2019年移动应用安全十件影响力事件

阅读量225400

发布时间 : 2019-12-24 17:00:40

 

如今,随着国际、国内网络安全事件频发,国家与个人层面的信息安全威胁不断提升,国家网络安全政策更是密集出台,国家越来越重视网络安全产业的发展。2019年,个人信息安全备受关注,在政策法规驱动下, 各监管机构对移动应用监管提出了更高的要求,企业对移动应用安全的需求也大幅增加,使得移动应用安全市场的快速发展得到了有效保障。爱加密研究院对2019年度移动应用安全十大事件进行了整理和解读,下面让小编带您一睹为快吧。

 

事件一

▌四部委联合开展“App违法违规收集使用个人信息专项治理”行动 – 移动应用个人信息合规检测成为全年安全热点

事件:

四部委联合公告指出目前互联网上,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。为切实治理个人信息保护方面存在的乱象,四部委要求各监管机构对于App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。

解读:

首先,各个监管机构需要比过去投入更大的力度来监测管辖范围内的移动App个人信息安全态势。其次,App运营者在开发阶段就需要考虑移动应用个人信息合规方面的要求,确保其App个人信息相关部分的合规合法。在专项治理公告的推动下,政府监管机构将加大对移动应用市场的监管力度, App运营者在个人信息保护方面的投入将会增加。

 

事件二

▌央行下发《个人金融信息(数据)保护试行办法(初稿)》征求意见 – 移动金融个人信息数据应用与第三方数据供应商受到强监管

事件:

金融领域个人信息具有特殊性,与其他个人信息相比,其与个人的资产、信用状况等高度相关,一旦泄露对受害者的财产安全可能造成很大威胁。长期以来个人金融信息获取及保护层面缺乏明确监管要求,为中下游的不少乱象提供了土壤,其中既涉及数据采集和交易过程中的隐私保护乱象,也包括数据应用阶段的骚扰式营销甚至暴力催收等。2019年4月,央行发布了《中国人民银行2019年规章制定工作计划》中,其中就包括制定《个人金融信息(数据)保护试行办法》,明确各方的权益义务,使个人金融信息保护取得实效。

解读:

长期以来,个人信息安全合规的治理工作正在逐步下沉到金融领域。从法律层面加强对个人金融信息的保护。《个人金融信息(数据)保护试行办法(初稿)》第十二条中规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”第十八条规定:“金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”待到《办法》正式出台后,银行将根据该办法的要求,对提供业务数据的第三方机构进行摸排。 对于不能保证数据来源合法的数据供应商,要停止合作。 日前,已经有银行停止了与部分第三方数据提供商的合作。

 

事件三

▌《信息安全技术 网络安全等级保护基本要求》正式发布- 等保“2.0时代”安全行业高速发展

事件:

5月13日,《信息安全技术网络安全等级保护基本要求》正式发布,标志着我国网络安全等级保护工作正式进入“2.0时代”。等保2.0的发布是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础,极大促进了网络安全行业的发展,提高了网络安全企业估值的水平,扩大了网络安全市场的整体规模。等保2.0监管对象则更加广泛,将重要网络基础设施、重要信息系统、云计算平台、物联网、工控系统、大数据平台、公众服务平台等全部纳入等级保护监管,并将互联网企业纳入等级保护管理之中。

解读:

在攻防技术不断地升级演变中,防御思路发生的变化都反映在了“等保2.0”标准中。首先,从被动防御变成了 主动防御 ,整体防御也分区隔离,不仅在边界上防御,在内部也进行多层次防御,细化防御手段与防御范围; 其次,“等保2.0”提出了 事前、事中、事后的防御 ,而不仅仅像原来只是在受攻击时防御。防不住就要审计,出现问题还要事后溯源,知道问题根源在哪,是怎么发生的,为下次的防护做好准备;最后,在保障体系上由被动保障向 感知预警、动态的防护、安全检测、应急响应做转变 。

在等级保护2.0的安全框架当中,明确提出了个人信息安全保护、态势感知等新技术要求,要具备对新型攻击分析的能力,要能够检测对重点节点及其入侵的行为,对各类安全事件进行识别报警和分析。

 

事件四

▌《互联网个人信息安全保护指南》正式发布 – 公安大力整治企业非法获取个人信息等行为

事件:

2019年4月10日,公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所正式发布了《互联网个人信息安全保护指南》,指南一些细化要求参考了推荐性国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》,同时结合公安机关侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况研究制定,可有效指导互联网企业、联网单位在个人信息保护建设工作中的具体实践。

解读:

指南为公安执法机构鉴别企业或个人是否存在“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息”等行为提供检查依据。指南中着重强调了用户画像的要求,用户画像是互联网企业最常用的营销手段之一,涉及个人信息该如何合法合规使用是企业非常关心的问题。

指南指出,“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用, 应经用户明确授权方可使用其数据 ”。

 

事件五

▌《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发【2019】237号 ) – 加强行业监管力度,提高金融客户端应用软件安全标准

事件:

2019年9月底,中国人民银行向部分金融机构发布中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,通知主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律5个方面进行管理规范,并对个人金融信息保护提出具体要求包括,客户端软件在收集、使用个人金融信息时,央行明确,各金融机构不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。

金融机构应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改;在信息使用结束后,各金融机构应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息;金融机构不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。

12月3日,中国互联网金融协会在京召开金融业移动金融客户端应用软件备案管理工作试点启动会议,部署相关工作。 要求各试点机构应于2019年年底前通过客户端软件备案管理系统完成第一批试点客户端软件的材料提交和备案申请, 互金协会完成备案审核工作后,将择期发布第一批通过备案的客户端软件清单。 下一步,在全国范围内分批次组织开展客户端软件备案推广并逐步落实风险信息共享、投诉处置机制以及行业公约、黑白名单、自律检查、违规约束等自律管理工作。

互金协会秘书长陆书春11月18日在2019北京国际金融安全论坛上指出,正在按照人民银行《关于发布金融行业标准 加强移动金融客户端应用软件安全管理通知》的要求, 积极开展加强客户端软件行业自律管理的职责 ,牵头开展App实名备案的工作。

解读:

中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知不仅加强了金融行业的监管力度,更是明确了保险、证券、基金乃至互联网金融行业的安全建设标准,并将 个人信息安全治理工作真正贯彻到了金融领域 。金融企业需区分自身移动金融客户端应用软件的定位,针对资金交易类、信息采集类与咨询查询类的不同业务场景,切实按照相关技术及管理要求执行。而对于行业检测机构来说,如何依据人行要求,实现移动金融客户端软件的合规认定,也是检测机构面临的挑战。

 

事件六

▌工业和信息化部关于开展App侵害用户权益专项整治工作的通知 – 加强行业监管力度,提高金融客户端应用软件安全标准

事件:

11月4日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》,就App违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题,开展信息通信领域App侵害用户权益专项整治行动。本次整治行动面向App服务提供者和App分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的八类突出问题。

解读:

此次组织开展的App侵害用户权益专项整治工作,重点对用户关心的八类问题进行监督检查和规范整治。一方面,推动App服务提供者和App分发服务提供者 自查自纠 ,及时整改;另一方面,综合运用技术检测和检查、社会监督、用户和专家评议等手段,充分发挥第三方机构、媒体和用户的共同 监督作用 ,构建政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑的全方位综合监管体系。

针对存在问题的App,工信部将依法依规予以处理,具体措施包括 责令整改 、向社会公告、组织App下架、停止App接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等手段。

 

事件七

▌《金融科技(FinTech)发展规划(2019-2021年)》 – 金融科技顶层设计,加强网络安全风险管控和金融信息保护

事件:

8月23日,中国人民银行印发了《金融科技(FinTech)发展规划(2019-2021年)》(银发〔2019〕209号)的全文。《规划》要求到2021年,建立健全我国金融科技发展的“四梁八柱”,进一步增强金融业科技应用能力,实现金融与科技深度融合、协调发展,明显增强人民群众对数字化、网络化、智能化金融产品和服务的满意度,推动我国金融科技发展居于国际领先水平。

为实现6大发展目标,《规划》提出6方面重点任务,重点任务下具体要求包括27项。六方面重点任务分别为:一是加强金融科技战略部署;二是强化金融科技合理应用;三是赋能金融服务提质增效;四是增强金融风险技防能力;五是强化金融科技监管;六是夯实金融科技基础支撑,持续完善金融科技产业生态。

解读:

该《规划》是央行出台的首个单独针对金融科技的顶层设计文件,对未来三年行业的发展有很强的指引意义。根据《规划》,提出强化金融科技合理应用,以重点突破带动全局发展,加强网络安全风险管控和金融信息保护,做好新技术应用风险防范,坚决守住不发生系统性金融风险的底线。

规划第三章重点内容第十五条、二十一条明确了金融业务进行安全风险防范的重要性,将智能风控嵌入业务流程,实现可疑交易自动化拦截与风险应急处置,提升风险防控的及时性。组织建设统一的 金融风险监控平台 ,引导金融机构加强金融领域App与门户网站实名制和安全管理,增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平,提升对仿冒App、钓鱼网站的识别处置能力。提升 穿透式监管能力 ,引导金融机构积极配合实施穿透式监管,通过系统接口准确上送经营数据,合理应用信息技术加强合规风险监测, 提升智能化、自动化合规能力和水平 ,持续有效满足金融监管要求。

 

事件八

▌《关于引导规范教育移动互联网应用有序健康发展的意见》 – 引导规范教育App 促进“互联网+教育”有序健康发展

事件:

2019年9月5日 – 日前,教育部等八部门印发《关于引导规范教育移动互联网应用有序健康发展的意见》(以下简称《意见》) ,《意见》界定了教育App的内涵和外延,提出教育App是以教职工、学生、家长为主要用户,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的App。

《意见》规范的教育App大致分为三类:市场竞争提供、师生自主选用;学校企业合作、学校组织应用;学校自主开发、部署校内使用。《意见》明确APP准入程序,提高供给质量。从供给侧出发,对教育App提供者提出明确要求。

一是建立备案制度。根据国家统一标准,各省分头实施、企业属地备案的原则建立备案机制,为事中事后监管提供支撑。二是加强内容建设。明确呈现内容应遵守国家法律法规、符合党的教育方针、体现素质教育导向,并对未成年人保护、提供服务主体等方面进行规范。三是规范数据管理。严格控制数据采集使用范围,严禁强迫用户授权提供个人隐私信息。四是保障网络安全。严格落实《网络安全法》,推动建立安全审核和认证,切实保障广大师生切身利益。

解读:

《意见》明确教育App监管的标准,在内容管理、数据规范和安全保障等方面划出了红线,指明了方向。教育App仍然处于发展期,对教育App的认识也在不断深化,教育部主管单位未来将加强和职能部门、专业机构、行业协会、企业的合作, 建立常态化监测通报和预警机制,及时发现通报安全隐患,督促整改,并进行及时反馈。

贯彻落实互联网+监管的要求,会同网信、电信主管、公安、市场监管、“扫黄打非”等部门实施联合监管,发挥教育App提供者、App分发平台、移动终端制造商等主体作用。规范行业管理,规范行业自律,建立意见反馈和投诉举报渠道,发挥专业机构、专家、家长等主体责任,加强社会监管,形成长效监管机制。

 

事件九

▌《电信和互联网行业提升网络数据安全保护能力专项行动方案》 -工信厅网安〔2019〕42号,电信行业深抓App数据安全,着手建立网络数据安全保障体系

事件:

2019年7月1日 工业和信息化部办公厅印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,要求电信行业各单位通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。行动涉及全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查,深化App违法违规专项治理。

解读:

行动方案明确提出网络数据资源“清单式”管理。开展电信和重点互联网企业网络数据资源调研摸底,依据网络数据重要敏感程度和泄露滥用可能造成的危害,研究形成行业网络数据保护目录,并选取重点企业开展试点应用。指导督促试点企业建立内部网络数据清单和数据分类分级管理制度,对列入目录的网络数据实施重点保护。

深化App违法违规专项治理 。持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测, 对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光。组织开展应用商店安全责任专项部署,督促应用商店落实App运营者真实身份信息验证、应用程序安全检测、违法违规App下架等责任。

 

事件十

▌ 《教育移动互联网应用程序备案管理办法》 – 落实主体责任建立长效监管机制

事件:

2019年11月22日教育部办公厅印发《教育移动互联网应用程序备案管理办法》(以下简称《办法》)。要求各单位要在2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作,2020年2月1日起,公共服务体系将向社会公众提供备案信息查询,接受社会监督。2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的监管机制,初步建成科学高效的治理体系。

解读:

一、 明确主体责任 。教育行政部门和学校是本单位自主开发的教育移动应用的主管单位和选用第三方教育移动应用的责任单位,将教育移动应用、公众号和小程序等移动互联网平台纳入本地区、本单位的重要议事日程予以部署。按照“谁主管谁负责、谁开发谁负责、谁选用谁负责”的原则,建立健全教育移动应用管理责任体系,切实维护广大师生和家长的切身利益。

二、 保障网络安全 。办法要求应用商店等移动应用分发平台提供者应当加强教育移动应用上架审核管理,建立开发者真实身份信息登记制度,对教育移动应用开展安全审核,及时处理违法违规教育移动应用。鼓励教育移动应用提供者参加网络安全认证、检测,全面提高网络安全保障水平。

本文由爱加密原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/195635

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
爱加密
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66