普普安全資訊一周概覽(0723-0729)

作者:

時間:
2022-07-29
01

國家網(wǎng)信辦對滴滴作出網(wǎng)絡安全審查相關(guān)行政處罰

7月21日,國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《行政處罰法》等法律法規(guī),對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。經(jīng)查明,滴滴公司共存在16項違法事實,歸納起來主要是8個方面。一是違法收集用戶手機相冊中的截圖信息1196.39萬條;二是過度收集用戶剪切板信息、應用列表信息83.23億條;三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息1633.56萬條、親情關(guān)系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經(jīng)緯度)信息1.67億條;五是過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條;六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條;七是在乘客使用順風車服務時頻繁索取無關(guān)的“電話權(quán)限”;八是未準確、清晰說明用戶設備信息等19項個人信息處理目的。

普普點評:

近年來,國家不斷加強對網(wǎng)絡安全、數(shù)據(jù)安全、個人信息的保護力度,先后頒布了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)。網(wǎng)信部門將依法加大網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護等領域執(zhí)法力度,打擊危害國家網(wǎng)絡安全、數(shù)據(jù)安全、侵害公民個人信息等違法行為,切實維護國家網(wǎng)絡安全、數(shù)據(jù)安全和社會公共利益,有力保障廣大人民群眾合法權(quán)益。

普普安全資訊一周概覽(0723-0729)


02

遭境外大規(guī)模網(wǎng)絡攻擊,阿爾巴尼亞政府IT系統(tǒng)癱瘓

網(wǎng)絡安全是數(shù)字經(jīng)濟發(fā)展的基石,同時也是緊抓自主創(chuàng)新的關(guān)鍵領域。實現(xiàn)網(wǎng)絡安全核心技術(shù)突破、關(guān)鍵信息基礎設施的安全保護,是網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的重中之重。

隨著數(shù)字化、網(wǎng)絡化、智能化成為數(shù)字經(jīng)濟時代發(fā)展的重要特征,網(wǎng)絡安全越來越成為數(shù)智時代下企業(yè)業(yè)務發(fā)展的重要課題。如何實現(xiàn)業(yè)務與本周一,阿爾巴尼亞政府證實,該國上周末遭受了大規(guī)模網(wǎng)絡攻擊,有境外黑客攻擊了阿爾巴尼亞的國家信息社會局的服務器(負責處理政府服務),致使該國幾乎所有政府服務都陷入了癱瘓,如總理辦公室、議會和公共服務政府門戶網(wǎng)站等。

“阿爾巴尼亞正遭受著前所未有的攻擊,這種犯罪網(wǎng)絡攻擊是從境外同步進行的,” 阿爾巴尼亞國家信息社會局在新聞稿中說明道,“為了不讓這次攻擊破壞我們的信息系統(tǒng),國家信息社會局暫時關(guān)閉了在線服務和其他政府網(wǎng)站?!蹦壳霸搰鵀槊癖娞峁┑拇蠖鄶?shù)服務都處于中斷狀態(tài),只剩一些由非攻擊目標的服務器提供的服務,如在線報稅,仍然有效。另外值得一提的是,在去年十二月,阿爾巴尼亞曾發(fā)生一起大規(guī)模數(shù)據(jù)泄露事件,約637000人的個人身份證號碼、就業(yè)和工資數(shù)據(jù)外泄。

普普點評:

技術(shù)發(fā)展增加了網(wǎng)絡安全風險,從數(shù)量劇增的網(wǎng)絡詐騙到越來越多的人為錯誤問題,企業(yè)關(guān)鍵敏感信息受到了更大的威脅,更有甚者,一些嚴重的網(wǎng)絡安全風險還會波及國家安全、人員的生命安全。無論是政府內(nèi)部還是政府外部的高績效組織都應將網(wǎng)絡安全作為一項要求。不用猜他們是否具備適當?shù)木W(wǎng)絡安全控制措施,應該要求他們具備適當?shù)木W(wǎng)絡安全控制措施。

普普安全資訊一周概覽(0723-0729)
03

數(shù)據(jù)安全:大多數(shù)企業(yè)忽略的三件事

(1)不受信任的計算程序

零信任技術(shù)是什么?怎么知道某人的計算機程序、算法或分析程序是安全的?零信任技術(shù)可以完全自信地驗證,例如使用指紋,可以將商定的代碼與正在執(zhí)行的代碼進行實時比較。否則,無法對企業(yè)的合規(guī)團隊或法律團隊說:“我們的數(shù)據(jù)始終以正確的方式使用。”

2)未經(jīng)驗證的輸入

當企業(yè)處理第一方數(shù)據(jù)(或敏感數(shù)據(jù))時,需要絕對確定只有允許訪問的數(shù)據(jù)才會被訪問。企業(yè)需要一種絕對可靠的驗證技術(shù),不僅在最初,而且在整個數(shù)據(jù)的處理和使用過程中,這樣不僅可以了解某人是如何獲得的,還可以了解發(fā)生了什么。(3)未經(jīng)授權(quán)的數(shù)據(jù)移動或挖掘

企業(yè)需要的是能夠控制對非正式調(diào)用和數(shù)據(jù)查詢的訪問,對于企業(yè)來說,無論是在廣告技術(shù)領域還是其他領域,都需要能夠明確、一致、永久地解決這個問題。

普普點評:

毫無疑問,很多企業(yè)如今都在認真對待數(shù)據(jù)安全。有些企業(yè)甚至可能擁有強大的防火墻、完善的數(shù)據(jù)治理規(guī)則、專業(yè)的安全團隊以及加密等數(shù)據(jù)保護名單,因此在安全方面感覺良好。事實上,大多數(shù)企業(yè)都忽略了三個主要的數(shù)據(jù)保護風險,這可能是有些安全和十分安全之間的區(qū)別。

普普安全資訊一周概覽(0723-0729)
04

云存儲——零信任的最后一道防線

零信任讓安全團隊自動分割其網(wǎng)絡以防止網(wǎng)絡攻擊。為此,零信任架構(gòu)構(gòu)建了一個基于超粒度訪問權(quán)限的安全環(huán)境,這些權(quán)限會自動分配和實時重新分配給用戶。

這種程度的自動化意味著零信任可以提供增強的安全性,同時讓安全團隊不必人工分配或重新分配其企業(yè)網(wǎng)絡的訪問權(quán)限。它還減少了員工安全程序的摩擦和挫敗感,因為可以保證在幾分鐘內(nèi)更改權(quán)限。

這是零信任的技術(shù)清單,但在他們甚至可以考慮遷移到自動化訪問權(quán)限之前,所有團隊都應該考慮一個主要的先決條件,而這個先決條件是誰應該首先訪問哪些信息以及為什么訪問。

這是一個基本問題,但它掩蓋了安全團隊在全面實現(xiàn)自動化之前必須解決的主要需求。企業(yè)需要花費大量時間對其企業(yè)內(nèi)部的各個利益相關(guān)者進行審計和細分,并審查和分解零信任架構(gòu)應該識別的所有數(shù)據(jù)和流程類別。

普普點評:

總之,零信任架構(gòu)是最大化現(xiàn)有工作負載安全性并確保備份保密和安全的絕佳方式。但為了實現(xiàn)業(yè)務連續(xù)性的最終目的,零信任架構(gòu)需要與業(yè)務日?;顒痈綦x且進行不可變的數(shù)據(jù)存儲。有了這最后一道防線,才能保證企業(yè)運營的連續(xù)性和安全性。

普普安全資訊一周概覽(0723-0729)
05

云計算服務主要安全風險及應對措施

云計算服務具有高性價比、高靈活性、動態(tài)可擴展、專業(yè)安全服務保障等特點,有效助力了提升管理效率、節(jié)約成本、增強綜合安全防護能力。與此同時,云計算服務也面臨諸多挑戰(zhàn),如云計算技術(shù)基礎平臺安全性、云上數(shù)據(jù)的安全管理、云計算服務安全專業(yè)人才匱乏等安全風險問題,導致云平臺數(shù)據(jù)安全事件層出不窮。對此,我國對云計算服務的網(wǎng)絡安全問題高度重視,相繼發(fā)布了一系列相關(guān)政策。

2019年7月,為提高黨政機關(guān)、關(guān)鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部和財政部聯(lián)合發(fā)布《云計算服務安全評估辦法》。2021年8月,國務院發(fā)布《法制政府建設實施綱要(2021-2025年)》提出,要及時跟進研究數(shù)字經(jīng)濟、互聯(lián)網(wǎng)金融、人工智能、大數(shù)據(jù)、云計算等相關(guān)法律法規(guī)。

普普點評:

云計算技術(shù)作為快速迭代的新興技術(shù),云平臺在設計、應用、測試和部署時對安全性考慮仍顯不足,在資源高度集中的運行環(huán)境下,云平臺容易成為黑客的攻擊目標,與傳統(tǒng)企業(yè)的網(wǎng)絡環(huán)境相比,云平臺所面臨的攻擊威脅更大,產(chǎn)生的影響更大。

普普安全資訊一周概覽(0723-0729)
06

為數(shù)字政府構(gòu)建智能化網(wǎng)絡安全管控體系

當前,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,我國數(shù)字政府建設也進入加速發(fā)展階段。而在政府數(shù)字化轉(zhuǎn)型和數(shù)字化改革中,作為底層重要基石的政務網(wǎng)絡安全其重要性也被提升至新高度。目前,基層政務網(wǎng)絡已經(jīng)形成了點多面廣、風險隱蔽復雜的應用特點,在網(wǎng)絡空間安全的指揮、制度、技術(shù)、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

政務網(wǎng)絡支撐各級政務部門業(yè)務應用、資源共享、業(yè)務協(xié)同和公共服務等,接入單位多應用范圍廣,安全風險隱蔽復雜,需建立系統(tǒng)化的安全管控體系,以技治網(wǎng),實現(xiàn)網(wǎng)絡安全管理智能化,達到“資產(chǎn)清晰、邊界完整、數(shù)據(jù)可控、風險量化、處置高效”的安全治理目標。

政務網(wǎng)絡安全是數(shù)字化改革的根基和底線,事關(guān)數(shù)字化改革全局。隨著數(shù)字化改革的推進,基層政務網(wǎng)形成了點多面廣、風險隱蔽復雜的特點,在網(wǎng)絡空間安全的指揮、制度、技術(shù)、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

普普點評:

安全運營體系依托網(wǎng)絡安全技術(shù)和制度規(guī)范兩大維度,開展資產(chǎn)管理、監(jiān)測預警、通報處置、安全檢測、整改加固、考核評價、安全培訓和運維管理等網(wǎng)絡安全運營工作,形成閉環(huán)安全運營體系,充分發(fā)揮人在網(wǎng)絡安全中的主體地位,有效對安全威脅事件進行綜合研判和及時處置并不斷閉環(huán)對運營體系進行優(yōu)化,有效保障網(wǎng)絡安全技術(shù)、管理制度規(guī)范要求落地。

普普安全資訊一周概覽(0723-0729)
07

國家網(wǎng)絡安全底線不容觸碰 公民合法權(quán)益不容侵犯

從目前披露的信息觀察,滴滴在網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護方面暴露出的問題觸目驚心:不僅在收集和使用用戶信息方面存在諸多風險隱患,更涉及嚴重影響國家安全的數(shù)據(jù)處理活動,且拒不履行監(jiān)管部門的明確要求,陽奉陰違、惡意逃避監(jiān)管。

不以規(guī)矩,不能成方圓。國家監(jiān)管部門履行職責依法對滴滴予以重罰,是切實維護國家網(wǎng)絡安全、數(shù)據(jù)安全和社會公共利益的有力舉措,是保障廣大用戶合法權(quán)益的及時行動,也是規(guī)范平臺經(jīng)濟、促進其健康有序發(fā)展的必然要求。

對廣大互聯(lián)網(wǎng)企業(yè)尤其是平臺型公司而言,這一案例具有重要警示意義。企業(yè)發(fā)展要有創(chuàng)新思維、開拓精神,但更要強化底線意識、法治觀念,以用戶為中心,有所為有所不為。無論何時,國家安全底線不容觸碰?;ヂ?lián)網(wǎng)科技也好,共享新概念也罷,都不能成為平臺企業(yè)竊取用戶數(shù)據(jù)、違規(guī)牟利的借口,更不能成為逾越法律、危及國家安全以及公共安全的工具。

普普點評:

依法經(jīng)營、健康發(fā)展始終是平臺經(jīng)濟的立身之本。只有堅持市場化原則、法治化原則,平臺經(jīng)濟才有美好未來。廣大平臺型企業(yè)應引以為戒,堅持安全與發(fā)展并重,在進一步加強網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護的基礎上,努力回歸服務實體經(jīng)濟和人民群眾的本源,更好地把握平臺經(jīng)濟發(fā)展規(guī)律,在守正創(chuàng)新中激發(fā)市場活力和科技創(chuàng)新能力。如此,才能行穩(wěn)致遠。

普普安全資訊一周概覽(0723-0729)