人工智能應用需要以海量的個(gè)人信息數據作支撐。人工智能如同一把“雙刃劍”，如果應用不當，就可能帶來(lái)隱私泄露的倫理風(fēng)險。

與傳統口令可以隨時(shí)更改不同，不可再生性數據是永遠無(wú)法更改的，比如人臉、指紋、DNA等生物特征數據，以及個(gè)人醫療檔案數據等，這些數據具有唯一性且無(wú)法更改。嚴格管控大數據的使用場(chǎng)景，在大力支持人工智能技術(shù)發(fā)展的同時(shí)，對唯一性、不可再生性的重要數據必須提前設防，在生物識別等技術(shù)使用規范上要制定更加嚴格的要求，防范相關(guān)各類(lèi)風(fēng)險。

建議設立“數據銀行”，由國家成立專(zhuān)門(mén)機構來(lái)統一管控、存儲和應用不可再生性大數據，限制企業(yè)自行采集收集和壟斷，并運用區塊鏈技術(shù)分布式存儲，運用密碼技術(shù)嚴格保護數據。

隨著(zhù)多國疫情得到有效抑制，企業(yè)復工復產(chǎn)被提上日程，在這樣特殊的時(shí)期，各行各業(yè)加速轉型升級、降低人力密度、提升生產(chǎn)效率的必要性愈加凸顯。

事實(shí)上，企業(yè)對于轉型的需求并非僅僅在特殊時(shí)期，數字化、網(wǎng)絡(luò )化、智能化的轉型早已體現在近些年的國家政策和企業(yè)行動(dòng)中，包括從產(chǎn)品開(kāi)發(fā)到供應鏈管理，從市場(chǎng)營(yíng)銷(xiāo)到客戶(hù)體驗。

在這個(gè)數字化轉型和萬(wàn)物互聯(lián)的時(shí)代，隨著(zhù)云計算技術(shù)、大數據技術(shù)、5G技術(shù)、人工智能和區塊鏈技術(shù)的快速發(fā)展和落地實(shí)踐，人、數據、機器、網(wǎng)絡(luò )緊密結合在一起，推動(dòng)企業(yè)數字化轉型的腳步不斷加快。

與此同時(shí)，新的業(yè)務(wù)和運營(yíng)模式伴隨著(zhù)互聯(lián)網(wǎng)應用、移動(dòng)互聯(lián)應用、物聯(lián)感知應用、企業(yè)辦公應用等一系列應用系統的快速開(kāi)發(fā)與迭代，系統和軟件作為重要的載體，其安全性、可靠性面臨著(zhù)比以往任何時(shí)候都更嚴峻的挑戰。

在系統和軟件開(kāi)發(fā)過(guò)程中，企業(yè)根據用戶(hù)的需求和系統產(chǎn)品的特性，不論采用哪種模型，均需面對系統自身的安全漏洞風(fēng)險（產(chǎn)品風(fēng)險）以及系統開(kāi)發(fā)項目中的各類(lèi)技術(shù)和管理風(fēng)險（項目風(fēng)險），應用開(kāi)發(fā)的安全問(wèn)題逐漸成為企業(yè)迫切需要解決的問(wèn)題。

正電科技發(fā)布了“5G獨立核心安全評估”。報告討論了用戶(hù)和移動(dòng)網(wǎng)絡(luò )運營(yíng)商的漏洞和威脅，這些漏洞和威脅源于新的獨立5G網(wǎng)絡(luò )核心的使用。獨立5G網(wǎng)絡(luò )使用的HTTP/2和PFCP協(xié)議中存在的漏洞包括竊取用戶(hù)配置文件數據、模擬攻擊和偽造用戶(hù)身份驗證。

5G中的一系列技術(shù)可能會(huì )讓用戶(hù)和運營(yíng)商的網(wǎng)絡(luò )受到攻擊。此類(lèi)攻擊可以從國際漫游網(wǎng)絡(luò )、運營(yíng)商的網(wǎng)絡(luò )或提供服務(wù)訪(fǎng)問(wèn)的合作伙伴網(wǎng)絡(luò )執行。

用于建立用戶(hù)連接的包轉發(fā)控制協(xié)議(PFCP)具有多個(gè)潛在的漏洞，例如拒絕服務(wù)、切斷用戶(hù)對互聯(lián)網(wǎng)的訪(fǎng)問(wèn)以及將流量重定向到攻擊者，從而允許他們下行鏈路用戶(hù)的數據。在這種情況下，用戶(hù)將無(wú)法對潛伏在網(wǎng)絡(luò )上的威脅采取行動(dòng)，因此運營(yíng)商需要有足夠的可見(jiàn)性來(lái)防范這些攻擊。

近日，APT黑客組織通過(guò)“日爆攻擊”（SUNBURST）SolarWinds的網(wǎng)絡(luò )管理軟件，滲透到了包括五角大樓和白宮在內的1.8萬(wàn)家企業(yè)和政府機構，在網(wǎng)絡(luò )安全業(yè)界掀起軒然大波。

實(shí)施“日爆攻擊”的APT組織已經(jīng)設計出一種巧妙的方法，能夠繞過(guò)目標網(wǎng)絡(luò )的多因素身份驗證系統。在雙因素認證中，密碼驗證成功后，服務(wù)器會(huì )評估duo-sid cookie，并確定其是否有效。Volexity的調查發(fā)現，攻擊者從OWA服務(wù)器訪(fǎng)問(wèn)了Duo集成密鑰（akey）。

然后，該密鑰使攻擊者可以在duo-sid cookie中設置預先計算的值。這使攻擊者僅需獲取用戶(hù)帳戶(hù)和密碼就能完全繞過(guò)帳戶(hù)的MFA驗證機制。此事件強調了確保與密鑰集成關(guān)聯(lián)的所有機密（例如與MFA提供者的機密）應在發(fā)生泄露后進(jìn)行更改的必要性。

此外，重要的是，修改密碼時(shí)不要使用與舊密碼類(lèi)似的新密碼（例如，把舊密碼Summer2020！改成Spring2020?。?。

事件的根源不是Duo產(chǎn)品中存在任何漏洞。而是攻擊者從現有的受感染客戶(hù)環(huán)境（例如電子郵件服務(wù)器）中獲得了對集成憑據的特權訪(fǎng)問(wèn)，這些集成憑據對于Duo服務(wù)的管理是必不可少的。

在物聯(lián)網(wǎng)系統中，訪(fǎng)問(wèn)控制（Access Control）是對用戶(hù)合法使用資源的認證和控制，簡(jiǎn)單說(shuō)就是根據相關(guān)授權，控制對特定資源的訪(fǎng)問(wèn)，從而防止一些非法用戶(hù)的非法訪(fǎng)問(wèn)或者合法用戶(hù)的不正當使用，以確保整個(gè)系統資源能夠被合理正當地利用。由于物聯(lián)網(wǎng)應用系統是多用戶(hù)、多任務(wù)的工作環(huán)境，這為非法使用系統資源打開(kāi)了方便之門(mén)，因此，迫切要求我們對計算機及其網(wǎng)絡(luò )系統采取有效的安全防范措施，以防止非法用戶(hù)進(jìn)入系統以及合法用戶(hù)對系統資源的非法使用。這就需要采用訪(fǎng)問(wèn)控制系統。

訪(fǎng)問(wèn)控制包含3方面的含義：

① 合法性：阻止沒(méi)有得到正式授權的用戶(hù)違法訪(fǎng)問(wèn)以及非法用戶(hù)的違法訪(fǎng)問(wèn)；② 完整性：在包含收集數據、傳輸信息、儲存信息等一系列的步驟中，保證數據信息的完好無(wú)損，不可以隨意增刪與改動(dòng)；③ 時(shí)效性：在一定時(shí)效內，保證系統資源不能被非法用戶(hù)篡改使用，保障系統在時(shí)效內的完整。

訪(fǎng)問(wèn)控制應具備身份認證、授權、文件保護和審計等主要功能。通過(guò)訪(fǎng)問(wèn)控制，系統可以預防和阻礙未經(jīng)授權的非法用戶(hù)訪(fǎng)問(wèn)和操作系統資源。

2020.12.31? 周四

安全產(chǎn)業(yè)是一個(gè)風(fēng)口產(chǎn)業(yè)，市場(chǎng)前景廣闊，國內上市的安全企業(yè)已經(jīng)達到20多家。與此同時(shí)，網(wǎng)絡(luò )安全領(lǐng)域的新概念、新理念層出不窮，聽(tīng)起來(lái)都很好，但是落地卻很困難。有的涉及到整網(wǎng)改造，有的則存在投資高、技術(shù)不成熟等各種各樣的問(wèn)題，導致客戶(hù)在猶疑中止步不前。

從網(wǎng)絡(luò )安全建設和日常運營(yíng)的角度出發(fā)，將國內企事業(yè)單位分為了三大類(lèi)：

第一類(lèi)主要包括大的互聯(lián)網(wǎng)企業(yè)、五大國有銀行、領(lǐng)先的股份制銀行、華為等，這些單位對安全的重視是主動(dòng)的、業(yè)務(wù)驅動(dòng)的，因此投入大、能力強，在安全體系的建設中通常以我為主，安全廠(chǎng)商和服務(wù)商只是配角。

第二類(lèi)包括大部分大型企事業(yè)單位和少量中型單位，規模有幾萬(wàn)家，比如地市級以上政府委辦局、大型制造型企業(yè)、高速公路集團、地鐵、大型醫院、高等院校等。安全投資以合規為導向，對安全廠(chǎng)商或集成商的依賴(lài)性較強，整體安全建設和運維水平存在很多問(wèn)題，承受黑客攻擊的能力很弱。

第三類(lèi)包括所有的小型和大部分中型企事業(yè)單位，如非三甲醫院、普通中小學(xué)、一般的制造企業(yè)、縣級政府單位等。安全投入少，缺乏持續運維力量，普通病毒就可能導致整個(gè)信息系統宕機。

目前華為云等領(lǐng)先的公有云運營(yíng)商都擁有強大的安全能力和團隊，可以通過(guò)某種方式向客戶(hù)提供專(zhuān)業(yè)的安全云服務(wù)，因此租用公有云的企事業(yè)單位可以購買(mǎi)此類(lèi)云服務(wù)，保障其網(wǎng)絡(luò )空間的信息安全。