政府安全资讯精选 2017年第十二期 中国网络安全漏洞披露平均效率远超美国； 美国美国国土安全部发布指令，要求联邦机构强化Web和电子邮件安全

【国内政策分析】

安徽合肥开出首张《网络安全法》罚单 点击查看原文

概要：合肥市公安局高新分局对某企业的门户网站被植入木马病毒的案件进行调差。同时，对该单位网络安全负责人和负责维护合肥某信息产业有限公司的负责人开出了合肥市首张违反《网络安全法》处罚决定，对未落实网络安全保护责任的行为下达整改通知书，并处以警告处罚。

点评：该企业违反了《网安法》第二十一条，“网络运营者应当按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。网络安全保护责任是网络安全法的核心之一，也是企业的首要保障任务。根据《网安法》，违规企业不仅会受到出发，网络安全负责人也可能直接被罚款。预计今年年底至明年，各地监管将继续加强《网络安全法》相关的执法工作。

【全球行业动态】

中国网络安全漏洞披露平均效率远超美国 点击查看原文

概要：Recorded Future的网络安全调查显示，中国国家信息安全漏洞库（CNNVD）处理安全漏洞的平均效率比美国计算机应急响应小组（U.S.-CERT）高出近两倍。CNNVD平均需要13天的时间完成对曝光漏洞的处理，在系统中创建条目并发布，而美国CERT则需要33天的时间。根据过去两年披露的漏洞数据， 75%初次披露的漏洞6天内被CNNVD收录，而美国NVD得花20天时间；90%的漏洞在初次披露后的18天内被CNNVD收录，而NVD则要用92天。

点评：NVD和CNNVD效率如此之大的原因之一是因为CNNVD会主动搜索网络和其它信息来源，查找漏洞信息，而NVD则会等待厂商的报告，相比之下依赖行业，方式较为死板。对漏洞信息的掌握对于企业安全管理者来说非常重要。而重大漏洞的披露速度即使只相差几天，也可能造成很大的安全风险。在这一点上，中国漏洞管理与披露的经验对于美国具有一定的参考价值。

【全球政策趋势】

美国美国国土安全部发布指令 要求联邦机构强化Web和电子邮件安全 点击查看原文

概要：美国国土安全部（DHS）发布《约束性操作指令18-01》，要求联邦政府机构采用新的Web和电子邮件安全指南。 联邦机构必须按照要求在90天内应用DMARC和STARTTLS两项协议。DMARC是一款防止电子邮件欺诈，提供伪造邮件来源数据的协议。STARTTLS则在数据传输时对电子邮件加密，以防中间人攻击。指令还要求联邦机构120天内在所有公开访问的网站上启用HTTPS和HSTS安全连接。

点评：针对指令的具体执行，国土安全部提出了阶段性的要求。首先，各联邦机构必须在30天内提交一份行动计划，60天内完成部分配置，120天确保完成协议所有要求，并定期提供执行情况报告。该项指令将帮助政府机构提高Web和电子邮件的安全性，减少潜在漏洞和由操作造成的安全风险。

美国参议员提出《诚实广告法案》监管政治广告 点击查看原文

概要：针对俄罗斯通过社交网站广告影响美国2016年大选的争议，美国参议员提出《诚实广告法案》（Honest Ads Act）。法案要求Facebook, Twitter等社交网站公布有关政治广告受众，费用等信息，留存政治广告副本，并使其公开可获取。针对每月浏览用户超过5000万的平台，新规定要求其遵守针对印刷、电视等媒体的政治广告披露规则。同时，所有一年政治广告费用花费超过500美元的公司，法案要求这些公司留存并发布相关用户数据。

点评：Facebook等社交网站对其用户的影响力日益增加，通过对用户使用数据的分析，可以更加精准地掌握用户对不同信息的需求。因此，政治类广告也利用社交网络进行宣传。然而，伴随影响力的增加，社交网络也需要承担起更多的内容安全责任，在商业利益，社会公益和用户隐私之间把握平衡。