本周全球政府安全资讯精选丨阿里云河南授权服务中心
发布时间:2017-08-09 14:38
英美重视IoT安全,漏洞披露和安全人才培养
摘要: 美参议员提出《物联网网络安全改善法案》,国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才,美国司法部发布框架 引导企业建立“漏洞披露计划”,美国大选投票机在ebay上出售包含65万选民个人信息。
【全球政策趋势】
美参议员提出《物联网网络安全改善法案》,提高政府设备采购安全门槛
概要:近日,美国数位参议院议员提出《物联网网络安全改善法案》,希望立法规范联邦政府采购的物联网(以下简称IoT)设备的安全标准,。该法案要求IoT厂商保证出售给政府的装置可修补漏洞,不可使用固定密码,杜绝已知安全漏洞;要求使用IoT的部门清点装置并建立安全要求。
点评:参议员表示,希望通过政府采购“以身作则”,进一步完善整个行业的安全标准,补救“市场失灵”,鼓励在安全性的良性行业竞争。日前,我国工信部也表示,今年将重点聚焦车联网、物联网等新业务和融合领域的网络安全,鼓励企业创新,并将在该领域遴选试点示范企业。足以见得,关注IoT安全要求是全球趋势。国内IoT行业高速发展,终端用户现已达到1.81亿。然而,大多数IoT厂商以电子生产、制造为主体,缺乏网络安全意识与能力。因此,在其发展初期,需同步建设IoT安全监测、预警、威胁共享、快速处置等系列规章及系统,让IoT与安全同步发展。
英国政府推出“网络学校计划”,投资2000万英镑培养网络安全人才。
概要:该计划主要针对14-18岁的青少年,目标是在2021年培养至少5700名网络安全行业的新秀,1000名学生将获得4000英镑的奖学金。该计划为期四年,面向各类基础和专业背景的学生,课程包括线下和线上两种方式,提供编程、加密、数字取证和防御Web攻击等课程。学生可以自行控制线上课程的进度,每周约四小时学时。
点评:安全的本质是人与人的攻防对抗。无论多强大的安全护体系都需要专业人员管理和监控。近期全球网络安全事件频发,安全人才的重要性日益凸显。目前,我国安全人才缺口高达70万,且需求每年递增。《国家网络空间安全战略》和《网络安全法》都对网络人才培养提出了要求,教育部也增设了网络空间安全一级学科。在此基础之上,需要进一步加强学科专业建设,保障资金、师资、教学设备的投入。高校、科研机构和安全行业企业要共同育人,形成人才培养、技术创新、产业发展的良性生态链。
美国司法部发布框架 引导企业建立“漏洞披露计划”。
概要:很多美国企业和机构使用“漏洞悬赏计划”,来发现自身网络和应用程序中的漏洞。司法部为此发布了一个详细的框架,帮助企业设计漏洞披露计划,减少违反相关法律法规的可能性。该框架梳理了企业在设计、管理和实施计划的过程中有哪些注意点,例如明确报告漏洞的形式,接收漏洞报告的联络人,如何处理意外和故意违反该漏洞政策的行为等。
点评:美国的“漏洞披露计划”对我国也有借鉴意义,对于漏洞发现、披露等需要设定必要的国家安全标准与规范,以推进具有安全规范和管理的众测机制成长,一方面集中全国网络安全高手,为广大政府、企事业单位挖掘潜在漏洞风险,一方面有效管理白帽子的行为,让漏洞发现与披漏可以得到统筹管理,形成中国自己的软实力。
【相关安全事件】
美国大选投票机在ebay上出售包含65万选民个人信息
概要:DefCon峰会上,有安全研究人员公开了一台美国大选后政府拍卖的ExpressPoll-5000 投票机。据称,政府拍卖前未将选民资料删除,因此该机器包含了田纳西州65万选民的个人信息(姓名,生日,家庭住址,电话,政党信息、是否缺席投票等等)。目前,有大量类似未经审核的投票机在ebay上被拍卖,最低售价只要几百美金。
点评:美国大选使用“笨重”的投票机的原因之一,是降低大规模黑客入侵的风险。然而,一些州政府对投票机缺乏妥善的管理和基本安全意识,给选民的个人信息安全带来了严重隐患。甚至在有关新闻报道公开后,公众仍然可以在ebay上搜索并购买这些投票机。对于包含个人信息或敏感数据的设备,尤其是政府用设备,需配套相应的全生命周期安全标准,如在丢弃之前应确保销毁有关记录,或在开始就避免明文储存信息,降低数据泄漏风险。 本文来自云栖社区
阿里云河南服务中心,全面负责阿里云河南地区相关业务,为河南地区的企政大客户提供专业的阿里云产品和整体项目解决方案,为阿里云客户授权区域内的会员提供专业的本地化服务。 5*10小时售前支持;7*24小时售后支持,用户有问题可随时与服务中心联系,无需提交工单,免去等待,即可获得即问即答服务。快速上云,轻松运维。