网络安全政策法律动态（2017.5.1-2017.5.31）

发布时间:2017-05-31 15:45 作者:佚名来源:公安三所网络安全法律研究中心点击:加载中...次

域外动态

　　1、美国总统特朗普签署网络安全行政令将全面加强网络安全建设

5月11日，美国总统特朗普签署《增强联邦政府网络与关键性基础设施网络安全总统行政令》(PresidentialExecutive Order on Strengthening the Cybersecurity of Federal Networks andCritical Infrastructure)，规定了加强联邦政府、关键基础设施和国家网络安全将采取的保护措施。

在联邦政府网络安全方面，行政令指出，“美国政府应动用所有能力尽责保障信息技术和数据。总统应保证各行政部门及机构负责人对其业务的网络安全风险加以管理”。因此行政令提出全面的风险管理制度，规定机构负责人对总统负责，实施与非授权访问，信息技术和数据的使用、披露、破坏、修改或毁坏等危害风险和程度相应的风险管理措施。自该行政令发布之日起90天内，各机构负责人应向国土安全部部长和管理与预算局局长提交风险管理报告。该风险管理报告由国土安全部部长和管理与预算局局长联合评估，测定报告提出的风险缓解和接受选择是否适合且充分管理该行政机构面临的整体网络安全风险。

在关键基础设施网络安全方面，要求对2013年2月12日颁布的第13636号行政令规定的关键基础设施名单进行评估，并提交网络安全风险评估报告。在该行政令发布之日起90日内，国土安全部部长与商务部长协调，向总统提交一份审查现有联邦政策和做法充分性的报告，这些政策和做法指关键基础设施实体在促进适当的市场透明度方面的网络安全风险管理实践。为了更好的抵御僵尸网络和其它自动分布式攻击的威胁，该行政令提出建立一个公开透明的进程，以确定和促进利益相关方提高互联网和通信生态系统的弹性行动，并鼓励以大幅度减少自动分布式攻击为目标的合作。

在国家网络安全方面，行政令提出，“为确保互联网能惠及后代，行政部门的政策应推广开放、共享、可靠、安全的互联网，以促进效率、创新、沟通和经济繁荣，同时尊重隐私，防范网络中断、欺诈和盗窃”。为此，该行政令提出三个行动计划：(1)加强防御与保护措施；(2)促进网络安全国际合作；(3)重视网络安全人才的培养和教育。

行政令原文链接：

https://www.whitehouse.gov/the-press-office/2017/05/11/presidential-executive-order-strengthening-cybersecurity-federal

　　2、美国将拿出1亿美元打击俄罗斯黑客行动

在美国联邦政府即将“关门”(弹尽粮绝)之际，国会达成1.1万亿美元新支出法案《2017合并拨款法案》(Consolidated Appropriations Act, 2017)(H.R.244)，其中包括保守支出至少1亿美元专门打击俄罗斯的信息行动。

这笔支出被称为“打击俄罗斯影响力的专项资金”，旨在为欧洲、欧亚大陆和中亚的民用社会组织和其它实体提供支持。

美国国家情报总监办公室1月发布了一份历史性的解密报告，指责俄罗斯情报机构入侵民主党全国委员会(DNC)和顶级政治战略家约翰-派德斯塔的电子邮箱，以泄露机密信息，从而败坏民主党候选人希拉里的名声。

为了避免政府“关门”，国会必须在4月28日晚上之前将这份支出预算提交给特朗普签署。特朗普当时表示将签署这份1.1万亿美元的立法。

私有部门的网络安全公司近几个月警告称，与俄罗斯情报机构存在干系的黑客组织APT28(又被称为Fancy Bear)正将目标瞄向法国和德国的政治组织。

信息战被广泛称为用来界定一国影响他国公共舆论的宣传手段。目前，国会、立法者愈发意识到信息战的威胁。近期，美国国会召集专家就此事举行了几次听证会。

该法案指出，至少提供1亿美元打击俄罗斯对欧洲和欧亚大陆国家的影响和侵略，打击俄罗斯影响力，这部分资金主要提供给欧洲和欧亚大陆国家的民间组织和其它实体用于法治、媒体、网络和其它强化民主制度和程序，同时又打击俄罗斯影响和侵略的项目。

该法案还为打击俄罗斯影响资金建立了实现框架，要求国务卿雷克斯-蒂尔森和美国国际开发署署长韦德-沃伦在法案移交给拨款委员会的45天内提交支出计划，以详细说明资金在各国的计划使用用途。

发表于2017年5月2日，链接：

http://mt.sohu.com/20170502/n491467126.shtml

法案原文链接：

https://www.congress.gov/115/bills/hr244/BILLS-115hr244enr.pdf

　　3、澳大利亚首次修订国家网安战略

澳大利亚总理特恩布尔日前宣布发布政府首次年度修订版《国家网络安全战略》。该战略于2016年4月推出，涵盖33个网络安全计划，投入资金达2.311亿澳元(约合1.73亿美元)。根据修订版战略，下一步澳大利亚政府将致力于打击网络犯罪、联合业界以提高物联网设备安全性、降低政府IT系统的供应链风险等。

修订版战略称，自《网络安全战略》推出以来，网络安全行业的利益、活力和关注度都在快速增加。澳大利亚在网络安全研发方面的专利申请排名全球第四。不但《网络安全战略》举措带来了直接效果，而且业界、学术界和政府机构也提高了网络安全活动的参与率。网络安全行业正在成长为一个蓬勃发展的共同体，这将有助于保护澳大利亚经济发展，并使其自身成为一个有价值的行业。

根据修订版战略，澳大利亚政府将加速推出联合网络安全中心计划。2017年早些时候，第一个联合网络安全中心已于布里斯班成立；2017年晚些时候，墨尔本、悉尼和珀斯也将成立联合中心；阿德莱德中心将在2018年上半年成立。

修订版战略指出，澳大利亚政府正在考虑采取其他方式来帮助提高澳大利亚中小企业的网络安全性。各企业和行业协会已经就开展有针对性的举措进行磋商。这些举措将考虑到企业经营中时间和资源比较紧张等实际情况，还将致力于兑现《网络安全战略》中的承诺——扩大澳大利亚和新西兰注册道德安全测试员委员会的服务范围，并于2018年开始向小企业开放这些服务。

发表于2017年5月8日，链接：

http://australia.people.com.cn/n1/2017/0508/c408038-29261037.html

战略原文链接：

https://cybersecuritystrategy.dpmc.gov.au/assets/img/PMC-Cyber-Strategy.pdf

　　4、美国和格鲁吉亚签署情报保护协定

5月9日，美国政府和格鲁吉亚政府在华盛顿签署了情报保护协定。美国务院表示，协定为两国情报共享确立了法律基础，并将有助于加强两国反恐合作。

美国务院在一份声明中说，这一协定为格鲁吉亚进行军事变革提供帮助，为两国在未来达成更多安全协议铺平道路，还将提高格鲁吉亚军队和北约成员国军队的协同能力。

声明称，蒂勒森当天向克维里卡什维利重申，美国支持格鲁吉亚在参与欧洲-大西洋一体化进程方面继续取得进展，美国坚定支持格鲁吉亚国家主权和领土完整。

近年来，格鲁吉亚一直谋求加入北约，北约也多次重申信守2008年4月在布加勒斯特峰会上作出的承诺。2008年8月，俄罗斯和格鲁吉亚爆发冲突后，格鲁吉亚加入北约进程陷入停滞，但格鲁吉亚仍将加入北约作为对外政策重点。

发表于2017年5月10日，链接：

http://news.xinhuanet.com/world/2017-05/10/c_1120948605.htm

　　5、美国众议院通过《政府技术现代化法案》

美国众议院已经正式通过《政府技术现代化法案》，支持者表示此举应有助于提升美国联邦政府信息网络的安全保护水平。如果该法案成为法律，大型机构将创建IT资本基金，从而使这些机构从诸如将系统和数据移动到云端此类的IT现代化计划中获取回报，而不是将这些资金返还给财政部。从理论上说，通过使用新技术或采用云服务来降低成本的机构，如果将留存资金投入到其他的IT现代化项目中去，可以在三年内留存这笔资金。

特朗普政府是该法案的大力支持者，5月11日特朗普总统签署的《增强联邦政府网络与关键性基础设施网络安全总统行政令》，包括一项要求政府替换传统系统的规定。为了监督信息技术的现代化，行政部门已经建立了由总统任技术主管的多功能组织美国技术委员会(American Technology Council)。

该法案的怀疑者却质疑其是否会实际提高安全性，互联网安全联盟总裁拉里·克林顿(Larry Clinton)表明现代化技术本身不会加强安全性。他称，“政府已经购买了先进的技术，但没有人员妥善使用，所以这些投资大都是浪费的。我们需要对IT系统进行现代化改造，包括人员和技术”。

发表于2017年5月18日，链接：

http://www.bankinfosecurity.com/modernizing-government-technology-act-passes-house-a-9928

法案原文链接：

https://www.congress.gov/bill/115th-congress/house-bill/2227/text

　　6、美国新网络安全议案将剥夺NSA部分网络监管权

5月17日，美国国会提出一项新议案，该议案被称作《2017保护反黑客能力法案》(Protecting Our Ability to Counter Hacking Act of 2017)或《2017补丁法案》(PATCH Act of 2017)。根据这项议案，国家安全局需要将自己所发现的软件安全漏洞告知其它的政府机构代表，比如能够导致上周“勒索软件”攻击这样的安全漏洞。据报道，在前总统奥巴马的领导下，美国政府也曾创建了一种类似机构间审查的机制，但并未立法规定，而且是由美国国家安全局自己所管理的。

未来，如果一个政府机关在计算机产品中发现了安全漏洞，但出于想利用这个漏洞监视对手的原因而不愿提醒制造商，那么按照国会新议案的规定，政府将对此进行审查。新议案还要求这种审查过程将由以防守为主导的美国国土安全部主持，而不再是让以进攻为主导的美国国家安全局主持。据报道，美国国家安全局将90%的预算用于提高进攻能力和进行间谍活动方面。

威斯康星州的共和党参议员罗恩·约翰逊(Ron Johnson)和夏威夷州的民主党参议员布莱恩·夏兹(Brian Schatz)向参议院国土安全和政府事务委员会提出了这项立法。“保持美国国家安全和一般网络安全的平衡是极为重要的，但并非易事。”夏兹在一份声明中表示，“这个法案会实现这种平衡。”

报道说，技术公司一直批评隐瞒软件漏洞以便让政府情报机构利用这些漏洞进行攻击的行为。上周黑客已利用微软Windows软件漏洞攻击了150多个国家的20万台电脑。这个漏洞是由美国国家安全局发现的，后来被泄露到网上。“勒索软件”袭击发生后，微软总裁布拉德·史密斯(Brad Smith)严厉批评了政府对安全漏洞的隐瞒行为。他在一篇博客中写道，“政府手中的安全漏洞屡次泄露到公共领域，造成大范围损害。”

发表于2017年5月20日，链接：

http://mt.sohu.com/20170520/n493755915.shtml

法案原文链接：

https://www.congress.gov/bill/115th-congress/house-bill/2481?q=%7B%22search%22%3A%5B%22security+holes%22%5D%7D&r=64

　　7、欧盟通过一项针对社交媒体仇恨言论的提案

据英国《每日邮报》5月23日报道，欧盟各国部长已经批准了让社交媒体如Facebook/Twitter和YouTube等在其平台上禁止仇恨言论的提案。在正式立法之前，该提案仍需要得到欧盟议会的批准。

提案在英国曼彻斯特发生演唱会爆炸事件一天后召开的会议上通过，欧盟官员表示，视频分享是社交媒体的“重要部分”，运营商们必须采取措施，删除仇恨言论和煽动恐怖主义的言论。目前这项提案只是针对存储在平台上的视频，不包括视频直播，如Facebook Live。

欧盟委员会副主席安西普说：“我们需要考虑新的观看视频的方式，并鼓励创新，以更好的方式来保护儿童，消除仇恨言论。”

发表于2017年5月25日，链接：

http://www.ccidnet.com/2017/0525/10275660.shtml

　　8、FBI非法向第三方分享了其收集到的美国人数据

当FBI获得美国公民的数据时，通常来自美国国家安全局，当涉及到哪些人可以看到这种情报时，该机构有义务遵守一些相当严格的保护措施。遵循这些规则的原因十分明确，包括可以防止私人当事方甚至外国政府获取美国人的隐私。然而新解密的文件显示，联邦调查局未能遵循这些准则，可能将原始情报信息落入绝对不能访问的人手中。

Circa的报道称，根据最近的一项《外国情报监听法》(FISA)裁定，FBI 在数据共享方面有着一些坏习惯，其中提到该机构未能正确遵循为防止敏感信息落入坏人之手的“最少流程”。

法院判决中提到了至少两起独立的事件，涉及美国联邦调查局向私营承包商共享原始情报数据。这些承包商的角色和身份也被这项裁定给解密，但在当前的隐私规则之下，这是一个很明显的问题。

这起判决与FBI局长James Comey在本月早些时候向国会议员作出的声明有明显的冲突，当时他声称这些被该机构收集和使用的数据被“仔细地监督和检查着”。

发表于2017年5月26日，链接：

http://bgr.com/2017/05/26/fbi-memo-declassified-intelligence-privacy/

(责任编辑：安博涛)