蓝盾信息安全周报2013年第88期-蓝盾-智慧安全领导者.PDFVIP

蓝盾信息安全周报 本 一、本期网络安全业界资讯 期 二、本期行业动态 三、本期被篡改政府网站 提 四、本期重要安全漏洞 要 五、安全防范措施 2 一、 本期网络安全业界资讯 【政府监管和政策法规动态】 1、奥巴马签署《关于提升关键基础设施网络安全的决定》行政令 人民邮电报报道 美国总统奥巴马日前签署了名为《关于提升关键基础设施网络安全的决定》的行政令，旨在保护国家基础设施 免受网络攻击。奥巴马在国情咨文中表示，“黑客们窃取人们的身份信息、入侵私人邮件、窃取企业秘密，试图破坏电力网、金融机 构及空中交通管制系统”。 该行政令的主要内容包括：在国家层面上，美国总统正式认定“信息战”会一直持续下去，是目前显而易见的威胁。政府将与 私营部门合作建立“网 络安全框架”（Cybersecurity framework ），实现网络攻击与威胁的信息共享，从而降低针对关键基础设施的 网络安全风险。如何降低 “关键基础设施的网络安全风险”的基本框架将由美国国家标准与技术研究所（NIST ）制定。该基本框 架包含一套标准、方法、步骤、流程以及应对网络安全风 险的非指定的技术手段。“网络安全框架”的建立有助于将现有的政府项 目向私营部门扩展，这样能让更多的私营部门的专家在一段时间内为政府服务。与此同时， 该行政令规定了建立“网络安全框架” 的具体时间表以及“网络安全框架”对隐私状况的影响的评估报告。行政令呼吁政府和机构加强政策协调，实现更广泛的信息 共享， 但是该行政令并不具有和法律同等的效力，白宫期望能借此引入立法机制。 2011 年众议院情报委员会成员、共和党议员迈克•罗杰斯提出了《网络情报共享和保护法案》（CISPA ）的议案。由于该议案在 1 没有充分保 障措施和检查的基础上，扩大了政府监控个人互联网浏览习惯和浏览数据的权力，因而备受争议，受到民间自由组织的 批评。即便如此，美国众议院于2012 年通 过了此项议案。但在当时，总统奥巴马提出会对该议案持行使否决权。与CISPA 不同的 是，该行政令中没有任何条文表明会改变或直接影响到美国联邦隐私法及 相关规定。 2、多名政协、人大委员呼吁加强个人信息保护 保障网络安全 经济日报报道 数据显示，网络犯罪每年给我国网民造成的经济损失达 2890 亿元，网络信息安全保护面临严峻的挑战。2012 年 12 月，《关于加强网络信息保护的决定》审议通过，成为推进网络依法规范有序运行的重要一步。在保护网络信息安全上，政府 和产业各方该如何推进？对此，参加今年两会的代表和委员们纷纷“支招”。 “个人信息是个人权益的组成部分，需要长效机制来保护。”全国政协委员、苏宁云商董事长张近东表示，要真正实现有效保护 个人信息，需要加快个人信息保护的立法进程，制订互联网个人信息保护法，从民事的角度出发，全面地保护个人信息。 全国政协委员、百度CEO 李彦宏则表示，应取消部分地区公共场所无线上网需注册身份证、手机号码等个人隐私信息的要求，因为 在一个开放式的网络平台，攻击者可以很容易用笔记本电脑或其他移动设备嗅探出无线网络，并获取所上网络的内容。因此，取消 个人身份认证而将互联网专属身份如电子邮箱的账号和密码作为接入信息，可以显著降低无线网络安全风险。 全国人大代表、腾讯董事局主席马化腾表示，安全性已成为限制我国电子商务进一步发展的瓶颈问题，既需要国家加强网络安全建 设，加大对互联网黑色产业链的打击，保障网络安全，也需要进一步完善电子支付的制度环境和基础设施，保障网上交易的安全便 捷。 全国政协委员、北京市邮政公司海淀区邮电局局长孙步新认为，可以通过实名抵制云证书的方式，将实名地址由电子证书代替， 2 在网上建立相应认证体系，在网购平台、商家、快递公司只留下证书信息，降低实名地址重要信息的泄露可能。孙步新委员还表示， 这一认证系统还可以应用于政府的公共服务中，辅助政府进行住户信息管理工作。 全国人大代表、山东浪潮集团董事长孙丕恕认为，要明确建立信息安全产品、信息安全相关产品实行安全审查制度，同时按照 分类分级管理的原则，对于