2021年第二季度全球超大规模数据中心数量增至659个

9月 17, 2021

Synergy Research的新数据显示,截至2021年第二季度末,超大规模提供商(Hyperscale Providers)运营的大型数据中心总数增加到659个,相比2016年同期增加一倍多。在所处位置方面,美国和中国继续占主要云和互联网数据中心站点的一半以上。紧随其后的是日本、德国、英国、澳大利亚、加拿大、爱尔兰和印度,它们合计占总数的25%。

在超大规模运营商中,亚马逊、微软和谷歌合计占数据中心足迹的一半以上,但就过去四个季度的数据中心增长率而言,表现突出的是三家中国公司–字节跳动、腾讯和阿里巴巴。就新建数据中心和更新现有设施方面,第二季度支出最大的是亚马逊、谷歌和微软,其次是Facebook、苹果、阿里巴巴、字节跳动和腾讯。

该研究基于对全球19家主要云和互联网服务公司的数据中心足迹的分析,其中包括最大的SaaS、IaaS、PaaS、搜索、社交网络、电子商务和游戏运营商。拥有最广泛数据中心足迹的是领先的云提供商–亚马逊、微软、谷歌和IBM。每家都拥有超过60个或更多的数据中心,且数据中心足迹至少覆盖了四个区域(北美、亚太、EMEA和拉丁美洲)中三个区域。甲骨文、阿里巴巴和腾讯也拥有非常广泛的数据中心足迹。其他公司的数据中心往往主要集中在美国(苹果、Facebook、推特、eBay)或中国(百度、京东)。

Synergy首席分析师John Dinsdale表示:“超大规模数据中心数量几乎呈直线增长,在过去三年中,每个季度平均有16个新数据中心上线。在新建数据中心设施之外,超大规模运营商还在增加现有设施的容量,并定期拆除和更换已达到运营寿命终点的服务器硬件。所有这些都在驱动超大规模运营商大规模且持续地投资。美国五巨头在数据中心季度支出方面仍处于领先地位,但中国超大规模运营商增长迅速,字节跳动尤为引人注目。在过去三年中,它还未上榜单,但现在在数据中心支出排名中已上升至第七位,远远领先于许多行业巨头。

2021年第二季度全球超大规模数据中心数量增至659个已关闭评论

IIS禁用WebDAV教程

9月 15, 2021

什么是webDav?
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

webDav的危害
当开启了WebDAV后,IIS中又配置了目录可写,便会产生很严重的问题。 有老外黑了一群中国政府站有一部分就是由于此配置。 危害巨大,操作简单,直接批量扫描,上传shell。

如何禁用WebDav?

Windows2008,IIS7:

打开IIS管理服务器,选择右边的ISAPI和CGI限制

在webdav选项上点击右键,选择拒绝

Windows2003,IIS6:

打开IIS管理器,选择web服务扩展,在右边的webDav上选择禁止

如何检测网站webdav漏洞?
用360网站检测就可以检查到网站的漏洞了,检测地址:http://webscan.360.cn/

漏洞危害
如果WebDAV配置不当,攻击者就有可以匿名对网站内容进行修改、删除及上传任意文件等操作,这可能会导致攻击者完全控制目标WEB服务器。
有些老版本的WEB服务器实现WEBDAV的相关功能的组件存在很多严重的安全漏洞,即使WebDAV权限等配置正确,也会可能因服务器上的组件问题而被黑客所利用进而控制整个服务器
如非绝对必要,请关闭webDAV;
如确需该功能,请更新您的WEB服务器至最新版本,并且正确配置webDAV的访问权限。

IIS禁用WebDAV教程已关闭评论

GPU服务器是什么?

9月 13, 2021

租用美国服务器,经常会在机房网站上看到GPU服务器的选项,这是什么样的服务器呢?随着计算机技术的发展,许多行业对于计算机的要求越来越高,为了满足市场需求,CPU服务器租用也就出现了。GPU服务器又被称为显卡服务器,是基于GPU的应用于视频编解码、深度学习、科学计算等多种场景的快速、稳定、弹性的计算服务。GPU加速计算可以提供非凡的应用程序性能,能将应用程序计算密集部分的工作负载转移到GPU,同时仍由CPU运行其序代码。从用户的角度来看,应用程序的运行速度明显加快。

CPU服务器具体有什么作用呢?
1、海量计算处理
GPU网络服务器强力的计算作用可运用于海量信息处理层面的与运算,如检索、互联网大数据强烈推荐、智能输入法等。

2、深度学习模型
使用GPU服务器为机器学习提供训练或者预测,GPU服务器带有强大的计算能力,可作为深度学习训练的平台,直接与外界连接通信。可以使用GPU服务器作为简单深度学习训练系统,帮助完成基本的深度学习模型。

GPU服务器是什么?已关闭评论

可持续发展大数据国际研究中心成立

9月 10, 2021

9月6日,可持续发展大数据国际研究中心成立大会暨2021年可持续发展大数据国际论坛在北京开幕。当天,可持续发展大数据国际研究中心(下称“中心”)宣告成立,这是全球首个以大数据服务联合国2030年可持续发展议程的国际科研机构。

中心主任、中国科学院院士郭华东介绍说,中心面向可持续发展目标实现的重大需求,在地球大数据科学工程专项基础上,建设多学科融合的可持续发展大数据云服务系统平台,建立全球可持续发展目标监测与评估体系,建成具有全球影响力的可持续发展大数据国际研究中心,为联合国和中国落实2030年可持续发展议程提供科技支撑。

中心依托中国科学院建设,秉承可持续发展技术促进机制,开拓地球大数据驱动的可持续发展研究新范式,建立全球可持续发展目标监测与评估体系,为联合国相关机构、成员国提供数据共享、科技支撑、决策支持,建设国际一流水准的科研机构。

中心五大任务包括:研发和建设可持续发展大数据平台、开展可持续发展指标监测与评估科学研究、研制和运行可持续发展科学卫星、建设科技创新促进可持续发展智库、提供面向发展中国家的教育和培训。

开幕式当天,“地球大数据促进可持续发展目标监测和评估成果展”正式开展,包括可持续发展目标专题研究案例、大数据促进可持续发展目标综合示范、可持续发展目标监测与评估数据产品和可持续发展科学卫星1号等四部分内容。中国科学院副院长、党组成员张亚平在展览开幕仪式上致辞时指出,展览展示了大数据在支撑可持续发展目标实现方面的实践与应用潜力,为相关国家尤其是发展中国家落实2030年可持续发展议程提供了方案和借鉴。

此外,中心研制的“可持续发展大数据平台系统”在开幕式期间发布。该系统是国内首个面向可持续发展目标的大数据云服务基础平台,为公众、科研人员及决策者等不同用户提供一站式可持续发展目标服务和数据公共产品。

2021年可持续发展大数据国际论坛由中国科学院、联合国环境规划署等共同主办。论坛采取线上线下相结合方式,设置9场大会报告、63场主题分会、3场专题会议,来自61个国家和地区的近千人参加。

可持续发展大数据国际研究中心成立已关闭评论

Apache二级目录部署react/vue教程

9月 8, 2021

本文主要是记录一下在apache二级目录上面部署react和vue项目。根目录下面部署很简单,但是在二级目录下就需要在webpack的配置或者vue-cli的配置文件以及路由组件做一些简单调整。由于mac系统自己带了apache,所以我们只需要开启就可以了。

配置apache

在终端中输入sudo apachectl start,然后在浏览器中输入”http://localhost”,如果出现”It works!”则说明apache启动成功。

由于mac系统在当前用户目录下面已经有一个Sites目录,专门用来存放站点的文件,这里只需要在里面建目录就可以了,这里有两个项目,一个为react项目,另一个为vue项目,目录如下:
|- Sites| – react # react项目build后的目录| – vue # vue项目build后的目录

在终端中进入目录/etc/apache2,如果是第一次配置apache,一定要把”httpd.conf”文件和目录”extra”作个备份。接下就是编辑”httpd.conf”文件,可以选择把整个”apache2″目录拖到文本编辑中进行修改,也可以使用vim来编辑,记得使用root权限。

在配置文件中找到#ServerName localhost:80去掉”#”号,然后找到#LoadModule rewrite_module libexec/apache2/mod_rewrite.so同样去掉”#”号,然后在httpd.conf同级目录新建一个目录users来放置自己的配置文件,这里需要在apace配置中添加Include /private/etc/apache2/users/*.conf来加载自己的配置。

在users目录中新建一个文件,这里取名叫www.example.conf。在里面添加内容:
<VirtualHost *:80> DocumentRoot /Users/你的用户名/Sites/ <Directory “/Users/你的用户名/Sites/”> Options Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all Require all granted </Directory></VirtualHost>

需要清楚的是DocumentRootxxx和<Directory “xxx”>均指向你的网站部署所在目录。

配置好了记得重启apache,这里是使用命令sudo apachectl -k restart。

配置Vue

项目是通过vue-cli 3.x生成的,在根目录新建配置文件”vue.config.js”,然后添加以下内容:
// vue.config.jsmodule.exports = { baseUrl: process.env.NODE_ENV === ‘production’ ? ‘/vue’ : ‘/’, outputDir: ‘build’,};

这里把outputDir改成”build”是为了和react保持一致。然后找到”router.js”文件,添加一个base配置。

注意: 怎么把vue项目部署在二级目录,官网文档是有说明的。
export default new Router({ mode: ‘history’, base: process.env.BASE_URL, routes: [ { path: ‘/’, name: ‘home’, component: Home } })

最后我们还需要在public目录中添加一个.htaccess文件来配置将所有的请求转发到静态文件index.html
RewriteEngine OnRewriteCond %{REQUEST_URI} !^/index.html$RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_URI} !\.(css|gif|ico|jpg|js|png|swf|txt|svg|woff|ttf|eot)$RewriteRule . /vue/index.html [L]

Apache二级目录部署react/vue教程已关闭评论

如何辨别服务器是不是原生IP?

9月 6, 2021

原生IP就是指这个IP的注册地址和服务器机房所在的国家一致的IP,虽然IP地址没有国界,但为了方便区别和管理,ICANN(互联网名称与数字地址分配机构)将IP进行分割,大部分国家和地区都有对应的IP段。不过由于互联网的开放性,不同国家或地址的IP可以相互广播绑定,这些IP就成为非原生IP,也叫做广播IP。

在实际运用中,原生IP价格相对会比其他的IP会高一点,因为有些对区域限制十分严格的服务或者是游戏,就只能使用原生IP。比如买了一台香港服务器,然后查了查发现这个IPWhois信息里地址居然是在欧洲或者非洲,那么就说明这个IP不是原生IP,而是广播IP。广播IP价格相对来说比较便宜,一般情况下的网络体验跟本地的IP是没有什么区别的。

如何辨别自己租用的服务器是否是原生ip,自己租的服务器肯定都是知道机房位置是在哪个地方,只需要将机房位置和Whois信息中的位置来进行比对,看是否一致。一般情况下,原生IP和广播IP没有什么区别,但原生IP在SEO优化和管理方面,会更具有优势。

如何辨别服务器是不是原生IP?已关闭评论

中国网络安全威胁和漏洞信息共享平台正式上线运行

9月 3, 2021

为落实《网络产品安全漏洞管理规定》有关要求,工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台(下称“平台”)(https://www.nvdb.org.cn)于2021年9月1日正式上线运行。

根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)、工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)、移动互联网APP产品安全漏洞专业库(https://cappvd.cstc.org.cn)、车联网产品安全漏洞专业库(https://cavd.org.cn)等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。

平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。

中国网络安全威胁和漏洞信息共享平台正式上线运行已关闭评论

Windows2012系统挂载新硬盘教程

9月 1, 2021

Windows2012系统挂载新硬盘教程如下:
1、点击左下角的服务器管理图标

2、点击右上角的“工具”,再选择“计算机管理”

3、再点击“磁盘管理”

4、在磁盘1的按钮处单击右键,选择“联机”

5、联机之后再在磁盘1的按钮处单击右键,选择“初始化磁盘”

6、点击“确定”

7、在未分配的空间处单击右键,选择“新建简单卷”

8、点击“下一步”

9、点击“下一步”

10、点击下一步

11、点击下一步

12、点击完成

Windows2012系统挂载新硬盘教程已关闭评论

网站服务器是什么?

8月 30, 2021

网站服务器,区别其他用途的服务器,一般指用来存放网站的服务器,也称WWW或者是WEB服务器,是互联网非常重要的服务器,它能够放置网站文件,可以让用户通过网络进行访问,也可以让用户设置文档下载。那么网站服务器有哪些类型呢?

1、Apache。Apache是现在世界上可以说最好用的或者说使用最广泛的一款服务器软件,它几乎可以运行在所有的计算机平台上。几经修改,已经是最流行的网站服务器之一。取名Apache其实本意是说充满补丁的服务器,正是因为它是自由软件,因此有很多人都会开发新功能,然后进行修改原来的缺陷,整体简单,速度快,性能稳定,一般还可以做代理服务器使用。
2、IIS服务器。其实就是Internet信息服务,主要是微软开发的服务器,与Windows Server集成在一起,能够让用户利用Ntfs及Windows Server内置的安全特性,然后建立强大灵活且安全的网站站点。
3、GFEGoogle网站服务器。现在用户量激增,数量紧追IIS。
4、Nginx服务器。它是一款高效的HTTP服务器,也可以利用负载均衡反向代理,接受很多用户的请求,从而分发到多个进程中,大大提高Rails应用的并发能力。
5、Lighttpd服务器。Lighttpd是德国人发明的,基于BSD许可的开源网站服务器软件,安全,快速,兼容性好,而且灵活性也比较高。尤其是它的整体内存开销比较低,CPU使用率也低,交通好,是轻量级网站服务器中比较优秀的,能够支持URL重宝民,Alias等重要功能。
6、Zeus服务器。Zeus是在Unix下比较优秀的网站服务器,据说整体性能超过Apache,效率最高的网站服务器之一。
7、Sun的Java系统服务器。这个主要是运行SUN的Solaris操作系统,能够支持X86版本的Solaris,Red Hat Linux,HP-UX 11i, IBM AIX,甚至可以支持Windows,不过现在大多数用户可以选择SPARC版本。
8、Resin服务器。在Java及Jsp的支持下,Resin可以灵活的选择合适的开发语言。
9、Jetty服务器。一个开源的servlet容器,基于Java的Web内容。是使用Java语言编写的,能够以一组JAR包的形式发布。
10、BEA服务器。拥有处理关键WEB应用系统问题所需的性能,及可扩展性和高可用性。
11、Tomcat。技术先进,性能稳定,而且免费,非常受Java爱好者的喜爱,也是目前比较流行的网站应用服务器。
目前比较常用的就是Apache服务器、IIS服务器及Tomcat服务器。Apache在Linux系统中使用较多,IIS是Windows操作系统,而Tomcat是JSP语言环境,其实它也是Apache旗下的一种,不过开发环境不一样。

另外网站服务器也可以分为几大类:虚拟主机、云服务器、物理服务器、高防,按照地区可以分为国外和国内,按照特点又可分为备案与免备案。
虚拟主机:则以香港虚拟主机为主,其次国内虚拟主机,再就是国外虚拟主机,比较适合新用户练习。
云服务器:国内备案以阿里、腾讯、百度为主,免备案则以香港云服务器、美国云服务器为主,适合各阶段各行业的用户及网站类型。
物理服务器:与云服务器一样。不过物理服务器托管香港的比较多,安全性、稳定性更高。
防御服务器:防御以香港高防、美国高防、高防IP等为主。
一般用途是以网站优化居多,如果预算有限的话,建议选择独享虚拟主机;预算充足,且对服务器无要求可选择云服务器;大型企业网站可以推荐物理服务器,安全性更高;被攻击当然推荐高防服务器,可抵御DDOS攻击,过滤虚假流量,对正常访问的用户没有影响。

网站服务器是什么?已关闭评论

2021上半年全球网安政策趋势报告

8月 27, 2021

转眼间,2021 年已过大半。回顾 2021 年上半年,新冠疫情的影响还未消退,网络攻击态势却愈演愈烈。
勒索软件为代表的安全事件频发。据统计,2021 年平均每 11 秒就发生一次勒索攻击事件,预计今年全球勒索软件损失将达到 200 亿美元。5 月,美国最大燃油运输管道公司科洛尼尔和全球最大肉类供应商 JBS 集团遭勒索攻击,造成短期内石油、肉类供应紧张。
数据泄露数量规模不断扩大,对国家安全、企业安全、民众安全均带来了严重的危害。2021 年以来,社交巨头LinkedIn 已经历了三轮大规模用户个人资料被恶意抓取,共计 18 亿用户数据遭泄露;4 月,Facebook 超 5 亿用户信息泄露,涉及全球 106 个国家。
此外,重大安全漏洞不断涌现,涉及众多知名厂商。3 月,苹果公司紧急修复远程命令执行漏洞,影响涉及数十亿设备;4 月,国内厂商小米披露了其 MIUI 系统的越权漏洞预警,攻击者可利用该漏洞获取前台运行进程信息;5 月,高通移动调制解调器 MSM 芯片被曝存在安全漏洞,影响全球 40% 手机。
2021 年网络安全进入新阶段:安全事件频发、影响日益严重,促使多国竞相出台加强网络安全建设的政策、法律和规划。
本文梳理全球主要国家在 2021 年上半年发布的政策法规,从国家战略、新兴技术、数字治理、供应链安全和关键信息基础设施保护等角度,展示全球网络安全发展态势。

一、多国出台国家网络安全战略,占据网络空间竞争优势
2021 年上半年,美国、欧盟、英国、俄罗斯、日本等国纷纷出台国家安全总体战略,重点加强网络安全顶层规划建设,力图在全球网络空间激烈竞争局势中占得先机。

1. 美国将网络安全列为国家优先级别
随着年初美国总统拜登正式上任,加之近期出现的一系列重大安全事件,美国政府加紧出台新版国家安全总体战略,并提出将网络安全列为国家安全首位。
2021 年 3 月,美国白宫发布《国家安全战略临时指南》,作为拜登政府发布的第一份全面应对国际国内局势的政策指导文件,该指南提出加强美国在网络空间中的能力和弹性。通过鼓励公私合作、加大资金投资、加强国际合作、制定网络空间全球规范、追求网络攻击责任、增加网络攻击成本等方式保护美国网络安全,同时特别强调国家网络人才库多样化的重要性。
2021 年 5 月,美国总统拜登签署发布了《改善国家网络安全行政令》,旨在从保护联邦网络、改善美国政府与私营部门间信息共享以及增强美国对安全事件响应能力等方面,提高国家网络安全防御能力。美国政府将通过推动联邦政府采用零信任架构、改善软件供应链安全、建立网络安全审查委员会以及提升漏洞和事件处置能力等措施,实现网络安全现代化的目标。
2021 年 6 月,美国国会参议院高票通过了《2021美国创新和竞争法案》,该法案主要由 1 个拨款方案和4 个相互独立的法案构成,涉及芯片、5G、航空航天、网络安全及人工智能、医学研究、美国制造等多个领域,相关投资额约 2500 亿美元,包括:向半导体制造业补贴逾 500 亿美元;向美国国家科学基金会(NSF)拨款810 亿美元,用于人工智能、计算机技术等 10 个重点领域研究;向 5G 行业提供 15 亿美元以鼓励技术创新等。

2. 欧盟制定数字十年的网络安全战略
欧盟在“战略自主”的框架下全面提出数字主权建设,并计划围绕这一整体战略出台一系列政策法规。未来十年,欧盟将通过大力发展数字技术和数字基础设施,推进全球网络空间开放合作。
2021 年 3 月,欧盟委员会发布《关于欧盟数字十年网络安全战略的结论》文件。该战略于 2020 年 12 月底发布,旨在增强欧洲抵御网络威胁的能力,并指出未来欧盟主要行动包括建立欧盟安全运营中心网络计划;明确欧盟网络安全危机管理框架;加强与国际组织和伙伴国家的合作,以增强网络威胁形势的共识等。
2021 年 3 月,欧盟委员会发布《2030 数字指南针:欧洲数字十年之路》报告,明确了到 2030 年,欧洲数字化转型的目标和实现途径。报告制定了包括提升公民数字素养、建立安全和可持续的数字基础设施、推动企业数字化转型、促进公共服务数字化在内的四大类目标。为落实欧盟总体数字计划中的部分规定,欧盟委员会于2021 年 6 月提出欧盟数字身份框架计划,敦促成员国为欧盟所有公民设立数字身份档案系统,提供数字身份钱包。

3. 英国制定战略重塑国家网络安全愿景
在面对新冠疫情、地缘政治与脱欧等多重挑战的背景下,英国政府制定“全球英国”的战略规划愿景,并提出总体目标,将网络安全列为英国目前面临的核心问题。
2021 年 3 月,英国政府正式发布《竞争时代的全球英国:安全、国防、发展与外交政策综合评估》报告,该报告提出四项总体目标:一是通过科学和技术来维持战略优势;二是塑造未来的开放国际秩序;三是加强国内外的安全与防御;四是在国内外建立弹性。
根据报告显示,英国即将发布 2021 年新版网络战略。该战略明确了五大优先事项:一是加强英国的网络生态系统,采取一种整体的网络方法,并加深政府、学术界和业界之间的合作伙伴关系;二是建立一个弹性和繁荣的“数字英国”,使民众在网络中感到安全,并对个人数据受到保护充满信心;三是引领对网络力量至关重要的技术,包括微处理器、安全系统设计、量子技术和新形式数据传输等;四是与其他政府和业界合作,并利用英国在网络安全方面的思想领导力,促进自由、开放、和平与安全的网络空间;五是发现、破坏和威慑英国的对手。

4. 俄罗斯新版国家战略中新增信息安全保障
2021 年 7 月,俄罗斯总统普京签署新版《国家安全战略》。此战略由俄罗斯联邦安全会议制定,是国家安全保障领域的最高层次指导文件。俄罗斯《国家安全战略》每六年更新修订一次,与 2015 年底颁布的上一版战略相比,新版战略首次加入信息安全章节,体现了俄罗斯对于网络信息安全的重视程度日益增加。
新版《战略》主要分析了当前全球和俄罗斯的发展态势及安全环境,提出了国家和社会安全、信息安全、科学技术发展等九个国家战略性优先事项,并明确了各优先事项框架下的形势、目标与任务。
在信息安全领域,该战略明确反对他国运用信息通信技术对俄罗斯实施网络攻击、情报侦察,防止运用互联网散布不利于俄罗斯政治局势稳定的不实信息等,提出包括加强电子数据管理系统防护、建立信息安全威胁预警系统、应用人工智能技术和量子计算等先进技术改进信息安全保障方法等 16 项任务。

5. 日本发布网络安全战略应对复杂安全形势
为应对日益严峻的数字化威胁以及东京奥运会网络安全挑战,日本发布一系列网络安全战略文件。2021 年5 月,日本内阁秘书处内阁网络安全中心(NISC)发布《下一代网络安全战略纲要》《网络安全研发战略(修订版)》
《网络安全委员会倡议》等多份有关网络安全的政策文件,进一步推进数字社会建设,构建网络防御体系,以建立自由安全的公共网络空间。
2021 年 7 月,日本发布新版《网络安全战略》草案并征求公众意见,战略草案确定了实施有关网络安全措施的五项基本原则,确保信息的自由传播、法治、开放性、自主性和多方合作。战略草案指出,为确保“自由、公平和安全的网络空间”,应从以下三个方向推进相关工作:一是在数字化变革的基础上,同步推进数字化转型和网络安全;二是促进网络空间安全,“实现公民在社会能够安全的生活”;三是从安全角度加强努力,增强参与、协调和合作。

二、新兴技术构建万物互联,制度建设推动安全建设
近年来,以 5G、人工智能、物联网等为代表的新兴技术迅猛发展,一个万物互联的智能时代即将诞生。物联网正在推动人类社会从“信息化”向“智能化”转变,促进信息科技与产业发生巨大变化。
在新兴技术为人类社会带来新一轮科技革命与产业变革的同时,其中也蕴藏着许多网络安全风险。
纵观全球,各国都在加快新兴技术战略布局,出台相应政策法规,确保智能时代的经济发展安全有序。

1. 5G 建设步入高速发展期,安全风险引发关注
如果说 2020 年是 5G 建设之年,那么 2021 年就是5G 高速发展之年。随着 5G 技术的蓬勃发展,由此引发的网络安全问题成为各界关注的重点。2021 年 2 月,移动安全公司 AdaptiveMobile 向 GSM 协会报告了最新研究成果,发现 5G 架构的网络切片与虚拟化网络功能存在安全漏洞,恶意攻击者可能借此跨越移动运营商 5G网络上的各个不同网络切片,发动数据访问与拒绝服务攻击。
因此,各国纷纷发布与 5G 安全相关的战略、政策和标准,同时加大资金投入,致力于建立一个完善的 5G发展体系。
美国方面,在 2021 年 2 月,美国国家标准与技术研究院(NIST)发布了《5G 网络安全实践指南》草案,该指南旨在帮助使用 5G 网络的组织以及网络运营商和设备供应商提高安全能力。
2021 年 3 月,美国国际战略研究中心(CSIS)发布《加速美国 5G 发展》报告,报告提出完善电信法规以消除监管障碍、与盟国建立网络安全合作机制等 11 项具体建议,确保美国 5G 发展能够最大程度的降低国家安全风险,同时最大化经济回报。
2021 年 5 月,美国国家情报总监办公室、美国国家 安全局和国土安全部网络安全与基础设施安全局联合发 布《5G 基础设施潜在威胁载体报告》,分析了 5G 在政 策标准、供应链、5G 系统架构三个领域的威胁载体,以 加强对 5G 应用面临威胁的了解,制定全面的解决方案。欧盟方面,在 2020 年 12 月,欧盟网络安全局 (ENISA)发布《5G 网络威胁态势报告》,探讨了未 来应如何利用安全技术帮助减轻 5G 网络安全风险的措 施,对 5G 安全生态系统中的利益相关方提出了创新性 建议。
2021 年 3 月,欧盟委员会在《关于欧盟数字十年网 络安全战略的结论》文件中要求实施并加速完成欧盟 5G 工具箱,努力确保 5G 网络安全性和未来网络发展。对我国来说,2021 年 6 月,国家发展改革委等四部 门联合发布《能源领域 5G 应用实施方案》。实施方案 提出进一步拓展能源领域 5G 应用场景、加快能源领域 5G 专用技术研发、加大相关基础设施和安全保障能力建 设三项重点任务。在安全保障能力建设方面,实施方案 要求构建 5G 应用安全保障体系,确保 5G 融合应用相 关网络基础设施和核心系统安全。同时健全能源领域 5G 应用安全技术标准,将 5G 网络安全保障纳入能源领域 5G 应用的全流程、全环节。
2021 年 7 月,工信部、中央网络安全和信息化委员 会办公室等十部门联合发布《5G 应用“扬帆”行动计划 (2021-2023 年)》,旨在显著提升我国 5G 应用发展 水平,保护 5G 应用安全等。根据行动计划,提升 5G 应 用安全的具体举措包括以下四个方面,一是加强 5G 应 用安全风险评估;二是开展 5G 应用安全示范推广;三 是提升 5G 应用安全评测认证能力;四是强化 5G 应用安 全供给支撑服务。

2. 人工智能引发双重考验,政策监管仍需加强
近年来,人工智能技术日趋成熟,应用十分广泛。伴随而来的网络安全问题对现实生活也造成一定影响,Facebook 创始人兼 CEO 扎克伯格、美国前总统奥巴马均遭遇过“AI 换脸”,引发社会广泛关注。目前,以美欧为代表的西方国家正加快出台监管政策,规范人工智能领域发展。
美国方面,2021 年 3 月,美国国家人工智能安全委员会向国会提交发展人工智能的最终建议报告。报告规划了美国在人工智能时代取胜的战略,并制定了行动路线图。报告中首次提及,中国拥有在未来 10 年超越美国成为人工智能领域领导者的“潜力”,建议美国政府在领导力、人才、硬件和创新投资等四个方面立即采取应对行动。
2021 年 7 月,美国国土安全部科学技术局发布《人工智能与机器学习战略计划》,提出了未来三大战略目标:一是推动用于跨领域国土安全能力的下一代人工智能和机器学习技术发展;二是促进在国土安全任务中使用经过验证的人工智能与机器学习能力;三是建立经人工智能与机器学习技术培训的跨学科员工队伍。
欧盟方面,2021 年 4 月,欧盟委员会通过了《人工智能法》提案,旨在建立关于人工智能技术的统一规则。提案不仅对人工智能技术在诸如汽车自动驾驶、银行贷款、社会信用评分等一系列日常活动中的应用设定了限制,而且还对欧盟内部的执法系统和司法系统使用人工智能的情形提出了相应的问题解决方案。
2021 年 5 月,欧洲政策研究中心(CEPS)成立的人工智能和网络安全工作组,发布了《人工智能与网络安全:技术、治理和政策挑战》报告。该报告概述了人工智能在网络安全领域的有效应用,以及人工智能系统可能被操纵所带来的风险,并介绍了与人工智能实施相关的主要伦理影响和政策问题。报告根据欧盟数字战略的目标,提出了建设性和具体的政策建议,以确保人工智能的安全应用。

3. 物联网成攻击重灾区,相关政策加紧出台
随着万物互联时代的到来,机构物联网设备数量不断增加,但缺乏对应保护措施,相关网络攻击事件频发。2021 年 3 月,特斯拉工厂摄像头供应商被黑,导致多家机构共计 15 万个监控访问权限被获取。近期,各国政府加快出台有关政策法规,加强物联网安全防范。
美国方面,在 2021 年 3 月,美国参议院与众议院再次引入《网络护盾法案》,其中建议为物联网设备创建一个自愿的网络安全认证计划。该法案建议由各界网络安全专家组成的咨询委员会负责为物联网设备定义一个安全标准。所生产产品符合这些标准的物联网制造商可以将此认证展示给公众并打上“网络护盾”标签,这将有助于消费者在购买物联网设备时做出决策。
英国方面,2021 年 4 月,英国数字、文化、传媒和体育部(DCMS)发布了对《物联网设备网络安全提案》征求意见稿的回复。该提案概述了英国政府对调控物联网设备网络安全的意图和政策主张,并倡导通过完善立法来促进消费者使用物联网设备的安全性。根据该提案,英国政府将制定新的监管计划,以保护消费者免受不安全的物联网设备的伤害。同时能够在不影响有效性的情况下,采取合适的方法赋予制造商一定的义务和责任,以实现对公民、网络和物联网基础设施的持续性保护。
在我国,2021 年 6 月,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。该指南针对车载联网设备、基础设施、网络通信、数据信息、平台应用、车联网服务等关键环节,提出覆盖终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面的技术架构。
2021 年 6 月,工信部发布《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿),其中要求加强车联网网络安全、平台安全、数据安全防护,强化安全漏洞管理。具体包括落实企业网络安全主体责任,建立健全数据安全管理制度,加强个人信息与重要数据保护等。

三、数据安全成为全球关注重点,各国加快数据治理进程
随着全球数字化转型,数据资源已经成为数字时代的“软黄金”,推动国民经济快速发展。与此同时,数据泄露事件屡见不鲜,对国家安全、企业安全和民众安全均带来了严重的危害。根据安全公司 Risk BasedSecurity 最近发布的《2021 年上半年数据泄露速览报告》显示,2021 年上半年共有 1767 起公开报告的泄露事件,美国报告的泄露事件数量增长了 1.5%,泄露数据总量达188 亿条记录。
当前,各国都在加紧制定数字战略,力求在数字化发展的浪潮中为数据安全保驾护航。以欧盟、美国为代表的西方国家和组织,相继推出较成熟且侧重点不同的配套数据安全政策法规。我国在数据安全方面也陆续推出了一系列法律法规及标准规范。

1. 加强数据安全顶层规划
对欧盟来说,其数据安全立法处于全球领先地位,颁布的众多政策法规都颇具影响力。2018 年 5 月正式实施的欧盟《通用数据保护条例》(GDPR)是全球第一部全面的隐私保护法,对各国的立法均具有启示意义。2021 年 2 月,欧盟发布的《电子隐私条例》草案,是作为 GDPR 在电子通信领域的细化和补充的特别法,通过对数据类型的分类保护(例如区分电子通信内容和元数据)和对法人、自然人共同保护的方式加强和扩大了对隐私保护的力度和范围。
对美国来说,其跨国信息巨头遍布全球,数据资源为美国创造了巨大的利益,因此美国数据治理模式更偏向于利益导向。美国目前尚未出台国家层面统一的数据安全立法,大多是各州颁布的数据法案。例如,美国加利福尼亚州的《加州隐私权法案》、弗吉尼亚州的《消费者数据保护法》和科罗拉多州的《科罗拉多州隐私法案》等。此外,美国政府还通过了《统一个人数据保护法》,该法案将成为各州数据隐私法案范本。
对我国来说,随着数据安全保护浪潮的兴起和各国数据安全保护实践的深入,我国逐步建立了以《中华人民共和国网络安全法》《中华人民共和国数据安全法》为统领,专项法律、行政法规、部门规章为支撑,标准规范文件为配套的制度体系。同时,《个人信息保护法》正式通过,进一步完善了我国个人隐私保护法律体系。

2. 规范数据跨境流动制度
近年来,各国都在出台有关数据保护的法律法规,其中大多涉及数据跨境流动的法律或政策,但不同国家的立法标准不一致。
欧盟以“构筑单一数字市场”为战略目标,按照“外严内松”原则引领建立全球数据规则体系。2021年6月,欧洲数据保护委员会正式通过关于英国的充分性决定,该决定表明未来 4 年内,英国和欧盟的个人数据可以自由合法地流动。同月,作为对 Schrem II 案(该案废止了美欧数据跨境转移机制“隐私盾协议”)的回应,欧盟数据保护委员会正式通过两份关于数据跨境传输合法性的指导性意见。此外,欧盟委员会还颁布了新的关于数据跨境传输的标准合同条款的最终版本。
美国以维护数字竞争优势和强化“长臂管辖”为主旨,构建数据跨境流动与限制政策。2021 年 6 月,美国白宫颁布《关于保护美国公民敏感数据免受外国对手侵害的行政令》,该行政令撤销了特朗普政府针对 TikTok 等与中国相关软件应用程序的限制性政策,同时提出了一套全新的审查流程,由美国商务部持续评估国外联网软件应用的安全风险。该行政令表明美国政府正逐步出台相关法规限制本国数据跨境流动。
我国以维护国家数据主权、确保安全与发展并重为目的,逐步建立数据跨境流动保护体系。首先,《数据安全法》中规定了对跨境数据实施数据安全审查制度和数据出口管制,初步确立了我国针对数据跨境流动的基本法律框架。其次,《个人信息保护法》中规定跨境传输个人信息时需要对数据进行脱敏处理,同时在操作前要进行风险评估。最后,新修订的《网络安全审查办法》也增加了对数据安全方面的审查,同时要求掌握超过100 万用户个人信息的企业赴国外上市,必须申报网络安全审查。
可以看出,各国数据跨境流动法律法规的主旨是在本国利益最大化的前提下合法推进数据跨境流动。在复杂形势下,我国应当建立完善数据跨境流动保障机制,确保国家安全、经济发展、维护公民权益的有效协同,真正推动我国数字经济的发展,维护数据主权。

3. 个人隐私保护成为热点
随着新技术、新应用的快速发展,以人脸识别为代表的人工智能技术带来的隐私问题持续引发全球关注。今年 3·15 晚会,央视曝光了不少非法采集用户人脸信息的不良商家,引发民众对隐私数据的担忧。
生物识别数据披露的个人特征精确,且采集门槛较低、极易获取,一旦遭到泄露、篡改或非法共享,极易带来“身份盗窃”风险,且正在成为攻击者的主要目标。对此,各国政府纷纷出台相关政策,开始规范和限制生物识别数据的使用。
在人脸识别信息保护方面,2021 年 3 月,我国国家互联网信息办公室、公安部发布通告称将加强对语音社交软件和涉“深度伪造”技术的互联网新技术新应用安全评估工作。腾讯、阿里巴巴、字节跳动、快手、小米等 11 家企业因未履行安全评估程序被国家有关部门约谈。2021 年 7 月,我国最高人民法院审委会通过的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》也进一步明确,处理人脸信息必须征得自然人同意,不得强迫、变相强迫同意处理其人脸信息。
在车联网数据保护方面,2021 年 3 月,欧盟数据保护机构发布了《车联网个人数据保护指南》。该指南聚焦于欧洲车联网个人数据保护,并提出指纹等生物识别数据应当存储在车内,应当从车联网设计阶段即将数据保护纳入考虑等建议。我国也发布了一系列有关联网汽车的数据保护制度,2021 年 8 月,国家互联网办公室等五部门出台《汽车数据安全管理若干规定 ( 试行 )》;2021 年 6 月,工信部出台《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿)。
在 APP 个人信息保护方面,近期我国有关机构颁布一系列技术规范与标准文本,旨在规范 APP 个人信息收集行为,保障公民个人信息安全。2021 年 3 月,国家互联网信息办公室秘书局、工信部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》;2021年 4 月,工信部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。
此外,我国不同行业主管部门也针对各领域特点制定相应政策法规,重点保护各行业有关数据。例如 , 交通运输部制定《交通运输政务数据共享管理办法》、国家医疗保障局制定《加强网络安全和数据保护工作指导意见》等。

四、加强勒索软件防范,完善供应链风险管理与关基保护制度
近年来,勒索软件事件频发,造成的危害也愈加严重。近期,一起影响广泛的软件供应链勒索攻击事件引发全球关注。美国 IT 管理软件厂商卡西亚(Kaseya)遭遇勒索软件攻击,黑客组织利用一个 0day 漏洞将恶意软件部署至卡西亚的管理系统,全球上千家企业客户超 100万个系统通过软件更新感染了勒索病毒,而勒索团伙开出了价值 7000 万美元的比特币赎金。
随着安全防护技术的升级,黑客开始对软件供应链及能源、医疗等关键信息基础设施行业等薄弱环节实施攻击。因此,各国纷纷出台相关举措以应对此类安全威胁。

1. 积极防范勒索软件攻击
2021 年上半年以来,勒索软件攻击十分猖獗,根据安全厂商 SonicWall 报告显示,该公司检测到的攻击尝试达到 3.047 亿次,超过了 2020 年全年的攻击总数。美国是受勒索软件攻击最严重的国家之一,其中美国受影响较大的地区是佛罗里达州,有 1.111 亿次攻击尝试。美国政府近期接连出台多项打击勒索软件攻击的新举措。
一是出台有关政策法规。2021 年 6 月,美国司法部提交《关于勒索软件和数字勒索调查和案件的指导意见》备忘录,旨在通过一系列安全指令实践来阻止勒索软件感染、数据盗窃和向网络犯罪集团支付巨额款项等违法行为。
二是成立打击勒索软件工作组。成员包括网络安全和互联网企业、政府部门、执法机构、非营利组织以及国际组织等 50 余家机构。工作组通过公私部门合作的方式,共同研究提出应对勒索软件攻击的解决方案。
三是建立专门网站。主要用于汇集各机构最新勒索软件预警信息和应对指南。民众也可通过该网站向政府报送遭受勒索软件攻击的情况。
四是美国司法部实施奖励计划,提供 1000 万美元的奖金,用于鼓励相关机构和个人提供具有国家背景的黑客身份或位置信息。
对我国来说,尚未出台专门针对勒索软件攻击的法律法规,更多是偏执行层面的规章制度。2021 年 7 月,国家互联网应急中心发布了《勒索软件防范指南》,其中规定了防范勒索软件要做到九要、四不要。包括要备份重要数据和系统、要设置复杂密码并保密、要做好身份验证和权限管理、要制定应急响应预案等九项建议。不要点击来源不明邮件、不要打开来源不可靠网站、不要安装来源不明软件,以及不要插拔来历不明的存储介质等四项建议。

2. 着力加强软件供应链风险管理
根据奇安信《2021 中国软件供应链分析报告》数据显示,国内企业软件项目 100% 使用开源软件;近 9 成软件项目存在已知开源软件漏洞;平均每个软件项目存在 66 个已知开源软件漏洞,软件供应链安全面临巨大风险。
美国在遭遇 SolarWinds 大型供应链安全事件后,紧急出台了一系列有关供应链安全的政策法规。2021 年2 月,美国总统拜登签署《确保信息和通信技术及服务供应链安全》行政令,要求对半导体芯片等四类供应链产品开展审查,并在一年内完成对美国国防、通信科技、能源等六大部门的生产供应链进行风险评估,提出改善措施。
2021 年 4 月,美国网络安全和基础设施安全局(CISA)和美国国家标准技术研究院(NIST)联合发布《防御软件供应链攻击》报告,描述了与软件供应链攻击相关的信息、关联风险及缓解措施。
2021 年 5 月,美国总统签署的《关于改善国家网络安全的行政命令》,要求联邦政府采取行动确保软件供应链的安全性和完整性,其中包括要求向政府出售的软件必须符合基准安全标准,并引入软件物料清单。
2021 年 6 月,美国参议院在通过的《2021 年美国创新和竞争法案》中也提到要推进“弹性供应链战略”、帮助美国公司“获得稳定可控的全球供应链”等,从而确保美国在供应链安全方面的领导地位,减少网络攻击的产生。
目前,我国在软件供应链方面的政策法规较为缺失,从国家和行业监管层面来讲,应当制定有关政策要求、标准规范和实施指南,确保我国软件供应链安全有序的发展。

3. 加大关键信息基础设施保护力度
美国是世界上最早意识到关键信息基础设施重要性并出台一系列完备政策法规的国家,但依然面临严峻的网络安全态势。最为严重的是美国最大燃油运输管道公司科洛尼尔遭到网络攻击后被迫停运,直接造成美国东海岸燃油短缺,美国运输安全管理局(TSA)由此宣布美国多个州进入紧急状态。针对该事件,美国政府部门随即出台了一系列措施。
2021 年 5 月,美国国土安全部运输安全管理局(TSA)发布一项关于加强管道网络安全的安全指令,要求各管道供应商应及时向运输安全管理局与网络安全及基础设施安全管理局上报网络安全事件,并指派一位网络安全协调员,全天候待命。
2021 年 7 月,TSA 再次发布针对关键管道运营者的网络安全新要求的安全指令,该安全指令要求 TSA 指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和对信息技术和运营技术系统的其他已知威胁,制定并实施网络安全应急和恢复计划,并进行网络安全架构设计审查。
此外,美国政府还采取建立网络安全审查委员会、启动针对关键基础设施保护的试点项目等措施,保障关键基础设施的安全,如电力行业网络安全“百日计划”等。
我国正加速推进以《网络安全法》为核心的关键信息基础设施保护法律体系建设。近日,国务院颁布出台《关键信息基础设施安全保护条例》(以下简称《条例》),这是我国首部专门针对关基安全保护工作的行政法规,开启了我国网络安全工作的新篇章。
《条例》对《网络安全法》所确立的关基安全保护制度作了进一步细化完善,明确了国家网信部门、国务院公安部门以及重要行业和领域的主管部门、监督管理部门等相关职能部门的责任边界和职责要求,明确了关基认定原则和认定机制,细化了运营者的主体责任和义务,形成了关基安全保护工作相关各方的法律责任体系。
此外,漏洞管理也属于关键信息基础设施保护的重要组成部分。2021 年 7 月,工信部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》,其中明确了网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的各类主体的责任和义务。此项规定的出台,推动了网络产品安全漏洞管理工作的制度化、规范化、法制化。
回顾 2021 年上半年,全球面临严峻的网络安全态势,各类攻击事件层出不穷。各国都在加强网络安全顶层规划及细分领域制度建设。
2021年下半年,数据安全及个人隐私、供应链安全和关键信息基础设施保护等方面仍将是网络安全行业讨论的热点。我国对网络空间安全的重视程度正日益增强,未来网络安全行业必将迎来高速发展期。

2021上半年全球网安政策趋势报告已关闭评论