⑴ 歐盟發布5G網路安全風險評估報告:攻擊風險增加
C114訊 北京時間10月10日消息(艾斯)在歐盟委員會和歐洲網路安全局的支持下,歐盟成員國發布了一份歐盟對5G網路安全風險的評估報告。這一重大舉措是執行歐盟委員會於2019年3月通過的安全建議的一部分,該建議旨在確保整個歐盟5G網路的高水平網路安全。
該報告基於所有歐盟成員國的國家網路安全風險評估結果。報告確定了主要威脅和威脅行為者,最敏感的資產,主要漏洞(包括技術漏洞和其他類型的漏洞)以及許多戰略風險。
這一評估為確定可在國家和整個歐盟層面實施的緩解措施提供了基礎。
歐盟對5G網路安全風險評估的主要洞察:
報告指出了一些重要的安全挑戰,與現有網路的情況相比,這些挑戰很可能在5G網路中出現或變得更加突出:
這些安全挑戰主要與以下方面有關:
5G技術的關鍵創新(這同時也帶來了許多特定的安全性改進),尤其是軟體的重要組成部分,以及由5G支持的廣泛的服務和應用程序;供應商在建設和運營5G網路中的作用,以及對單個供應商的依賴程度。
具體而言,預計5G網路的推出將產生以下影響:
·遭受攻擊的風險增加,並且攻擊者有更多潛在的切入點:由於5G網路越來越基於軟體,與重大安全缺陷相關的風險越來越重要,比如供應商內部糟糕的軟體開發流程。這還將使威脅行為者更容易惡意地在產品中插入後門,並使其更難被發現。
·由於5G網路架構的新特性和新功能,某些網路設備或功能變得越來越敏感,例如基站和網路的關鍵技術管理功能。
·與移動網路運營商對供應商的依賴相關的風險增加。這也將導致更多的攻擊路徑可能被威脅行為者利用,並增加此類攻擊影響的潛在嚴重性。在各種潛在威脅行為者中,非歐盟國家或歐盟國家支持的行為者,被認為是最危險的行為者,也是最有可能瞄準5G網路的對象。
·在這種由供應商導致的被攻擊風險增加的情況下,單個供應商的風險狀況將變得尤為重要,包括供應商受到非歐盟國家干預的可能性。
·對供應商的重度依賴關系帶來的風險增加:對單個供應商的重度依賴關系增加了潛在的供應中斷風險,例如由於商業破產及其後果導致的供應中斷。它還加劇了弱點或漏洞的潛在影響,同時威脅行為者可能會利用這些弱點,特別是在依賴關系涉及存在高度風險的供應商的情況下。
·對網路可用性和完整性的威脅將成為主要的安全問題:除了機密性和隱私威脅外,5G網路預計將成為許多關鍵IT應用的骨幹,這些網路的完整性和可用性將成為國家安全的主要問題,從歐盟的角度來看,這也是一個重大的安全挑戰。
所有這些挑戰共同創造了一個新的安全範式,因此有必要重新評估適用於該領域及其生態系統的當前政策和安全框架,這對於成員國採取必要的緩解措施至關重要。
同時,歐洲網路安全局正在敲定一個與5G網路相關的具體威脅分布圖,該分布圖將更詳細地分析報告中涉及的某些技術方面。
下一步
到2019年12月31日,合作小組將商定一個緩解措施工具箱,用以解決國家和整個歐盟層面已確定的網路安全風險。
到2020年10月1日,歐盟成員國應與歐盟委員會合作,評估安全建議的效果,從而確定是否需要採取進一步行動。該評估應考慮到統一的歐洲風險評估的結果和各項措施的有效性。
報告背景
在獲得歐洲理事會的支持後,2019年3月26日,歐盟委員會通過了《5G網路安全建議》,呼籲歐盟成員國完成國家風險評估並審查國家安全措施,並在整個歐盟層面共同開展統一風險評估工作,同時就一個通用的緩解措施工具箱進行商議。
在國家層面,每個成員國都完成了5G網路基礎設施的國家風險評估,並將評估結果發送給了歐盟委員會和歐洲國家網路安全委員會(ENISA)。國家風險評估特別審查了影響5G網路、敏感5G資產以及相關漏洞的主要威脅和威脅行為者,這些漏洞包括技術漏洞和其他類型的漏洞,例如5G供應鏈中潛在產生的漏洞。
⑵ 幾幾年歐盟正式實施歐盟網路安全法將歐盟網路與信息安全決定被稱
《歐洲網路安全法》於2019年6月27日。歐盟正式實施歐盟網路安全法將歐盟網路與信息安全決定是《歐洲網路安全法》於2019年6月27日正式實施。歐盟理事會通過在整個歐盟內實現高度共同網路安全的立法,以進一步提高公共和私營部門以及整個歐盟的網路安全。
⑶ 2019網路安全的十大趨勢
2018年,很多轟動的數據泄露和勒索軟體攻擊震驚了企業界。Juniper Research公司估計,在未來五年內,網路犯罪分子竊取的數據量會增加高達175%。再加上全球經濟的不確定性,2019年對於網路安全專業人士來說將是充滿挑戰的一年。
1.實施GDPR
歐盟的通用數據保護條例(GDPR)要求在歐盟運營的每一家企業都要保護歐盟公民的隱私和個人數據。如果不合規會受到很高的處罰,GDPR對個人數據的構成的規定非常寬泛,因此,這會是一項非常繁重的工作。Ovum在2018年7月一份有關數據隱私法的報告中指出,三分之二的企業認為他們將不得不調整自己的工作流程以實現合規,一半以上的企業擔心他們可能會因為不合規而被罰款。
2.管理託管和非託管設備
隨著用戶使用的移動設備(包括託管的和非託管的)的數量和范圍不斷增加,企業網路在降低相關風險方面面臨著艱巨的挑戰。物聯網已經把很多聯網的設備(其中很多設備幾乎沒有或者根本沒有內置安全性)連接到以前的安全網路中,導致易被攻擊的端點數量呈指數增長。企業應把握好這一趨勢,對非託管設備的使用進行一定程度的控制,並為託管設備建立明確的協議。
3.做一個完整的清單
Ponemon在2018年進行的一項調查發現,盡管97%的安全專業人士認為由不安全設備引起的網路攻擊對他們的企業來說可能是災難性的,但只有15%的企業擁有與其系統相連的物聯網設備的清單,不到一半的企業擁有允許他們斷開與被視為高風險設備的連接的安全協議。企業必須對這些漏洞主動採取措施。今年,我們希望看到有更多的企業遵循NIST的最佳實踐建議,為所有連接設備建立實時清單。不僅是那些通過有線連接的設備,還有通過Wi-Fi和藍牙連接的設備。
4.有目標的網路釣魚攻擊
對於黑客來說,個人數據是越來越有利可圖的寶藏。可以從暗網上買到從Facebook等社交媒體網站的攻擊中挖掘出來的數據,然後利用這些數據為 社會 工程攻擊工程師提供成功瞄準個人所需的信息。這導致了APT(高級持續威脅)組織能夠發起越來越復雜的攻擊。現在很少有人會陷入「奈及利亞」騙局,但如果網路釣魚電子郵件來自可信來源或者引用了你認為垃圾郵件發送者不會擁有的個人數據,那這就很難被發現。卡巴斯基公司認為,魚叉式網路釣魚將是2019年對企業和個人最大的一種威脅。
5.勒索軟體和挖礦劫持
雖然勒索軟體攻擊在減少,但在某種程度上已經被挖礦劫持(劫持計算機以挖掘加密貨幣)所取代。這些攻擊採用與勒索軟體類似的戰術,但需要較少的技術專業知識。惡意軟體是在用戶不知情的情況下在後台工作,因此很難估計這個問題的真實規模,但所有證據都表明這一問題越來越嚴重。
2018年(WannaCry、NotPetya)發生的轟動的攻擊也表明,盡管隨機的低級勒索軟體攻擊數量在減少,但復雜的有目標的攻擊在一段時間內仍是問題。我們預計,2019年挖礦劫持和有目標的勒索軟體攻擊仍然會持續增長。
6.用戶訪問許可權
有效的管理用戶許可權是強大的安全措施的基石之一。授予用戶不必要的數據訪問許可權或者系統許可權會導致意外和故意濫用數據,並給外部攻擊留下漏洞。識別和訪問管理(IAM)系統是應對這種風險的主要途徑,它為管理員提供了監視和評估訪問的工具,以確保符合政府法規和公司協議。在這一新興領域中的很多解決方案仍處於起步階段,但它們已經證明了自己的業務價值。我們預計在未來一年會有越來越多的解決方案。
7.端點檢測與響應(EDR)
端點檢測和響應是一種新興的技術,它連續監視接入點,對高級威脅做出直接響應。EDR解決方案主要側重於檢測入口點的事件,包括防止網路感染的事件、調查任何可疑的活動,以及恢復系統完整性的補救措施等。傳統的端點保護平台(EPP)主要是預防性的。EDR增強威脅檢測遠遠超出了傳統EPP解決方案的能力,並使用行為監視和人工智慧工具去主動搜索異常情況。網路威脅的性質已經發生了變化,我們期望能夠有一波新的安全解決方案,能夠把傳統的EPP與新興的EDR技術結合起來。
8.深度虛假視頻
眼見不一定為實。自動化的人工智慧技術已經開發出來,能夠創建和檢測深度虛假視頻。這類視頻可能描述了一個從事非法或者色情活動的名人或者政治家,也可能是一個發表煽動性言論的國家元首。即使圖像被證明是假的,但也會造成持久的名譽損害,或者嚴重的不可挽回的後果。這不僅突出了事實檢驗的重要性,而且這項技術還令人感到隱隱的擔憂。深度虛假視頻經常會像病毒一樣傳播,這使其成為傳播惡意軟體和發起網路釣魚攻擊的絕佳工具。在接下來的一年裡,我們都應警惕這種惡劣的趨勢。
9.雲安全
把服務和計算解決方案遷移到雲端給企業帶來了很多好處。然而,這也打開了新的風險領域。令人擔憂的是,網路安全技能方面的差距仍然很大,新一代網路犯罪分子正在積極 探索 利用基於雲的服務,尋找漏洞。很多企業仍然不確定他們應在多大程度上負責保護數據,即使是最好的系統也可能因為違反協議而被攻破。我們需要重新定義雲的安全性並採取主動措施。
10.用戶認識
在上述幾乎所有的領域中,最終都取決於用戶認識。木桶的容量取決於最短的那塊木板,如果我們想保護好我們的數據和網路,那麼我們都必須承擔風險。最重要的是,我們希望所有用戶都能提高認識,並在限制威脅和補救方面開展更全面的教育。知識就是力量,它就在我們的掌握之中。
(原標題:這十個網路安全趨勢,誰都躲不掉!但結果取決於……)
無線網路的標准有6種,分別是:
1、802.11a
高速WLAN協議,使用5G赫茲頻段。最高速率54Mbps,實際使用速率約為22-26Mbps。與802.11b不兼容,是其最大的缺點。
2、802.11b
最流行的WLAN協議,使用2.4G赫茲頻段。最高速率11Mbps,實際使用速率根據距離和信號強度可變 (150米內1-2Mbps,50米內可達到11Mbps)。802.11b的較低速率使得無線數據網的使用成本能夠被大眾接受。
3、802.11e
基於WLAN的QoS協議,通過該協議802.11a,b,g能夠進行VoIP。也就是說,802.11e是通過無線數據網實現語音通話功能的協議。該協議將是無線數據網與傳統移動通信網路進行競爭的強有力武器。
4、802.11g
802.11g是802.11b在同一頻段上的擴展。支持達到54Mbps的最高速率。兼容802.11b。該標准已經戰勝了802.11a成為下一步無線數據網的標准。
5、802.11h
802.11h是802.11a的擴展,目的是兼容其他5G赫茲頻段的標准,如歐盟使用的HyperLAN2。
6、802.11i
802.11i是新的無線數據網安全協議,已經普及的WEP協議中的漏洞,將成為無線數據網路的一個安全隱患。802.11i提出了新的TKIP協議解決該安全問題。
(4)歐盟網路安全技術擴展閱讀
無線網路應用領域
1、網路媒體
由於無線網路的頻段在世界范圍內是無需任何電信運營執照的,因此WLAN無線設備提供了一個世界范圍內可以使用的,費用極其低廉且數據帶寬極高的無線空中介面。用戶可以在Wi-Fi覆蓋區域內快速瀏覽網頁,隨時隨地接聽撥打電話。
2、掌上設備
無線網路在掌上設備上應用越來越廣泛,而智能手機就是其中一份子。與早前應用於手機上的藍牙技術不同,Wi-Fi具有更大的覆蓋范圍和更高的傳輸速率,因此Wi-Fi手機成為了移動通信業界的時尚潮流。
3、日常休閑
無線網路的覆蓋范圍在國內越來越廣泛,高級賓館、豪華住宅區、飛機場以及咖啡廳之類的區域都有Wi-Fi介面。當我們去旅遊、辦公時,就可以在這些場所使用我們的掌上設備盡情網上沖浪了。
4、客運列車
2014年11月28日14時20分,中國首列開通WiFi服務的客運列車——廣州至香港九龍T809次直通車從廣州東站出發,標志中國鐵路開始WiFi(無線網路)時代。
列車WiFi開通後,不僅可觀看車廂內部區域網的高清影院、玩社區游戲,還能直達外網,刷微博、發郵件,以10—50兆的帶寬速度與世界聯通。
⑸ 歐盟推出「安全星座」計劃發展太空互聯網,這項計劃實施起來有哪些難題
歐盟推出「安全星座」計劃發展太空互聯網,這項計劃實施起來有哪些難題?下面就我們來針對這個問題進行一番探討,希望這些內容能夠幫到有需要的朋友們。
索尼CSL和JAXA的協作致力於創建低路軌通訊衛星和無人飛行器中間根據光通訊的信息服務,進而完成平流層的通訊。彼此模擬一個構建在千兆乙太網路線上的、具備自由空間光通訊誤碼率的試驗環境。在這類低品質的環境下,一般互聯網技術通訊沒法進行。但測試數據卻以446Mbps的速率,完好無損地被取得成功傳送。這一結果顯示,自由空間的光通訊也是有很有可能完成類似路面信息服務的高品質和快速通訊。
⑹ 國外的網路安全法律法規對我們有何啟示
在實踐上,應加強公私部門合作,加大網路安全保障力度。
可借鑒英國、歐盟等的做法。
成立網路犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網路安全威脅信息的搜集與研判;建立網路安全國際合作部門,負責加強國際網路安全合作。
加強公私部門之間的聯動機制,發揮公私部門的優勢。引導私營部門成立網路安全小組或協會,加強業內之間、業內與政府之間的網路安全威脅信息共享與溝通,提升應對網路威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業與高校合作、政府與企業合作、政府與高校合作等多方機制,培養高學歷、高水平的網路安全人才。
一、關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
1.設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
2.定期對從業人員進行網路安全教育、技術培訓和技能考核;
3.對重要系統和資料庫進行容災備份;
4.制定網路安全事件應急預案,並定期進行演練;
5.法律、行政法規規定的其他義務。
二、網路安全法下列用語的含義:
1.網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
2.網路安全,是指通過採取必要措施,防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。
3.網路運營者,是指網路的所有者、管理者和網路服務提供者。
4.網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
5.個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
法律依據:《中華人民共和國網路安全法》
第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條 開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。