全球安全資訊精選 2018年第十期：數據泄密醜聞後扎克伯格首次發聲

金融安全資訊精選

摘要： 數據泄密醜聞後扎克伯格首次發聲，詳解銀監會數據治理指引落地路線，用區塊鏈來保護隱私是天方夜譚嗎？

【金融行業安全動態】數據泄密醜聞後扎克伯格首次發聲：我會負責

概要：針對數據泄密醜聞，Facebook的CEO馬克·扎克伯格今日終於打破了沉默。他在Facebook主頁中發表聲明，「我們有責任保護你們的數據，如果我們沒能做到，我們就不應該為你們服務。」

近幾日，Facebook備受這起醜聞的困擾，其股價也大幅跳水。劍橋分析（Cambridge Analytica）公司被指控以不正當手段獲得超過5000萬Facebook用戶的個人數據。Facebook表示，2015年公司就知道劍橋分析濫用數據之事，但未告知公眾。英國《衛報》和《紐約時報》的相關報道也曾曝光了這一事件。

點評：Facebook大丑聞與其說是層出出窮的個人信息泄漏事件中之一個，區別無非只是泄漏的信息量大小而已，倒不如說說，這次事件後續，包括相關機構的調查行動、Facebook 的措施，以及扎克伯格的聲明，呈現出如何處理日益泛濫的數據泄漏及濫用的典型案例，看事兒別只圖熱鬧，而是要看問題是怎樣發生、如何發現以及怎樣處理的，這才是專業人士應有的態度。

【金融行業安全動態】詳解銀監會數據治理指引落地路線

概要：3月16日，銀監會為了引導銀行業金融機構加強數據治理、提高數據質量、發揮數據價值、提升經營管理能力並發布了《銀行業金融機構數據治理指引（徵求意見稿）》。

在銀監會有關部門負責人就相關問題答記者問中重點強調了四方面的監管要求：

1、明確數據治理架構；

2、明確數據管理和數據質量控制的要求；

3、明確全面實現數據價值的要求；

4、加強監管監督。

與此同時，國家質檢總局和國家標準委批准發布了《數據管理能力成熟度評估模型》。《指引》和《評估模型》接踵而來，數據治理不再只是部門和企業個體層面，銀監會新規將公司數據治理評價與監管評級掛鉤。這是數據在國家層面的基礎性戰略意義，接下來不止銀行，保險、電力、電信等各行各業都要更加重視數據治理。

點評：歷史一次次演繹著一個道理：互聯網狂飆快進之時，銀行金融業被詬病為保守滯後，但當安全問題日益凸顯時，銀行金融業賴以生存和穩定的風控和監管卻顯示出其定海神針和恪守規範之勢，由此可見，包括數據安全在內，整個信息安全發展的態勢，就是在一次次從失衡到平衡的循環前進的。

【金融行業安全動態】用區塊鏈來保護隱私是天方夜譚嗎？

概要：當前人們在享受互聯網時代便利的同時，常常會感慨這是一個沒有隱私的年代，如何保護個人隱私成為公眾最為關注的話題之一。近兩年來，隨著區塊鏈走入各行各業，用區塊鏈實現隱私保護成為各類應用的重要賣點之一。

在比特幣的技術體系下，區塊鏈為我們提供了一種極為簡單的機制，它允許任何人具有無窮多個代號，並且每個人所擁有的代號只有自己知道，即便某一代號被人認出，也不會影響其他代號的匿名性。匿名性是一把雙刃劍，從保護隱私的角度來說十分重要，但也為一些違法犯罪行為提供了保護傘。這引發了一些研究人員的關注，他們通過數據分析方法來實現區塊鏈的去匿名化，其目標是找出屬於同一對象所擁有的多個代號。

總的來說，在現有的匿名技術下，採用單獨的線索破解比特幣等區塊鏈網路的匿名性還是較為困難的，未來研究中需要進一步結合多個線索來提高去匿名化的準確度。

點評：「區塊鏈的匿名性一直備受爭議。從普通人的角度來看，一方面，他們需要保護自己的隱私，防範個人的敏感數據被其他人用來進行各種欺詐和騷擾，另一方面，他們並不希望區塊鏈為各類惡意行為提供匿名平台，讓自己遭受傷害。」 這讓我想起了瑞士銀行，曾經富豪的藏金地，不過後來，不也「匿」不下去了嗎？

遊戲安全資訊精選

摘要： 遊戲安全年度報告重磅發布，北京檢方依法批捕比特幣被盜案犯罪嫌疑人，攻擊某企業網站，1.1億元備付金被盜

【雲上視角】阿里雲遊戲安全年度報告發布：賬號盜用、外掛和羊毛黨，將成為威脅遊戲生態健康的「慢性毒藥」

概要：2017年，黑客針對遊戲行業的攻擊，逐漸往多元化、精準化、智能化的方向演進。

阿里雲安全團隊通過分析遊戲行業的全年安全態勢，發現：雖然DDoS攻擊仍為主流，但預計2年之內，業務層的CC攻擊和有針對性的高級滲透，將與DDoS攻擊平分秋色；賬號盜用、外掛和羊毛黨，將成為威脅遊戲生態健康的「慢性毒藥」，將一款遊戲的生命周期縮短10% - 15%。

攻擊方的進化，防線的拉長，需要遊戲公司以多維視角看待網路安全。

通過《遊戲安全報告（2017 - 2018全年）》，阿里雲安全團隊希望為處於發展風口的遊戲行業，提供全局參考，以及可行的防護建議。

點擊參與聚能聊話題獲得獎勵

【遊戲行業安全動態】北京檢方依法批捕比特幣被盜案犯罪嫌疑人

概要：科技公司員工仲某利用職務便利，盜取該公司100個比特幣。近日，海淀檢察院以涉嫌非法獲取計算機信息系統數據罪，批准逮捕了仲某。這是北京市首例比特幣盜竊案。比特幣作為虛擬財產，同時具有財產性與數據性。在比特幣被盜案件中，完全可以將其認定為盜竊罪。

點評：比特幣的性質不是法幣，不是真正的貨幣，只是一種特定的虛擬商品。因此，在法律上，比特幣類似於遊戲裝備、虛擬貨幣等虛擬商品，屬於網路虛擬財產。目前，司法實踐的主流觀點傾向於將虛擬物品認定為「計算機信息系統數據」，否認其財產屬性。而本案中，檢方對北京市首例比特幣被盜案持有兩點意見：第一，比特幣應當受到刑法的保護；第二，比特幣被盜構成非法獲取計算機信息系統數據罪，不是盜竊罪。對「新生事物」的如何看待，法律實踐是一種非常直接的試金石，也是敲門磚，要麼檢驗對錯，要麼挑起爭議。

【遊戲行業安全動態】攻擊某企業網站，1.1億元備付金被盜

概要：3月22日，一起涉案金額1.1億餘元的特大盜竊案在河南省三門峽市湖濱區人民法院公開審理。被告人王某被控夥同他人利用黑客攻擊網站，採取植入木馬病毒、修改和刪除數據、發送提款指令等手段盜竊企業客戶備付金。

據公訴機關指控，2017年3月份，被告人王某與一身份不明人經過預謀後，於同年4月16日至30日期間，通過計算機網路利用黑客手段攻擊住所地在三門峽的一家企業開發的網站，向網站伺服器植入木馬病毒，修改和刪除網站數據，並向與該企業關聯的深圳某支付平台發送提款指令，將支付平台內該企業的113871896.4元分多次轉移至王某提供的26個銀行賬戶。

政府安全資訊精選

摘要： 美國CLOUD Act法案正式通過成為法律；英國發布「網路安全出口」戰略 以促進對外貿易；賽迪顧問發布《中國網路信息安全發展白皮書》 雲安全成2017年熱門

【全球政策動態】美國CLOUD Act法案正式通過成為法律

概要：上周，美國總統特朗普正式簽署了Cloud Act法案（《澄清境外數據的合法使用法案》）。在美國政府調取海外數據的場景下，法案要求「無論通信、記錄或其他信息是否存儲在美國境內，服務提供者均應當按照本章所規定的義務要求，保存、備份、披露通信內容、記錄或其他信息。」Cloud Act同時規定，部分與美國達成協議的國家可以通過相應流程跨境調取美國境內的數據。

點評：Cloud Act的起源之一來自於2013年FBI以協查原因要求調取微軟愛爾蘭數據中心電郵數據的案例。調取要求遭到微軟拒絕，多次複議後，仍然沒有最終結論。爭議核心是，如何判斷美國政府搜查令是否在境外有效，是根據數據控制者所在國家，還是數據實際儲存所在國家。CLOUD Act正式成為法律，一定程度上簡化了美國政府跨境調取數據的流程，也使一些與美國達成協議的國家在調取美國境內的數據有依據可。CLOUD Act在美國業內仍然有一些爭議。

【全球政策動態】英國發布「網路安全出口」戰略 以促進對外貿易

概要：3月26日，英國國際貿易部正式啟動英國政府新的網路安全出口戰略，將把英國的網路安全專業知識與技術出口到夥伴國家，增強網路防禦能力的同時，促進對外貿易的發展。目前，這項戰略包括了投入19億英鎊以強化英國網路安全能力，賦能企業將優秀的技術能力出口到國外。包括一些高優先順序市場上，英國國際貿易部將作為「招標」顧問以支持各企業獲得的重要競標機會，主要包括面向外國政府及關鍵國家基礎設施供應商的解決方案銷售；以及在全球範圍內展示優秀的安全品牌，推動市場營銷。

點評：英國政府的網路安全出口戰略與企業「共贏」，有利於促進行業的良性發展，賦能企業拓展更廣的市場，同時增強英國與夥伴國家的整體網路安全能力，形成有力的聯盟，以對抗日益全球化的網路威脅。

【國內行業動態】賽迪顧問發布《中國網路信息安全發展白皮書》 雲安全成2017年熱門

概要：在「2018中國IT市場年會」網路安全高峰論壇上，賽迪顧問軟體與信息服務業研究中心發布了《中國網路信息安全發展白皮書(2018)》。報告預測我國網路安全市場在未來3年將保持穩定增長的態勢，到2020年將達到738.9億元，3年複合增長率為21.7%。中國雲安全市場規模達到23.7億元，增長率為30.2%。2015年、2016年中國雲安全市場的增長率分別為30.6%和42.2%。

點評：從報告數據中不難看出，我國網路安全市場呈持續增長趨勢。其中，雲安全成為2017年投資熱點之一，雲安全領域融資額在2017年融資總額中佔比18%。不少國內外安全廠商也通過融資併購等方式，加大了對雲安全的投入。

更多技術乾貨敬請關注云棲社區知乎機構號：阿里雲安全 - 知乎