普普安全资讯一周概览(0723-0729)

作者:

时间:
2022-07-29
01

国家网信办对滴滴作出网络安全审查相关行政处罚

7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

普普点评:

近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。

普普安全资讯一周概览(0723-0729)


02

遭境外大规模网络攻击,阿尔巴尼亚政府IT系统瘫痪

网络安全是数字经济发展的基石,同时也是紧抓自主创新的关键领域。实现网络安全核心技术突破、关键信息基础设施的安全保护,是网络安全产业发展的重中之重。

随着数字化、网络化、智能化成为数字经济时代发展的重要特征,网络安全越来越成为数智时代下企业业务发展的重要课题。如何实现业务与本周一,阿尔巴尼亚政府证实,该国上周末遭受了大规模网络攻击,有境外黑客攻击了阿尔巴尼亚的国家信息社会局的服务器(负责处理政府服务),致使该国几乎所有政府服务都陷入了瘫痪,如总理办公室、议会和公共服务政府门户网站等。

“阿尔巴尼亚正遭受着前所未有的攻击,这种犯罪网络攻击是从境外同步进行的,” 阿尔巴尼亚国家信息社会局在新闻稿中说明道,“为了不让这次攻击破坏我们的信息系统,国家信息社会局暂时关闭了在线服务和其他政府网站。”目前该国为民众提供的大多数服务都处于中断状态,只剩一些由非攻击目标的服务器提供的服务,如在线报税,仍然有效。另外值得一提的是,在去年十二月,阿尔巴尼亚曾发生一起大规模数据泄露事件,约637000人的个人身份证号码、就业和工资数据外泄。

普普点评:

技术发展增加了网络安全风险,从数量剧增的网络诈骗到越来越多的人为错误问题,企业关键敏感信息受到了更大的威胁,更有甚者,一些严重的网络安全风险还会波及国家安全、人员的生命安全。无论是政府内部还是政府外部的高绩效组织都应将网络安全作为一项要求。不用猜他们是否具备适当的网络安全控制措施,应该要求他们具备适当的网络安全控制措施。

普普安全资讯一周概览(0723-0729)
03

数据安全:大多数企业忽略的三件事

(1)不受信任的计算程序

零信任技术是什么?怎么知道某人的计算机程序、算法或分析程序是安全的?零信任技术可以完全自信地验证,例如使用指纹,可以将商定的代码与正在执行的代码进行实时比较。否则,无法对企业的合规团队或法律团队说:“我们的数据始终以正确的方式使用。”

2)未经验证的输入

当企业处理第一方数据(或敏感数据)时,需要绝对确定只有允许访问的数据才会被访问。企业需要一种绝对可靠的验证技术,不仅在最初,而且在整个数据的处理和使用过程中,这样不仅可以了解某人是如何获得的,还可以了解发生了什么。(3)未经授权的数据移动或挖掘

企业需要的是能够控制对非正式调用和数据查询的访问,对于企业来说,无论是在广告技术领域还是其他领域,都需要能够明确、一致、永久地解决这个问题。

普普点评:

毫无疑问,很多企业如今都在认真对待数据安全。有些企业甚至可能拥有强大的防火墙、完善的数据治理规则、专业的安全团队以及加密等数据保护名单,因此在安全方面感觉良好。事实上,大多数企业都忽略了三个主要的数据保护风险,这可能是有些安全和十分安全之间的区别。

普普安全资讯一周概览(0723-0729)
04

云存储——零信任的最后一道防线

零信任让安全团队自动分割其网络以防止网络攻击。为此,零信任架构构建了一个基于超粒度访问权限的安全环境,这些权限会自动分配和实时重新分配给用户。

这种程度的自动化意味着零信任可以提供增强的安全性,同时让安全团队不必人工分配或重新分配其企业网络的访问权限。它还减少了员工安全程序的摩擦和挫败感,因为可以保证在几分钟内更改权限。

这是零信任的技术清单,但在他们甚至可以考虑迁移到自动化访问权限之前,所有团队都应该考虑一个主要的先决条件,而这个先决条件是谁应该首先访问哪些信息以及为什么访问。

这是一个基本问题,但它掩盖了安全团队在全面实现自动化之前必须解决的主要需求。企业需要花费大量时间对其企业内部的各个利益相关者进行审计和细分,并审查和分解零信任架构应该识别的所有数据和流程类别。

普普点评:

总之,零信任架构是最大化现有工作负载安全性并确保备份保密和安全的绝佳方式。但为了实现业务连续性的最终目的,零信任架构需要与业务日常活动隔离且进行不可变的数据存储。有了这最后一道防线,才能保证企业运营的连续性和安全性。

普普安全资讯一周概览(0723-0729)
05

云计算服务主要安全风险及应对措施

云计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,云计算服务也面临诸多挑战,如云计算技术基础平台安全性、云上数据的安全管理、云计算服务安全专业人才匮乏等安全风险问题,导致云平台数据安全事件层出不穷。对此,我国对云计算服务的网络安全问题高度重视,相继发布了一系列相关政策。

2019年7月,为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合发布《云计算服务安全评估办法》。2021年8月,国务院发布《法制政府建设实施纲要(2021-2025年)》提出,要及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律法规。

普普点评:

云计算技术作为快速迭代的新兴技术,云平台在设计、应用、测试和部署时对安全性考虑仍显不足,在资源高度集中的运行环境下,云平台容易成为黑客的攻击目标,与传统企业的网络环境相比,云平台所面临的攻击威胁更大,产生的影响更大。

普普安全资讯一周概览(0723-0729)
06

为数字政府构建智能化网络安全管控体系

当前,随着数字经济的蓬勃发展,我国数字政府建设也进入加速发展阶段。而在政府数字化转型和数字化改革中,作为底层重要基石的政务网络安全其重要性也被提升至新高度。目前,基层政务网络已经形成了点多面广、风险隐蔽复杂的应用特点,在网络空间安全的指挥、制度、技术、运营、监管等方面都面临着新的挑战。

政务网络支撑各级政务部门业务应用、资源共享、业务协同和公共服务等,接入单位多应用范围广,安全风险隐蔽复杂,需建立系统化的安全管控体系,以技治网,实现网络安全管理智能化,达到“资产清晰、边界完整、数据可控、风险量化、处置高效”的安全治理目标。

政务网络安全是数字化改革的根基和底线,事关数字化改革全局。随着数字化改革的推进,基层政务网形成了点多面广、风险隐蔽复杂的特点,在网络空间安全的指挥、制度、技术、运营、监管等方面都面临着新的挑战。

普普点评:

安全运营体系依托网络安全技术和制度规范两大维度,开展资产管理、监测预警、通报处置、安全检测、整改加固、考核评价、安全培训和运维管理等网络安全运营工作,形成闭环安全运营体系,充分发挥人在网络安全中的主体地位,有效对安全威胁事件进行综合研判和及时处置并不断闭环对运营体系进行优化,有效保障网络安全技术、管理制度规范要求落地。

普普安全资讯一周概览(0723-0729)
07

国家网络安全底线不容触碰 公民合法权益不容侵犯

从目前披露的信息观察,滴滴在网络安全、数据安全、个人信息保护方面暴露出的问题触目惊心:不仅在收集和使用用户信息方面存在诸多风险隐患,更涉及严重影响国家安全的数据处理活动,且拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管。

不以规矩,不能成方圆。国家监管部门履行职责依法对滴滴予以重罚,是切实维护国家网络安全、数据安全和社会公共利益的有力举措,是保障广大用户合法权益的及时行动,也是规范平台经济、促进其健康有序发展的必然要求。

对广大互联网企业尤其是平台型公司而言,这一案例具有重要警示意义。企业发展要有创新思维、开拓精神,但更要强化底线意识、法治观念,以用户为中心,有所为有所不为。无论何时,国家安全底线不容触碰。互联网科技也好,共享新概念也罢,都不能成为平台企业窃取用户数据、违规牟利的借口,更不能成为逾越法律、危及国家安全以及公共安全的工具。

普普点评:

依法经营、健康发展始终是平台经济的立身之本。只有坚持市场化原则、法治化原则,平台经济才有美好未来。广大平台型企业应引以为戒,坚持安全与发展并重,在进一步加强网络安全、数据安全、个人信息保护的基础上,努力回归服务实体经济和人民群众的本源,更好地把握平台经济发展规律,在守正创新中激发市场活力和科技创新能力。如此,才能行稳致远。

普普安全资讯一周概览(0723-0729)