mysql java centos shell Windows Android 开源 linux apache 程序员 nginx Firefox Python Ubuntu 编程 php wordpress 云计算 google 微软

政府安全資訊精選 2017年第十六期 工信部發布關於規範互聯網信息服務使用域名的通知;俄羅斯擬建立備用DNS;Google打擊安卓應用在未經同意情況下收集個人信息

e3963cf936930ce7a27288c336f6e1fe9505859b

 

 

【國內政策動態】工信部發布關於規範互聯網信息服務使用域名的通知 點擊查看原文

概要:《規範互聯網信息服務使用域名的通知》要求互聯網接入服務提供者按照《網安法》要求落實實名制,並要求域名註冊管理、服務機構按照《互聯網域名管理辦法》和電信主管要求,與“ICP/ICP地址/域名信息備案管理系統”進行對接。互聯網接入服務提供者應當定期通過備案系統核查互聯網信息服務提供者使用域名的狀態,對於域名不存在、域名過期且未提供真實身份信息等情形的,互聯網接入服務提供者應停止為其提供接入服務。

點評:通知正式發布後,互聯網接入服務提供者的實名制落實責任增加,並要求定期通過備案系統進行核查,提高了管理成本。互聯網信息服務提供者也需要按照電信主管要求自覺進行ICP地址和域名信息的備案,確保提供信息準確且及時更新。

【國際政策動態】俄羅斯擬建立備用DNS, 還將覆蓋中國等金磚四國 點擊查看原文

 

概要:俄羅斯聯邦安全會議已經證實開始建立一個備用的 DNS 系統,普京批準並要求在 2018 年 8 月 1 日前完成該計劃。俄羅斯政府希望建立獨立互聯網基礎設施,以應對西方國家強大的信息戰進攻能力。據稱,俄羅斯和其它金磚五國將可以選擇拉動開關,將流量轉移到私有的備用 DNS 系統。  

 

點評:俄羅斯建立備用DNS的主要目的,是為了減少對全球DNS的依賴,降低自身風險。如果有了與重要貿易夥伴聯系的備份互聯網,攻擊對手時對自己造成的風險就會減低。未來全球各國在互聯網空間的合作、競爭和防範都將不斷增加,關於互聯網空間的疆界和數據主權等問題也將受到更多關註。

 

【行業動態】Google打擊安卓應用在未經同意情況下收集個人信息 點擊查看原文

 

概要:Google 要求其安卓平臺上的應用程序處理電話號碼和郵箱等個人用戶數據時,必須征求用戶許可。如果收集和傳輸與其功能無關的數據,必須征得用戶同意,並予以強調。如果開發者在 60 天內不遵守規定,Google 將通向用戶發出警告並進行相應處置。

點評:在個人信息保護和內容安全方面,應用商城類平臺實際上承擔了一定“連帶責任”,需要對平臺上的應用進行管理,並告知個人信息保護責任,以降低自身合規風險。日前,Google被指在2011年6月至2012年2月期間收集iPhone用戶信息,並未經用戶同意出售逾500萬名iPhone用戶信息。預計該案將於2018年在高等法院審理,Google或因此賠償27億英磅。GDPR等法規生效後,企業的合規成本增加,需要更多的人力、技術、時間投入,並進一步明確與用戶之間的責任關系。

【安全事件】澳大利亞社會服務部承認泄漏8500員工個人信息 點擊查看原文

 

概要:澳大利亞社會服務部(Department of Social Services,簡稱DSS)承認泄漏類8500名在職和前雇員的個人信息。被泄露數據包括信用卡信息、員工姓名、用戶名、工作電話、工作郵箱、系統密碼、澳大利亞政府服務號、公共服務類別和組織單位。DSS首席財務官稱這起數據泄露並非因DSS內部系統而起,而由於第三方提供商操作不當造成,並稱這些數據目前已受到妥善保護,且尚未出現不當使用這些數據和信用卡的情況。

 

點評:近期,全球範圍內發生過數起政府網站、系統數據泄露事件。事件披露通常在發生過後至少幾個月後才發現,造成影響無法預計,但後患不容小覷。同時,很多類似的政府數據泄漏事件都是由於第三方外包商的不當安全措施造成。由此可見,政府機構和關鍵信息基礎設施運營商,除了保障自身安全措施到位,還應當選擇具備相應安全能力的供應商,降低第三方數據泄漏的隱患。

延伸阅读

评论