国盟信息安全通报2018年11月12日第180期.pdf

资源描述

1、国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 1 http:/ 2018 年 11 月 12 日第 180 期国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报（第第 180 期期）国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 203 个，其中高危漏洞 90 个、中危漏洞 106 个、低危漏洞 7 个。漏洞平均分值为 6.39。本周收录的漏洞中，涉及 0day 漏洞37 个（占 18%），其中互联网上出现“WecodexRestau

2、rant CMS Login SQL 注入漏洞、多款 Tenda 产品 httpd 缓冲区溢出漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1005 个，与上周（914 个）环比增长 10%。国际国际信息安全信息安全学习联学习联盟盟 2018 年年 11 月月 12 日日国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 3 http:/ 主要内容主要内容一、一、概述概述 . 4 4 二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况 . . 4 4 漏洞产生原因（2018 年 10

3、月 29 日2018 年 11 月 12 日） . 4 漏洞引发的威胁（2018 年 10 月 29 日2018 年 11 月 12 日） . 5 漏洞影响对象类型（2018 年 10 月 29 日2018 年 11 月 12 日） . 5 三、三、安全产业动态安全产业动态 . 6 6 引领网信事业发展的思想指南 . 6 大数据、人工智能背景下个人信息保护的时代责任 . 13 健康大数据安全要闯哪些技术关？ . 16 工业互联网安全风险浅析 . 20 四、四、政府之声政府之声 . 2323 工信部印发关于推进综合整治骚扰电话专项行动的工作方案的通知 . 23 上海市公共数据和一网通办管理办法2

4、018 年 11 月 1 日施行 . 25 国家密码管理局关于进一步加强商用密码产品管理工作的通知 . 26 国家互联网应急中心曝光 220 个恶意程序 . 26 五、五、本期重要漏洞实例本期重要漏洞实例 . 2828 Cisco Meeting Server 信息泄露漏洞 . 28 IBM API Connect CSV 注入安全漏洞 . 28 OpenSSL 旁道攻击信息泄露漏洞 . 29 Microstrategy Web 跨站脚本漏洞 . 30 六、六、本期网络安全事件本期网络安全事件 . 3131 意大利政府等部门遭“黑客”攻击警方介入调查 . 31 18 岁男萝莉自学黑客技术盗走

5、公司数万元后炫耀 . 32 台男子钻银行系统漏洞狂刷 6300 万新台币银行被罚 . 33 高校网络瘫痪、电费翻倍，原来是校长在机房挖矿 . 34 运维主管离职后将“代码”带出非法获利 800 万被抓 . 36 汇丰银行暴露用户的银行账号余额等信息 . 37 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 4 http:/ 一、一、概述概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 203 个，其中高危漏洞

6、90 个、中危漏洞 106 个、低危漏洞 7 个。漏洞平均分值为 6.39。本周收录的漏洞中，涉及 0day 漏洞 37 个（占 18%），其中互联网上出现“WecodexRestaurant CMS Login SQL 注入漏洞、多款 Tenda 产品 httpd 缓冲区溢出漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1005 个，与上周（914 个）环比增长 10%。二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况漏洞产生原因漏洞产生原因（2018 年年 10 月月 29 日日2018 年年 11 月月 12 日日）

7、国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 5 http:/ 漏洞引发的威胁漏洞引发的威胁（2018 年年 10 月月 29 日日2018 年年 11 月月 12 日日）漏洞影响对象类型漏洞影响对象类型（2018 年年 10 月月 29 日日2018 年年 11 月月 12 日日）国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 6 http:/ 三、三、安全产业动态安全产业动态引领网信事业发展的思想指南引领网信事业发展的思想指南习近平总书记关于网络安全和信息化工作重要论述综述习近平总书记

8、关于网络安全和信息化工作重要论述综述谁掌握了互联网，谁就把握住了时代主动权。党的十八大以来，习近平总书记以马克思主义政治家的深刻洞察力，就网络安全和信息化工作做出一系列重大决策、提出一系列重大举措，形成了关于网络强国的重要思想，推动我国网信事业取得历史性成就。信息化为中华民族带来千载难逢的机遇信息化为中华民族带来千载难逢的机遇枕水人家的木门徐徐打开，世界互联网又将进入“中国时间” 。2018 年 11 月 7 日，第五届世界互联网大会将在浙江乌镇举行。习近平总书记一直关注互联网的发展。 2014 年 2 月 27 日，习近平总书记主持召开中央网络安全和信息化领导小组第一次会议，亲自担

9、任中央网络安全和信息化领导小组组长。在这次会上，习近平总书记指出，当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。我国正处在这个大潮之中，受到的影响越来越深。也正是在这次会上，习近平总书记强调，网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。建设网络强国的战略部署要与“两个一百年”奋国盟信息安全通报（2018 年 11 月 12 日第

10、180 期）国际信息安全学习联盟主办 7 http:/ 斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。 2013 年 9 月 30 日，中央政治局第九次集体学习的“课堂”搬到了中关村，其中“授课老师”多为互联网领域的企业家和科研人员。习近平总书记考察了增材制造、云计算、大数据、高端服务器等技术研发和应用情况后指出，科技兴则民族兴，科技强则国家强；科学技术越来越成为推动经济社会发展的主要力量，创新驱动是大势所趋。世界因互联网而更多彩，生活因互联网而更丰富。 2015 年 12 月 16 日，习近平总书记在乌镇视察“互联

11、网之光”博览会时指出： “互联网是 20 世纪最伟大的发明之一，给人们的生产生活带来巨大变化，对很多领域的创新发展起到很强带动作用。 ”习近平总书记特别强调，我们要用好互联网带来的重大机遇，深入实施创新驱动发展战略。 “为建设科技强国、质量强国、航天强国、网络强国、交通强国、数字中国、智慧社会提供有力支撑” “加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间” “善于运用互联网技术和信息化手段开展工作”2017 年 10 月 18 日，习近平总书记在党的十九大报告中多次提及互联网，体现出他对网络强国战略的深入思考。今年 4 月 20 日，全国网络安全和信息化工作会议召开，习近平总

12、书记强调，信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇，加强网上正面宣传，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用，加强网信领域军民融合，主动参与网络空间国际治理进程，自主创新推进网络强国建设，为决胜全面建成小康社会、夺取新时代中国特色社会主义伟大胜利、实现中华民族伟大复兴的中国梦作出新的贡献。构建网上网下同心圆，共同为实现中华民族伟大复兴的中国梦而奋斗构建网上网下同心圆，共同为实现中华民族伟大复兴的中国梦而奋斗今天，互联网已经成为一个社会信息大平台，亿万网民在上面获得信息、交流信息，这对他们的求知途径、思维方式

13、、价值观念产生重要影响，特别是对他们对国家、对社会、对工作、对人生的看法产生重要影响。互联网是我们这个时代最具发展活力的领域，也是我们面临的最大变量。过不了互联网这一关，就过不了长期执政这一关。习近平总书记强调，如果一个社会没有共同理想，没有共同目标，没有共同价值观，整天乱哄哄的，那就什么事也办不成。我国有 13 亿多人，如果弄成那样一个局面，就不符合人民利益，也不符合国家利益。实现“两个一百年”奋斗目标，需要全社会方方面面同心干，需要全国各族人民心往一处想、劲往一国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 8 http:/ 处使。习近平

14、总书记提出“同心圆”思想，要求网上网下形成同心圆。 “什么是同心圆？就是在党的领导下，动员全国各族人民，调动各方面积极性，共同为实现中华民族伟大复兴的中国梦而奋斗。 ” 网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好，符合人民利益。网络空间乌烟瘴气、生态恶化，不符合人民利益。在 2016 年 4 月 19 日召开的网络安全和信息化工作座谈会上，习近平总书记深刻指出，谁都不愿生活在一个充斥着虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。利用网络鼓吹推翻国家政权，煽动宗教极端主义，宣扬民族分裂思想，教唆暴力恐怖活动，等等，这样的行为要坚决制止和打击，决不能任其

15、大行其道。利用网络进行欺诈活动，散布色情材料，进行人身攻击，兜售非法物品，等等，这样的言行也要坚决管控，决不能任其大行其道。互联网的迅猛发展，深刻改变着舆论生成方式和传播方式，改变着媒体格局和舆论生态。 2014 年 2 月 27 日，中央网络安全和信息化领导小组第一次会议召开，习近平总书记指出，做好网上舆论工作是一项长期任务，要创新改进网上宣传，运用网络传播规律，弘扬主旋律，激发正能量，大力培育和践行社会主义核心价值观，把握好网上舆论引导的时、度、效，使网络空间清朗起来。 2016 年 4 月 19 日，在网络安全和信息化工作座谈会上，习近平总书记强调，网民来自老百姓，老百姓上了网，民

16、意也就上了网。各级党政机关和领导干部要学会通过网络走群众路线，经常上网看看，潜潜水、聊聊天、发发声，了解群众所思所愿，收集好想法好建议，积极回应网民关切、解疑释惑。要让互联网成为我们同群众交流沟通的新平台，成为了解群众、贴近群众、为群众排忧解难的新途径，成为发扬人民民主、接受人民监督的新渠道。今年 4 月 20 日，在全国网络安全和信息化工作会议上，习近平总书记指出，要提高网络综合治理能力，形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与，经济、法律、技术等多种手段相结合的综合治网格局。要加强网上正面宣传，旗帜鲜明坚持正确政治方向、舆论导向、价值取向，用新时代中国特

17、色社会主义思想和党的十九大精神团结、凝聚亿万网民，深入开展理想信念教育，深化新时代中国特色社会主义和中国梦宣传教育，积极培育和践行社会主义核心价值观，推进网上宣传理念、内容、形式、方法、手段等创新，把握好时度效，构建网上网下同心圆，更好凝聚社会共识，巩固全党全国人民团结奋斗的共同思想基础。国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 9 http:/ 筑牢国家网络安全屏障，整体提升国家网络安全水平筑牢国家网络安全屏障，整体提升国家网络安全水平古往今来，很多技术都是“双刃剑” ，一方面可以造福社会、造福人民，另一方面也可以被一些人用来危害社会、

18、危害人民。从世界范围看，网络安全威胁和风险日益突出，并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。习近平总书记对处理安全和发展的关系高度重视，在中央网络安全和信息化领导小组成立之初，他就敏锐地洞察到网络安全的重要性。 2014 年 2 月 27 日，中央网络安全和信息化领导小组第一次会议召开时，习近平总书记强调，网络安全和信息化对一个国家很多领域都是牵一发而动全身的，要认清我们面临的形势和任务，充分认识做好工作的重要性和紧迫性，因势而谋，应势而动，顺势而为。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理

19、好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。 “金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。物理隔离防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。 ” 在 2016年 4 月 19 日召开的网络安全和信息化工作座谈会上，习近平总书记对互联网管理提出明

20、确要求。补齐短板，夯实基础，才能整体提升国家网络安全水平。 2013 年 11 月，党的十八届三中全会通过的中共中央关于全面深化改革若干重大问题的决定提出，坚持积极利用、科学发展、依法管理、确保安全的方针，加大依法管理网络力度，加快完善互联网管理领导体制，确保国家网络和信息安全。 2016 年 11 月，中华人民共和国网络安全法高票通过，成为我国首部网络安全领域的法律。从明确提出“没有网络安全就没有国家安全” ，到突出强调“树立正确的网络安全观” ，再到明确要求“全面贯彻落实总体国家安全观” ，党的十八大以来，我国网络安全保障能力建设得到加强，国家网络安全屏障进一步巩固。 “没有网络安全

21、就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。 ” 在今年 4 月 20 日召开的全国网络安全和信息化工作会议上，习近平总书记着重国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 10 http:/ 强调树立网络安全意识，就做好国家网络安全工作提出明确要求，为筑牢国家网络安全屏障、推进网络强国建设提供了根本遵循。习近平总书记指出，要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关

22、键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。突破核心技术，建设数字中国，让互联网更好造福国家和人民突破核心技术，建设数字中国，让互联网更好造福国家和人民核心技术是国之重器，是信息化发展的基石。我国互联网和信息化工作取得了显著发展成就，网络走入千家万户，网民数量世界第一，已成为网络大国。但是，习近平总书记指出，同世

23、界先进水平相比，同建设网络强国战略目标相比，我们在很多方面还有不小差距，特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距，其中最大的差距在核心技术上。习近平总书记反复强调， “要紧紧牵住核心技术自主创新这个牛鼻子 ” 。 “核心技术受制于人是我们最大的隐患。 ”在 2016 年 4 月 19 日召开的网络安全和信息化工作座谈会上，习近平总书记用人人都懂的砌房子作喻：“一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国，供应链的命门掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。 ” 面对一浪赶一浪的新技术

24、革命，如何因势而谋、应势而动、顺势而为？在今年 4 月 20 日召开的全国网络安全和信息化工作会议上，习近平总书记指出，要下定决心、保持恒心、找准重心，加速推动信息领域核心技术突破。要抓产业体系建设，在技术、产业、政策上共同发力。要遵循技术发展规律，做好体系化技术布局，优中选优、重点突破。要加强集中统一领导，完善金融、财税、国际贸易、人才、知识产权保护等制度环境，优化市场环境，更好释放各类创新主体创新活力。要培育公平的市场环境，强化知识产权保护，反对垄断和不正当竞争。要打通基础研究和技术创新衔接的绿色通道，力争以基础研究带动应用技术群体突破。网络空间的竞争，归根结底是人才竞争。

25、建设网络强国，必须有一支优秀的人才队伍。习近平总书记强调，要研究制定网信领域人才发展整体规划，推动人才发展体制机制改革，国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 11 http:/ 让人才的创造活力竞相迸发、聪明才智充分涌流。为把互联网人才资源汇聚起来，习近平总书记还指示相关部门“要采取特殊政策，建立适应网信特点的人事制度、薪酬制度” “要建立灵活的人才激励机制，让作出贡献的人才有成就感、获得感” “要探索网信领域科研成果、知识产权归属、利益分配机制，在人才入股、技术入股以及税收方面制定专门政策”“在人才流动上要打破体制界限，让人才能够在

26、政府、企业、智库间实现有序顺畅流动” “改革人才引进各项配套制度，构建具有全球竞争力的人才制度体系” 习近平总书记反复强调，网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。在今年 4 月 20 日召开的全国网络安全和信息化工作会议上，习近平总书记强调，网信事业代表着新的生产力和新的发展方向，应该在践行新发展理念上先行一步，围绕建设现代化经济体系、实现高质量发展，加快信息化发展，整体带动和提升新型工业化、城镇化、农业现代化发展。要发展数字经济，加快推动数字产业化，依靠信息技术创新驱动，不

27、断催生新产业新业态新模式，用新动能推动新发展。要推动产业数字化，利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造，提高全要素生产率，释放数字对经济发展的放大、叠加、倍增作用。要推动互联网、大数据、人工智能和实体经济深度融合，加快制造业、农业、服务业数字化、网络化、智能化。要坚定不移支持网信企业做大做强，加强规范引导，促进其健康有序发展。企业发展要坚持经济效益和社会效益相统一，更好承担起社会责任和道德责任。要运用信息化手段推进政务公开、党务公开，加快推进电子政务，构建全流程一体化在线服务平台，更好解决企业和群众反映强烈的办事难、办事慢、办事繁的问题。坚持多边参与、多方参与，推进

28、全球互联网治理体系变革坚持多边参与、多方参与，推进全球互联网治理体系变革浙江乌镇。随着第五届世界互联网大会的临近，来自全球的八方宾客齐聚中国江南水乡，共商“网”事。乌镇世界互联网大会已经成功举办了 4 届。从发来贺词，到出席开幕式并发表主旨演讲，再到通过视频发表重要讲话习近平总书记对每届大会都给予瞩望。正是站在乌镇的讲台，习近平总书记率先提出推进全球互联网治理体系变革应坚持的“四项原则” ：尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。他还就共同构建网络空间命运共同体提出“五点主张” ：加快全球网络基础设施建设，促进互联互通；国盟信息安全通报（2018 年 11 月 12

29、日第 180 期）国际信息安全学习联盟主办 12 http:/ 打造网上文化交流共享平台，促进交流互鉴；推动网络经济创新发展，促进共同繁荣；保障网络安全，促进有序发展；构建互联网治理体系，促进公平正义。 “乌镇声音” 成为引领互联网国际合作的友谊之声。习近平总书记所倡导的尊重网络主权、构建网络空间命运共同体，赢得了世界绝大多数国家赞同，已经成为全球共识。习近平总书记对构建网络空间命运共同体的设想由来已久。 2014 年 7 月 16 日出访巴西时，习近平总书记就在巴西国会的演讲中指出， “虽然互联网具有高度全球化的特征，但每一个国家在信息领域的主权权益都不应受到侵犯，互联网技术再发展

30、也不能侵犯他国的信息主权。在信息领域没有双重标准，各国都有权维护自己的信息安全，不能一个国家安全而其他国家不安全，一部分国家安全而另一部分国家不安全，更不能牺牲别国安全谋求自身所谓绝对安全” 。随着世界多极化、经济全球化、社会信息化、文化多样化深入发展，互联网对人类文明进步将发挥更大促进作用。同时，互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显。不同国家和地区信息鸿沟不断拉大，现有网络空间治理规则难以反映大多数国家意愿和利益；世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等时有发生，网络监听、网络攻击、网络恐怖主义活动等成为全球公害。在 2015 年 12 月 16 日

31、召开的第二届世界互联网大会上，习近平总书记指出，互联网虽然是无形的，但运用互联网的人们都是有形的，互联网是人类的共同家园。让这个家园更美丽、更干净、更安全，是国际社会的共同责任。国际社会应该在相互尊重、相互信任的基础上，加强对话合作，推动互联网全球治理体系变革，共同构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的全球互联网治理体系。党的十八大以来，我国积极开展双边、多边国际交流合作，共同应对网络安全面临的挑战，共同维护网络空间的公平正义，共同分享全球信息革命的机遇和成果。 2016 年 9 月 3 日，杭州，二十国集团工商峰会，习近平总书记把创新增长方式设定为杭州峰会重点议题，推

32、动通过了二十国集团数字经济发展与合作倡议。 “中国开放的大门不能关上，也不会关上。我们要鼓励和支持我国网信企业走出去，深化互联网国际交流合作，积极参与一带一路建设，做到国家利益在哪里，信息化就覆盖到哪里。外国互联网企业，只要遵守我国法律法规，我们都欢迎。 ”在 2016 年 4 月 19 日召开的网络安全和信息化工作座谈会上，习近平总书记指出。时隔 2 年，在今年 4 月 20 日召开的全国网络安全和信息化工作会议上，习近平总书记强调，推进全球互联网治理体系变革是大势所趋、人心所向。国际网络空间治理应该坚持多国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全

33、学习联盟主办 13 http:/ 边参与、多方参与，发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各种主体作用。既要推动联合国框架内的网络治理，也要更好发挥各类非国家行为体的积极作用。要以“一带一路”建设等为契机，加强同沿线国家特别是发展中国家在网络基础设施建设、数字经济、网络安全等方面的合作，建设 21 世纪数字丝绸之路。党的十八大以来，我们之所以能推动网信事业取得历史性成就，最根本的就在于有以习近平同志为核心的党中央的坚强领导，有网络强国的重要思想的正确引领。当今世界，一场新的全方位综合国力竞争正在展开。能不能适应和引领互联网发展，成为决定大国兴衰的一个关键。

34、加强党中央对网信工作的集中统一领导，确保网信事业始终沿着正确方向前进，我们就一定能构筑国际竞争新优势，在奋力推进网络强国建设中更好实现亿万人民的伟大梦想。（来源：人民日报）大数据、人工智能背景下个人信息保护的时代责任大数据、人工智能背景下个人信息保护的时代责任 11 月 8 日第五届世界互联网大会于 11 月 7 日正式开幕。本届大会以“创造互信共治的数字世界携手共建网络空间命运共同体” 为主题，设置了 5 大板块和 20 场分论坛。 8 日上午，由中国最高人民检察院主办，中国网络社会组织联合会、浙江省人民检察院协办的分论坛“大数据时代的个人信息保护”在乌镇互联网国际会展中心举行。国盟信

35、息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 14 http:/ 中国最高人民检察院技术信息研究中心主任赵志刚做主旨发言，以下为全文内容：中国最高人民检察院技术信息研究中心主任赵志刚做主旨发言，以下为全文内容：各位来宾、女士们、先生们：很荣幸在这深秋时节与大家相会在美丽的乌镇。我是最高人民检察院检察技术信息研究中心主任赵志刚，是法律界中的科技工作者，也是科技界中的法律工作者，是外行中的内行，也是内行中的外行。接下来我结合我的工作简单谈下如何利用和保护个人信息，我们每个人应当怎么认识、承担和实践互联网大时代赋予我们的责任和使命。一、因势

36、而谋、顺势而为，主动适应大数据时代一、因势而谋、顺势而为，主动适应大数据时代当前，大数据和人工智能应用影响到社会生活的各个方面，影响到我们的知识获取、生活方式、意识形态、生产关系等各个方面。时代发展不可逆，必须以发展的思维解决发展中的新问题；互联网是开放的思维带来的新生产力，必须以开放的思维解决开放中的新问题；管理者、服务者抑或从业者都应当因势而谋、顺势而为。我们可以看到，基于智能手机的应用蓬勃发展，可穿戴设备的逐步成熟把我们真正带进了大数据时代，新的数据采集技术把以前需要刻意收集的数据自动收集并存储，进而进行大数据分析和应用，这个时代的每个个体都在不自觉的状态下成为了“数据人”

37、，各种行动轨迹、个人喜好、日常关注和消费记录等等都被数字化。从某一观察者的视角，我们是透明人。我们不自觉的在享受 IT 技术的服务，我们心有所欲可能就会被自动服务，甚至还有时候，你未意识到需求，服务已经供你选择。我们应当看到，大数据和人工智能爆炸式发展，而人脑传统的信息分析能力并无根本性变化，海量的数据信息使个体在知识获取方面越来越处于盲从的状态。在过去知识蛮荒的时代，无知的个体易于迷信，盲从于未知的神明；同样，我们也可以想象，在无法分辨和理性分析的知识爆炸时代，个体的选择可能盲从于少数人算法思维的选择。这就对社会的管理者、产品的提供者提出了很高的要求，要有穿云破雾的锐利

38、眼光，要有不为恶的底线意识，要有不唯利是图、利益责任兼顾的现代商业思维。我们还将看到，随着新一代互联网原住民的成长，他们会造就越来越多基于互联网的奇迹，他们会让我们瞠目结舌，他们会让我们怀疑我们自己的想象力。在可以预见的将来，互联网将成为三维物理空间的另一维空间，互联网将成为社会与个体的另一个存在形式。我们将有越来越多的互联网娱乐、互联网社交、互联网教育和各种国际交往，同时黑客攻击、网络犯罪如影随形。我们享受大数据、人工智能带来的便利、效益，但也可能成为别人的工具和手段，也可能成为别有用心人的目标和猎物。二、张弛有道、革弊鼎新，服务经济社会发展二、张弛有道、革弊鼎新，服务经济社会发

39、展国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 15 http:/ 我们知道，先有应用再有安全，在 IT 领域，网络和系统安全是计算机科学的伴生学科。对于收集个人信息，首先是因为应用的需求，每个服务提供者都需要用户的信息数据来开展“互联网+”的应用。大数据、人工智能技术的成熟与个人数据采集技术的跨越发展产生了正反馈，因而“互联网+”的应用出现了爆炸式的增长。同时，个人大数据在与人工智能的碰撞下，出现了很多犯罪分子可利用的漏洞，电信诈骗、互联网传销、校园贷等问题层出不穷，给人民群众的隐私、财产甚至生命带来很多威胁，给社会治理带来大量问题

40、。我们认为，要解决出现的这些问题，不能因噎废食，必须以发展的思维解决发展带来的新问题。要正视立法的滞后性，毕竟先有社会行为，后才会出现法律约束。作为管理者既要呵护创新思维、冒险精神，又要维护公序良俗，要以加强法制建设，使企业对个人信息的收集有法可依，有规可循。作为从业者加强底线自我教育，在尚未有明确法律规定的空白期遵从良知。作为管理者要有执法执政的艺术，张弛有道，牢记服务人民群众的宗旨，既不管死，打击从业者的积极性，又不大撒把，使行业无序冒进。要及时发现问题，严格执法革除弊端，又要深入研究问题背后的根本所在，立法鼎新，创造良好的行业发展环境。检察机关作为国家法律监督机关，应当充分发挥惩治、

41、预防、监督、教育、保护等职能，为互联网产业的健康发展提供有力司法保障。三、胸怀大局、苦练内功，协助检察官做好法律守夜人三、胸怀大局、苦练内功，协助检察官做好法律守夜人对于检察机关来说，国家的事业是大局；对于检察技术和信息化部门来说，检察事业就是大局。在新的领域，面对很多新的问题，首先就要有大局意识。我们检察技术信息干部是法律界的科技工作者。我们的工作也有两种属性，一是检察业务属性，二是服务属性。一方面，我们在具体的案件中承担证据鉴定、技术性证据的审查、鉴定人及有专门知识的人身份出庭；另一方面我们还要在检察官办公办案中提供 IT 技术的支撑服务，帮助其提高工作质效。要做好这些工作，检察

42、机关的科技工作者要与时俱进、苦练内功，从全方位为检察官提供服务和支撑。最后我再与大家分享检察科技人员在个人信息保护方面的尝试和努力。最后我再与大家分享检察科技人员在个人信息保护方面的尝试和努力。一是在个案中与有关企业紧密携手，共同推动对个人信息的保护。2017 年，一名身为企业网络安全技术人员的“海淀网友”发现一网站提供抓取用户手机号服务，他认识到这种行为对个人信息的严重危害性，立即向警方举报。随后，海淀区检察院聘请这名 “海淀网友”作为有专门知识的人配合侦查机关在全国 15 个省 18 个地市开展前期侦查工作，查获被抓取的信息 100 多万条，抓捕犯罪嫌疑人 33 人。该案被评为

43、2017 年公安部十大侵犯公民个国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 16 http:/ 人信息案件。二是加大司法方面的研究和普法。个人信息的泄露和窃取犹如网络世界的雾霾，污染了网络世界的绿水青山。作为法律界的科技工作者，我们对 IT 技术有着更本质的理解，能够为检察官司法建言献策，要管理治理和维护好网络世界，必须要法律工作者和科技工作者携手共进，从明确个人信息分类边界、完善数据存储管理机制、构建高效合理办案程序、完善法律责任和对应处罚力度、解决有关法律条款施行难等方面的研究。加大普法教育力度，使相关从业者善明法、明善法，网络服

44、务者善守法、守善法，管理者善执法、执善法，三方共同携手保护互联网世界的绿水青山。谢谢大家。（来源：人民网）健康大数据安全要闯哪些技术关？健康大数据安全要闯哪些技术关？对于医疗行业来说，大数据一直是一个待挖掘的“金矿” ，但是对于大数据应用存在的问题，很多人还停留在数据安全、数据共享等表层的名词理解上。为了让大家深度理解大数据应用存在的安全挑战，本文特整理中国信息安全测评中心大数据安全高级专家陈锦近日在北京健康医疗大数据论坛上的演讲，从技术的角度剖析，大数据安全风险究竟是如何产生的，会带来什么影响，如何建立防护体系。医疗大数据有四个特征医疗大数据有四个特征国盟信息安全通报（2018

45、年 11 月 12 日第 180 期）国际信息安全学习联盟主办 17 http:/ 健康医疗大数据有四个特征。一是高度敏感。这些数据和个人直接相关，涉及个人隐私；价值高，是其他类别数据的 50 倍以上，极易成为被攻击的目标。二是处理方式的变化。因为大数据量大、类型多、变化快，需要新型的计算架构来处理，包括分支计算、分支存储等；同时，在分析的时候，需要用到一些机器学习的算法。三是应用理念的变化。现在大家都知道，要应用健康医疗数据去辅助医疗决策，提高工作效率。这就带动了业务创新，即数据业务化，基于医疗大数据进行分析挖掘，发现新价值，推出新产品，提供新的基于数据的服务，如

46、疾病预测、预防等。四是数据流动。在开放共享的过程中，数据不可避免地需要流动。数据业务化和数据流动带来两个重要的数据安全问题，即数据泄露、数据滥用等。在 IT 时代，各个业务系统是相互独立的，而且各个业务系统之间没有交集。而到了大数据时代，各个业务系统会进行汇聚融合，形成一个新的数据集，然后再进行数据挖掘分析，开辟新的业务。这种模式典型的应用，就是华大基因推出的肿瘤基因检测服务。第二种是第三方应用，依托相关的业务系统访问数据，对外提供分析服务。第三种是通过数据合作的方式，实现数据的交换和共享。这种模式的典型应用就是健康医疗大数据交易中心。通过以上三种模式，基本实现了数据业务化的特点，

47、以及数据在不同的组织机构和网络区域内进行流动的特点。安全问题面临四大挑战安全问题面临四大挑战健康医疗大数据面临的安全挑战，包括基础平台安全、数据安全、用户隐私安全、安全防护几个方面。国盟信息安全通报（2018 年 11 月 12 日第 180 期）国际信息安全学习联盟主办 18 http:/ 首先是基础平台安全挑战。首先是基础平台安全挑战。 Hadoop 是一个能够对大量数据进行分布式处理的软件框架，在大数据处理应用中得到广泛应用，因为其自身在数据提取、变形和加载方面具有天然优势。但是，Hadoop 最初是考虑在可信的环境中运行，没有考虑安全机制问题。在运行过程中，发现存在数据被篡

48、改、作业被恶意提交等问题，随后加入数据认证、访问控制、加密等安全机制，但是仍然存在不足，表现在三个方面。一是在身份管理和访问控制方面，依赖 Linux的身份管理与权限控制机制，不能满足基于角色的身份管理和细粒度访问控制等需求。二是在安全审计上，因为大数据系统各组件只有简单的日志记录功能，并没有原生安全审计功能，需要使用外部附加工具进行日志分析。三是这些系统是开源的，我国推出的大多数大数据产品是基于开源设计的，但开源组件缺乏严格的测试和安全认证，对组件漏洞和恶意后门防范能力不足。另外，传统访问控制机制难以满足需求，这表现在几个方面。一是多源数据大量汇聚增加了访问控制策略制定和管

49、理的难度，过度授权和授权不足现象严重。二是非结构化和半结构化数据精细化描述困难，无法准确为用户指定其可以访问的数据范围，难以实现最小授权原则。三是数据存储和流动场景复杂，使得数据加密的实现异常困难。海量数据的密钥管理也是亟待解决的难题。同时，大规模集群安全配置难度成倍增长。因为开源 Hadoop 系统的身份认证、权限管理、加密、审计等功能都没有实现的话，必须对各个组件进行安全配置。但是目前并没有有效的技术手段能评估安全配置效果的好坏，从而导致系统存在很多问题，甚至数据泄露事件的发生。2017 年 6 月，Shodan 互联网搜索引擎分析显示，Hadoop 服务器因配置不安全导致海

50、量数据暴露，涉及 4500 台 HDFS 服务器，数据量高达 5.12PB。第二是数据安全挑战。第二是数据安全挑战。健康医疗领域数据泄露事件时有发生。今年 8 月，因为 MongoDB数据库安全配置不当，导致墨西哥 200 万公民的医疗健康数据泄露。2016 年 7 月，我国 30个省份至少 275 位艾滋病感染者的个人信息遭泄露。数据泄露的潜在隐患同样不容乐观。据 Shodan 统计，截至 2017 年 2 月 3 日，中国有1504 个 MongoDB 数据库暴露在公网，存在严重安全问题。IDC 市场研究公司预计，在 2020年，全球 42%的电子健康数据会处于无保护状态。内部

展开阅读全文