國內外最新網絡安全發展動態
國內
01 信通院發布信息通信業 (ICT) 十大趨勢
2021年12月23日,中國信息通信研究院(以下簡稱“中國信通院”)主辦的2022 中國信通院ICT+深度觀察報告會-主論壇在京舉辦,中國信通院副院長王志勤發布了信息通信業(ICT)十大趨勢。
十大趨勢以數字經濟為統領,發展與治理并重,各行業數字化轉型縱深推進,呈現出數字化、綠色化和智能化發展趨勢。面向未來,5G、人工智能、先進計算、信息網絡等ICT技術將加速集成創新,網絡安全向數字安全拓展延伸,ICT產業自身在快速發展的同時,將更好、更快、更深的賦能行業數字化轉型,推動數字經濟健康快速發展。
信息通信業(ICT)十大趨勢:
- 一、數字經濟持續穩步增長,數實相融進入加速軌道
- 二、數字治理規則深刻調整,推動數字經濟健康發展
- 三、數字化轉型向縱深推進,各行業迎來系統性變革
- 四、“雙碳”戰略系統部署,數字化綠色化同步推進
- 五、“三維”坐標定義方向,牽引AI走向工程化落地
- 六、ICT技術集成應用深化,產業發展開拓增長空間
- 七、5G融合應用揚帆遠航,規模化發展成為主旋律
- 八、信息網絡多維演進創新,算力供給多元異構泛在
- 九、多路徑體系化協同創新,先進計算供給能力升級
- 十、網絡安全“四新”延伸,培育構建數字安全體系
02 公安部:深入推進公安網絡安全和信息化工作
公安部網絡安全和信息化領導小組會議25日召開,國務委員、公安部部長、部網絡安全和信息化領導小組組長趙克志主持會議并講話。會議強調,要深入貫徹落實習近平總書記關于網絡安全和信息化工作的重要指示精神,增強“四個意識”、堅定“四個自信”、做到“兩個維護”,加強統一領導,統籌力量資源,深入推進公安網絡安全和信息化工作,更好履行黨和人民賦予的新時代職責使命。
會議指出,黨的十八大以來,以習近平同志為核心的黨中央從發展中國特色社會主義、實現中華民族偉大復興中國夢的戰略高度,系統部署和全面推進網絡安全和信息化工作,習近平總書記多次作出重要指示、提出明確要求,為我們做好網絡安全工作指明了前進方向、提供了根本遵循。我們要認真學習領會、堅決貫徹落實,切實把思想和行動統一到習近平總書記重要指示精神和黨中央決策部署上來,進一步加強和改進公安網絡安全和信息化工作。健全部網絡安全和信息化領導機構,是加強對公安網絡安全和信息化工作統一領導的重要舉措,是積極適應形勢變化有效應對網絡安全風險的迫切需要,是全面提升公安網絡安全和信息化工作水平的重要保障。要充分認識健全部網絡安全和信息化領導機構的重要意義,統籌公安網絡建設發展和安全保障,統籌公安機關內部資源力量,加強統籌規劃和協調指導,全面提升公安網絡安全和信息化水平,堅決維護網絡空間安全。
會議強調,要以落實黨委網絡安全責任制為抓手,深入推進公安網絡安全和信息化工作。要堅持統籌發展和安全,加強統籌協調,統一謀劃、統一部署、統一推進、統一實施公安網絡安全和信息化工作,切實下好工作“一盤棋”,著力形成整體工作格局。要緊緊圍繞公安“十四五”發展規劃,認真研究謀劃公安網絡安全和信息化基礎戰略,明確基本要求和主要目標、工作任務和保護措施,切實筑牢公安網絡和信息安全屏障。要強化科技創新能力建設,深化公安大數據建設應用,積極推廣智慧警務新模式,著力助推公安工作質量變革、效率變革、動力變革。要堅持統籌國內國際兩個大局、網上網下兩個戰場,充分發揮各部門各警種職能作用,整合各種力量資源手段,切實形成維護網上政治安全工作合力。要加強《關鍵信息基礎設施安全保護條例》的宣傳解讀和貫徹落實工作,進一步增強風險意識、強化底線思維,扎實做好關鍵信息基礎設施安全保護工作,為推動經濟社會發展、建設網絡強國提供有力安全保障。要切實加強對公安網絡安全和信息化工作的統一領導,明確工作任務,細化工作方案,統籌推進各項工作。各成員單位要認真履行工作職責,密切協作配合,確保公安網絡安全和信息化各項工作措施落到實處。
03 中央網信委印發《“十四五”國家信息化規劃》
近日,中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》(以下簡稱《規劃》),對我國“十四五”時期信息化發展作出部署安排。《規劃》是“十四五”國家規劃體系的重要組成部分,是指導各地區、各部門信息化工作的行動指南。
《規劃》指出,“十四五”時期,信息化進入加快數字化發展、建設數字中國的新階段。加快數字化發展、建設數字中國,是順應新發展階段形勢變化、搶抓信息革命機遇、構筑國家競爭新優勢、加快建成社會主義現代化強國的內在要求,是貫徹新發展理念、推動高質量發展的戰略舉措,是推動構建新發展格局、建設現代化經濟體系的必由之路,是培育新發展動能,激發新發展活力,彌合數字鴻溝,加快推進國家治理體系和治理能力現代化,促進人的全面發展和社會全面進步的必然選擇。
《規劃》強調,要深入貫徹黨的十九大和十九屆二中、三中、四中、五中、六中全會精神,堅持以習近平新時代中國特色社會主義思想特別是習近平總書記關于網絡強國的重要思想為指導,緊緊圍繞統籌推進“五位一體”總體布局和協調推進“四個全面”戰略布局,堅定不移貫徹新發展理念,堅持穩中求進工作總基調,以推動高質量發展為主題,以建設數字中國為總目標,以加快數字化發展為總抓手,發揮信息化對經濟社會發展的驅動引領作用,推動新型工業化、信息化、城鎮化、農業現代化同步發展,加快建設現代化經濟體系;以深化供給側結構性改革為主線,進一步解放和發展數字生產力,加快構建以國內大循環為主體、國內國際雙循環相互促進的新發展格局;以改革創新為根本動力,完善創新體系和發展環境,激發創新活力,增強發展動能;以滿足人民日益增長的美好生活需要為根本目的,統籌發展和安全,推進國家治理體系和治理能力現代化,加強數字社會、數字政府、數字民生建設,讓人民群眾在信息化發展中有更多獲得感幸福感安全感,為開啟全面建設社會主義現代化國家新征程、向第二個百年奮斗目標進軍提供強大動力。
《規劃》提出,要堅持黨的全面領導,堅持以人民為中心,堅持新發展理念,堅持深化改革開放,堅持系統推進,堅持安全和發展并重。到2025年,數字中國建設取得決定性進展,信息化發展水平大幅躍升。數字基礎設施體系更加完備,數字技術創新體系基本形成,數字經濟發展質量效益達到世界領先水平,數字社會建設穩步推進,數字政府建設水平全面提升,數字民生保障能力顯著增強,數字化發展環境日臻完善。
《規劃》圍繞確定的發展目標,部署了10項重大任務,一是建設泛在智聯的數字基礎設施體系,二是建立高效利用的數據要素資源體系,三是構建釋放數字生產力的創新發展體系,四是培育先進安全的數字產業體系,五是構建產業數字化轉型發展體系,六是構筑共建共治共享的數字社會治理體系,七是打造協同高效的數字政府服務體系,八是構建普惠便捷的數字民生保障體系,九是拓展互利共贏的數字領域國際合作體系,十是建立健全規范有序的數字化發展治理體系,并明確了5G創新應用工程等17項重點工程作為落實任務的重要抓手。
《規劃》根據《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中主要目標和重點內容,把基礎能力、戰略前沿、民生保障等擺在了優先位置,確定了全民數字素養與技能提升、企業數字能力提升、前沿數字技術突破、數字貿易開放合作、基層智慧治理能力提升、綠色智慧生態文明建設、數字鄉村發展、數字普惠金融服務、公共衛生應急數字化建設、智慧養老服務拓展等10項優先行動。
《規劃》從加強組織領導、健全政策體系、強化隊伍建設、規范試點示范、強化戰略研究和加強輿論宣傳等6個方面保障實施,確保目標任務落到實處。
國外
01 美國國家安全局(NSA)發布《緩解Log4Shell及其它Log4j相關漏洞》的報告
美國國家安全局(NSA)、網絡安全與基礎設施安全局(CISA)、聯邦調查局(FBI)、澳大利亞網絡安全中心(ACSC)、加拿大網絡安全中心(CCCS)、新西蘭計算機應急響應小組(CERT NZ)和和英國國家網絡安全中心安全中心(NCSC-UK_于2021年12月22日聯合發布了題為《緩解Log4Shell及其它Log4j相關漏洞》的報告,以提供Apache的Log4j軟件庫中的漏洞緩解指南。
該報告介紹了近期曝光的重大軟件漏洞CVE-2021-44228(即Log4Shell)、CVE-2021-45046和CVE-2021-45105,包括它們的技術細節、造成的影響以及應對措施。同時NSA要求受影響的組織立即打上補丁,開展安全審查以及向網絡安全與基礎設施安全局(CISA)和聯邦調查局(FBI_上報入侵事件。
02 美國防部高級研究計劃局投資人工智能,旨在將數據轉化為增強現實系統的指令
美國防部高級研究計劃局(DARPA)已向一個建造人工智能系統的團隊發布了一份價值580萬美元的合同,該系統能夠掃描指令手冊,并將數據轉換為增強現實系統的指令。
已有公司在制造過程中使用增強現實技術。例如,洛克希德·馬丁公司使用增強現實護目鏡為美國宇航局組裝其空間系統。戴上護目鏡,技術人員可以在工作時看到周圍空間中的相關信息和說明,從而避免技術人員不停地走來走去查閱物理手冊或計算機顯示器。
根據合同,施樂公司PARC將與加州大學圣芭芭拉分校、德國羅斯托大學合作,并為自主感知的任務指導項目提供面向目標的支持(AMIGOS)項目的自主多模式吞吐。簡而言之,我們的目標是利用現有的紙質和視頻手冊,并將其自動轉換為用于增強現實系統。
“增強現實技術、計算機視覺、語言處理、對話處理和推理都是人工智能技術,人工智能的不同細分領域技術滲透了許多行業,但從未以如此協調和協同的方式出現,”AMIGOS首席研究員查爾斯·奧爾蒂斯在一份聲明中說。“通過利用現有的教學材料創建新的AR指南,AMIGOS項目將加速這一進程,使實時任務指導和反饋可按需提供。”
這些團隊將向美國防部高級研究計劃局交付兩個不同但相關的系統。第一個是人工智能系統,這個系統能夠從文本、插圖和視頻中提取任務信息。第二個系統將獲取這些信息,并在此基礎上創建增強現實制導。此外,第二種人工智能將能夠根據用戶的技能和情緒狀態以個性化的方式交付任務和信息。
03 美國開發生成機器學習模型訓練數據的新方法
美國VISIMO公司宣布正在與科羅拉多州立大學合作,為美空軍研究實驗室提供機器學習模型訓練數據生成器,用于快速創建合成的、帶有注釋的圖像數據集。該公司計劃在第一階段實現在幾分鐘內以衛星圖像生成合成孔徑雷達圖像數據集;在第二階段強化“條件生成對抗網絡”輸出圖像生成變量的能力。
04 美DARPA推出開放資源以支持評估人工智能的彈性與防御能力
DARPA“確保人工智能對抗欺騙的彈性”(GARD)項目團隊近日推出測試平臺、數據集以及虛擬工具等開放資源,以支持評估和驗證人工智能模型和防御措施在應對對手攻擊方面的有效性,包括:①Armory虛擬平臺,評估防御措施與攻擊場景相對抗的方式,能夠轉換和修改場景,確保防御措施能夠在一系列攻擊中提供可重復的結果;②ART工具箱,為研究人員提供評估機器模型和應用對抗敵對威脅的工具;③APRICOT基準數據集,用于評估對手探測攻擊系統的有效性;④谷歌研究自學庫,為研究人員提供正確評估防御措施有效性的經驗。
05 美軍將氣象領域納入信息戰關注范圍
美軍多個部門已將氣象領域以及相關數據納入信息戰關注范圍。美空軍第16航空隊司令蒂莫西·霍表示,環境情報與氣候聯隊可以處理大量數據,了解天氣如何影響對手決策;美海軍也將氣候納入信息戰活動中,海洋學在其中起著核心作用。從防御角度來看,氣象數據可為部隊提供轉移人員及資產的決策信息,如果能比對手更早了解更遠期的環境態勢,就可更大程度利用聯合部隊。從進攻角度來看,可以通過拒止和發出能妨礙對手做決策的信息來對抗對手。此外,研究太陽風暴也可幫助美軍預測衛星在太空中的機動空間。
06 美陸軍多域特遣部隊將開展數據、戰術云實驗
在《陸軍數字化轉型戰略》與《陸軍統一網絡計劃》的支持下,美陸軍多域特遣部隊將作為陸軍數據和云計算的試點單位,測試相關新興技術及概念,隨后還將擴展至更高級別。美陸軍首支多域特遣部隊創建于2017年,重點面向印太地區。通過開展相關實驗,研究如何在戰術邊緣啟用數據,可增強陸軍的觀察、感知、理解、決策與行動能力,實現多域部隊的決策優勢。同時,美陸軍正在尋求重新制定數據和云戰略,測試目前戰術邊緣的云能力(即混合云環境)。
07 2021網絡安全領域六大發展特點
2021 年是網絡安全行業瘋狂的一年。從SolarWinds等供應鏈攻擊到 NSO集團的飛馬間諜軟件丑聞,再到Colonial Pipeline輸油管道的勒索軟件攻擊,各國政府和企業每天都面臨著新的攻擊。根據身份盜竊資源中心的數據,截至 2021年9月的數據泄露總數已經超過 2020 年17%。日前有國外媒體對 2021 年網絡安全行業進行了回顧總結,盤點出6大發展特點。
特點1:關鍵基礎設施保護更加重要
全球已經意識到保護關鍵基礎設施的重要性。世界各國政府已通過立法并投資龐大的計劃,以保護和維護與國家安全相關的任何事物。不過,目前,關于如何對關鍵基礎設施進行分類(橫向按 GPS 等多個關鍵基礎設施系統中使用的技術,或縱向按能源、金融、通信等行業)的爭論十分激烈。同時,圍繞保護系統的最佳方式也出現了爭論,一些方法流派主張以安全邊界策略為基礎,而另一些則以數字保證技術和實踐為基礎。當然,人們普遍認為硬件和軟件都必須受到保護,因為我們目睹了應用程序和操作系統層以下的攻擊越來越多。
發展趨勢:關鍵基礎設施正在擴展到內部空間和外部空間。從圍繞我們大氣層運行的衛星到監控我們身體內部器官之間相互作用的納米系統,攻擊面已經擴展到與我們有密切接觸的技術。雖然體內醫療設備和軌道航天器已經有了安全更新的方法,但這些方法仍需要改進和擴展。此外,供應鏈時間框架的定義也在不斷演變。僅僅確保所有先前步驟都是安全的已經不夠了。有些企業已經開始致力于保護產品發布后,甚至進入第二次生命周期或回收的整個流程。
特點2:人工智能的善與惡
與任何工具一樣,人工智能正在迅速擴大其應用范圍,結果喜憂參半。在網絡安全領域,企業正在使用人工智能作為傳統漏洞掃描的力量倍增器,以發現潛在的新漏洞、漏洞利用和威脅。人工智能在推動某些硬件和軟件安全工具自動化方面發揮著關鍵作用。雖然安全人員仍然是企業脆弱性和安全保護的中心,但人工智能旨在釋放人力資源,使其專注于真正獨特的部分,而人工智能則處理其余部分。另一方面,人工智能的使用者并不一定都是好人,不法分子也正在使用人工智能來收集網絡信息并識別潛在弱點。
發展趨勢:人工智能和機器學習將用于發現系統異常行為。就像在放射學中使用人工智能一樣,它可以比人眼更早地識別模式以檢測問題。通過在系統的典型行為上構建和訓練 AI (人工智能)模型,再加上在受到攻擊時針對系統的歷史行為訓練這些相同的模型,企業將使用 AI 來更早地發現問題并更快地響應隱蔽威脅。
特點3:安全與隱私的不完美結合
安全和隱私使用相似的技術來實現有時一致但有時沖突的目標。隱私是一個復雜的概念。在某些領域,比如數據保護,安全和隱私大多是一致的。在其他情況下,隱私要求與安全要求經常沖突,例如技術和/或業務模型的基本特征需要識別參與者及其活動(例如,在金融領域這一情況更加明顯)。當前,安全與隱私的復雜性進一步提高,其原因在于隱私法律和法規并未在全球范圍內統一,并且在某些情況下是域外的(例如GDPR)。
發展趨勢:在短期內,各國的監管要求將繼續推動隱私技術的進步,這在很大程度上將依賴于為安全開發的技術適應性。隱私和安全的流程要求(例如選擇退出/加入或披露要求)將繼續納入法規和標準。但這些技術和法規只涵蓋表面和局部問題,雖然也有一些亮點,例如網絡瀏覽器的隱私保護等,隨著人工智能和邊緣計算越來越依賴于移動數據,從長遠來看,預計隱私保護功能將嵌入到通信協議中,并且法規將越來越多地解決隱私的基本問題,包括用戶控制和用戶數據使用的透明度等。
特點4:用機器監管人的威脅
闖入任何被鎖定系統的簡單方法是獲得某人的鑰匙。多因素身份驗證有效解決這一問題,并使攻擊者開發越來越復雜的入侵策略,包括物理接近系統和供應鏈攻擊等。不過,較常見的策略仍然是網絡釣魚或者賄賂內部人員。人工智能正在與人為因素和心理學領域相結合,以建立越來越強大的檢測能力,使得異常的數字行為觸發相關調查。
發展趨勢:即使是最強大的人類驗證和異常行為檢測也只能解決一半的問題。越來越多的企業開始質問:“能否讓機器自我證明/驗證?”有些企業要求員工每次登錄時對系統進行加密的內部數字硬件證明,以確保系統本身沒有受到入侵。隨著越來越多的員工在企業辦公室或實驗室的傳統安全范圍之外工作,這一點越來越引起人們的興趣。
特點5:硬件和軟件安全的結合
軟件曾經并且仍然是黑客攻擊的主要目標,大多數成功的攻擊都發生在這個領域。但是隨著軟件變得更加安全,黑客成功的攻擊并不總是像過去那樣能夠一發入魂,獲取完整的系統訪問權限。因此,他們正在深入研究更高權限的領域,例如固件和硬件。系統安全建立在復雜的信任關系之上,硬件和軟件之間的關系對于可信系統的執行至關重要。
發展趨勢:硬件和軟件被設計為更好地協同,這應該會產生新的信任機制,允許持續、實時、驗證和證明。隨著計算世界的不斷發展,在保護系統和數據時,軟件和硬件之間的可信切換將變得更有價值。
特點6:數字化轉型與“云化”
現在很多人在家工作,導致越來越多的應用程序和數據遷移到云端。精明的企業認識到這種模式的好處和潛在風險,他們會就硬件的物理安全性和保護軟件的方法提出適當問題。
發展趨勢:企業了解如何使用數據以及如何保護數據將變得越來越有價值。數字化轉型中的企業需要明確對客戶隱私、可信度和道德(基于收集和存儲數據的決定)的看法,利益相關者還需要準備好解決硬件層如何保護處于任何狀態(靜止、傳輸中和使用中)的數據。
08 2022年APT與工控安全威脅趨勢預測
隨著新冠疫苗和防疫措施的普及,更加難以防范的新冠病毒變異也接踵而來。2022年,與新冠病毒類似,隨著企業部署新的網絡安全工具和保護,工控安全威脅也快速“變異”。而最近肆虐全球的Log4j2超級漏洞被稱為網絡安全的“新冠病毒”,而工控安全領域,正是Log4j2漏洞的重災區之一,這使得2022年工控安全領域的安全態勢進一步惡化。
卡巴斯基根據2021年度監測數據給出的2022年APT攻擊和工控安全威脅趨勢預測:
APT攻擊的四大趨勢
- 單次攻擊的目標數量減少
網絡犯罪活動中針對個人的攻擊針對性越來越高,每次攻擊的受害者數量越來越少。例如,我們看到基于間諜軟件的身份驗證數據盜竊犯罪生態系統中出現了一種新趨勢,每次攻擊都針對極少數目標(從個位數到幾十個)。這一趨勢正在迅速滾雪球,在世界的某些地區,被阻止的針對工控系統計算機的間諜軟件中,多達20%都使用這種策略進行攻擊。明年,此類攻擊可能會占威脅格局的更大部分,而且這種策略也可能傳播到其他類型的威脅。
- 惡意軟件生命周期縮短
為避免被發現,越來越多的網絡犯罪分子采用頻繁升級其所選家族中的惡意軟件的策略。他們以最高效率使用惡意軟件來突破安全解決方案的防御,然后在當前版本變得易于被檢測時立即切換到新版本。對于某些類型的威脅(例如間諜軟件),其開發部署生命周期都在縮短,并且在許多情況下不會超過3-4周(通常甚至更少)。現代MaaS平臺的發展使全球惡意軟件運營商更容易使用此策略。2022年我們肯定會在各種威脅場景中更頻繁地遇到它。結合每次攻擊的受害者數量呈下降趨勢,這種策略的廣泛使用將導致惡意軟件的種類更多。
- “持久”比“高級”重要
越來越多的APT開始采用“持久戰”策略。縮略詞APT中的“P”(持久性)已變得不那么依賴“A”(高級)。我們很早就看到了APT運營者如何“艱苦樸素”,以低成本方式頑強地在受害者基礎設施中長期駐留——他們通過擴展和定期升級工具包,而不是采用昂貴而復雜的“高級”框架來逃避檢測。這種策略很可能將在APT活動中越來越頻繁地被采用。
- 最大限度地減少惡意基礎設施的使用
在與安全工具和防護措施的斗爭中,攻擊者會不斷嘗試減少攻擊留下的可檢測痕跡。尤其明顯的一點是,攻擊者正在盡量減少對惡意基礎設施的使用。例如,一些APT中的C&C服務器的生命周期非常短,在攻擊階段運行不超過幾個小時。
有時,攻擊者不僅會設法避免使用任何惡意基礎設施,而且還會避免使用可疑和不受信任的基礎設施。例如,間諜軟件攻擊中的一種流行策略是:從目標受害者合作伙伴組織的受感染企業郵件帳戶發送網絡釣魚電子郵件。在這種情況下,精心設計的釣魚郵件內容實際上與合法郵件難以區分,并且幾乎無法用自動化工具檢測到。
2022年工控系統APT攻擊趨勢
- 網絡釣魚是有針對性(和非針對性)攻擊的首要初始滲透工具。
- 面向互聯網的硬件中的已知漏洞也肯定會繼續成為流行的滲透媒介,建議及時更新防火墻和SSL VPN網關。
- 操作系統組件和流行IT產品中的零日漏洞將仍是高級APT中相對罕見的工具,而相對小眾(因此可能未經充分測試)的產品中的未知安全漏洞將也被網絡犯罪分子積極利用。
- 針對域名注冊商和認證機構以及供應商的攻擊
09 英國發布國家網絡空間戰略,確定五大戰略支柱
12月15日,英國政府發布了《國家網絡空間戰略2022版》(National Cyber Strategy 2022)。英國政府認為,網絡空間正在徹底改變傳統的生活方式和對待國家安全的方式。英國需要明確保護和促進其網絡空間利益的方法,從而確保英國繼續成為負責任的和民主的網絡大國。新的國家網絡空間戰略將強化英國的網絡空間安全,使其能夠滿懷信心地追求和促進其在網絡空間的利益,同時確保領先于對手,加強其在網絡空間采取行動的能力,以及影響和塑造未來的能力技術。戰略制定了英國未來五年的五項“優先行動”,也是支撐戰略的五大支柱。
戰略的前言中稱,在接下來的十年里,互聯網、數字技術和支撐它的基礎設施對于英國及其的盟友和對手的利益將變得更加重要。隨著英國在競爭更加激烈的時代需要為自己打造新的角色,加強其網絡力量將使其能夠引領工業和其他國家的道路,領先于未來的技術變革,減輕威脅并獲得對其對手的戰略優勢。
戰略描繪的愿景是,到2030 年,英國將繼續成為負責任和民主的網絡強國,能夠保護和促進其在網絡空間中和通過網絡空間的利益,以支持國家目標:
- ·一個更安全和更有彈性的國家,為不斷變化的威脅和風險做好更充足的準備,并利用其網絡能力保護公民免受犯罪、欺詐和國家威脅
- 一個創新、繁榮的數字經濟,機會更均勻地分布在全國和多樣化的人口中科技超級大國,安全地利用變革性技術支持更綠色、更健康的社會
- 在全球舞臺上成為更具影響力和價值的合作伙伴,塑造開放穩定的國際秩序,同時維護其在網絡空間的行動自由
該戰略制定了五項“優先行動”,也是該戰略框架的支柱,指導和組織英國未來采取的具體行動以及到 2025 年打算實現的成果:
支柱1:加強英國網絡生態系統,投資于人員和技能,并深化政府、學術界和工業界之間的伙伴關系
支柱2:建設一個有彈性和繁榮的數字英國,降低網絡風險,使企業能夠最大限度地利用數字技術的經濟利益,讓公民在線更安全,并確信他們的數據受到保護
支柱3:在對網絡力量至關重要的技術方面處于領先地位,構建英國的工業能力并開發框架以確保未來技術的安全
支柱4:提升英國的全球領導地位和影響力,以建立更安全、繁榮和開放的國際秩序,與政府和行業合作伙伴合作并分享支撐英國網絡力量的專業知識
支柱5:檢測、干擾和威懾英國的對手,以加強英國在網絡空間中和通過網絡空間的安全,更加綜合、創造性和常規地利用英國的全方位力量。
10 俄羅斯最大社交平臺明年將強制實施雙因素身份認證
VK,全稱VKontakte,是俄羅斯及獨聯體國家最流行的社交媒體平臺,擁有超過6.5億用戶。VK已決定在其服務中引入2FA(two-factor authentication,雙因素身份認證)。從明年2月開始,所有訂閱人數超過一萬人的社區(在VK上有超過14萬個這種規模的社區)管理員都必須進行雙因素身份認證,以防止大規模網絡釣魚事件。
VK的這一舉措可能與本周一的一起詐騙事件有關,在那天有詐騙者入侵了VK上的Yandex Go官方社區,并向所有訂閱者發送了網絡釣魚信息,有不少用戶因此蒙受了損失。
VK推進雙因素身份認證無疑是保障用戶安全的積極進展,不過,這并不代表用戶的賬戶就足夠安全了。雙因素身份認證通常設置為通過短信發送驗證碼(one-time passcodes),而攻擊者仍可對此實施SIM卡交換攻擊。為避免此種情況,用戶可以使用Authy、Google等身份驗證器,這些應用只能通過你的設備訪問,可使攻擊者無法得逞。
