政府安全資訊精選 2017年第十二期 中國網絡安全漏洞披露平均效率遠超美國； 美國美國國土安全部發布指令，要求聯邦機構強化Web和電子郵件安全

 

【國內政策分析】

安徽合肥開出首張《網絡安全法》罰單 點擊查看原文

概要：合肥市公安局高新分局對某企業的門戶網站被植入木馬病毒的案件進行調差。同時，對該單位網絡安全負責人和負責維護合肥某信息產業有限公司的負責人開出了合肥市首張違反《網絡安全法》處罰決定，對未落實網絡安全保護責任的行為下達整改通知書，並處以警告處罰。

點評：該企業違反了《網安法》第二十一條，“網絡運營者應當按照網絡安全等級保護製度的要求，采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施”。網絡安全保護責任是網絡安全法的核心之一，也是企業的首要保障任務。根據《網安法》，違規企業不僅會受到出發，網絡安全負責人也可能直接被罰款。預計今年年底至明年，各地監管將繼續加強《網絡安全法》相關的執法工作。

【全球行業動態】

中國網絡安全漏洞披露平均效率遠超美國 點擊查看原文

概要：Recorded Future的網絡安全調查顯示，中國國家信息安全漏洞庫（CNNVD）處理安全漏洞的平均效率比美國計算機應急響應小組（U.S.-CERT）高出近兩倍。CNNVD平均需要13天的時間完成對曝光漏洞的處理，在係統中創建條目並發布，而美國CERT則需要33天的時間。根據過去兩年披露的漏洞數據， 75%初次披露的漏洞6天內被CNNVD收錄，而美國NVD得花20天時間；90%的漏洞在初次披露後的18天內被CNNVD收錄，而NVD則要用92天。

點評：NVD和CNNVD效率如此之大的原因之一是因為CNNVD會主動搜索網絡和其它信息來源，查找漏洞信息，而NVD則會等待廠商的報告，相比之下依賴行業，方式較為死板。對漏洞信息的掌握對於企業安全管理者來說非常重要。而重大漏洞的披露速度即使隻相差幾天，也可能造成很大的安全風險。在這一點上，中國漏洞管理與披露的經驗對於美國具有一定的參考價值。

【全球政策趨勢】

美國美國國土安全部發布指令 要求聯邦機構強化Web和電子郵件安全 點擊查看原文

概要：美國國土安全部（DHS）發布《約束性操作指令18-01》，要求聯邦政府機構采用新的Web和電子郵件安全指南。 聯邦機構必須按照要求在90天內應用DMARC和STARTTLS兩項協議。DMARC是一款防止電子郵件欺詐，提供偽造郵件來源數據的協議。STARTTLS則在數據傳輸時對電子郵件加密，以防中間人攻擊。指令還要求聯邦機構120天內在所有公開訪問的網站上啟用HTTPS和HSTS安全連接。

點評：針對指令的具體執行，國土安全部提出了階段性的要求。首先，各聯邦機構必須在30天內提交一份行動計劃，60天內完成部分配置，120天確保完成協議所有要求，並定期提供執行情況報告。該項指令將幫助政府機構提高Web和電子郵件的安全性，減少潛在漏洞和由操作造成的安全風險。

美國參議員提出《誠實廣告法案》監管政治廣告 點擊查看原文

概要：針對俄羅斯通過社交網站廣告影響美國2016年大選的爭議，美國參議員提出《誠實廣告法案》（Honest Ads Act）。法案要求Facebook, Twitter等社交網站公布有關政治廣告受眾，費用等信息，留存政治廣告副本，並使其公開可獲取。針對每月瀏覽用戶超過5000萬的平台，新規定要求其遵守針對印刷、電視等媒體的政治廣告披露規則。同時，所有一年政治廣告費用花費超過500美元的公司，法案要求這些公司留存並發布相關用戶數據。

點評：Facebook等社交網站對其用戶的影響力日益增加，通過對用戶使用數據的分析，可以更加精準地掌握用戶對不同信息的需求。因此，政治類廣告也利用社交網絡進行宣傳。然而，伴隨影響力的增加，社交網絡也需要承擔起更多的內容安全責任，在商業利益，社會公益和用戶隱私之間把握平衡。 

本文為雲棲社區原創內容，未經允許不得轉載，如需轉載請發送郵件至yqeditor@list.alibaba-inc.com；如果您發現本社區中有涉嫌抄襲的內容，歡迎發送郵件至：yqgroup@service.aliyun.com 進行舉報，並提供相關證據，一經查實，本社區將立刻刪除涉嫌侵權內容。