SSL资讯网-网站首选SSL证书,宝塔ssl证书,免费HTTPS证书,多域名证书,RSA算法,国密SM2算法,SSL品牌证书申请,SSL证书官网-农易快

数据安全与个人信息保护再思辨

Fri, 30 Aug 2024 14:39:36 +0800

文/刘志诚

一、合规

数据安全与个人信息保护是属于两个范畴的问题。

数据安全既包括企业数据安全风险的全面治理也包括影响国家，社会，公众权利的数据安全应尽的合规义务，对未尽到数据安全保障义务而造成的涉及国家，社会等公共利益的损失需要承担相应的责任。所以，从数据安全的角度来看是个保护企业，个人，社会，国家多方面权利的综合目标。

个人信息保护是企业在向个人提供产品和服务过程中，对获取和应用的个人相关数据综合考虑业务需求，个人权利保护，在保护个人权利的前提下，在企业业务开展的全过程保护个人信息生命周期的应用最小，必要，合规，安全。

1、合规的目标导向原则

数据安全合规关注的企业对涉及个人，社会，国家权益的谨慎义务，目标是企业对数据安全风险关注的义务以及采取的措施。要关注数据资产在生命周期流转过程的脆弱性、内外部威胁，建立控制措施将风险控制到谨慎业务的合规范畴之上。理论上，企业的实际数据安全治理诉求，应该高于合规的底线要求，数据安全合规是数据安全的子集。

但需要关注合规要求直接对控制措施的定义和监管，要考虑控制措施的有效性与风险和控制措施的相关性，需要具有充分的论证，才能制定控制措施的合规要求和监管检查，更需要谨慎对待以安全产品替代控制措施的要求和检查。避免安全厂商参与规范，标准和技术指南的制定作为监管和合规检查措施直接应用于企业。提供纳入监管体系安全产品的企业在监管部门检查和监管企业时应该回避，已避免厂商对监管规则的寻租与绑架。

个人信息保护或个人隐私保护，除了企业履行安全保障义务之外，还要履行对个人信息采集，应用的谨慎义务，个人信息的范围，边界，以及业务应用的合理性应充分考虑行业，企业的实践特征，目的是保护个人信息的合法权利，但不应该损害用户个人的其他权益，造成企业为用户提供产品和服务的缺失，不便，最终损害用户自身的其他权益。

2、监管平衡的原则

数据安全与个人信息的监管涉及到企业生态体系，而企业产品与服务的暴露面在消费互联网场景中终端相关的APP和WEB应用是监管可以进行技术实质性检查和监控的界面。因此，针对APP的监管是快速达到监管效果，整治个人信息与数据安全乱相的切入点，针对APP采集终端，用户个人信息，行为等诸多个人信息相关特征以及相应的安全控制措施，政策与保护措施的一致性，制定了从行业要求，到标准规范，行政法规的一系列检查和合规要求。为了体现执法的严厉程度，对具体业务逻辑过程中的权限应用的技术措施进行了详细的规定，定义了危害等级，并进行了逐级检查和通报。

严厉的监控措施有效的整治了用户个人信息权益权益侵犯的乱相，但同时也带来了过度监管，交叉监管，细节监管的负担，干扰了企业业务的正常开展，甚至影响了用户的最终权益。

同时，对于企业内部技术体系的数据安全与个人信息保护的监管与检查，则采用审计方式关注企业的合规制度建设，过程管理，记录审计的方式做形式审查。依赖于数据库安全厂商，流量分析检测厂商，系统配置的检测和管理的演示，做现场阶段性实质性检查。由于缺乏深入的界面，持续检测和监测的监管手段，存在监管的空白。造成个人信息保护和数据安全领域对企业过度监管与监管不足共存的悖论。

二、基础设施

1、公共基础设施

电信诈骗造成个人信息泄漏的直接后果，成为社会热点，以反诈开展的执法雷雳风行，结合帮信罪的定义，对手机账号，银行账号，信息服务等电信欺诈的基础设施进行全面打击，虽然在一定程度上遏制了电信欺诈的直接损害，但也存在无奈的误伤，而根源的数据泄露以及实名制执行不力，运营商、银行的监管能力，分析能力不足带来的历史问题仍难以彻底解决。遗憾的是，过度监管造成的企业反欺诈能力和用户个人信息保护以及用户权益保护能力持续损失，进一步让用户权益侵害的状况雪上加霜。

有个朋友的企业通过对欺诈电话，欺诈短信发送方的威胁情报监控，以及用户终端侧欺诈电话，欺诈短信的信息分析和采集，构建了用户数据泄露和欺诈风险的监控体系，有效的识别到用户信息流转过程中生态合作伙伴的风险，通过通知和预警降低用户被欺诈的风险。但由于终端信息采集和处置能力权限的合规要求，失去了在用户侧分析用户欺诈风险以及监控合作伙伴数据风险的能力，不得不说特别遗憾。目的是保护用户，并且没有损害用户的个人信息保护，但却被保护用户权益的监管导致结果如此。

国家有反诈APP，是否可以构建用户侧的欺诈电话和短信的威胁情报库，是否开放用户欺诈相关的风险，经用户授权后开放给为用户提供产品和服务的企业，作为公共能力，构建完整的防电信诈骗能力。

2、企业基础设施

企业基础设施包含个人信息影响分析（PIA），数据应用分析，应该在业务可行性分析，业务过程设计，产品和研发建模阶段构建以数据为中心的模式，在产品设计阶段建立个人隐私保护的设计（PbD），在数据流转过程中建立传输，存储，应用的安全监管，在APP/WEB，API，网关，数据库建立访问控制措施，并能建立数据流的单实体视图和聚类视图，监控数据全流程的风险，为数据安全和个人信息事件的预警，追溯，建立数据驱动的预警，响应和溯源能力。

这涉及到预防，集成，检查，监测，预警，响应的能力，以及过程数据的采集，分析，处理，应用的自动化和智能化能力。构建成统一的平台，实现功能和数据的分离，整合现有产品体系，构建核心能力的功能独立，数据标准开放的安全中台体系，是完美的企业数据安全保护和个人信息保护架构。

这应该是理想的企业数据安全和个人信息保护基础设施，但从实践角度来看，路漫漫兮其修远兮。

三、数据流通

数据生产要素是中国首倡的在数字化时代生产要素的变革理论。生产要素对生产力和生产关系的变革影响深远，目前仍处于探索和创新阶段。而作为要素市场的数据流通尝试，以数据交易所为主的试点在数据资产的定义，定价，以及数据流转的本质的探索，在数据资产的定义和入表，数据产权，数据质量，数据定价，数据安全以及数据对个人信息，商业秘密，国家秘密影响等领域依然存在争议。

不同行业的数据存在不同的特征，价值存在不同的体现，而以原始数据加工为基础的满足应用场景价值的数据产品，是否可以作为规避原始数据产权，秘密脱敏，满足数据安全，用作流动和交易的产品运营自主定价，值得探索和尝试。但依然需要第三方承担数据产品背后原始数据质量验证，原始数据与数据产品相关性，产品定价合理性，进行统一标准规范的验证和背书。

数据产品的保护源自于数据产品的价值，符合原始数据的可用不可见保护。这其实为企业提供数据加工的创新和要求，如果作为比喻的话是通过对原始数据矿产的挖掘，制造出商业化的产品。

如果这个角度探讨，我觉得是可以规避到数据流通中原始数据涉及到的数据安全和个人信息保护的相关风险的处置，仅需要关注数据产品商业价值基础上的数据安全保护。当然，如果数据产品是个人信息的属性之一，仍需要关注个人数据产品的个人信息授权与保护。

四、产品与服务

数据安全与个人信息保护与传统网络安全，关注的资产类型不同，数据资产的可复制性与流动性，注定对数据资产的安全风险的分析方法与控制措施与传统的网络安全不同。单纯的把数据安全看作是网络安全的目标，同样是忽略了数据作为资产自身的脆弱性和面对威胁的全面性。需要关注数据保护网络安全之外的数据安全风险，网络安全控制措施在数据安全保护的整体性来看，仅是一个子集。

在网络环境中的数据安全保护的目的着手的是把数据流转的容器作为安全保障的目的，因此，在网络安全看来数据安全只是目的之一，信息系统破坏引起的完整性和可用性风险同样是网络安全的目的，因此这个角度数据安全是网络安全的子集。

数据安全产品化任重道远，首先关于数据分类分级，是从数据资产保护的角度，分析需要关注的安全保护策略，但分类分级与数据流动性环境相关，基于数据库的自动分类分级，仅是把数据的逻辑化资产重要性在数据库场景的工程化呈现，但在数据在API，应用，大数据平台的聚合和分离场景中，难以应用数据库字段工程实例的分级结果。

另外，从分级应用的角度来看，数据的逻辑分级如何与数据安全的管控措施进行结合，如何验证相应的数据逻辑分级的结果对应了安全风险的控制措施，如何验证措施的有效性与分级结果，安全风险与控制措施的相关性，就成为了一个难以自动化的核心问题。

数据安全产品以网络安全产品的模式，针对静态网络安全资产的脆弱性和漏洞治理模式，难以覆盖数据资产流动性和可复制带来的安全全流程的监控和分析。在数据安全事件过程中难以实现个案实例的全过程追踪溯源和通过聚类特征发现数据的泄漏源风险。而建设相应的能力，需要自上而下构建基础设施。对很多企业而言，无论从资源还是能力的角度都困难重重。

数据安全目前依然是咨询服务专家模式作为主流，产品依然是基于网络安全方法论的相关产品。

构建完整的数据安全体系，未来3-5年仍需要更多方法论层面的探索以及对企业实际安全需求的验证和创新验证。

因此，数据安全企业与优质客户的标杆企业试点联合研发，可能是数据安全产品破局的出路。

声明：本文来自IT的阿土，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

Telegram用“加密”给自己和用户挖了两个大坑

Fri, 30 Aug 2024 10:23:47 +0800

近日，Telegram创始人兼CEO帕维尔·杜罗夫被法国警方逮捕的新闻登上了各大科技媒体热搜和头条，虽然杜罗夫在缴纳500万美元的保释金后于本周三获释，但被调查期间禁止离开法国，并需每周两次向法国警方报到。

过去数日，主流新闻媒体关于杜罗夫被捕原因的报道存在严重误导，诸如“首个因为内容审核问题被捕的大型社交媒体首席执行官”等标题不仅淡化了事件的严重性，也偏离了事件的主题——加密。

本周四巴黎检察官劳雷·贝库奥(Laure Beccuau)发布的一份声明详细列出了对杜罗夫的指控，除了“共谋非法交易、贩毒、诈骗、洗钱、持有和传播儿童性虐待材料、不配合执法部门调查（以及未在指控中列出的对伊斯兰国使用Telegram招募志愿者的担忧）”之外，检方还特别列出了三项与加密有直接关系的指控，包括：

未经认证声明而提供旨在确保机密性的加密服务
未经事先声明而提供并非仅用于确保身份验证或完整性监控的密码工具
未经事先声明而进口用于确保身份验证或完整性监控的密码工具

显然，法国警方选择逮捕杜罗夫而不是Facebook、Instagram或者Signal的首席执行官，绝不仅仅是内容审核问题，而是与Telegram多年来鼓吹自己”不是第一，而是唯一”的加密通讯软件有着密不可分的关系。

约翰霍普金斯大学密码学教授马修格林撰文指出，杜罗夫和Telegram多年来关于其安全性和“端到端加密”的虚假宣传，不仅给自己，也给用户挖了个大坑。

原文由GoUpSec编译整理如下：

通常，这个博客是用来讨论严肃话题的，而不是花时间去纠正网络上那些广泛传播的错误观念。但有时候，正如布拉德·德隆（Brad Delong）所说，我们需要进行一些“思想垃圾清理”，也就是纠正那些在互联网上未经验证传播的错误观念。

这篇文章的灵感来源于最近令人担忧的消息：Telegram的创始人兼CEO帕维尔·杜罗夫（Pavel Durov）因未能充分监管平台内容而被法国当局逮捕。尽管具体细节尚不清楚，但通过刑事指控来强迫社交媒体公司进行内容监管，无疑是一个令人担忧的升级。我希望背后有更多的故事。

但今天我不打算讨论这次逮捕事件。

我真正想谈的是新闻报道中的一个细节：几乎所有关于杜罗夫被捕的报道都将Telegram称为“加密通信应用”。例如：

“Telegram是一款广受欢迎的加密通信应用。”
“法国当局因Telegram未能有效管理加密通信内容而对其CEO采取行动。”

这种说法让我非常不安，虽然从技术上来说这并没有错，但从实质上来说，这种描述极大地误导了Telegram的实际运作方式。这种误导不仅对记者有害，对Telegram的用户尤其危险，因为许多用户可能因此受到严重伤害。

Telegram到底有没有加密？

许多系统在某种程度上使用了加密技术。然而，当我们谈论现代私人通信服务中的加密时，通常指的是默认的端到端加密。这种加密方式确保每条消息都使用只有通信双方知道的加密密钥进行加密，服务提供商无法读取。

对于用户来说，“加密通信应用”意味着每次开启对话时，消息只能被你想要交流的人读取。如果通信服务的运营者试图查看你的消息内容，他们看到的只会是一堆加密的乱码。这个保证同样适用于任何可能入侵提供商服务器的黑客，甚至包括持有传票的执法机构。

然而，Telegram显然不符合这种强加密的定义，原因很简单：它默认并不对所有对话进行端到端加密。如果你想在Telegram中使用端到端加密，必须为每一次私人对话手动激活一个名为“秘密聊天”（Secret Chats）的可选加密功能。这项功能默认不会开启，并且只适用于一对一的私人对话，无法用于群组聊天。

更为复杂的是，对于非专业用户来说，激活Telegram的端到端加密并不容易。

首先，激活加密功能的按钮并未出现在主界面或聊天窗口中。在iOS应用中，我需要点击至少四次，才能从用户的个人资料页面中找到并确认开启加密对话。而即便如此，如果对方不在线，也无法启动加密聊天。

与现代标准的加密聊天应用相比，这种体验显然大相径庭。默认端到端加密与这种需要手动操作的加密方式，可能在实际使用中有着巨大的区别。绝大多数一对一的Telegram对话，以及所有的群组聊天，很可能都暴露在Telegram的服务器上，这些服务器能够查看并记录用户之间的所有消息内容。这是否会成为每个Telegram用户的问题，因人而异，但这绝不是我们应该宣传为“高度加密”的应用。

Telegram的默认加密重要吗？

答案是因人而异。对许多人来说，Telegram的缺乏默认加密可能并不是问题。事实上，很多用户选择Telegram根本不是为了加密私人通信。对许多人来说，Telegram更像是一个社交媒体网络，而非私人通讯工具。

Telegram有两个广受欢迎的功能，使其在这种使用场景下表现得尤为突出。其一是“频道”功能，用户可以创建或订阅频道，通过这个平台向数百万读者推送内容。当你向成千上万的陌生人广播消息时，聊天内容的保密性并不那么重要。

另一个功能是支持成千上万用户的大型公开群组聊天。这些群组可以向公众开放，也可以设置为仅限邀请加入。尽管我个人并不热衷于与成千上万人共享群聊，但很多人乐在其中。在这种大型公开场景中，Telegram群聊的未加密似乎也无关紧要——毕竟，如果你在公共场合发言，保密性自然不再是优先考虑的因素。

但Telegram并不限于这些功能，许多用户在使用这些社交媒体功能的同时，也会进行其他交流。

Telegram用虚假宣传给用户挖坑

Telegram的加密技术自2016年以来一直备受批评，尽管Telegram的用户数在这期间增长了7到9倍，但平台的“秘密聊天”体验依然停滞不前。

与此同时，Telegram的CEO帕维尔·杜罗夫继续积极宣传Telegram为“安全信使”。他最近在个人Telegram频道上猛烈抨击Signal和WhatsApp，暗示这些系统被美国政府植入了后门，只有Telegram的独立加密协议才真正值得信赖。

然而，这种说法在涉及默认端到端加密的平台之间或许是合理的技术讨论，但Telegram在这个讨论中并没有什么优势。看到Telegram一边鼓励用户远离默认加密的通讯应用，一边拒绝为自己的用户提供广泛的加密支持，这种行为开始显得有些恶意。

加密不能防止泄密

即便端到端加密是我们防止数据泄露的最佳工具之一，但它并不是解决所有问题的终极方案。信息传输中的元数据仍然是一个巨大的隐私问题，即关于谁在使用服务、他们与谁交流、何时进行交流的数据。这些数据通常不受端到端加密的保护。

目前，这些元数据很可能都存在于Telegram的服务器上，随时可供任何有意获取的人使用。尽管这并非Telegram独有的问题，但在强调加密的重要性时，这一点不可忽略。

结语

尽管Telegram在加密方面有所宣传，但它的实际加密效果远未达到行业标准。对于那些真正需要高度隐私保护的用户而言，Telegram的安全性值得商榷。未来，如何平衡社交媒体平台的功能与用户隐私保护之间的关系，仍将是一个值得关注的议题。

原文链接：

https://blog.cryptographyengineering.com/2024/08/25/telegram-is-not-really-an-encrypted-messaging-app/

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

CFCA全球信任SSL证书申请全攻略

Fri, 30 Aug 2024 09:56:03 +0800

为了确保网络安全，申请CFCA全球信任SSL证书是关键一步。以下是详细的申请流程，包括所需材料、审核过程以及证书的签发、更新和延期等环节。

一、准备阶段：机构申请材料提交

1.填写证书申请表：下载并填写相应的CFCA EV证书申请表或CFCA OV证书申请表。

2.提交机构身份证明：提供企业营业执照副本复印件等至少一种机构身份证件。

3.申请人身份证明：提交申请人身份证复印件等个人身份证件。

4.授权证明：出示机构授予申请人的授权证明文件。

5.域名或IP证明：提供域名或公网IP的证明，注意内网IP无法申请。

6.证书请求文件CSR：生成并提交CSR文件，详细了解CSR信息。

注意：除CSR文件外，所有材料需加盖机构公章，公章名称应与机构名称一致。

二、审核阶段：CFCA材料审查

CFCA将对以下内容进行严格审查：

1.证书申请表中的机构信息与身份证件是否一致。

2.申请人的个人信息与身份证件、授权证明是否相符。

3.申请表中的域名与域名证明是否一致。若域名非申请机构所有，需提供授权证明。

4.CSR文件的DN规则是否符合以下要求：

1）顺序为：CN、OU、O、L、ST、C；

2）CN项必须为域名，且与申请表中的域名一致；

3）O项必须为真实、完整的机构名称，与申请表中的机构名称一致；

4)L、ST、C项必须为机构注册地区。

三、签发阶段：证书发放

审核通过后，CFCA证书管理员将签发证书，并将证书公钥及证书链发送至申请表中的电子邮件地址。

四、维护阶段：证书更新、延期、吊销

1.证书更新：如遇证书遗失、损坏、密钥泄露等问题，需重新提交申请材料进行更新，CFCA免费提供服务。

2.证书延期：证书到期前三个月，CFCA商务经理将提醒办理延期，需按申请流程重新提交材料。

3.证书吊销：如不再使用证书，请联系CFCA商务经理办理吊销，并从服务器上移除证书。

五、附件下载

CFCA EV证书申请表点击下载

CFCA OV证书申请表点击下载

遵循以上流程，确保材料真实可靠，即可顺利申请CFCA全球信任SSL证书，为您的网站安全保驾护航。如有疑问，请咨询在线客服获取更多信息。

揭秘WebTrust认证：为何它是网络安全的关键标志

Fri, 30 Aug 2024 09:47:08 +0800

WebTrust认证作为电子认证服务行业的国际性标准，扮演着守护互联网安全的角色。本文将带您了解WebTrust的内涵，以及通过WebTrust认证的知名CA机构及其SSL证书的特点。

一、WebTrust认证概述

WebTrust是由美国注册会计师协会（AICPA）和加拿大注册会计师协会（CICA）共同制定的网络安全审计标准。它是电子认证服务行业的国际权威认证，主要对互联网服务商的系统及业务运作的安全性、保密性等七项内容进行严格审查。WebTrust认证得到各大浏览器和微软等大厂商的支持，是规范CA机构运营服务的国际标准。

二、通过WebTrust认证的知名CA机构及其SSL证书特点

1.Digicert SSL证书

Digicert，在2017年收购Symantec后，成为全球领先的互联网安全品牌。它提供高端的OV SSL证书和EV SSL证书，深受大型企业、电商、金融类网站的青睐。全球500强企业、百余家银行以及94%的全球领先电商平台均采用Digicert SSL证书。

2.GeoTrust SSL证书

GeoTrust是全球第二大数字证书颁发CA机构，隶属于Digicert。它提供DV SSL证书、OV SSL证书、EV SSL证书等多种类型，支持中文域名和显示中文名称，因此在国内外市场都有较高的占有率。

3.Sectigo SSL证书

Sectigo拥有超过20年的行业经验，证书发行量居全球首位。其产品类型丰富，性价比高，签发速度快，特别适合中小型企业。子品牌PositiveSSL证书因价格实惠、安全性高而广受欢迎。

4.GlobalSign SSL证书

GlobalSign自1996年起开始颁发SSL数字证书，提供DV、OV、EV等多种证书类型，支持多种加密算法。其SSL证书得到阿里巴巴、京东、百度等企业的认可，并提供中国技术支持团队，实现本地化服务。

5.Entrust SSL证书

Entrust是加拿大的CA品牌，专注于为银行、电商、证券等行业提供加密和验证服务。它主要提供OV和EV类型的证书，特别是EV型证书，以其严格的验证流程和高级别安全性，在全球范围内具有较高的市场占有率。

6.CFCA SSL证书

中国金融认证中心（CFCA）是经WebTrust认证和中国人民银行批准成立的国家级CA。其自主研发的SSL证书包括OV和EV类型，支持国密算法，满足国家监管需求，同时得到全球各大浏览器、操作系统及设备的认可。

网站的数据安全至关重要，选择通过WebTrust认证的CA机构颁发的SSL证书是确保网站安全的关键。上述提到的CA机构及其SSL证书，均具备国际认可的安全性和可靠性，是网站建设者保护网站安全的理想选择。如需了解更多关于CA和SSL证书的信息，请咨询在线客服。

英国研究报告呼吁为儿童进行“数字疫苗接种”

Thu, 29 Aug 2024 18:33:40 +0800

8月23日，英国谢菲尔德大学及其研究合作伙伴发布了一份报告，报告指出数百万儿童因无法接触数字技术而处于落后状态，并呼吁为儿童提供“数字疫苗接种”，提高儿童和青年的数字技能，以应对虚假信息，缩小数字鸿沟。

报告的关键洞察

报告指出，英国的数字空间正在为儿童和年轻人创造不公平的竞争环境，数百万儿童正处于落后状态，因为他们无法以负责任和创造性的方式获得充分利用数字设备和空间所需的技术和技能。具体而言，有超过40%的儿童（约600万）无法使用家庭宽带或笔记本/台式电脑。

同时，报告强调了未能弥合数字鸿沟的巨大经济成本，以及缺乏数字技能和识字能力会使儿童更容易面临虚假信息、假新闻和其他在线危害的风险。

报告还警示，到2030年，许多工人将被认为缺乏基本数字能力和技能。据估计，数字技能短缺每年可能给英国造成650亿英镑的损失。如果不将儿童和年轻人的生活和利益置于教育政策的中心，将对英国未来的经济发展产生现实影响。

报告的主要建议

建立最低数字生活标准框架。确保每个家庭都拥有有效参与所需的数字基础设施，例如高速宽带、功能正常的计算机或笔记本电脑，以及基本的数字技能培训。

通过教育工作者的持续专业发展增强学校的数字包容性。要确保必要的资源和时间分配，以支持教师和其他工作人员增强数字技能，为学生提供优质的数字教育。

创建一个全国性的数字创意技能共享平台。数字创意技能的共享将鼓励行业、教育机构和文化组织之间的伙伴关系，并建立支持网络，将学习者与导师、行业专家和教育机构联系起来，形成一个更具包容性和活力的数字环境。

建议所基于的原则

把孩子放在首位。童年是培养核心技能的关键时期,必须优先提高青年的技能，确保儿童在快速发展的数字环境中获得尽可能好的机会。

解决不平等问题。努力提供公平获取数字资源和技能的机会，缩小不同社会经济群体之间的数字鸿沟，为所有儿童提供充分参与数字经济和社会的机会。

采用基于区域的方法。要认识到不同地区面临的独特挑战，并根据当地情况量身定制数字化举措，以有效解决特定的数字障碍。

公共服务部门的有效合作。需要包括教育、健康和社会服务在内的各个公共服务部门之间的协作努力，为儿童和青少年提供数字未来所需的必要技能。

将教育置于公共服务核心。随着教师的持续专业发展，以及数字创造力和批判性对课程的融入，数字技能教育将成为公共服务举措的核心，要确保其推动更广泛的社会进步。

将大学设立为地方公共服务的研发部门。大学与地方公共服务之间的合作使学术研究能够为实践提供参考信息，为数字挑战提供尖端解决方案，并不断丰富公共服务。

在公共服务提供商之间有效地使用和共享信息。通过促进信息交流的透明度和协作能力，提高数字举措的有效性，确保所有利益攸关方都能为共享知识和创新做出贡献并从中受益。

来源｜University of Sheffield

编译｜张羽翔

审核｜赛博君

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

[仅供安全测试] 开发者制作Windows IPv6漏洞的概念验证发送特制数据包瘫痪设备

Thu, 29 Aug 2024 12:32:45 +0800

#安全资讯 [仅供安全测试] 开发者发布 Windows IPv6 漏洞的概念验证程序，只需要向目标设备发送特制数据包即可瘫痪设备。目前该 PoC 还不稳定，后续能够稳定的话能实现的功能更多，例如在无需用户交互的情况下触发远程代码执行。查看全文：https://ourl.co/105674

软件供应链安全的部分理解

Thu, 29 Aug 2024 12:21:27 +0800

文/程度

摘要

自从Solarwinds的供应链攻击事件，以及Log4j的漏洞对全行业安全造成影响，以及最近的SSH依赖库投毒攻击事件，软件供应链攻击开始被我们认识到。软件供应链安全事件最近几年也层出不穷，有APT攻击行为，也有开发者恶意行为，也有无意行为等。随着软件在数字化转型中的重要性日益提升，以及从供应链安全衍生出的软件供应链安全已成为信息安全领域的关键问题。本文将深入解读软件供应链安全的主要框架，分析核心问题，并基于当前市场格局探讨主流厂商的解决方案。通过全面剖析软件供应链安全的各个方面，为行业提供构建更安全、可靠的软件供应链安全的部分理解。

1. 软件供应链安全的问题现状

根据2023年Sonatype的软件供应链安全报告，可以看出开源项目虽然增速变慢，但是总体下载数量还在增长，已经超过了每年4万亿的下载次数。

图1 不同语言的开源项目的增长率

图2 所有开源项目每年的下载次数

1. 开源组件使用广泛但存在安全风险:

超过96%的已知漏洞下载有可用的修复版本,但开发者并未应用修复。

12%的Maven Central下载包含至少一个已知安全漏洞。
37%的漏洞组件下载是严重级别的。

图3 从Maven Central下载的有漏洞的Java组件统计

2. 恶意软件包攻击激增:

2023年发现245,000个恶意软件包,是之前几年总和的两倍。
恶意软件包成为软件供应链攻击的主要途径之一。

图4 每年发现的有威胁的软件包

3. 开源项目维护状况不佳:

8.6%的Java和JavaScript开源项目在2022年得到维护,但现在不再维护。
85%的Maven Central项目处于不活跃状态。
仅28%的组织能在漏洞披露后一天内意识到新的开源漏洞。
39%的组织需要超过一周时间来修复漏洞。

图5 开源漏洞修复周期

软件供应链安全面临着多方面的挑战，主要包括：

1.开源组件管理：

依赖复杂性：现代软件往往依赖大量开源组件，形成复杂的依赖树。
漏洞传播：一个底层组件的漏洞可能影响整个依赖链。
许可合规：需要确保所有使用的开源组件符合许可要求。

2. CI/CD管道安全：

配置错误：不安全的CI/CD配置可能导致未经授权的代码被引入。
凭证泄露：构建过程中的凭证管理不当可能导致敏感信息泄露。
供应链攻击：攻击者可能通过污染构建过程来植入恶意代码。

3. 制品完整性：

篡改检测：确保软件制品在分发和部署过程中未被篡改。
签名验证：使用加密签名来验证制品的来源和完整性。
来源追溯：能够追溯每个软件组件的来源和变更历史。

4. 漏洞管理：

检测及时性：快速识别新发现的漏洞对使用的组件的影响。
修复优先级：在大量漏洞中确定哪些需要优先修复。
影响评估：准确评估漏洞对整个应用程序的实际影响。

5. 合规性挑战：

SBOM生成：生成和维护准确的软件材料清单(SBOM)。
监管要求适配：满足不断的法规要求（如美国政府的行政命令）。
跨境数据流动：在全球化软件开发中处理不同地区的数据保护要求。

2. 软件供应链安全框架解读

2.1 NIST安全软件开发框架 (SSDF, SP 800-218)

NIST安全软件开发框架(SSDF)是一套全面的指南，旨在帮助组织将安全实践整合到软件开发生命周期中。该框架围绕四大核心功能展开：

1. 准备组织(PO): 确保组织的人员、流程和技术准备就绪，能够执行安全的软件开发。

PO.1 定义安全要求
PO.2 实施角色和职责
PO.3 实施支持性工具链

2. 保护软件(PS): 保护所有软件组件免受篡改和未经授权的访问。

PS.1 保护所有形式的代码
PS.2 提供软件发布完整性验证机制
PS.3 归档和保护每个软件版本

3. 生产优质软件(PW): 生产具有最少安全漏洞的优质软件。

PW.1 设计符合安全要求的软件
PW.2 审查设计以验证符合安全要求
PW.3 验证第三方软件符合安全要求
PW.4 重用经过验证的安全软件
PW.5 创建安全的源代码
PW.6 配置编译、解释器和构建过程
PW.7 审查和/或分析人类可读代码
PW.8 测试可执行代码
PW.9 配置软件以具有安全设置

4. 应对漏洞(RV): 识别剩余的漏洞并采取适当的响应措施。

RV.1 识别和确认漏洞
RV.2 评估、优先处理和修复漏洞
RV.3 分析漏洞以识别根本原因

SSDF的一个关键优势是其灵活性和适应性。它不规定具体的实施方法，而是关注预期的安全成果，使得不同规模和类型的组织都能根据自身情况来应用这些实践。NIST 800-218框架基本沿用NIST 800-53以及CSF的框架的语境扩展，可以作为相对宏观的一种指导框架。同时也可以参照NIST 800-161进行比较。

比较方面	NIST 800-161	NIST 800-218
主要焦点	供应链风险管理 (C-SCRM)	安全软件开发框架 (SSDF)
范围	整个信息和通信技术 (ICT) 供应链	软件开发生命周期
目标受众	组织的供应链管理者和安全专业人员	软件开发者、软件采购者和安全专业人员
主要内容	供应链风险管理实践和控制措施	安全软件开发实践和建议
实施方法	基于风险的方法来管理供应链安全	集成到现有软件开发生命周期中的安全实践

总的来说，NIST 800-161和NIST 800-218虽然关注点不同，但它们在供应链安全和软件开发安全方面相互补充。组织可以结合使用这两个标准来建立更全面、更强大的安全策略。例如，可以使用800-161来管理整体供应链风险，同时使用800-218来确保供应链中的软件开发过程符合安全标准。

在实践中，这种结合使用像这样：组织使用800-161来评估和管理其ICT供应链风险，包括识别关键供应商和评估其安全实践。然后，对于涉及软件开发的供应商，组织可以使用800-218中的指南来评估和改进这些供应商的软件开发安全实践。这种方法可以帮助组织在整个供应链中建立一个连贯的安全框架，从而更好地管理风险和提高整体安全性。

图6 软件供应链和传统供应链的对照关系图

2.2 CNCF软件供应链安全最佳实践 (SSCP)

CNCF的软件供应链安全最佳实践(SSCP)提供了一个更加针对云原生环境的框架。它将软件供应链安全分为五个主要阶段，并且每个阶段也分为四个部分，验证（Verification）、自动化（Automation）、环境授权（Authorization）和认证（Authentication）。

1. 源代码安全：

要求签名提交：所有代码提交都应该经过数字签名，以确保其来源和完整性。
使用分支保护规则：实施严格的分支保护策略，限制直接推送到主分支的权限。
防止将认证信息提交到代码库：使用自动化工具检测和阻止敏感信息（如密钥、密码）被提交到代码库。
定义贡献政策和角色：明确规定谁可以贡献代码，以及贡献的流程和标准。
实施代码审查：要求所有代码更改在合并前经过同行审查。
使用静态代码分析工具：自动检测潜在的安全漏洞和编码问题。

2. 物料安全：

验证第三方工件和开源库：对所有外部依赖项进行安全性和完整性检查。
跟踪开源组件之间的依赖关系：维护一个详细的依赖关系图，以便于识别潜在的风险。
扫描软件漏洞：定期扫描所有依赖项，检查已知的安全漏洞。
许可证合规性检查：确保所有使用的开源组件符合许可证要求。
维护软件物料清单（SBOM）：创建并维护一个详细的组件清单，包括所有直接和间接依赖项。
实施漏洞管理流程：制定明确的流程来处理发现的漏洞，包括评估、修复和通知。

3. 构建安全：

自动化构建和CI/CD步骤：尽可能自动化构建过程，减少人为错误。
标准化项目间的管道：在所有项目中使用一致的构建和部署流程。
部署安全的编排平台：使用安全配置的容器编排平台（如Kubernetes）来管理构建环境。
隔离每个构建步骤的职责：确保每个构建步骤只能访问它所需要的资源。
实施最小权限原则：为每个构建步骤和工具分配最小必要的权限。
加密敏感数据：确保在构建过程中使用的所有敏感信息（如凭证）都经过加密。
记录和审计构建过程：保留详细的构建日志，并定期审计以检测异常。

构建安全是基于前两步的安全机制下，进行的更近一步的安全保证。前提是保证了相关的源代码和依赖库的安全前提下进行的构建安全规划。

图7 应用软件依赖样例图

4. 制品安全：

签名构建过程的每个步骤：为构建过程中的每个重要步骤生成数字签名。
验证每个步骤生成的签名：在后续步骤中验证先前步骤的签名，确保完整性。
使用TUF/Notary管理工件签名：采用The Update Framework (TUF) 或 Notary 等工具来管理和验证工件签名。
实施不可变的工件版本控制：一旦工件被创建和签名，就不应该被修改。
安全存储工件：使用安全的存储系统来保存构建工件，限制访问权限。
实施工件扫描：在发布前对工件进行安全扫描，检查潜在的漏洞或恶意代码。

5. 部署安全：

确保客户端可以验证工件和元数据：提供机制让最终用户验证下载的软件的完整性和真实性。
确保客户端可以验证文件的"新鲜度"：实施机制确保用户能够检查他们是否拥有最新版本的软件。
使用The Update Framework (TUF)：采用TUF来提供安全的软件更新机制。
实施安全的配置管理：确保部署环境的配置是安全的，并且经过版本控制。
自动化部署过程：使用自动化工具进行部署，减少人为错误和安全风险。
实施蓝绿部署或金丝雀发布：使用这些技术来逐步推出更新，便于快速回滚。
监控和日志记录：持续监控部署环境，并保留详细的日志以便于审计和问题排查。

SSCP与NIST SSDF相比，更加聚焦于云原生环境和DevOps实践，为现代软件开发提供了更具操作性的指导。SSCP的核心理念是将安全考虑融入软件开发和部署的每个阶段，从源代码管理到最终部署。它强调了自动化、最小权限原则、持续监控和改进的重要性。通过实施这些实践，组织可以显著提高其软件供应链的安全性，减少安全漏洞和潜在的供应链攻击风险。

2.3 其他相关框架

SLSA (Supply chain Levels for Software Artifacts)：Google提出的框架，定义了四个递进的安全级别，帮助组织逐步提高其软件供应链安全性。
OpenSSF Scorecard：自动化工具，用于评估开源项目的安全实践，涵盖了代码审查、依赖管理等多个方面。
BSA安全软件框架：侧重于软件开发生命周期的安全实践，包括安全设计、安全编码、测试和验证等方面。

这些框架各有侧重，但都致力于提高软件供应链的整体安全性。组织可以根据自身需求和能力，选择合适的框架或综合多个框架的优点来指导实践。

3. 软件供应链安全产品技术分析

图8 软件供应链安全厂商全景图

3.1 源代码安全

1. 平台解决方案：

GitHub Advanced Security：

提供代码扫描、秘密扫描和依赖审查等功能。
与GitHub的开发工作流深度集成，提供无缝的安全体验。

GitLab安全功能：

包括SAST、DAST、容器扫描和依赖扫描等多种安全工具。
支持自动化安全测试和漏洞管理。

2. 新兴厂商：

Arnica：

使用行为分析来识别潜在的安全风险。
提供实时代码扫描，即时发现并通知开发者安全问题。
自动化权限管理，基于历史访问模式动态调整权限。

Jit.io：

开源安全编排平台，支持集成多种安全工具。
提供预定义的安全计划，帮助团队达成特定的安全目标。
支持多种合规框架，如AWS FTR和OWASP Top 10。

3.2 构建与流水线安全

1. 软件成分分析(SCA)：

Snyk：

拥有自己的漏洞数据库，支持多种编程语言和包管理器。
提供自动修复PR功能，简化漏洞修复过程。
支持许可合规检查和SBOM生成。

Semgrep Supply Chain：

使用可达性分析来减少误报，聚焦于实际可利用的漏洞。
提供依赖搜索功能，方便快速定位特定依赖的使用情况。
支持SBOM导出，便于合规管理。

Endor Labs：

使用程序分析技术进行深度依赖分析。
提供多维度的风险评估，包括漏洞可利用性、修复可用性等。
支持生成带有VEX信息的SBOM，提供更丰富的漏洞上下文。

2. 恶意依赖检测：

Socket：

提供实时依赖检测，快速识别潜在的恶意包。
对依赖进行风险评估，包括行为分析和能力评估。
与GitHub深度集成，直接在PR中提供依赖安全反馈。

Phylum：

利用大数据和机器学习技术分析开源包的安全性。
提供开源沙箱(Birdcage)，限制包的网络和磁盘访问。
持续监控主要开源生态系统，提供全面的威胁情报。

Datadog GuardDog：

开源解决方案，使用Semgrep进行静态分析。
支持Python和npm包的扫描。
可集成到CI/CD流程中，自动扫描新引入的依赖。

3. CI/CD安全：

OX Security：

引入PBOM(Pipeline Bill of Materials)概念，提供软件开发全生命周期的可见性。
提供工作流自动化和安全姿态管理，确保CI/CD流程的安全。
基于OSC&R框架构建，提供全面的供应链威胁防护。

Cycode：

使用eBPF技术检测构建过程中的攻击。
提供构建强化功能，防止恶意依赖和篡改。
包括代码泄露检测功能，降低源代码泄露的风险。

Tromzo：

提供产品安全运营平台(PSOP)，整合软件资产清单和CI/CD管道可见性。
提供CI/CD姿态管理，确保构建服务器和仓库的安全配置。
使用专有的Intelligence Graph来识别关键软件资产和高风险漏洞。

3.3 制品安全与部署

1. 容器安全：

Chainguard：

提供安全优先的容器基础镜像，减少攻击面。
支持在构建过程中生成SBOM。
提供持续验证功能，确保部署后的容器仍符合安全要求。

Aqua：

提供全面的容器安全解决方案，包括镜像扫描和运行时保护。
支持对各种容器环境的动态分析，包括VM和无服务器容器。
与多种容器注册表和Kubernetes平台集成。

Rapidfort：

引入RBOM(Real Bill of Materials)概念，通过容器优化减少漏洞警报。
自动优化容器，只包含必要的组件。
提供优化后的详细分析，说明移除了哪些文件、包和漏洞。

2. SBOM与代码来源：

Chainguard Enforce：

提供基于SLSA和NIST框架的策略管理。
支持合规自动化，自动生成SBOM。
提供生产环境洞察，实时查看部署状态。

Legit Security：

提供ASPM(应用程序安全姿态管理)工具，实现从代码到云的可追溯性。
支持多种SBOM格式，如CycloneDX。
提供SBOM聚合和差异分析功能。

Apiiro：

引入XBOM(Extended Bill of Materials)概念，提供更全面的软件组件视图。
使用风险图谱来检测开源解决方案中的恶意包。
提供开发者行为分析，识别潜在的内部威胁。

结论

软件供应链安全是一个多维度、全生命周期的挑战。通过对主流框架的深入理解、核心问题的准确把握，以及对市场解决方案的分析，我们可以得出以下几点结论：

1. 综合框架应用：没有一个单一的框架能够解决所有软件供应链安全问题。组织需要根据自身情况，综合运用NIST SSDF、CNCF SSCP等框架，建立适合自己的安全实践。

2. 全面风险管理：软件供应链安全不仅仅是技术问题，还涉及流程、人员和治理等多个方面。组织需要采取全面的风险管理方法，从源代码到部署的每个环节都要考虑安全因素。

3. 自动化和持续性：鉴于现代软件开发的快速迭代特性，安全措施必须是自动化和持续的。这包括自动化的漏洞扫描、依赖分析、SBOM生成等。

4. 生态系统协作：软件供应链安全是一个共同责任。开源社区、商业供应商、安全研究人员和最终用户需要加强合作，共同提高整个生态系统的安全性。

5. 平衡安全与效率：虽然安全至关重要，但不应成为创新和效率的阻碍。优秀的软件供应链安全解决方案应该能够无缝集成到开发流程中，最小化对开发者工作的干扰。

6. 重视新兴技术：人工智能、机器学习等新兴技术正在改变软件开发和安全领域。组织应该密切关注这些技术的发展，并探索如何利用它们来增强供应链安全。

7. 合规性驱动：随着各国政府和行业组织对软件供应链安全的关注度提高，合规要求将成为推动组织采取行动的重要因素。然而，合规不应该是终点，而应该是持续改进的起点。

未来，随着软件在社会各个领域的深入应用，软件供应链安全的重要性将继续提升。我们可以预见，更多创新的解决方案将会涌现，帮助组织应对这一复杂的挑战。同时，行业标准和最佳实践将进一步成熟，为组织提供更清晰的指导。

声明：本文来自安全喷子，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

韩国黑客团伙正在积极利用WPS中的漏洞部署后门该漏洞已经在最新版中修复

Thu, 29 Aug 2024 11:12:53 +0800

#安全资讯韩国黑客团伙正在积极利用 WPS 中的安全漏洞用来部署后门程序 SpyGlace，这些漏洞已经在 2024 年 5 月份修复。但很显然肯定还有用户到现在都没升级最新版本，于是代号为 APT-C-60 的韩国黑客团伙利用该漏洞部署后门程序窃取高价值信息。查看全文：https://ourl.co/105665

[仅供安全测试] Windows 10/11降级漏洞的工具包现已发布降级后可以展开攻击

Thu, 29 Aug 2024 10:28:15 +0800

#安全资讯 [仅供安全测试] Windows 10/11 降级漏洞的工具包现已发布，可以悄悄降级 Windows NT 内核再利用以前的漏洞发起攻击。该工具利用 Windows Update 的缺陷绕过微软的安全机制，系统被降级后还以为自己是最新版，而被降级后以前的漏洞就被暴露出来，此时黑客就可以发起针对性的攻击。查看全文：https://ourl.co/105663

本地SEO策略：确保多地点企业每个分支的SSL证书合规性

Thu, 29 Aug 2024 10:09:15 +0800

SSL证书不仅是网站安全性的保证，也是提升搜索引擎排名的关键因素。本文将为您提供一系列策略，帮助您的企业在各个地点确保SSL证书的合规性，从而增强本地SEO表现。

一、SSL证书的重要性

SSL证书是一种用于在服务器和客户端之间建立安全连接的数字证书。它通过加密数据传输，保护用户的隐私和信息安全。对于多地点企业来说，每个分支都应该拥有合规的SSL证书，原因如下：

1.提升用户信任

当用户访问一个网站时，如果看到浏览器地址栏中的锁形图标和“https”前缀，他们会感到更加安全和信任。这对于吸引和留住客户至关重要，尤其是在涉及敏感信息如个人数据、支付信息等的情况下。

2.搜索引擎优化

搜索引擎如Google越来越重视网站的安全性。拥有SSL证书的网站在搜索结果中的排名可能会更高，从而提高企业的在线可见性。对于多地点企业来说，确保每个分支的SSL证书合规性可以整体提升企业的SEO表现。

3.数据安全

多地点企业通常处理大量的客户数据和业务信息。SSL证书可以防止数据在传输过程中被窃取或篡改，降低数据泄露的风险。这不仅符合法律法规的要求，也有助于保护企业的声誉和客户关系。

二、确保SSL证书合规性的策略

1.统一管理

多地点企业应该建立一个统一的SSL证书管理系统，确保所有分支的证书都能得到有效的监控和更新。这可以包括定期检查证书的有效期、及时更新过期证书、确保证书的安装和配置正确等。

2.选择可靠的证书提供商

选择一个可靠的SSL证书提供商非常重要。提供商应该具有良好的声誉、提供高质量的证书和优质的客户服务。同时，提供商还应该能够满足企业的特定需求，如多域名证书、通配符证书等，以便更好地管理多地点企业的网站。

3.员工培训

企业应该对员工进行SSL证书相关的培训，提高他们的安全意识和操作技能。员工应该了解如何识别和处理证书相关的问题，如证书过期、安装错误等。此外，企业还应该建立相应的安全政策和流程，确保员工在日常工作中遵守SSL证书的使用规范。

4.定期审计

定期对企业的SSL证书进行审计是确保合规性的重要手段。审计可以包括检查证书的安装情况、验证证书的有效性、检查服务器配置等。通过审计，企业可以及时发现和解决证书相关的问题，确保网站的安全性和稳定性。

三、结合本地SEO的优势

1.提升本地搜索排名

除了SSL证书对整体SEO的积极影响外，确保每个分支的SSL证书合规性还可以提升本地搜索排名。当用户在本地搜索相关业务时，搜索引擎会更倾向于显示安全可靠的网站。因此，多地点企业可以通过确保SSL证书合规性，提高在本地搜索结果中的曝光度。

2.增强本地品牌形象

拥有合规的SSL证书可以向用户传达企业对安全和隐私的重视。这对于建立良好的本地品牌形象非常重要，尤其是在竞争激烈的市场环境中。用户更愿意与那些注重安全和保护用户隐私的企业进行业务往来。

3.提高用户体验

安全的网站可以提供更好的用户体验。用户在访问一个拥有SSL证书的网站时，会感到更加放心和舒适。这可以减少用户的流失率，提高用户的满意度和忠诚度。对于多地点企业来说，良好的用户体验可以帮助企业在各个分支地区赢得更多的客户和市场份额。

在本地SEO策略中，确保多地点企业每个分支的SSL证书合规性是至关重要的。通过统一管理、选择可靠的证书提供商、员工培训和定期审计等策略，企业可以确保SSL证书的有效性和安全性。同时，结合本地SEO的优势，企业可以提升本地搜索排名、增强本地品牌形象和提高用户体验，从而实现业务的持续增长和成功。