间”(информационное пространство)。2013年7月5日,普京总统在俄联邦安全会议上发表讲话时指出,太空和网络空间正在军事化。
俄联邦委员会起草的《俄罗斯联邦网络安全战略》草案文件中也用了“网络安全”一词。在联邦委员会召开的一次会议上,专家们就“网络安全”、“信息安全”、“信息通信技术领域安全”等名称问题产生了激烈的争论。最后,作为该战略的主要起草者,俄罗斯联邦委员会信息社会发展委员会主席、来自统一俄罗斯党的鲁斯兰·加塔罗夫认为,网络安全概念已经得到世界主要国家广泛接受和普遍使用,如果仍然使用信息安全概念,有可能在国际关系中造成障碍和误解,因而坚决主张借鉴其它国家如欧洲、英国、美国、日本和澳大利亚等国的国家网络空间安全战略,使用“网络安全”一词,这一提议最终得到了大多数专家的赞同,但遭到俄联邦安全局的强烈反对,因而中途流产。
结语
从世界范围看,“信息安全”和“网络安全”的概念仍处于不断探索和研究当中,不同的时期和不同的国家对这两个概念的认识、理解和定义也不尽相同。美国官方文件中的“网络安全”定义在国内也受到质疑,认为定义偏重于网络的物理构成,忽略了网络对人类认知的影响。从这个角度看,俄罗斯国内出现概念争议是可以理解的。但笔者认为,尽管俄罗斯外交部和总统签署的文件中仍使用“信息安全”或“信息通信技术安全”一词,但其主要含义是指意识形态监控、网络传播控制和非俄主流价值观的扩散等,已不能完全代替“网络安全”,而与“信息保护”的关系也不是那么密不可分了。随着时代的发展,俄罗斯的“信息安全”PK不过美国的“网络安全”,美国及世界多数国家已广泛使用的“网络安全”概念将逐步替代“信息安全”,“网络空间”替代“信息空间”,这如同我们国内对“网络空间”和“赛博空间”的争论一样,最终“网络空间”概念得到了绝大多数人的认可。(来源:唐僧说事平台公众号,作者:唐僧)
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

我们需要了解浏览器上的“免追踪”或“隐私浏览”技术,这和互联网审查、网络监控以及隐私保护关系密切,只是不记录Cookie,很多网站服务都不能正常使用。

猜您喜欢

安全意识培训搞一次远不够
您的移动计算设备在僵尸网络犯罪份子的控制之下么?
网络信息安全好歌曲
奶茶妹妹转行做公益 人美心也美 可惜东哥是脸盲
TRABAJOSYEMPLEO NATIONALTIGERSANCTUARY
大数据的成功关键在公众安全信心