人工智能應用需要以海量的個人信息數據作支撐。人工智能如同一把“雙刃劍”，如果應用不當，就可能帶來隱私泄露的倫理風險。

與傳統(tǒng)口令可以隨時更改不同，不可再生性數據是永遠無法更改的，比如人臉、指紋、DNA等生物特征數據，以及個人醫(yī)療檔案數據等，這些數據具有唯一性且無法更改。嚴格管控大數據的使用場景，在大力支持人工智能技術發(fā)展的同時，對唯一性、不可再生性的重要數據必須提前設防，在生物識別等技術使用規(guī)范上要制定更加嚴格的要求，防范相關各類風險。

建議設立“數據銀行”，由國家成立專門機構來統(tǒng)一管控、存儲和應用不可再生性大數據，限制企業(yè)自行采集收集和壟斷，并運用區(qū)塊鏈技術分布式存儲，運用密碼技術嚴格保護數據。

隨著多國疫情得到有效抑制，企業(yè)復工復產被提上日程，在這樣特殊的時期，各行各業(yè)加速轉型升級、降低人力密度、提升生產效率的必要性愈加凸顯。

事實上，企業(yè)對于轉型的需求并非僅僅在特殊時期，數字化、網絡化、智能化的轉型早已體現(xiàn)在近些年的國家政策和企業(yè)行動中，包括從產品開發(fā)到供應鏈管理，從市場營銷到客戶體驗。

在這個數字化轉型和萬物互聯(lián)的時代，隨著云計算技術、大數據技術、5G技術、人工智能和區(qū)塊鏈技術的快速發(fā)展和落地實踐，人、數據、機器、網絡緊密結合在一起，推動企業(yè)數字化轉型的腳步不斷加快。

與此同時，新的業(yè)務和運營模式伴隨著互聯(lián)網應用、移動互聯(lián)應用、物聯(lián)感知應用、企業(yè)辦公應用等一系列應用系統(tǒng)的快速開發(fā)與迭代，系統(tǒng)和軟件作為重要的載體，其安全性、可靠性面臨著比以往任何時候都更嚴峻的挑戰(zhàn)。

在系統(tǒng)和軟件開發(fā)過程中，企業(yè)根據用戶的需求和系統(tǒng)產品的特性，不論采用哪種模型，均需面對系統(tǒng)自身的安全漏洞風險（產品風險）以及系統(tǒng)開發(fā)項目中的各類技術和管理風險（項目風險），應用開發(fā)的安全問題逐漸成為企業(yè)迫切需要解決的問題。

正電科技發(fā)布了“5G獨立核心安全評估”。報告討論了用戶和移動網絡運營商的漏洞和威脅，這些漏洞和威脅源于新的獨立5G網絡核心的使用。獨立5G網絡使用的HTTP/2和PFCP協(xié)議中存在的漏洞包括竊取用戶配置文件數據、模擬攻擊和偽造用戶身份驗證。

5G中的一系列技術可能會讓用戶和運營商的網絡受到攻擊。此類攻擊可以從國際漫游網絡、運營商的網絡或提供服務訪問的合作伙伴網絡執(zhí)行。

用于建立用戶連接的包轉發(fā)控制協(xié)議(PFCP)具有多個潛在的漏洞，例如拒絕服務、切斷用戶對互聯(lián)網的訪問以及將流量重定向到攻擊者，從而允許他們下行鏈路用戶的數據。在這種情況下，用戶將無法對潛伏在網絡上的威脅采取行動，因此運營商需要有足夠的可見性來防范這些攻擊。

近日，APT黑客組織通過“日爆攻擊”（SUNBURST）SolarWinds的網絡管理軟件，滲透到了包括五角大樓和白宮在內的1.8萬家企業(yè)和政府機構，在網絡安全業(yè)界掀起軒然大波。

實施“日爆攻擊”的APT組織已經設計出一種巧妙的方法，能夠繞過目標網絡的多因素身份驗證系統(tǒng)。在雙因素認證中，密碼驗證成功后，服務器會評估duo-sid cookie，并確定其是否有效。Volexity的調查發(fā)現(xiàn)，攻擊者從OWA服務器訪問了Duo集成密鑰（akey）。

然后，該密鑰使攻擊者可以在duo-sid cookie中設置預先計算的值。這使攻擊者僅需獲取用戶帳戶和密碼就能完全繞過帳戶的MFA驗證機制。此事件強調了確保與密鑰集成關聯(lián)的所有機密（例如與MFA提供者的機密）應在發(fā)生泄露后進行更改的必要性。

此外，重要的是，修改密碼時不要使用與舊密碼類似的新密碼（例如，把舊密碼Summer2020！改成Spring2020?。?。

事件的根源不是Duo產品中存在任何漏洞。而是攻擊者從現(xiàn)有的受感染客戶環(huán)境（例如電子郵件服務器）中獲得了對集成憑據的特權訪問，這些集成憑據對于Duo服務的管理是必不可少的。

在物聯(lián)網系統(tǒng)中，訪問控制（Access Control）是對用戶合法使用資源的認證和控制，簡單說就是根據相關授權，控制對特定資源的訪問，從而防止一些非法用戶的非法訪問或者合法用戶的不正當使用，以確保整個系統(tǒng)資源能夠被合理正當地利用。由于物聯(lián)網應用系統(tǒng)是多用戶、多任務的工作環(huán)境，這為非法使用系統(tǒng)資源打開了方便之門，因此，迫切要求我們對計算機及其網絡系統(tǒng)采取有效的安全防范措施，以防止非法用戶進入系統(tǒng)以及合法用戶對系統(tǒng)資源的非法使用。這就需要采用訪問控制系統(tǒng)。

訪問控制包含3方面的含義：

① 合法性：阻止沒有得到正式授權的用戶違法訪問以及非法用戶的違法訪問；② 完整性：在包含收集數據、傳輸信息、儲存信息等一系列的步驟中，保證數據信息的完好無損，不可以隨意增刪與改動；③ 時效性：在一定時效內，保證系統(tǒng)資源不能被非法用戶篡改使用，保障系統(tǒng)在時效內的完整。

訪問控制應具備身份認證、授權、文件保護和審計等主要功能。通過訪問控制，系統(tǒng)可以預防和阻礙未經授權的非法用戶訪問和操作系統(tǒng)資源。

2020.12.31? 周四

安全產業(yè)是一個風口產業(yè)，市場前景廣闊，國內上市的安全企業(yè)已經達到20多家。與此同時，網絡安全領域的新概念、新理念層出不窮，聽起來都很好，但是落地卻很困難。有的涉及到整網改造，有的則存在投資高、技術不成熟等各種各樣的問題，導致客戶在猶疑中止步不前。

從網絡安全建設和日常運營的角度出發(fā)，將國內企事業(yè)單位分為了三大類：

第一類主要包括大的互聯(lián)網企業(yè)、五大國有銀行、領先的股份制銀行、華為等，這些單位對安全的重視是主動的、業(yè)務驅動的，因此投入大、能力強，在安全體系的建設中通常以我為主，安全廠商和服務商只是配角。

第二類包括大部分大型企事業(yè)單位和少量中型單位，規(guī)模有幾萬家，比如地市級以上政府委辦局、大型制造型企業(yè)、高速公路集團、地鐵、大型醫(yī)院、高等院校等。安全投資以合規(guī)為導向，對安全廠商或集成商的依賴性較強，整體安全建設和運維水平存在很多問題，承受黑客攻擊的能力很弱。

第三類包括所有的小型和大部分中型企事業(yè)單位，如非三甲醫(yī)院、普通中小學、一般的制造企業(yè)、縣級政府單位等。安全投入少，缺乏持續(xù)運維力量，普通病毒就可能導致整個信息系統(tǒng)宕機。

目前華為云等領先的公有云運營商都擁有強大的安全能力和團隊，可以通過某種方式向客戶提供專業(yè)的安全云服務，因此租用公有云的企事業(yè)單位可以購買此類云服務，保障其網絡空間的信息安全。