欧洲央行发布TIBER-EU框架以测试金融企业网络弹性

欧洲央行官网2018年5月2日消息，欧洲中央银行（ECB）发布了基于威胁情报的伦理红队框架（Framework for Threat Intelligence-based Ethical Red Teaming，TIBER-EU）。该框架为首个针对欧洲范围内的金融市场网络攻击控制和定制测试框架，用以测试金融机构的网络弹性，并可为处于多个监督方下的跨境实体进行测试。框架将作为一份指南，已经设计了一个针对银行、证券交易所和金融公司的网络攻击模拟测试流程，也可为实体机构量身定制测试，帮助参与测试的实体了解自身优势和劣势，并使其通过学习提高网络成熟度。

点评：攻击性检测已成为检验评估网络信息系统安全状况的重要方式，美国军政机构每年都要组织此类专项演习。目前，中国国内众测平台得到了一定发展，吸引了大量“白帽”黑客参与，但由于受到法律法规的限制，以及缺乏专业的行业安全框架规范，测试对象主要局限于公共互联网平台，金融、能源等关键基础设施的攻击检测还有待发展。欧洲TIBER-EU框架为我开展金融系统安全检测提供了很好借鉴，有必要通过制定专业的领域性安全检测框架，为各行业机构借助黑客技术能力，挖掘自身系统漏洞，完善安全措施提供规范和指导。（倪俊）

全球最大DDoS市场被关闭，欧洲DDoS攻击下降60%

Link11德国网络安全公司网站2018年5月3日消息，随着全球最大的DDoS市场WebStresser被关闭，整个欧洲DDoS攻击下降了60%。WebStresser于4月24日正式被关闭，随后欧洲刑警组织扣押了该网站的服务器，并逮捕了犯罪嫌疑人。据悉，WebStresser在关闭时拥有超过136000名注册用户，并且近年来已经提供超过400万次DDoS攻击。通过这个网站，任何用户都可以通过在线支付方式租用防护装置和攻击节点，发起对其他网站的DDoS攻击。可执行DDoS功能的WebStresser高级帐户的价格约为15欧元（114.38元人民币）。该网站是迄今为止市场上最受欢迎的DDoS服务市场。此次WebStresser的移除将对DDoS活动有重大影响，尤其是对整个欧洲的影响更加巨大。

点评：黑产市场分工已经日趋细化，类似于WebStresser这样的雇佣式黑客服务只是冰山一角。WebStresser以其操作简便、菜单式服务及信誉良好等“闻名”于业界，甚至国内市场还曾出现过其代购和分销服务，可见其影响力之大。以往的经验表明，一个“知名”的黑市被关闭，短期之内交易将显著减少，但由于这类非法需求还将持续存在，未来还会出现其他更隐秘的替代市场。值得思考的问题是，这13.6万的用户是谁，他们是否应当承担法律责任？如果不能规制需求，单纯关闭市场长期效果通常不佳。（石建兵）

澳大利亚拟在医疗行业信息技术和网络安全投入逾1亿澳元

ZDNet网站2018年 5月8日消息，澳大利亚政府将在未来四年内为医疗行业信息技术系统现代化投入1.068亿澳元的资金。澳政府2018-2019年预算的主要关注点在于医疗行业的技术与科学方面。这笔资金还将用于改善药物福利计划、老年护理和相关支付系统。预算文件显示，相关措施包括更换和停用老化的ICT系统，升级网络安全系统，以及为用户和老年护理服务提供商改善用户服务体验。政府将在五年内投入2820万澳元用于开药软件系统更新。

点评：在传统产业中引入信息技术能够极大提高效率，促进更可持续的发展，这已经成为业内共识，医疗行业显然也不例外。信息技术能够提高数据处理能力，促进医疗资源更有效地配置，同时创造大量数据，为医疗技术的进步打下坚实基础，最终改善民众福利。但信息技术也是一枚双刃剑，网络化会加大网络安全风险，造成的损失也会加剧。因此在发展信息技术的同时，必须着力部署相应的网络安全措施。（王滢波）

中国网络社会组织联合会成立

环球网2018年5月9日报道，中国网络社会组织联合会成立大会在京召开。该联合会是我国首个由网络社会组织自愿结成的全国性、联合性、枢纽型社会组织，由10家全国性网络社会组织发起成立，国家网信办为业务主管单位。会上，全国人大社会建设委员会副主任委员、中央网信办原副主任任贤良当选为会长。阿里巴巴集团董事局主席马云、腾讯董事会主席兼首席执行官马化腾、百度董事长兼首席执行官李彦宏、京东董事局主席兼首席执行官刘强东以及360集团董事长兼首席执行官周鸿祎等当选为副会长。任贤良表示，联合会的成立标志着网络社会工作迈上了新台阶，网络综合治理体系建设取得新突破，互联网行业管理取得新成效。据了解，中国网络社会组织联合会首批会员单位总共有300家，包括全国性网络社会组织23家，地方网络社会组织277家。

点评：中国网络社会组织联合会的成立，标志着国家网络空间治理进入政企联合的新阶段。目前，网络空间日益融入人们的生产生活之中，构成了一个新的网络社会，中国作为世界上最大的网络国家，有近8亿网民，仅靠政府的力量去管理远远不够，因此，需要充分发挥社会组织的广泛力量。而大型互联网企业具有平台、技术、数据和人才等优势，能够与政府部门的法规和行政手段相互配合、相互补充，从而充分发挥出网络空间治理的综合效益，有力促进网络社会生态健康有序发展。（倪俊）

区块链技术国家标准将制定

《经济参考报》2018年5月10日报道，我国已着手建立区块链国家标准。工信部电子工业标准化研究院区块链研究室主任李鸣表示，目前有关区块链国家标准计划已经公布，相关部门也将组建全国区块链和分布式记账技术标准化委员会，以从顶层设计推动区块链标准体系建设，预计最快将于2019年底完成。据悉，区块链国家标准包括基础标准、业务和应用标准、过程和方法标准、可信和互操作标准、信息安全标准等方面，并将进一步扩大标准的适用性。目前，中国已经形成了国际化区块链方面的200多项专利。

点评：区块链技术发展或将成为我国掌握全球科技竞争先机的重要一步。区块链技术可应用在生产链、管理链、交易链等领域，但当前仍处于发展初期。近几年全球范围内因区块链安全事件造成的损失近30亿美元.因此，在区块链国家标准的制定中，必须并重发展其安全属性，甚至是超前发展。在推进区块链技术健康发展的同时，未来标准制定也将为行业指引方向。（本悦）

世界上第一个商业5G网络在卡塔尔推出

科技网站VentureBeat 2018年5月14日消息，卡塔尔的Ooredoo网络运营商刚刚推出了“世界上第一个商用5G网络”——5G Supernet，覆盖范围从卡塔尔南部到哈马德国际机场的几十英里区域。Ooredoo运营商目前在10个国家拥有1.64亿客户，承诺在未来几个月内将商业5G网络进一步覆盖卡塔尔的更多地区。但Ooredoo的发展受到缺乏5G设备的限制。Ooredoo目前还没有掌握接入5G Supernet需要的5G兼容设备相关技术，不能生产所需设备，只能借助苹果、三星等公司生产的兼容设备。Ooredoo承诺将在一个月内提供“客户端设备”（CPE），并在2019年6月前推出5G智能手机。此外，美国运营商Verizon和AT＆T已承诺今年晚些时候推出5G服务。

点评：全球各地早已开始进行5G外场测试，部署预商用网络领域由卡塔尔拔得头筹。虽说规模商用只在迟早而且也是预料中的事，但正式落地仍让人心怀激动和敬畏。回首5G标准拟订所走过的历程，举全球资源共同制定5G这样一个普惠标准，且这个标准可为人类实现和万物能够随时、随地进行互联沟通的梦想，在人类文明史上，也注定是一件值得书写的大事。（石建兵）

美国国土安全部发布网络安全战略

美国国土安全部（DHS）官网2018年5月15日消息，美国国土安全部当日发布网络安全战略，希望各政府部门更积极地履行网络安全使命，以保护关键基础设施免遭网络攻击。该战略旨在使DHS 的网络安全工作按照优先级协调开展，致力于协调各部门的网络安全活动。该战略确定了DHS管理网络安全风险的五大主要方向：风险识别、减少关键基础设施脆弱性、降低网络犯罪活动威胁、缓解网络事件影响、实现网络安全成果。并明确了7个目标：评估不断变化的网络安全风险、保护美国联邦政府信息系统、保护关键基础设施、有效响应网络事件、提高网络生态系统的安全性和可靠性、加强管理DHS 网络安全活动。

点评：总体上看，美国国土安全部对网络安全领域越来越重视，并将会采取更多的具体措施。此次DHS发布新的网络安全战略，主要是实现四个层面目的：一是强调针对美国政府各部门的网络安全责任监管；二是强调网络安全界的合作关系，包括政府机构、行业以及国际社会的合作伙伴；三是强调直接与行业共享网络安全工具，尤其医院、机场和化学工厂等关键基础设施行业。四是强调供应链安全，针对美国关键基础设施运营商提供的网络安全支持，明确提到DHS必须重点关注系统性风险。（倪俊）

脸书发布最新调查，200个应用程序已被暂停

日内瓦数字观察网2018年5月18日消息，脸书发布了其正在进行的应用程序调查和审计的最新进展。在对这些应用程序进行用户数据审查的第一阶段，脸书暂停了大约200个应用程序。扎克伯格于2018年3月21日曾做出承诺，作为脸书数据泄露事件调查的一部分，脸书将会调查数千个应用程序。这些应用主要是2014年及以前的应用，当时脸书不仅允许应用直接从用户那里获取信息，还可以从用户的朋友那里获取个人数据。脸书产品合作部副总裁伊姆·阿齐邦（Ime Archibong）指出“要找到可能滥用脸书用户数据的所有应用程序，还有很多工作要做，这需要时间”。

点评：“数据泄露门”之后，脸书对平台进行了一系列干预动作：包括使用人工智能主动发现伪造的个人资料，雇用更多版主，以及对用户通过脸书连接的应用程序进行全公司审查。这一审查也是顺应了5月25日欧盟成员国正式实施《一般数据保护条例》的大背景，欧盟居民将被赋予更多控制权来决定自己数据的收集和使用方式，企业也被要求在获得用户准许之后才能收集数据。5月22日扎克伯格在比利时布鲁塞尔参加欧洲议会听证会时，重审了对于数据保护规定的支持，但他还表示，希望能够确保下一个初创公司“不会在构建下一个伟大的产品时承担不必要的负担”。（方师师）

越南将出台《网络安全法》

VNExpress网站2018年5月21日消息，越南国会当日审议通过了《网络安全法》草案。越南政府希望通过新草案加强国内的网络监管力度，认为在越南的外国电信公司和互联网服务商应遵守法律，尊重越南的国家主权、利益和安全。根据该草案的最新版本，其不再要求谷歌和脸书等公司在越南境内设立服务器，但仍要求这些企业在越南本地储存用户数据及在越收集或生成的重要数据，并在当地设立办公点，以便协助政府的网络监管。据悉，该草案将在6月15日进行最终的投票。

点评：“斯诺登事件”之后，保护数据主权的理念在各国政策中越来越多地被提及。就当前各国实践来看，禁止特定数据向国外传输、要求数据本地化存储、数据传输前必须征得数据主体同意等是维护数据主权较为常见的做法。即使是美国，也在今年推出了CLOUD法案，以加强执法中的数据获取能力。数据主权政策的广泛实施，必然导致跨国企业合规成本的上升和难于化解的政策冲突困境。因此，未来必然需要通过国际协定实现数据共享和共治。（张衠）

GDPR正式生效实施

美国有线电视财经新闻网2018年5月25日消息，《一般数据保护条例》（GDPR）在欧盟正式生效。新条例适用范围包括在欧盟地区使用或拥有数据的企业和个人。若企业违反新规，将面临最高2000万欧元或其全球年销售额4%的罚款。欧洲最高司法官员维拉·朱罗瓦（Vera Jourova）表示，在欧盟通过数据获利的互联网企业应承担保护用户隐私权的责任。据悉，部分企业已在几周前制定新的用户协议，以适应欧盟新规。但仍有企业表示无法适应新规，正准备从欧盟地区撤出数据投资业务，并削减为欧盟客户提供的数据服务。

点评：GDPR对于欧盟境外的数据治理格局所带来的重大发展。尤其是其明确规定即使是欧盟境外的主体在特定条件下也必须遵循GDPR的相关规范，这在数字化业务乃至交易形式日趋多样化的技术背景下，迫使我们必须考虑、评估GDPR的适用可能性及其实际影响力。在此形势下，面对GDPR，单个企业的合规固然重要，但更加具有战略意义的是国家层面在整体上给予企业开展经营必要的支持法规和扶助措施。（吴沈括）