國內

01

信通院發布《中國網絡安全技術與企業發展研究報告(2020年)》

2020年12月23日，中國信息通信研究院（以下簡稱“中國信通院”）在第十屆電信和互聯網行業網絡安全年會上發布《中國網絡安全技術與企業發展研究報告（2020年）》（以下簡稱“報告”）。
報告在《中國網絡安全產業白皮書（2020年）》的基礎上進行了補充。其在重點關注安全企業、互聯網企業、運營商等主體網絡安全市場布局的情況下，還結合熱點趨勢，重點對5G安全、容器安全、車聯網安全、“區塊鏈+安全”、數據合規等五個領域進行分析預測。
報告指出，在企業布局方面，傳統安全企業正聚焦新興科技領域和安全服務轉型，頭部企業安全服務占比不斷攀升；運營商作為基礎設施的建設者和維護者，正在通過投資、合作等方式圍繞5G+安全縱深推進；互聯網頭部企業均將云安全視為重要戰略方向，用互聯網思維多維度打造安全防御體系。
在熱點技術方面，5G移動邊緣計算平臺的邊緣側安全服務與產品率先實現落地；容器安全解決方案逐漸開始向“構建-分發-運行”全生命周期安全發展；車聯網安全解決方案目前已覆蓋云端、車端、應用場景、通信和安全服務；“區塊鏈+網絡安全”雙向布局正在加緊探索；數據管控和監測審計仍是數據合規市場的主流。未來，中國信通院安全研究所產業研究團隊將繼續專注國內外網絡安全產業研究，以期為關注網絡安全產業發展的企業、政府機構以及相關單位提供參考和幫助。

02

信通院發布《區塊鏈白皮書（2020年）》

2020年12月22日，由中國信息通信研究院（以下簡稱“中國信通院”）、中國通信標準化協會、可信區塊鏈推進計劃共同主辦的“2020可信區塊鏈峰會”在京舉行。
本白皮書在此前兩年版本基礎上，跟蹤國內外區塊鏈發展最新動態，梳理區塊鏈技術和產業圖譜，全景呈現國內外區塊鏈技術產業動態和發展趨勢，探究區塊鏈聯盟生態治理模式，剖析面臨的挑戰，提出了下一步發展的相關建議。
白皮書亮點：
亮點一，白皮書對新階段國內外區塊鏈的發展態勢進行了系統性全景展現
進入2020年，各國政府均積極探索通過新興技術降低經濟社會運行成本，提升實體經濟運行效率，進一步尋找經濟發展新的增長點。區塊鏈與云計算、人工智能等新技術基礎設施交叉創新，越來越多的實體經濟垂直領域呈現出“區塊鏈+”的發展格局。當前，區塊鏈應用存證先行，逐漸向自動化協作和價值互聯邁進，且工程化和生態構建成為重點。
亮點二，白皮書創新提出區塊鏈技術圖譜和產業圖譜
技術層面，區塊鏈作為一種綜合性技術，其技術組成按重要程度可分為核心技術、擴展技術、配套技術三類。產業層面，區塊鏈產業圖譜可以分為橫向（各類企業主體）、縱向（產業鏈上中下游）兩個不同維度進行觀察。
亮點三，白皮書對區塊鏈的聯盟生態模式進行了探索性歸類
隨著區塊鏈聯盟生態持續演化，區塊鏈應用日益豐富，基礎設施建設、技術研發、應用布局等環節中，各方主體協作模式逐漸清晰，形成特色不一的區塊鏈產業鏈運作模式，產業鏈形態呈現出技術供給側發力崛起、應用需求側依舊強勢的整體態勢。
亮點四，白皮書闡述了區塊鏈面臨的挑戰，回答了下一步如何促進區塊鏈發展的問題
現階段，區塊鏈技術仍舊處于開發成長階段，要想真正發揮其自身潛力價值，需直面技術自主創新、應用路徑、聯盟治理、監管體系等方面存在的問題，發動政府、行業組織、企業等社會各方面的力量，為新興產業的發展提供空間，推進區塊鏈與數字經濟加速融合創新。

國外

01

美空軍研究實驗室推進量子技術創新與軍事應用

美空軍研究實驗室（AFRL）已向全球量子學領域的科學家和工程師提供17筆量子基礎研究款項，旨在加速量子技術的科學創新與軍事應用，為美軍提供技術支持。AFRL科學研究辦公室最初征集了通信、計算、傳感、授時4個重點領域的白皮書，并邀請來自22個不同國家的36名科學家參加在“百萬美元國際量子U技術加速中心”舉辦的為期3天的量子虛擬推介比賽。17名參與者最終贏得量子基礎研究項目款項，將利用GPS拒止環境下的量子導航傳感器、光學原子鐘、量子計算系統等技術為美國防部提供超越經典“量子信息科學”的解決方案，并攻克許多棘手的量子技術問題。

02

美海軍陸戰隊建立戰術網絡部隊以應對日益增長的威脅

據美國C4ISR網站12月21日報道，美海軍陸戰隊正在建立戰術網絡部隊，以應對戰術邊緣不斷增長的網絡威脅。長期以來，網絡空間行動只能由網絡司令部遠程執行，但隨著網絡攻擊技術和手段日益進步，網絡司令部對戰術邊緣的行動已經無暇顧及。海軍陸戰隊的戰術網絡部隊將把網絡司令部的專業知識和資源帶到戰術邊緣，為戰術部隊指揮官提供支持。海軍陸戰隊網絡司令部作為聯合部隊網絡總部和艦隊之間的橋梁，將向前線的海軍陸戰隊員傳遞專業知識，訓練其使用計算機系統來完成攻擊任務，并與遠征部隊一起防御艦隊面臨的網絡威脅。

03

美專家：拆分國家安全局與網絡司令部為時尚早

針對美總統特朗普近期提出擬拆分國家安全局和網絡司令部，美智庫傳統基金會國家防務中心研究員詹姆斯·迪·潘尼（James Di Pane）于12月30日在C4ISR網站上撰文，認為改變目前由同一名上將領導兩個部門的機制為時尚早。潘尼認為，自網絡司令部成立以來，就不斷出現拆分國家安全局與網絡司令部的聲音。但此舉不利于美國的國家安全，因為現行機制已經有效運轉了好多年，目前沒有必要立即拆分這兩個部門。潘尼指出，現行的這種合二為一的機制始于2009年網絡司令部的創立，旨在為網絡司令部遂行任務提供所需要的支援和資源。這種安排使不斷發展的網絡司令部能夠向國家安全局借用人力和其他資源。
然而，2009年以來，情況發生了巨大變化。網絡司令部組建了133個網絡任務小隊，并實施了復雜的作戰行動，如針對“伊斯蘭國”發動網絡攻擊，從而破壞了“伊斯蘭國”的網絡宣傳能力。這意味著網絡作戰司令部已經積累了豐富的作戰經驗，作戰能力也得到了提升。
為此，在奧巴馬總統任職期間，美國便開始推動拆分網絡司令部與國家安全局，斯諾登事件后，拆分的呼聲在政界更加強烈。目前，美國內在拆分題上存在兩種聲音。其中，支持拆分網絡司令部與國家安全局的一方認為，由一個人領導兩個部門，可能會導致資源分配不均，而且一個人是否有能力掌管兩大部門也值得商榷。
他們還認為，通過網絡作戰等方式大量使用國家安全局的先進工具，可能會導致這些工具過早地暴露。而支持保留現有運行機制的人則認為，兩大部門密切合作和協同有利于作戰，有助于實現更快速的決策及更高效的資源利用。
潘尼認為，盡管存在上述爭議，而且許多人也認為應該在某一時間點拆分這兩個部門，但拆分應遵循以下原則:一是不應倉促或過早地進行實施;二是必須繼續保持兩大部門之間的密切合作。目前，美國政府正遭受疑似俄羅斯黑客發起的大規模網絡攻擊，在這個時候進行大規模的組織調整并不合時宜，這可能會影響網絡作戰。美國前任網絡司令部司令邁克爾·羅杰斯上將和現任司令保羅·中曾根上將都對過早拆分網絡司令部與國家安全局持謹慎態度。
兩人都認為現行安排行之有效，可確保兩大部門建立密切的合作關系。這兩大部門根據不同法律權限運作。網絡司令部根據美國法典第10卷履行職責，而國家安全局則通常根據美國法典第50卷掌管情報職能。這反映了網絡作戰的運作方式，以及情報和軍事行動之間密切協作的需求，意味著網絡司令部和國家安全局之間的合作程度是其他軍隊與情報部門之間無法達到的。
目前，網絡司令部與國家安全局可開展密切協同，由此帶來的緊密合作和統一指揮是兩部門拆分后無法實現的。正如中曾根將軍所說:“國家安全局是我們最重要的合作伙伴，這種合作關系對于保衛國家至關重要。國家安全局擁有世界一流專業人才、技術能力和情報獲取渠道，這對于網絡司令部成功實施作戰至關重要。”
潘尼最后強調，拆分網絡司令部與國家安全局的前提是，能夠增強兩個部門的作戰效能，而且還必須制定清晰的拆分計劃，并得到國會的支持，因為只有得到國會的支持，這項工作才能取得成功。決策人員應繼續支持網絡司令部的發展壯大，以便做好未來拆分的準備。

04

NIST安全框架漏掉了四個關鍵云安全問題

美國國家標準技術研究院（NIST）的網絡安全框架是一個很有價值的工具，可改善IT度量和標準，尤其是數據安全保護。研究表明，將近三分之二的組織將安全性視為采用云技術的最大挑戰，這使NIST網絡安全框架成為重視數據安全的IT領導者的寶貴工具。但是，隨著越來越多的企業采用越來越復雜的多云和混合云環境，照搬NIST網絡安全框架暗藏著巨大風險，因為NIST網絡安全框架忽略了很多關鍵的云安全問題。
不幸的是，NIST標準給大量企業和組織（從小型企業到大型政府組織）營造了錯誤的安全感。因為這些企業沒有意識到，盡管NIST安全框架有很多優點，但也給網絡內部埋下了巨大的云安全問題隱患。
日志文件和審計報告
許多組織會驚訝地發現，沒有NIST標準規定日志文件應保留30天以上。考慮到日志中存在的大量信息，30天的保留期太短，對于組織，尤其是大型企業而言，這對于安全報告來說是一個重大的挑戰。考慮到企業平均需要四個月以上的時間才能檢測到數據泄露，因此當前的30天限制根本無法滿足需要。擴展的審核日志保留功能可確保IT團隊擁有調查安全事件溯源所需的取證數據，也是遵守GDPR等數據隱私法規的關鍵一步。
共同責任
云（數據）安全的問責是個十分讓人頭疼的問題，尤其是在使用多云或混合云環境的企業中。SaaS之類的高級云平臺需要大量IT驅動的安全職責。在PaaS和SaaS解決方案中，身份和訪問管理是一項共同的職責，需要有效的實施計劃，其中包括身份提供者的配置、管理服務的配置、用戶身份的建立和配置以及服務訪問控制的實現。隨著全球企業數字化轉型計劃的推進和大流行期間遠程辦公的流行，越來越多的組織將業務應用遷移到云托管環境中。盡管云計算責任分擔模型明確規定了云提供商及其用戶的安全義務以確保問責制度，但可見性和安全監控應用程序仍存在空白，需要解決。隨著越來越多的企業選擇云計算節省成本和改進業務，企業比以往任何時候都更需要彌合可見性和安全監控的差距以實現最高安全性。
租戶代理

NIST要求對最小特權訪問進行范圍界定，但并未覆蓋租戶代理或“虛擬租戶”。虛擬租戶隔離了整個環境的各個區域，并防止管理員弄亂不屬于他們的區域。讓管理員控制他們的“虛擬”區域，從而幫助保護M365中的資源和數據。可以理解，當涉及個人隱私信息（PII）和知識產權時，缺少租戶代理產生了重大的安全挑戰。因此，組織（尤其是大型的分布式組織）應考慮采用可對特定業務部門的訪問進行細分的工具，以提高整體安全水平。
管理員角色和規則
微軟應用管理員包含大約有75個屬性，但是幾乎沒有人（無論微軟還是企業IT人士）確切了解它們的含義。如果授予用戶Application Administrator權限，則幾乎不可能確切知道該用戶具有哪種訪問權限，從而帶來不必要的安全風險。盡管IT員工在工作中經常需要執行某些功能，例如創建新的用戶賬戶和更改密碼，但是這些“流動性”較強的功能并不容易歸屬到某個特定的角色。這種流動性使傳統安全方法（例如基于角色的訪問控制）的效力被削弱。值得注意的是，NIST在管理員角色和規則方面也并非毫無作為，功能訪問控制（FAC）就是其中之一。RBAC是實現最低特權訪問的一種方法，而功能訪問控制（FAC）是實現RBAC的一種方法。作為NIST認可的方法，FAC為IT管理員的功能權限提供了一種更細粒度的分配方法，使企業能夠調整特定用戶訪問權限的大小，從而改善安全性。

05

美國會要求政府加強對人工智能國防項目的管理

據美國C4ISR網站12月21日報道，美國防部聯合人工智能中心正梳理所有進行中的人工智能項目并創建清單，目的是詳細介紹各個人工智能項目的撥款、編號、國防劃撥資金、學術或行業合作伙伴等情況，以便美國國會了解國防部人工智能項目資金的使用情況。聯合人工智能中心的任務是加快人工智能在整個國防部的應用。當前美國防部和軍隊內部的大量人工智能項目缺乏協調，美國會認為聯合人工智能中心需要更好的流程來跟蹤這些人工智能項目，以幫助國防部形成對人工智能項目類型和數量的整體認識。

06

朝鮮國家黑客入侵新冠病毒疫苗研發機構和政府部門

卡巴斯基最近發布的APT報告顯示，朝鮮黑客組織Lazarus Group已經入侵了參與新冠病毒（COVID-19）疫苗研發機構。根據報告，Lazarus于9月和10月分別滲透了一家制藥公司和一個政府衛生部的網絡（下圖）。

在進入目標網絡后，Lazarus黑客部署了Bookcode（Lazarus專用）和具有后門功能的wAgent惡意軟件。卡巴斯基安全專家Seongsu Park在APT報告中說：“這兩種攻擊都利用了重疊程度不大的不同惡意軟件集群。”“但是，我們可以確認他們都與Lazarus團伙有聯系，并且我們還發現了在利用后的流程中存在重疊。”（下圖）

攻擊衛生部的有效載荷是wAgent，它是一種惡意軟件，旨在從命令和控制服務器部署其他有效載荷，包括持久的后門，并將其加載到受感染系統的內存中。在10月27日發生的攻擊中，wAgent惡意軟件“具有與Lazarus集團先前用于攻擊加密貨幣業務的惡意軟件相同的感染方案”。
在9月25日針對制藥公司的攻擊中，Lazarus組織使用Bookcode惡意軟件收集系統信息，“包含密碼哈希的注冊表sam轉儲”和Active Directory信息。卡巴斯基沒有透露遭受這些攻擊的制藥公司的身份，但確認這些公司都參與了COVID-19疫苗的研發，并且也“被授權生產和分發COVID-19疫苗”。
報告指出：“這兩個事件表明Lazarus Group對與COVID-19相關情報非常感興趣。”“盡管Lazarus以其金融領域的活動而聞名，但此次攻擊表明該組織也可以進行戰略研究。“我們認為，當前參與疫苗研究或危機處理等活動的所有實體都應高度警惕網絡攻擊。”

07

美聯邦機構警告：APT組織正在瞄準美國智庫

美國聯邦調查局（FBI）和美國國土安全部網絡安全和基礎設施安全局(CISA）警告說，主要的黑客組織正在把美國智庫作為攻擊目標。這些機構發布了警告，指出高級持續威脅(APT)黑客組織主要針對智庫和涉及國際事務或國家安全政策的個人。該目標涉及惡意網絡釣魚電子郵件，并試圖利用遠程網絡和其他聯網設備的漏洞。“考慮到智庫在塑造美國政策方面的重要性，CISA和FBI敦促國際事務和國家安全領域的個人和組織立即提高意識。”兩家機構在預警中寫道。
這些機構指出，在疫情期間增加遠程工作的舉措增加了攻擊者的威脅范圍，包括通過遠程攻擊用于訪問安全工作網絡的虛擬專用網絡。這些機構寫道:“一旦成功，這些低努力、高回報的方法允許威脅者竊取敏感信息，獲得用戶證書，并獲得對受害者網絡的長時間訪問權。”FBI和CISA建議智庫立即采取措施提高網絡安全，包括通過員工網絡安全意識培訓、在員工個人設備上安裝防病毒軟件、對公司賬戶使用多因素認證，以及在訪問鏈接和電子郵件附件時提醒“謹慎行事”。
美國、英國和加拿大政府在7月發布了一份聯合警告，指出俄羅斯一個APT黑客組織正在針對參與新冠疫苗研究的團體，包括智庫和其他安全組織。今年9月，微軟報告稱，外國針對美國公共政策組織和參與新冠疫苗研究的組織的行動激增，包括俄羅斯在內的外國將矛頭指向了美國智庫等參與國際事務和國家安全工作的組織。

08

SolarWinds供應鏈攻擊曝出第二個后門

在緊鑼密鼓，日以繼夜分析SolarWinds Orion供應鏈攻擊時，安全研究人員發現了另一個后門，而這個后門很可能來自另外一個高級威脅組織（APT），換而言之，SolarWinds可能被至少兩個APT組織滲透，而且兩個組織很有可能并非合作關系。
最初發現的Orion后門被FireEye命名為SUNBURST（日爆），這個最新發現的惡意軟件名為SUPERNOVA（超新星），從字面上看起來比“日爆”威力還大。SUPERNOVA是一個植入Orion網絡和應用程序監視平臺代碼中的Webshell，使攻擊者能夠在運行木馬版Orion的計算機上運行任意代碼。
根據調查的結果，SUPERNOVA出自一個高級黑客組織之手，該組織將Webshell攻擊技術提升到了一個新的高度。微軟認為，與入侵網絡安全公司FireEye和美國政府多個部門的攻擊者相比，SUPERNOVA可能是另一個獨立的高級威脅組織的“作品”。微軟的判斷依據是，SUPERNOVA沒有數字簽名，這與最初發現的SunBurst/Solarigate木馬化了的SolarWinds.Orion.Core.BusinessLayer.Dll庫不同。目前，上述網絡安全公司尚未給出兩種惡意軟件的歸因定論，但認定都是出自APT組織之手。

09

思科、英特爾、英偉達、德勤均遭遇SolarWinds供應鏈攻擊

根據《華爾街日報》最新報道，SolarWinds供應鏈攻擊的受害者名單迄今已經確定了24家企業。這些企業已下載感染了后門惡意代碼的SolarWinds軟件。《華爾街日報》指出，受害者包括美國的技術和會計公司、一所大學和至少一所醫院。受影響的科技公司包括思科、英特爾、英偉達（Nvidia）、VMware、德勤和貝爾金等，此外加利福尼亞州立醫院和肯特州立大學也在名單中。
思科在官方通告中表示僅在某些員工系統和實驗環境系統上檢測到惡意軟件，由于思科并未在客戶系統中使用SolarWinds等產品，因此到目前為止，思科表示對其產品或服務沒有影響。英特爾正在調查，并表示沒有跡象表明攻擊者訪問了其網絡。同樣，包括英偉達等其他受影響的企業和組織也確認他們檢測到了受感染的軟件，但沒有跡象表明攻擊者已經利用了該軟件。

10

美國海軍審查信息系統以應對網絡安全威脅

美國海軍決定對其下的40億美元信息產品系統進行審查，為改造、升級信息基礎設施提供支持，以應對越來越嚴重的網絡安全威脅。2020年12月14日，美國海軍在SolarWinds公司曝出旗下的Orion基礎設施管理平臺遭到黑客組織供應鏈攻擊，導致客戶端無防范地下載并運行惡意程序后，決定對其下的40億美元信息產品系統進行審查，為改造、升級信息基礎設施提供支持，以應對越來越嚴重的網絡安全威脅。
一、事件背景及情況
2020年12月13日，美國網絡安全公司FireEye發布分析報告稱，知名網絡和系統監測管理軟件制造商SolarWinds公司旗下的Orion基礎設施管理平臺發布環境遭到黑客組織供應鏈攻擊。黑客篡改了系統所使用的庫文件，繞過安全檢查機制，實現向平臺上傳惡意程序，并由客戶端無防范下載運行，達到入侵目標。由于美國國防部、各軍種、國務院、總統辦公室等都是SolarWinds公司客戶，此次入侵事件直接導致國防部切斷了所有與SolarWinds公司Orion產品的連接，并由網絡司令部會同各聯盟、工業部門、學術機構等緊急進行評估和應對。
這并不是海軍網絡受到的首次嚴重網絡威脅。2020年2月，在海軍部長簽發的《信息優勢構想》中，就明確指出了海軍部網絡由于架構陳舊，不能應對當前日益嚴重的網絡威脅，而且相關人員的網絡安全意識不足，需要建設海軍部網絡安全文化。而提高網絡態勢感知和網絡安全水平則是《信息優勢構想》的三大目標之一。2020年8月，美國海軍艦隊網絡司令部發布的《2020～2025年戰略規劃》中，詳細介紹了海軍網絡當前面臨的網絡攻擊形勢，將網絡安全建設、網絡態勢感知、網絡防御能力提高等作為首要戰略目標。這些近期的戰略文件表明，美國海軍的信息系統面臨的網絡安全威脅異常嚴峻，海軍部的網絡安全已經成為信息系統升級、改造的重要動力。
二、本次審查任務
海軍的當務之急是編制現有信息基礎設施和已分配資源的目錄，從而更好地了解網絡和系統架構。此次評審的3個目標是：評估現有目錄中各種信息系統能力的有效性、評估“基于云技術標準”的新技術、尋求端到端的云架構基礎設施方案。審查將主要在4個領域進行，包括海軍部用于傳輸、存儲、計算、認證和操作的信息基礎設施。海軍首席信息官辦公室的發言人透露，本次審查將持續進行到2021財年第二季度，并滾動更新相關結論。
三、初步認識
這次網絡安全事件是近期美國國國防部遇到的較為嚴重的網絡威脅，且事件影響范圍遍及三軍。這給海軍提供了足夠警示，有必要加速改造信息系統，提升網絡安全水平。此外，這次網絡安全事件也說明傳統的網絡安全應對手段存在較大不足，緊靠數字簽名等技術手段難以應對供應鏈攻擊。而這種攻擊方法隱蔽，檢測困難，危害極大，應對措施有限，需盡早開啟應對研究。

來源：中國信通院CAICT、國防科技要聞、安全牛、E安全、戰略前沿技術、信息安全與通信保密雜志社