人工智能应用需要以海量的个人信息数据作支撑。人工智能如同一把“双刃剑”，如果应用不当，就可能带来隐私泄露的伦理风险。

与传统口令可以随时更改不同，不可再生性数据是永远无法更改的，比如人脸、指纹、DNA等生物特征数据，以及个人医疗档案数据等，这些数据具有唯一性且无法更改。严格管控大数据的使用场景，在大力支持人工智能技术发展的同时，对唯一性、不可再生性的重要数据必须提前设防，在生物识别等技术使用规范上要制定更加严格的要求，防范相关各类风险。

建议设立“数据银行”，由国家成立专门机构来统一管控、存储和应用不可再生性大数据，限制企业自行采集收集和垄断，并运用区块链技术分布式存储，运用密码技术严格保护数据。

随着多国疫情得到有效抑制，企业复工复产被提上日程，在这样特殊的时期，各行各业加速转型升级、降低人力密度、提升生产效率的必要性愈加凸显。

事实上，企业对于转型的需求并非仅仅在特殊时期，数字化、网络化、智能化的转型早已体现在近些年的国家政策和企业行动中，包括从产品开发到供应链管理，从市场营销到客户体验。

在这个数字化转型和万物互联的时代，随着云计算技术、大数据技术、5G技术、人工智能和区块链技术的快速发展和落地实践，人、数据、机器、网络紧密结合在一起，推动企业数字化转型的脚步不断加快。

与此同时，新的业务和运营模式伴随着互联网应用、移动互联应用、物联感知应用、企业办公应用等一系列应用系统的快速开发与迭代，系统和软件作为重要的载体，其安全性、可靠性面临着比以往任何时候都更严峻的挑战。

在系统和软件开发过程中，企业根据用户的需求和系统产品的特性，不论采用哪种模型，均需面对系统自身的安全漏洞风险（产品风险）以及系统开发项目中的各类技术和管理风险（项目风险），应用开发的安全问题逐渐成为企业迫切需要解决的问题。

正电科技发布了“5G独立核心安全评估”。报告讨论了用户和移动网络运营商的漏洞和威胁，这些漏洞和威胁源于新的独立5G网络核心的使用。独立5G网络使用的HTTP/2和PFCP协议中存在的漏洞包括窃取用户配置文件数据、模拟攻击和伪造用户身份验证。

5G中的一系列技术可能会让用户和运营商的网络受到攻击。此类攻击可以从国际漫游网络、运营商的网络或提供服务访问的合作伙伴网络执行。

用于建立用户连接的包转发控制协议(PFCP)具有多个潜在的漏洞，例如拒绝服务、切断用户对互联网的访问以及将流量重定向到攻击者，从而允许他们下行链路用户的数据。在这种情况下，用户将无法对潜伏在网络上的威胁采取行动，因此运营商需要有足够的可见性来防范这些攻击。

近日，APT黑客组织通过“日爆攻击”（SUNBURST）SolarWinds的网络管理软件，渗透到了包括五角大楼和白宫在内的1.8万家企业和政府机构，在网络安全业界掀起轩然大波。

实施“日爆攻击”的APT组织已经设计出一种巧妙的方法，能够绕过目标网络的多因素身份验证系统。在双因素认证中，密码验证成功后，服务器会评估duo-sid cookie，并确定其是否有效。Volexity的调查发现，攻击者从OWA服务器访问了Duo集成密钥（akey）。

然后，该密钥使攻击者可以在duo-sid cookie中设置预先计算的值。这使攻击者仅需获取用户帐户和密码就能完全绕过帐户的MFA验证机制。此事件强调了确保与密钥集成关联的所有机密（例如与MFA提供者的机密）应在发生泄露后进行更改的必要性。

此外，重要的是，修改密码时不要使用与旧密码类似的新密码（例如，把旧密码Summer2020！改成Spring2020！）。

事件的根源不是Duo产品中存在任何漏洞。而是攻击者从现有的受感染客户环境（例如电子邮件服务器）中获得了对集成凭据的特权访问，这些集成凭据对于Duo服务的管理是必不可少的。

在物联网系统中，访问控制（Access Control）是对用户合法使用资源的认证和控制，简单说就是根据相关授权，控制对特定资源的访问，从而防止一些非法用户的非法访问或者合法用户的不正当使用，以确保整个系统资源能够被合理正当地利用。由于物联网应用系统是多用户、多任务的工作环境，这为非法使用系统资源打开了方便之门，因此，迫切要求我们对计算机及其网络系统采取有效的安全防范措施，以防止非法用户进入系统以及合法用户对系统资源的非法使用。这就需要采用访问控制系统。

访问控制包含3方面的含义：

① 合法性：阻止没有得到正式授权的用户违法访问以及非法用户的违法访问；② 完整性：在包含收集数据、传输信息、储存信息等一系列的步骤中，保证数据信息的完好无损，不可以随意增删与改动；③ 时效性：在一定时效内，保证系统资源不能被非法用户篡改使用，保障系统在时效内的完整。

访问控制应具备身份认证、授权、文件保护和审计等主要功能。通过访问控制，系统可以预防和阻碍未经授权的非法用户访问和操作系统资源。

2020.12.31  周四

安全产业是一个风口产业，市场前景广阔，国内上市的安全企业已经达到20多家。与此同时，网络安全领域的新概念、新理念层出不穷，听起来都很好，但是落地却很困难。有的涉及到整网改造，有的则存在投资高、技术不成熟等各种各样的问题，导致客户在犹疑中止步不前。

从网络安全建设和日常运营的角度出发，将国内企事业单位分为了三大类：

第一类主要包括大的互联网企业、五大国有银行、领先的股份制银行、华为等，这些单位对安全的重视是主动的、业务驱动的，因此投入大、能力强，在安全体系的建设中通常以我为主，安全厂商和服务商只是配角。

第二类包括大部分大型企事业单位和少量中型单位，规模有几万家，比如地市级以上政府委办局、大型制造型企业、高速公路集团、地铁、大型医院、高等院校等。安全投资以合规为导向，对安全厂商或集成商的依赖性较强，整体安全建设和运维水平存在很多问题，承受黑客攻击的能力很弱。

第三类包括所有的小型和大部分中型企事业单位，如非三甲医院、普通中小学、一般的制造企业、县级政府单位等。安全投入少，缺乏持续运维力量，普通病毒就可能导致整个信息系统宕机。

目前华为云等领先的公有云运营商都拥有强大的安全能力和团队，可以通过某种方式向客户提供专业的安全云服务，因此租用公有云的企事业单位可以购买此类云服务，保障其网络空间的信息安全。