人工智能應(yīng)用需要以海量的個人信息數(shù)據(jù)作支撐。人工智能如同一把“雙刃劍”，如果應(yīng)用不當(dāng)，就可能帶來隱私泄露的倫理風(fēng)險。

與傳統(tǒng)口令可以隨時更改不同，不可再生性數(shù)據(jù)是永遠(yuǎn)無法更改的，比如人臉、指紋、DNA等生物特征數(shù)據(jù)，以及個人醫(yī)療檔案數(shù)據(jù)等，這些數(shù)據(jù)具有唯一性且無法更改。嚴(yán)格管控大數(shù)據(jù)的使用場景，在大力支持人工智能技術(shù)發(fā)展的同時，對唯一性、不可再生性的重要數(shù)據(jù)必須提前設(shè)防，在生物識別等技術(shù)使用規(guī)范上要制定更加嚴(yán)格的要求，防范相關(guān)各類風(fēng)險。

建議設(shè)立“數(shù)據(jù)銀行”，由國家成立專門機(jī)構(gòu)來統(tǒng)一管控、存儲和應(yīng)用不可再生性大數(shù)據(jù)，限制企業(yè)自行采集收集和壟斷，并運(yùn)用區(qū)塊鏈技術(shù)分布式存儲，運(yùn)用密碼技術(shù)嚴(yán)格保護(hù)數(shù)據(jù)。

隨著多國疫情得到有效抑制，企業(yè)復(fù)工復(fù)產(chǎn)被提上日程，在這樣特殊的時期，各行各業(yè)加速轉(zhuǎn)型升級、降低人力密度、提升生產(chǎn)效率的必要性愈加凸顯。

事實(shí)上，企業(yè)對于轉(zhuǎn)型的需求并非僅僅在特殊時期，數(shù)字化、網(wǎng)絡(luò)化、智能化的轉(zhuǎn)型早已體現(xiàn)在近些年的國家政策和企業(yè)行動中，包括從產(chǎn)品開發(fā)到供應(yīng)鏈管理，從市場營銷到客戶體驗(yàn)。

在這個數(shù)字化轉(zhuǎn)型和萬物互聯(lián)的時代，隨著云計算技術(shù)、大數(shù)據(jù)技術(shù)、5G技術(shù)、人工智能和區(qū)塊鏈技術(shù)的快速發(fā)展和落地實(shí)踐，人、數(shù)據(jù)、機(jī)器、網(wǎng)絡(luò)緊密結(jié)合在一起，推動企業(yè)數(shù)字化轉(zhuǎn)型的腳步不斷加快。

與此同時，新的業(yè)務(wù)和運(yùn)營模式伴隨著互聯(lián)網(wǎng)應(yīng)用、移動互聯(lián)應(yīng)用、物聯(lián)感知應(yīng)用、企業(yè)辦公應(yīng)用等一系列應(yīng)用系統(tǒng)的快速開發(fā)與迭代，系統(tǒng)和軟件作為重要的載體，其安全性、可靠性面臨著比以往任何時候都更嚴(yán)峻的挑戰(zhàn)。

在系統(tǒng)和軟件開發(fā)過程中，企業(yè)根據(jù)用戶的需求和系統(tǒng)產(chǎn)品的特性，不論采用哪種模型，均需面對系統(tǒng)自身的安全漏洞風(fēng)險（產(chǎn)品風(fēng)險）以及系統(tǒng)開發(fā)項(xiàng)目中的各類技術(shù)和管理風(fēng)險（項(xiàng)目風(fēng)險），應(yīng)用開發(fā)的安全問題逐漸成為企業(yè)迫切需要解決的問題。

正電科技發(fā)布了“5G獨(dú)立核心安全評估”。報告討論了用戶和移動網(wǎng)絡(luò)運(yùn)營商的漏洞和威脅，這些漏洞和威脅源于新的獨(dú)立5G網(wǎng)絡(luò)核心的使用。獨(dú)立5G網(wǎng)絡(luò)使用的HTTP/2和PFCP協(xié)議中存在的漏洞包括竊取用戶配置文件數(shù)據(jù)、模擬攻擊和偽造用戶身份驗(yàn)證。

5G中的一系列技術(shù)可能會讓用戶和運(yùn)營商的網(wǎng)絡(luò)受到攻擊。此類攻擊可以從國際漫游網(wǎng)絡(luò)、運(yùn)營商的網(wǎng)絡(luò)或提供服務(wù)訪問的合作伙伴網(wǎng)絡(luò)執(zhí)行。

用于建立用戶連接的包轉(zhuǎn)發(fā)控制協(xié)議(PFCP)具有多個潛在的漏洞，例如拒絕服務(wù)、切斷用戶對互聯(lián)網(wǎng)的訪問以及將流量重定向到攻擊者，從而允許他們下行鏈路用戶的數(shù)據(jù)。在這種情況下，用戶將無法對潛伏在網(wǎng)絡(luò)上的威脅采取行動，因此運(yùn)營商需要有足夠的可見性來防范這些攻擊。

近日，APT黑客組織通過“日爆攻擊”（SUNBURST）SolarWinds的網(wǎng)絡(luò)管理軟件，滲透到了包括五角大樓和白宮在內(nèi)的1.8萬家企業(yè)和政府機(jī)構(gòu)，在網(wǎng)絡(luò)安全業(yè)界掀起軒然大波。

實(shí)施“日爆攻擊”的APT組織已經(jīng)設(shè)計出一種巧妙的方法，能夠繞過目標(biāo)網(wǎng)絡(luò)的多因素身份驗(yàn)證系統(tǒng)。在雙因素認(rèn)證中，密碼驗(yàn)證成功后，服務(wù)器會評估duo-sid cookie，并確定其是否有效。Volexity的調(diào)查發(fā)現(xiàn)，攻擊者從OWA服務(wù)器訪問了Duo集成密鑰（akey）。

然后，該密鑰使攻擊者可以在duo-sid cookie中設(shè)置預(yù)先計算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過帳戶的MFA驗(yàn)證機(jī)制。此事件強(qiáng)調(diào)了確保與密鑰集成關(guān)聯(lián)的所有機(jī)密（例如與MFA提供者的機(jī)密）應(yīng)在發(fā)生泄露后進(jìn)行更改的必要性。

此外，重要的是，修改密碼時不要使用與舊密碼類似的新密碼（例如，把舊密碼Summer2020！改成Spring2020！）。

事件的根源不是Duo產(chǎn)品中存在任何漏洞。而是攻擊者從現(xiàn)有的受感染客戶環(huán)境（例如電子郵件服務(wù)器）中獲得了對集成憑據(jù)的特權(quán)訪問，這些集成憑據(jù)對于Duo服務(wù)的管理是必不可少的。

在物聯(lián)網(wǎng)系統(tǒng)中，訪問控制（Access Control）是對用戶合法使用資源的認(rèn)證和控制，簡單說就是根據(jù)相關(guān)授權(quán)，控制對特定資源的訪問，從而防止一些非法用戶的非法訪問或者合法用戶的不正當(dāng)使用，以確保整個系統(tǒng)資源能夠被合理正當(dāng)?shù)乩?。由于物?lián)網(wǎng)應(yīng)用系統(tǒng)是多用戶、多任務(wù)的工作環(huán)境，這為非法使用系統(tǒng)資源打開了方便之門，因此，迫切要求我們對計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)采取有效的安全防范措施，以防止非法用戶進(jìn)入系統(tǒng)以及合法用戶對系統(tǒng)資源的非法使用。這就需要采用訪問控制系統(tǒng)。

訪問控制包含3方面的含義：

① 合法性：阻止沒有得到正式授權(quán)的用戶違法訪問以及非法用戶的違法訪問；② 完整性：在包含收集數(shù)據(jù)、傳輸信息、儲存信息等一系列的步驟中，保證數(shù)據(jù)信息的完好無損，不可以隨意增刪與改動；③ 時效性：在一定時效內(nèi)，保證系統(tǒng)資源不能被非法用戶篡改使用，保障系統(tǒng)在時效內(nèi)的完整。

訪問控制應(yīng)具備身份認(rèn)證、授權(quán)、文件保護(hù)和審計等主要功能。通過訪問控制，系統(tǒng)可以預(yù)防和阻礙未經(jīng)授權(quán)的非法用戶訪問和操作系統(tǒng)資源。

2020.12.31? 周四

安全產(chǎn)業(yè)是一個風(fēng)口產(chǎn)業(yè)，市場前景廣闊，國內(nèi)上市的安全企業(yè)已經(jīng)達(dá)到20多家。與此同時，網(wǎng)絡(luò)安全領(lǐng)域的新概念、新理念層出不窮，聽起來都很好，但是落地卻很困難。有的涉及到整網(wǎng)改造，有的則存在投資高、技術(shù)不成熟等各種各樣的問題，導(dǎo)致客戶在猶疑中止步不前。

從網(wǎng)絡(luò)安全建設(shè)和日常運(yùn)營的角度出發(fā)，將國內(nèi)企事業(yè)單位分為了三大類：

第一類主要包括大的互聯(lián)網(wǎng)企業(yè)、五大國有銀行、領(lǐng)先的股份制銀行、華為等，這些單位對安全的重視是主動的、業(yè)務(wù)驅(qū)動的，因此投入大、能力強(qiáng)，在安全體系的建設(shè)中通常以我為主，安全廠商和服務(wù)商只是配角。

第二類包括大部分大型企事業(yè)單位和少量中型單位，規(guī)模有幾萬家，比如地市級以上政府委辦局、大型制造型企業(yè)、高速公路集團(tuán)、地鐵、大型醫(yī)院、高等院校等。安全投資以合規(guī)為導(dǎo)向，對安全廠商或集成商的依賴性較強(qiáng)，整體安全建設(shè)和運(yùn)維水平存在很多問題，承受黑客攻擊的能力很弱。

第三類包括所有的小型和大部分中型企事業(yè)單位，如非三甲醫(yī)院、普通中小學(xué)、一般的制造企業(yè)、縣級政府單位等。安全投入少，缺乏持續(xù)運(yùn)維力量，普通病毒就可能導(dǎo)致整個信息系統(tǒng)宕機(jī)。

目前華為云等領(lǐng)先的公有云運(yùn)營商都擁有強(qiáng)大的安全能力和團(tuán)隊(duì)，可以通過某種方式向客戶提供專業(yè)的安全云服務(wù)，因此租用公有云的企事業(yè)單位可以購買此類云服務(wù)，保障其網(wǎng)絡(luò)空間的信息安全。