国外动态

战略政策

美国国安全局新建网络安全机构，凸显网络安全重要性

发布时间：2019年10月07日

据外媒报道，近日美国国家安全局（National Security Agency，简称NSA）新建了网络安全局（Cybersecurity Directorate），该机构将负责NSA的外国情报和网络防御任务。此后，NSA将专注于军事和国防工业安全。

据了解，网络安全局将通过向合作伙伴与客户提供威胁情报，以及其他方式来使其免受网络安全威胁，包括针对基础设施的网络攻击，机密信息的窃取和大规模网络诈骗。但该机构将只专注于防御，并不会发起针对性反击。相关负责人指出，美国本土所面临的网络威胁正日趋严重，且此类攻击多来自外国敌对势力。

专家指出，新机构的设立显示出网络安全重要性正日益增加，有关机构需在该领域进行针对性投资与人才培养。

（来源：E安全）

美国国家标准与技术研究院发布《联邦公告》，旨在测试能源行业安全性

发布时间：2019年10月09日

据外媒报道，美国国家标准与技术研究院（National Institute of Standards and Technology，简称NIST）将于当地时间10月8日发布《联邦公告》（Federal Register），旨在寻求为能源行业的安全平台、体系结构提供测试服务的供应商，以确保该行业的物联网（Internet of Things，简称IoT）设备足以应对网络攻击。

据了解，《联邦公告》将要求国家网络安全卓越中心（National Cybersecurity Center of Excellence，简称NCCoE）了解可用产品，并开发用于发电厂和IoT安全的用例。NIST指出，此类用例将提供可参考架构，还可为在商业/公用事业规模（utility-scale）分布式能源环境的工业IoT设备提供安全指导。

公告显示，NIST希望测试的产品包括访问控制技术、数据完整性技术、网络监视工具，以及安全相关基础设施组件。此外，公告中还提供了招标方案要求，有意竞标者可在10月8日至11月7日期间提交项目申请。

（来源：E安全）

美军将部署大量部队和装备参与“欧洲防御-2020”演习

发布时间：2019年10月11日

美国欧洲司令部和陆军部10月7日宣布，“欧洲防御-2020”演习将是25年来美国向欧洲最大的一次军事部署。该演习计划于2020年4月至5月在中欧、东欧和格鲁吉亚举行，共有18个国家的约3.7万名士兵参加，其中美国士兵约2万名。驻扎在美国的部队将部署2万件装备，并从德国和比利时预先部署的军队库存中再取出1.3万件。

美陆军驻欧洲部队表示，“欧洲防御-2020”和相关活动将通过锻炼美军迅速从美国向欧洲部署大规模作战部队和装备的能力，增强战略战备和互操作性；并与盟友和合作伙伴一同迅速应对潜在危机。该演习证实美国对北约和欧洲的防御承诺仍然坚不可摧。

（来源：国防科技要闻）

美国能源部将成立人工智能研究中心

发布时间：2019年10月10日

据外媒报道，美国能源部公布了其将要花费550万美元成立一所研究中心的计划，汇集来自三所美国政府机构与学术机构的顶尖专家，解决全球各国在人工智能领域面临的一些最复杂艰巨的挑战。

西北太平洋国家实验室（美国能源部所属）、桑迪亚国家实验室与乔治亚理工学院的研究人员将在新成立的人工智能架构和算法中心一起工作。

西北太平洋国家实验室的高级研究员罗伯托·乔伊萨被选为人工智能架构和算法中心的主管，他表示；“人工智能让我们能够解决目前因过于复杂而无法解决的问题，这种技术就是未来的科学。”

此前，美国能源部部长里克·佩里在不久前就宣布，为了协调和简化部门内部工作，增加在人工智能领域上的投资，其正致力于成立一所人工智能与技术办公室。能源部的官员们也表示，该计划也符合特朗普总统近期提出的一项国家战略——强化美国在新兴技术领域中的领导地位。

这所人工智能研究中心将会最终确定内部人员需关注的“几乎会影响全体人民”的四个具体研究领域的优先次序：电网、网络安全、图形分析与计算化学。每个领域都会对那些将会影响美国未来的挑战产生重要影响，这些挑战包括：如何研制新型药物，如何确保人们网络上的身份安全，以及如何确保电网安全。

美国能源部的官员们表示，人工智能架构与算法中心所采取的方法是绝无仅有的，其方法以名为“协同设计”的概念为核心。这个概念特别适用于高性能超级计算，是美国能源部在朝现代化与未来创新方向发展过程中重点关注与投资的领域之一。研究人员在采用了“协同设计”方法后，将“在优化计算机架构与算法以解决特定的挑战时，保持硬件和软件的能力平衡”。

该中心的负责人罗伯托·乔伊萨还能为这所机构提供重要的协同设计经验——他曾帮助国际商业机器（IBM）公司研发“蓝色基因”超级计算机，“研发这台超级计算机的核心就在于协同设计”。

罗伯托·乔伊萨表示：“人工智能正在彻底颠覆我们现有的世界。成立人工智能架构与算法中心是通过采用新颖的人工智能与机器学习技术来解决一些最具挑战性问题的战略中的一部分。”

这三所开拓性机构都会为人工智能架构与算法中心提供各自在擅长领域上拥有的技术，包括机器学习、软件或网格仿真、线性代数与网络安全。他们还会提供部分独有的高级计算资源。此外，桑迪亚国家实验室还提供了其计算机设施的使用权。

桑迪亚国家实验室的西瓦·拉贾曼尼卡姆与乔治亚理工学院的图沙尔·克里希纳教授将担任该中心的副主任。

（来源：国防科技信息网）

美国国防部计划成立机构评估供应商的网络安全能力

发布时间：2019年10月10日

据外媒报道，美国国防部正打算成立一个非营利组织，以衡量其供应商在网络安全领域上采取举措的实力。

该组织将根据美国国防部新设立的网络安全成熟度模型认证（CMMC），对供应商进行认证。9月，美国国防部就发布了该框架的草稿图，它将成为一个衡量标准，用来确定承包商是否正采取充足的举措以保护其网络中的敏感军事数据。

此认证过程旨在推动美国国防部的诸多供应商对其数字防御进行强化，抑或是采取符合其工作敏感性的保护措施。该项目设立的初衷是对付像中国这样的对手——为了窃取军事机密，这些国家越来越多地将目标锁定在国防承包商上。

上周，美国国防部官员在一则已发布的信息请求中表示：“在维护国家安全领域上，预防国防工业基地内丢失信息（受管制的未加密信息）至关重要。”他们还表示，预计约有30万供应商需要进行认证，大多数都是中小型企业。

根据这则信息请求，网络安全成熟度模型认证的认证机构将开展认证项目，对独立工作的评估小组或向承包商授予合格证书的C3PAO进行监督。美国国防部的官员尚未确定该机构的最终结构，在招标过程中，他们要求外界在该机构的“长期实施、职能、维护与发展”方面提供反馈，回复期限截止于10月21日。

根据这个认证项目，评估人员将对供应商在18个包括访问控制、管理、应急响应、风险评估与员工评估等与网络安全相关的不同领域上所采取的做法与流程进行评级。评估分数从1分到5分不等，分数越高则表明安全性越强。

只要设立了成熟度级别，美国国防部就会与第三方评估组织进行合作，以“进行审核并告知风险”，其结构类似于民用的联邦风险与授权管理计划（FedRAMP）——使用第三方承包商来验证云产品的网络安全性。

该框架设计目前已进入第四稿，美国国防部计划在2020年1月发布最终框架。

（来源：国防科技信息网）

DARPA启动人工智能新项目预测系统网络漏洞

发布时间：2019年10月12日

据外媒报道，美国军事研究人员要求工业界研发一些设计和开发工具，使工程师能够在系统设计阶段预测和阻止潜在的网络漏洞。

10月9日，美国国防高级研究计划局（DARPA）在美国弗吉尼亚州阿灵顿发布了“紧急执行人工智能缓解”（Artificial Intelligence Mitigations of Emergent Execution，AIMEE）项目的预征集文件（DARPA-PA-19-03-02）。

AIMEE项目将解决在系统设计阶段预测其固有的紧急执行模型的问题，从而在系统部署后出现实际漏洞之前就减轻相关网络攻击出现的概率。

现代计算系统越来越多地出现无意识的、非计划的、紧急的编程模型，这些被称为“奇怪的机器”的模型可能会启用或放大网络攻击。比如在拒绝服务攻击中所使用的网络连接小物件。

有时，那些为实现某一特定目标、具备特定执行模型而研发的计算装置可以不顾原有的指令，反而去执行那些计划外的计算任务。

不过在近期，有一份研究就强烈建议在一个系统的设计阶段——该系统的编程抽象与特定层中的指定行为在计算堆栈中转化为更为精细的状态与逻辑——研究人员就要预测并降低其发生紧急执行状况的可能性。

美国国防高级研究计划局希望AIMEE项目可以在一个系统的设计阶段就能解决网络漏洞的预测问题，并在完全投入使用的系统中减少这些漏洞的数量。

人工智能技术在近期取得了诸多成果，比如：自动编码器、寻优编程、深度表示学习与神经草图学习等。该项目将会探寻是否将这些成果相结合就可以直接在这个系统的设计原型中检测出紧急执行的本原、并对其进行描述与建模。

为了帮助研发人员预测紧急执行行为，提出该倡议的人员应该要说明该如何利用人工智能技术来设计一些常用计算层（可显示紧急执行行为与编程模型）的原型图像。

美国国防高级研究计划局的研究人员表示，大家都强烈建议要去讨论如何概括这些案例研究，以便于将其与分层应用程序接口、应用程序二进制接口，抑或是中央处理器微体系结构等原型设计结合使用。

该项目分两个阶段，耗时约18个月，开支约为100万美元。

（来源：国防科技信息网）

产业发展

电商平台再遭Magecart黑客攻击，影响数千家网站

发布时间：2019年10月14日

在顶级电商平台和服务提供商Volusion遭黑客攻击后，Magecart黑客在数千家网上商店收集敏感信息。过去的一个月中，黑客的在线信用卡窃取程序活跃在Volusion上的3126家在线商店，而受此次事件影响的其中一个网站就是“芝麻街”（Sesame Street Live）在线商店。

黑客将恶意代码注入到Volusion提供给客户的JavaScript库中，该代码是为了加载存储在Google Cloud Storage服务上的JavaScript，JavaScript代表合法库的几乎相同的副本，但是信用卡分离器已集成到JavaScript中。

从Google Cloud Storage加载的脚本主要包含库“jscookie” 2.2.1版中的代码，但其中集成了信用卡分离器，受害者在单击或者触摸时就会执行恶意程序。专家对受感染库分析后，发现黑客将代码集成到原始脚本中，这样就确保了它是程序执行流的一部分，代码十分简单，以保证它不会被识别，且该exfilter服务器(“Volusion -cdn[.]com”)类似于Volusion域。

专家表示，该恶意代码会复制用户提交的个人信息（姓名，地址，电话号码，电子邮件地址）和信用卡详细信息（号码，持卡人姓名，有效期限），并将所有数据发送到黑客的exfilter服务器。

针对黑客的作案手法，研究人员认为，这次攻击是由Magecart group 6 精心策划的，该集团之前被认定为FIN6，此外，本次所使用的代码与FIN6之前攻击英国航空公司(British Airways)和Newegg时使用的代码相似。

在安全研究人员发现Magecart分离器并与Volusion联系后，Volusion公司表示恶意代码已经被删除，该问题得到有效解决。

（来源：E安全）

惠普电脑的预装应用出现漏洞，或将允许黑客完全接管系统

发布时间：2019年10月13日

近日，SafeBreach Labs的安全研究人员披露，惠普电脑的一个预装应用中存在一个本地特权提升漏洞（CVE-2019-6333），该漏洞允许攻击者通过预装在大多数惠普电脑上的HP Touchpoint Analytics 软件进行 提权，以此绕过安全机制进行攻击。

据了解，HP Touchpoint Analytics 软件主要于收集有关硬件性能的诊断数据，并将数据传送至惠普公司，帮助技术人员进行问题诊断。为了能在各种软件驱动程序和其他组件中收集信息，该应用被列入了白名单，并被赋予了管理员权限。也正因如此，该软件一度引起热议。

研究人员发现，当HP Touchpoint Analytics被激活时，该应用将尝试加载已经丢失的DLL文件。黑客便可将恶意DLL文件的名称改为丢失文件的名称，再自动执行恶意文件指令。一旦入侵成功，黑客便能够轻易将自身权限提升至SYSTEM级，从而绕过各种防御措施，乃至接管系统。

据SafeBreach估计，因为所有旧版本（4.1.4.2827以下）的HP Touchpoint Analytics都存在此漏洞，所以将有数千万台惠普电脑受到波及。目前，惠普已经发布了HP Touchpoint Analytics Client 4.1.4.2827版本，用以修复漏洞。

（来源：E安全）

保护飞机网络安全 国防承包商雷神推出网络监视软件包

发布时间：2019年10月11日

美国国土安全部表示，现代客机基本就是飞行中的数据中心，甚至80年代即投入使用的波音757都是。

美国国防承包商雷神公司高调宣布研发航空安全软件包，承诺将监视 “网络异常”，巩固军用飞机网络安全。

据报道，该公司正在开发“新型警报系统，可在飞机遭受网络攻击时警示飞行员”。

该项目工程总监Amanda Buchanan接受美国军事新闻网站Defense One采访时称：基本上，我们试图向飞行员实时传达飞机内部正在发生什么的信息。

其基本卖点就是：与现代地面系统相比，大多数军用飞机的电子系统过于简单。雷神公司认为，随着现代飞机设计纷纷采用串行数据总线，在飞行员飞过战区时给他们提供一些前所未有的示警信息，不啻为新的市场方向。

Defense One报道称，雷神工程师在展销会上做了直升机飞行模拟，过程中“用平板电脑无线注入恶意代码”，造成模拟飞机引擎停机坠毁，但飞行员至少在虚拟丧生前收到了标注为 “网络异常” 的红色警报。据称攻击途径是直升机众多无线接收器中的一个。

雷神市场营销文章指出，其CADS监视系统不仅适用于军标1553（MIL-STD-1553）总线，还可改装适应民航所用的ARINC-429总线。该公司还表示，此系统也可改造用于汽车CAN总线。

另一份市场宣传稿则提到了一个特定用例：威胁可能来自敌人或美军士兵无意导致的网络入侵扩散，比如把被感染的手机插到了 Stryker 战车的 USB 端口上。

最近几年，飞机安全问题变得更加严重。2017 年，美国国土安全部（DHS）宣称，在“远程非协助性渗透测试”中成功访问了波音757的某些系统。今年早些时候，某信息安全专家刺探了一些通用航空级工具包，想看看有多少可以利用的漏洞，但其成效远未到可以执行飞行中入侵的程度。

（来源：安全牛）

印度NavIC卫星导航系统接口规范获准应用

发布时间：2019年10月14日

据Inside GNSS网站10月9日报道，全球无线通信标准组织3GPP已经接受了印度区域卫星导航系统（NavIC：Navigation with Indian Constellation）的接口规范。根据此许可，NavIC可以集成应用于智能手机和平板电脑等设备中。接口规范的获准应用极大地促进了印度移动电信业的发展，同时也促进了NavIC在整个亚太地区的应用。

今年9月，3GPP在加利福尼亚召开的无线接入网（RAN）会议上批准了将NavIC纳入Rel-16 LTE和Rel-17 5G NR规范，支持NavIC的3GPP规范将在随后的几个月发布。

相对于目前使用的美国GPS系统，需要位置信息的智能电话和蜂窝物联网（IoT）设备将开始使用NavIC系统，这将促进NavIC技术在4G、5G和物联网（IoT）大众市场的应用。而与NavIC相关的IC及其产品的设计研发也将给印度公司和创业公司带来发展商机。随着系统在其他国家的推广应用，芯片及其产品也有着极大的市场发展潜力。

太空科学家、印度空间研究组织（ISRO）主席Kailasavadivoo Sivan表示：“获3GPP批准的NavIC已全面投入运营，工作良好。NavIC的一些应用已经开始运行，且应用范围正在扩大。不久，我们将推出更多能使大众获益的NavIC应用。”

NavIC是由ISRO研发。目前，有八颗在轨卫星，七颗用于导航，一颗用于消息传递，覆盖印度及其周边地区1,500公里的区域，计划将进一步扩展系统的应用。

（来源：国防科技信息网）

美国陆军电子战规划和管理工具进入最终开发阶段

发布时间：2019年08月28日

据外网报道，雷声公司为美国陆军开发的电子战规划和管理工具（EWPMT）已进入最后阶段。该工具是美国陆军综合电子战系统（IEWS）的一部分，旨在协助陆军规划和管理电子战，提供规划、管理和控制电磁频谱中传感器和系统的能力，允许指挥部内的2/3/6个人同步操作。

EWPMT使用开放式体系结构，可以与其他军事部门共享，并在多域作战中执行网络行动；允许军队自由添加新功能和算法，以便管理日益复杂的电磁频谱。

目前，雷声公司已交付EWPMT能力投放1和能力投放2，正在进行能力投放3的研发。能力投放3合并了EWWPT移动版本的功能，使得操作员可以在现场控制信号。

根据合同，雷声公司将在接下来的24个月内进行能力投放4的研发，该阶段将进一步开发软件和用户界面，以实现更紧密连接的移动系统。

（来源：国防科技信息网）

NASA局长同马斯克和好，均称重视商业载人运输项目

发布时间：2019年10月13日

NASA局长布莱登斯坦和太空探索公司（SpaceX）首执马斯克10月10日缓解了他们两周来的紧张关系，称两人在商业载人运输系统研制上的想法是一致的。

布莱登斯坦当天造访了太空探索公司位于加州霍桑的总部，并在随后对媒体表示，包括“载人龙”在内，国际空间站人员运输用飞船研制工作是他的重中之重。他说：“我们眼下在研的项目有很多。但我还要告诉你们，我们眼下在做的最重要的一件事就是要用美国火箭从美国本土送美国宇航员上天。”

布莱登斯坦不到两周前似乎还在质疑太空探索公司在这方面不够投入。9月27日，即马斯克宣讲该公司“星船”下一代运载系统进展情况的前一天，布莱登斯坦发了一条声明，指出商业载人运输系统研制工作已推后了几年。他说：“NASA期待着相关厂家在由美国纳税人出资的项目上投入同样的热情。”NASA内部人士称，他的这番话反映了外界的一种看法，即太空探索公司对于完成“载人龙”研制没有给予足够的重视。布莱登斯坦在声明中说：“也该兑现了。”

在霍桑，当被问起那番表态时，布莱登斯坦说，他那么说是基于NASA许多项目费用和进度安排不够“现实”，并非单单针对商业载人运输项目。他说：“我想表达的是我们需要让研制进度更现实一些，而且我并不是只针对太空探索公司，而是针对我们的所有承包商。”

马斯克说，“载人龙”的很多推迟都与项目最初几年经费不足有关，尽管近几年国会按NASA申请额给予了全额拨款。他称“载人龙”“绝对是公司压倒一切的重点工作”，公司用在“星船”上的力量只占约5%。

两人都辩称，“载人龙”正接近于向称为“验证”2的载人试飞做最后的冲刺。马斯克此前表示，该飞船的高空逃逸试验定于11月底或12月初进行，全系统测试有望在年底前完成，“验证”2试飞所需设备也有望在年内运到佛罗里达。布莱登斯坦称，一切顺利的话，“验证”2飞行会在明年一季度进行。但他同时表示，接下来仍有可能遇到必须解决的难题。

NASA商业载人运输计划副经理斯蒂奇和波音空间探测业务部门副总裁兼商业项目经理马尔霍兰同日在个人与商业航天飞行国际研讨会上表示，他们也瞄准在明年一季度对波音CST-100“星际客机”飞船进行载人试飞，但要看定于11月4日进行的发射台逃逸试验和定于12月17日进行的不载人轨道试飞的结果。

除对“载人龙”进行高空逃逸试验和对其逃逸推力器再做一次静态点火试车（原本准备用于高空逃逸试验的一艘飞船正是在4月份做这项静态试车时被毁的）之外，“载人龙”的降落伞也还有大量的测试工作要做。太空探索公司最近改用了一款新的降落伞设计，称为“3型”。马斯克说，3型伞要比此前的2型伞安全得多。他说：“我们觉得2型伞是安全的，但3型伞可能要比它安全10倍。”他说，3型伞采用了强度大大提高的伞绳，并改变了缝合方式，以便能承受更大的载荷。

（来源：航小宇）