172
政府安全資訊精選 2017年第六期 車聯網和移動安全可能成為未來監管重點
【全球政策趨勢】
概要:美國政府問責辦公室(GAO)做了一項關於車輛數據隱私的調查,包括汽車製造商如何收集、使用和共享定位、輪胎壓力等車輛數據。被研究調查的16家製造商中,有13家都表示有限製數據收集和使用的隱私條款,但沒有給消費者明確易懂的文字通知。國家交通安全管理局(NHTSA)在隱私保護中提到關鍵作用,但其目前責任仍然不明確。
點評:日前,Uber追蹤客戶地理位置引起爭議,車輛數據隱私和車聯網安全的討論熱度增加。汽車製造商和網約車公司收集用戶的定位,向保險公司、執法部門、維修商提供數據等場景都涉及隱私問題。在國內,個人信息和數據隱私保護的監管力度持續加強,細化到各行業。滴滴打車也在四部委首批隱私條款審核和整改的名單之中,在個人信息更改和刪除、調用操作係統權限等方麵將作出調整。
【安全事件】
概要:近日,有安全研究人員發現一種針對全球範圍內的領事館、大使館的惡意程序,主要用來對政府和外交官進行竊聽。這類惡意程序從2016年開始逐漸活躍,利用一個名為Gazer的後門。Gazer 使用 C++ 編寫,通過釣魚郵件投遞Skipper後門,隨後安裝Gazer組建。研究人員認為攻擊來自俄羅斯的黑客組織Turla APT,目前劫持目標大部分都在歐洲。
點評:Gazer相較於其他後門程序更具隱蔽性,善於躲避檢測,能長期潛伏在被感染設備中,施展隱藏術設法長期竊取數據。建議包括執法、司法、外交在內的各類政府網站涉及國家和社會利益,應當警惕此類風險,加強防範。
【國內政策趨勢】
《電信業務經營許可管理辦法》9月1日起正式實行 加強網絡安全和信譽管理
概要:工信部頒布了《電信業務經營許可管理辦法》(第42號令),再次明確了經營基礎電信業務和增值電信業務的資質與申請流程,對監督管理機製進行了更新。
點評:對比2009年頒布的版本,新管理辦法加強了對網絡安全的要求和公司信譽的監督,值得運營者高度注意。具體體現為,在申請資質和年檢材料中加入了網絡安全保障措施和實施情況。同時,新增了電信業務經營不良名單和失信名單。未完成年報或日常檢查將被納入不良名單;納入失信名單三年內再次失信責令停業或吊銷執照。
概要:國家安全標準委已立項研究安全手機標準,包括關鍵硬件、軟件信息基礎設施的網絡安全防護能力,係統安全等級,App權限限定等。
點評:隨著手機上網和移動支付的快速普及,手機網絡成為各類支付陷阱和蠕蟲病毒等惡意程序的目標。國家標準的出台將在未來對手機製造商提出更高對安全能力要求。從應用開發者的角度,移動安全的風險管理包括風險檢測,安全防護,威脅情報三大步驟,安全措施應該覆蓋設計、開發、測試到上線的完整生命周期。
金融、政府、遊戲安全資訊精選會通過雲棲社區專欄,
如果您是阿裏雲用戶,
最後更新:2017-09-04 22:03:42