美國NSA發(fā)布《2022年網(wǎng)絡(luò)安全年回顧》

美國“國家安全局（NSA）”官網(wǎng)2022年12月15日消息，NSA當(dāng)日發(fā)布了《2022年網(wǎng)絡(luò)安全年回顧》，以分享其任務(wù)重點(diǎn)，并展示其如何為國家創(chuàng)造網(wǎng)絡(luò)安全成果。

該報告介紹NSA的任務(wù)重點(diǎn)：一是與業(yè)界合作，加強(qiáng)數(shù)十億個端點(diǎn)以應(yīng)對活躍和持續(xù)的民族國家威脅；二是向供應(yīng)商披露數(shù)十個零日漏洞，以便在國家行為者利用它們之前進(jìn)行補(bǔ)救；三是公開發(fā)布網(wǎng)絡(luò)安全指南，以防范活躍的對手和網(wǎng)絡(luò)犯罪威脅并強(qiáng)化系統(tǒng)；四是通過美國國家安全局網(wǎng)絡(luò)安全標(biāo)準(zhǔn)中心確保新興技術(shù)的標(biāo)準(zhǔn)；五是研究和提供保護(hù)國家網(wǎng)絡(luò)生態(tài)系統(tǒng)的工具和技術(shù)進(jìn)步。但報告也指出，NSA為保護(hù)國家所做的許多關(guān)鍵工作都無法公開披露。

此外，2022年的報告強(qiáng)調(diào)了NSA通過強(qiáng)大的合作伙伴關(guān)系擴(kuò)大網(wǎng)絡(luò)安全解決方案的能力，從而提高了速度和靈活性。報告指出，NSA的合作伙伴關(guān)系牢固且不斷發(fā)展。NSA的網(wǎng)絡(luò)安全協(xié)作中心（CCC）在過去一年中將其行業(yè)合作伙伴關(guān)系增加了一倍，達(dá)到300多個合作關(guān)系。而關(guān)于提供關(guān)鍵安全和安全基礎(chǔ)設(shè)施方面的努力，報告指出，NSA通過加密保護(hù)全球數(shù)百萬設(shè)備，并管理為這些設(shè)備提供密鑰的基礎(chǔ)設(shè)施。與此同時，NSA通過資助GenCyber夏令營、“破碼挑戰(zhàn)賽”、NSA網(wǎng)絡(luò)演習(xí)和國家網(wǎng)絡(luò)安全學(xué)術(shù)卓越中心等項目，加強(qiáng)從幼兒園到大學(xué)的網(wǎng)絡(luò)安全教育。

（程晨譯）

美國ITI為歐理會輪值主席國瑞典提出十項建議 以支持歐洲的全球 競爭力和數(shù)字領(lǐng)導(dǎo)力

美國“信息技術(shù)產(chǎn)業(yè)理事會（ITI）”官網(wǎng)2022年12月12日發(fā)布文件《實(shí)現(xiàn)有競爭力和開放的歐洲數(shù)字經(jīng)濟(jì)》，為即將上任的歐盟理事會輪值主席國瑞典提出十項關(guān)鍵政策建議，以支持歐洲的全球競爭力和數(shù)字領(lǐng)導(dǎo)力，并保持開放和具有競爭性的單一市場。這十項建議涉及歐洲關(guān)鍵技術(shù)舉措和立法程序，ITI承諾，“隨時準(zhǔn)備支持瑞典輪值主席國為創(chuàng)新創(chuàng)造有利環(huán)境”。

ITI的十項政策建議，旨在通過支持瑞典在輪值主席國任期內(nèi)（2023年1月1日至6月30日）數(shù)字議程的發(fā)展和實(shí)施，進(jìn)一步推動歐洲在全球數(shù)字經(jīng)濟(jì)中的領(lǐng)導(dǎo)地位：一是數(shù)據(jù)法案。為數(shù)據(jù)共享和可移植性建立一個平衡和公平的框架，并在立法過程中將監(jiān)管質(zhì)量置于速度之上；二是人工智能。確保對監(jiān)管中的人工智能采取基于風(fēng)險和創(chuàng)新友好的方法，特別是通用人工智能；三是歐盟《網(wǎng)絡(luò)彈性法案》。明確立法范圍和合規(guī)性評估程序，并使該法案與現(xiàn)有立法和國際標(biāo)準(zhǔn)保持一致；四是半導(dǎo)體。迅速實(shí)施《歐洲芯片法案》，以提高半導(dǎo)體供應(yīng)鏈的彈性；五是歐洲云認(rèn)證計劃。建立基于健全的技術(shù)網(wǎng)絡(luò)安全要求的云認(rèn)證計劃；六是跨大西洋數(shù)據(jù)流。迅速敲定“歐盟-美國數(shù)據(jù)隱私框架”，以提供法律確定性；七是美國-歐盟貿(mào)易技術(shù)理事會（TTC）。促進(jìn)合作取得碩果，避免雙方的歧視和排斥性政策；八是打擊網(wǎng)絡(luò)兒童性虐待。采取積極且穩(wěn)健的做法，保護(hù)隱私和基本權(quán)利；九是《可持續(xù)產(chǎn)品生態(tài)設(shè)計法規(guī)》（ESPR）。在保持創(chuàng)新的同時提高產(chǎn)品的可持續(xù)性；十是網(wǎng)絡(luò)使用費(fèi)。評估干預(yù)的必要性，確保透明和包容的協(xié)商過程。

（陶蔓茜譯）

歐盟發(fā)布《歐盟-美國數(shù)據(jù)隱私框架充分性決定》草案

比利時“歐盟動態(tài)（EurActiv）”網(wǎng)站2022年12月13日消息，當(dāng)日，歐盟委員會發(fā)布《歐盟-美國數(shù)據(jù)隱私框架充分性決定》草案，啟動了通過該充分性決定的程序，但將面臨更多的法律挑戰(zhàn)。

該草案是在美國總統(tǒng)拜登10月簽署《保障信號情報收集活動行政令》之后出臺的，該行政命令旨在為歐盟居民的個人數(shù)據(jù)引入保障措施，特別是限制美國情報機(jī)構(gòu)的訪問，并引入獨(dú)立的補(bǔ)救機(jī)制。歐盟司法專員迪迪?！だ锥鞯滤乖谝环萋暶髦斜硎?，在過去的幾個月里，歐盟評估了行政命令在保護(hù)個人數(shù)據(jù)方面的法律框架，“我們現(xiàn)在有信心進(jìn)行下一步進(jìn)程”。歐盟委員會認(rèn)為，基于行政命令的新法律框架可與歐洲數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)相媲美，這意味著歐盟居民的個人數(shù)據(jù)可以在大西洋彼岸安全合法地傳輸。歐盟公布這一草案，只是批準(zhǔn)外國司法管轄區(qū)擁有足夠數(shù)據(jù)保護(hù)水平的程序的第一個正式步驟，下一步將由歐洲數(shù)據(jù)保護(hù)委員會（EDPB）發(fā)布意見。該充分性決定將需要由各成員國國家代表組成的委員會在正式通過之前批準(zhǔn)，歐盟委員會希望在2023年夏天實(shí)現(xiàn)這一目標(biāo)。

該草案也引發(fā)了質(zhì)疑。奧地利律師馬克斯·施雷姆斯表示，“該草案是基于已知的行政命令，我無法核實(shí)它的法律效力，歐盟委員會似乎只是一次又一次地發(fā)布類似的決定，這侵犯了公民的基本權(quán)利”。關(guān)于法律救濟(jì)機(jī)制，施雷姆斯還質(zhì)疑行政命令設(shè)立的數(shù)據(jù)保護(hù)審查法院是否是一個實(shí)際的法院，因為它將是美國行政部門的一部分，在他看來，這一安排是歐盟最高法院此前否決的監(jiān)察員制度的升級版。對此，歐盟司法專員雷恩代爾堅信該草案的權(quán)威性，并邀請質(zhì)疑者通過質(zhì)疑美國情報機(jī)構(gòu)的一些決定來測試補(bǔ)救機(jī)制。

（凌怡譯）

歐洲議會、歐盟理事會及歐盟委員會 簽署歐洲數(shù)字十年的《數(shù)字權(quán)利和原則宣言》

“歐盟理事會”官網(wǎng)2022年12月15日消息，為確保歐盟實(shí)現(xiàn)符合其價值觀的數(shù)字轉(zhuǎn)型目標(biāo)，歐洲議會、歐盟理事會及歐盟委員會于當(dāng)日在最高政治級別上簽署了歐洲數(shù)字十年的《數(shù)字權(quán)利和原則宣言》（以下簡稱《宣言》。該《宣言》將作為政策制定者、企業(yè)和其他相關(guān)行為者開發(fā)和部署新技術(shù)時的參考。

《宣言》指導(dǎo)政策制定者反思其數(shù)字化轉(zhuǎn)型愿景，即將人置于數(shù)字化轉(zhuǎn)型的中心；通過互聯(lián)互通、數(shù)字教育、培訓(xùn)和技能、公平公正的工作條件以及獲得在線數(shù)字服務(wù)，支持團(tuán)結(jié)和包容；重申在與算法和人工智能系統(tǒng)交互以及在公平的數(shù)字環(huán)境中選擇自由的重要性；促進(jìn)參與數(shù)字公共空間；提高數(shù)字環(huán)境中的安全、保障和賦權(quán)，特別是針對兒童和年輕人，同時確保隱私和個人對數(shù)據(jù)的控制；促進(jìn)可持續(xù)發(fā)展。該宣言還提到了以開放方式實(shí)現(xiàn)數(shù)字主權(quán)、尊重基本權(quán)利、法治和民主、包容、無障礙、平等、可持續(xù)性、復(fù)原力、安全、改善生活質(zhì)量、提供服務(wù)以及尊重每個人的權(quán)利和愿望，推動歐盟建立一個充滿活力、資源高效、公平的經(jīng)濟(jì)和社會。歐盟理事會為突出國際層面做出的貢獻(xiàn)，特別在《宣言》的前言部分提及普遍人權(quán)，也是為了激勵歐盟境外的合作伙伴。關(guān)于隱私問題，《宣言》指出應(yīng)保證公民的通信保密性，并保護(hù)他們免受非法跟蹤或攔截。

（崔露方譯）

歐盟及愛爾蘭投資1000萬歐元建設(shè)量子通信基礎(chǔ)設(shè)施

綜合愛爾蘭“Silicon Republic”、“Business Plus”網(wǎng)站2022年12月23日消息，作為歐盟量子通信基礎(chǔ)設(shè)施（EuroQCI）項目的一部分，愛爾蘭量子通信基礎(chǔ)設(shè)施（IrelandQCI）將分別從愛爾蘭政府和歐盟獲得500萬歐元（約合人民幣3710萬元）投資，共計1000萬歐元（約合人民幣7420萬元）。

該項目將通過把量子設(shè)備和系統(tǒng)整合到傳統(tǒng)的通信基礎(chǔ)設(shè)施中，建立量子密鑰分發(fā)（QKD）基礎(chǔ)設(shè)施。項目建設(shè)期為30個月。建成的新量子通信基礎(chǔ)設(shè)施（QCI）網(wǎng)絡(luò)的主要功能將是實(shí)現(xiàn)一種超安全的加密形式，這樣數(shù)據(jù)就可以安全地傳輸，而不會有被黑客攻擊的風(fēng)險。新網(wǎng)絡(luò)將用于研究目的，并允許政府、機(jī)構(gòu)和公司開始進(jìn)行相關(guān)能力建設(shè)，并加強(qiáng)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)和加密系統(tǒng)的技能。IrelandQCI團(tuán)隊還希望進(jìn)一步建立該國的量子技術(shù)生態(tài)系統(tǒng)。領(lǐng)導(dǎo)該項目的愛爾蘭東南理工大學(xué)沃爾頓研究所所長戴爾德麗·基爾班博士稱該項目是“在愛爾蘭建立量子互聯(lián)網(wǎng)的第一步”。其他參與者包括多所高校、愛爾蘭高端計算中心、愛爾蘭的國家研究和教育網(wǎng)絡(luò)機(jī)構(gòu)HEAnet和ESB電信。

（王葳譯）

Check Point Software發(fā)布預(yù)測稱意識形態(tài)攻擊將在2023年繼續(xù)增長

美國“Technology Magazine”網(wǎng)站2022年12月27日報道，網(wǎng)絡(luò)安全解決方案提供商Check Point Software發(fā)布了其對2023年的網(wǎng)絡(luò)安全預(yù)測，詳細(xì)介紹了各組織在未來一年將面臨的主要安全挑戰(zhàn)。其對2023年網(wǎng)絡(luò)安全的預(yù)測分為四類：惡意軟件和網(wǎng)絡(luò)釣魚，黑客激進(jìn)主義，新出臺的政府法規(guī)，以及安全鞏固。

一是2023年勒索軟件生態(tài)系統(tǒng)將繼續(xù)演變和增長，形成更小、更靈活的犯罪集團(tuán)以逃避執(zhí)法。犯罪分子還將擴(kuò)大目標(biāo)，利用網(wǎng)絡(luò)釣魚攻擊商業(yè)協(xié)作工具。過去一年，黑客激進(jìn)主義已經(jīng)從形式靈活的社會團(tuán)體（如“匿名者”）演變?yōu)楦薪M織、更有結(jié)構(gòu)、更復(fù)雜的國家支持團(tuán)體，且這些意識形態(tài)攻擊將在2023年繼續(xù)增長。二是深度偽造技術(shù)將越來越多地用于定位和操縱意見，或誘騙員工交出訪問權(quán)限。三是2023年，除了效仿《一般數(shù)據(jù)保護(hù)條例》等現(xiàn)有措施外，更多政府將效仿新加坡，成立機(jī)構(gòu)間的工作組，打擊勒索軟件和網(wǎng)絡(luò)犯罪，共同應(yīng)對對商業(yè)和消費(fèi)者日益增長的威脅。此外，汽車行業(yè)已開始采取措施保護(hù)車主的數(shù)據(jù)，讓制造商對其產(chǎn)品漏洞負(fù)責(zé)。四是到2022年，全球網(wǎng)絡(luò)技能差距擴(kuò)大了25%以上。安全團(tuán)隊需要整合其IT和安全基礎(chǔ)設(shè)施，以提高防御能力，減少工作量，幫助他們防御威脅。

（胡憶琦譯）

Gartner發(fā)布2023年八大網(wǎng)絡(luò)安全趨勢預(yù)測

美國“VentureBeat”網(wǎng)站2022年12月2日消息，近日網(wǎng)絡(luò)安全機(jī)構(gòu)Gartner的頂級分析師分享其對2023年全球網(wǎng)絡(luò)安全八大趨勢的預(yù)測，并指出隨著俄烏沖突持續(xù)和經(jīng)濟(jì)不確定性增加，網(wǎng)絡(luò)安全威脅不斷增加。

主要表現(xiàn)在：一是供應(yīng)鏈和地緣政治風(fēng)險將主導(dǎo)網(wǎng)絡(luò)安全。廣泛的地緣政治風(fēng)險明年將繼續(xù)存在；許多組織將面臨供應(yīng)鏈風(fēng)險、云基礎(chǔ)設(shè)施的攻擊風(fēng)險、分布式拒絕服務(wù)攻擊以及數(shù)據(jù)盜竊或丟失。組織必須建立有效的安全控制來管控供應(yīng)鏈風(fēng)險。二是新興的架構(gòu)模式將簡化網(wǎng)絡(luò)安全產(chǎn)品復(fù)雜程度。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CSMA）旨在實(shí)現(xiàn)單一控制；提供集成機(jī)器學(xué)習(xí)、編排和自動化；并支持第三方融合。CSMA將幫助組織簡化管理多點(diǎn)產(chǎn)品的復(fù)雜性。三是零信任將在風(fēng)險管理中發(fā)揮關(guān)鍵作用。零信任架構(gòu)（ZTA）取代隱式信任的架構(gòu)，以適應(yīng)風(fēng)險優(yōu)化安全態(tài)勢。到2023年，企業(yè)將越來越多地使用ZTA來增強(qiáng)整體安全態(tài)勢，優(yōu)化組織的風(fēng)險態(tài)勢。四是DevSecOps（開發(fā)、安全和運(yùn)營）將成為業(yè)務(wù)關(guān)鍵。2023年，安全團(tuán)隊越來越多地使用DevSecOps（開發(fā)、安全和運(yùn)營）系統(tǒng)模式。安全性必須成為開發(fā)流程和自動化不可或缺的一部分。五是自動化的安全操作（secops）將增強(qiáng)主動和檢測能力。安全操作自動化正處于快速發(fā)展時期。到2023年，安全運(yùn)營專業(yè)人員應(yīng)該通過自動化在他們的計劃中尋求收益，通過安全操作增強(qiáng)主動能力。六是網(wǎng)絡(luò)安全將體現(xiàn)數(shù)據(jù)中心架構(gòu)。據(jù)估計，企業(yè)存儲的數(shù)據(jù)中有55%到80%以上是暗數(shù)據(jù)。到2023年，組織必須專注于用以數(shù)據(jù)為中心的視圖覆蓋其核心安全架構(gòu)。七是EDR和MTD模式將得到采用。端點(diǎn)檢測和響應(yīng)（EDR）及托管威脅檢測（MTD）等解決方案不僅可以提供預(yù)防功能，還可以提供檢測和響應(yīng)功能，有助于縮短從成功攻擊中恢復(fù)的時間。八是人為操作的勒索軟件將成為更大的威脅。隨著高級攻擊不斷涌現(xiàn)，人為操作的勒索軟件正成為不可避免的威脅，隨著這些勒索軟件團(tuán)伙使用越來越復(fù)雜的技術(shù)，安全團(tuán)隊必須相應(yīng)地調(diào)整他們的保護(hù)策略。

（徐陽華、任加勉譯）