【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 資訊中心 – 第2頁 – 【四維創智】

                    四維資訊中心

                    關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                    特斯拉 Model X 遭遇黑客中繼攻擊 3 分鐘可開走汽車

                    一名黑客成功地為特斯拉汽車開發了一種新的密鑰克隆“中繼攻擊”(Relay Attack),并在特斯拉Model X電動汽車上進行了演示。報道稱,特斯拉被告知了這一新的攻擊,目前準備為其推出新的補丁。
                     

                    在北美,特斯拉汽車被盜相當罕見。但在歐洲,有一些老練的竊賊,他們通過“中繼攻擊”,盜竊了不少特斯拉汽車,其中大多數都沒有被找回。
                     

                    為了應對這些攻擊,特斯拉之前已經推出了額外的安全保護措施,配備了改進的密鑰卡和可選的“PIN to Drive”功能。但如今,一位安全研究員聲稱,他組織了一系列新的攻擊,可以繞過密鑰卡中新改進的加密技術。
                     

                    安全研究員表示,他只需大約90秒的時間,即可進入特斯拉汽車。一旦進入車內,為了能開走汽車,還需要進行第二步攻擊。大概1分鐘左右的時間,他就可以注冊自己的汽車鑰匙,然后把車開走。
                     

                    目前還不清楚,“PIN-to-Drive”功能能否讓沃特斯的第二步攻擊失效,該功能要求司機輸入PIN后,才能讓車輛進入駕駛狀態,而不管密鑰卡是什么。

                    11月 26,2020 by admin

                    閃送、瓜子二手車與聚美優品被約談:違規收集用戶信息、強制授權

                    據北京市通信管理局官網18日信息,閃送、瓜子二手車以及聚美優品移動APP等三家公司在抽測中發現存在違規收集使用用戶信息、強制授權等問題。11月16日,北京市通信管理局約談了相關公司負責人,就三家公司移動APP存在的問題發出書面整改通知,責令限期整改。
                     

                     
                    據悉,在工信部網安局統籌部署下,北京市通信管理局9月初開展了2020年北京市APP數據安全巡查檢測專項行動。
                     
                    北京市通信管理局要求三家公司加強對《網絡安全法》《電信和互聯網用戶個人信息保護規定》等相關法律法規的學習,不斷提升法律意識,并要進一步健全和完善企業數據安全管理和技術保障措施,強化對自身 App 數據安全的規范管理,不斷提升自身數據安全保護治理能力。
                     

                    本次專項行動以《APP違法違規收集使用個人信息行為認定方法》為依據,針對北京市地區獲得經營許可、且在國內主流移動應用商店下載量大的197款APP應用程序開展巡查專項檢測。

                    11月 19,2020 by admin

                    【上榜】四維創智入選《CCSIP2020中國網絡安全產業全景圖》三大領域!

                    11月16日,FreeBuf咨詢正式發布《CCSIP(China Cyber Security Industry Panorama)2020中國網絡安全產業全景圖》。
                     

                     
                    在此次公開發布的“CCSIP全景圖”中,四維創智憑借專業服務和持續創新能力分別入選“安全服務”“物聯網安全”“移動安全”三大領域的7個細分項。
                     



                     

                    《CCSIP(China Cyber Security Industry Panorama)2020中國網絡安全產業全景圖》(以下簡稱CCSIP全景圖)共涵蓋19個一級分類,79個二級分類,覆蓋550+家安全廠商,展現2000余次。所有調研及設計工作由FreeBuf咨詢團隊主導完成,上百家廠商提供數據支持。

                     

                    CCSIP全景圖以PDR網絡安全模型為基礎,并參考IPDRR安全框架和P2DR2模型,在基礎的Protection(防護)、Detection(檢測)、Response(響應)三層邏輯上優化出第4層,即“持續改進”,形成“防護——檢測——響應——持續改進”的安全閉環。

                     

                    在核心模型之外,增加了網絡基礎安全與行業場景2個大類,構建完整的企業網絡安全建設鏈,以此作為CCSIP全景圖的頂層設計邏輯,并將市面上主流的網絡安全廠商以主要產品類型為依據進行歸類。

                    11月 17,2020 by admin

                    物聯網安全:5個主要漏洞以及解決方法

                    物聯網全球市場,收入超過了1000億美元,而2025年的收入預測將達到1.5萬億美元。雖然這意味著更多的便利和改進的服務,但也為網絡犯罪分子創造了更多機會。
                     
                    物聯網設備面臨網絡安全漏洞。他們無需我們授權即可工作,這使得在被破壞之前威脅識別變得更加困難。但是,如果您知道危險潛伏在哪里,則可以找到一種方法最大程度地降低網絡安全風險。以下是2020年物聯網的五個重大網絡安全漏洞。
                     

                     
                    威脅是絕對真實的,首先我們了解下2016年10月發生的一個攻擊事件。黑客識別了安全攝像機模型中的薄弱環節。同時,有超過300,000臺攝像機連接了互聯網。
                     
                    黑客利用該漏洞并使用這些IoT設備對社交媒體平臺發起了大規模攻擊。一些主要的社交媒體平臺,包括Twitter,停運了幾個小時。這種類型的惡意軟件攻擊稱為僵尸網絡攻擊。它由數百個攜帶惡意軟件并同時感染數千個IoT設備的機器人提供動力。顯然,由于各種原因,物聯網設備特別容易受到這些攻擊。接下來讓我們一個個進行分析:
                     
                    系統漏洞分類
                     
                    在大多數情況下,研究人員專注于各種類型的漏洞。典型的潛在缺陷列表包括以下條目:
                     
                    未修補的軟件。許多人無視的直接漏洞。如果您是普通網民,則可以使用許多應用程序。他們中的大多數正在不斷發展。開發人員使他們適應解決問題。在某些情況下,修補程序和更新可解決嚴重的漏洞。當人們拒絕更新時,就會出現威脅。
                     
                    配置錯誤。這個概念涉及系統的各種變更。示例之一與用戶開始使用新服務時獲得的默認設置有關。通常,默認設置不關注安全性。您的路由器是不應保留其默認設置的小工具之一。相反,您應該定期更改憑據。因此,您將防止未經授權的訪問或通信攔截。
                     
                    憑據差。簡單或重復使用的密碼仍然是一個問題。盡管網絡安全行業已經為每個網友提供了選擇,但是使用原始和復雜密碼的建議仍然被忽略。取而代之的是,人們想出了舒適的密碼。這是什么意思?人們可以輕松記住的組合,以及可悲的是,黑客可以輕松猜測的組合。了解憑證填充攻擊的性質后,您將需要一個非常復雜的密碼來保證安全。
                     
                    惡意軟件,網絡釣魚和網絡。如今,惡意軟件已成為Internet不可或缺的一部分(即使我們不喜歡它)。駭客每天都會散布各種復雜的變體,研究人員并不一定總能向我們發出警告。網絡釣魚也是與到達用戶郵箱的欺詐和欺詐性報價有關的主要威脅之一。
                     
                    信任關系。這些漏洞觸發了連鎖反應。例如,各種系統可以彼此鏈接以允許訪問。如果一個網絡遭到破壞,其他網絡也可能崩潰。
                     
                    憑據受損。這種威脅是指對您的憑據的不道德勒索。后來,它們被用來獲得未經授權的訪問。例如,我們可以使用未經正確加密的系統之間的通信。然后,黑客可以攔截此交換并以純文本形式檢索密碼。
                     
                    惡毒的內幕。系統中的某些參與者可以利用他們的特權并執行惡意操作。
                     
                    加密不正確。黑客或其他惡意資源可以攔截網絡上加密不良的通信。由于存在此類漏洞,因此可能會發生許多災難性的情況。例如,騙子可以獲取機密信息或在部門之間散布虛假信息。
                     
                    零日漏洞和其他缺陷。此類漏洞無法解決,并且會繼續困擾著系統。黑客將嘗試利用此類缺陷,并查看哪些系統可能受到威脅。
                     
                    沒有經驗的用戶:是最大的漏洞
                     
                    物聯網是一個復雜的概念。大多數使用互聯網連接設備的人遠非精通技術的專家。沒有人告訴他們他們的咖啡機可能被入侵,或者他們的相機可以被用來發起DDoS攻擊。網絡安全專家在過去的二十年中一直在強調強密碼的重要性,而不是單擊電子郵件中的惡意鏈接。
                     
                    消費者認為公司和服務有責任確保其數據安全。他們甚至建議企業應采取法律行動。這是什么意思?好吧,用戶希望公司將其安全性看作不是遵守規則,而是自然而然的責任。但是,這種態度可能會導致非常嚴重的漏洞。用戶可以將所有責任留給政府和其他機構。如果不將自己視為重要變量,他們可能不會實施必要的網絡安全步驟。因此,我們認為需要保持平衡。公司和消費者都需要積極主動地保護自己的信息。
                     
                    制造過程中的缺陷
                     
                    物聯網市場爆炸性增長是因為物聯網設備提供了更多的便利,易于使用并帶來了真正的價值。但是,這個市場呈指數增長的另一個原因是-物聯網設備價格合理。您無需再變得超級富有,即可將整個家庭變成一個智能家居。
                     
                    制造商將其視為機遇,并爭先恐后地搶占了自己的物聯網市場。結果–無監督且便宜的制造過程,以及缺乏或完全缺乏合規性。這是制造難以妥協的物聯網設備的秘訣,只有政府才能通過嚴格的法律和法規來解決。因此,錯誤的生產可能導致各種問題,例如注入缺陷。
                     
                    所有程序和服務都必須在認為內容合適之前對其進行過濾。如果此類過程缺少適當的身份驗證步驟,則它們可以充當更大問題的網關。輸入的另一個問題是跨站點腳本(XSS)。簡而言之,它是指為Web應用程序提供帶有輸入的JavaScript標記的過程??梢奢斎氲哪康目赡苡兴煌???赡苁橇夹缘?,也可能是惡意的。
                     
                    不定期更新
                     
                    大多數著名的物聯網品牌一詞都在不斷地致力于發現其設備上的漏洞。一旦找到后門,他們就會發布更新和補丁以提供必要的安全修復程序。最終用戶需要更新其IoT設備,這是一個潛在的問題,因為人們仍然不愿更新其智能手機和計算機。研究人員發布了最具破壞性的漏洞列表。其中包括尚未修補的缺陷,并將繼續威脅用戶的安全。其中之一允許黑客通過誘騙的Microsoft Office文檔運行惡意軟件。另一個反映了Drupal的關鍵性質,它允許黑客傳播被稱為Kitty的惡意軟件病毒。
                     
                    有許多具有自動更新功能的IoT設備,但是此過程存在安全問題。設備應用更新之前,它將備份發送到服務器。黑客可以利用這一機會來竊取數據。公共Wi-Fi和加密網絡上的IoT設備特別容易受到此類攻擊??梢酝ㄟ^使用在線VPN來防止這種情況。它加密連接并屏蔽網絡上所有設備的IP地址。
                     
                    影子物聯網設備
                     
                    即使本地網絡完全安全,并且其上所有IoT設備的固件和軟件都已更新到最新版本,影子IoT設備也可能造成嚴重破壞。這些設備(也稱為流氓IoT設備)可以完美地復制為替代而構建的IoT設備。
                     
                    隨著BYOD成為垂直行業的主要趨勢,員工可以將自己感染的IoT設備帶入工作中。一旦連接到網絡,惡意的IoT設備就可以下載并發送或處理數據。潛在的損害是無法理解的。
                     
                    在線物聯網設備的數量每天都在增加。物聯網的這些網絡安全問題應同時涉及個人和企業用戶。如果我們想看到結果,則必須最小化與IoT相關的安全漏洞。憑著物聯網行業的當前狀況以及最終用戶的意識,可以肯定地說,我們將至少看到更多由物聯網驅動的大規模網絡攻擊。我們只有更加關注消費者和公司對待漏洞的方式。在發生前阻止破壞行動。

                    11月 11,2020 by admin

                    “刷臉”真的安全嗎?2元就能買上千張人臉照片

                    購物時“刷臉”支付、用手機時“刷臉”解鎖,進小區時“刷臉”開門……如今,越來越多的事情可以“刷臉”,用人臉識別技術來解決。
                     
                    近日發布的一份報告顯示,有九成以上的受訪者都使用過人臉識別,不過有六成受訪者認為人臉識別技術有濫用趨勢,還有三成受訪者表示,已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。那么“刷臉”時代,我們的人臉信息安全嗎?
                     

                     
                    人臉識別存在哪些風險?
                     
                    對于人臉識別,多數人是又愛又恨,愛的是它的方便快捷,恨的就是安全風險。
                     
                    嫌疑人“AI換臉”騙過人臉識別實施犯罪
                     
                    在警方今年破獲的兩起盜用公民個人信息案中,值得注意的是,犯罪嫌疑人都是利用“AI換臉技術”非法獲取公民照片進行一定預處理,而后再通過“照片活化”軟件生成動態視頻,騙過了人臉核驗機制,得以實施犯罪的。
                     

                     
                    面具可代替人臉解鎖手機嗎?
                     
                    測試中,科研人員在手機對面放上面具,然后進行光線、色溫以及角度的調節。通過幾次比對,手機成功解鎖。
                     

                     
                    專家表示,這款面具的制作成本并不高,3D打印技術就可以制作出精度尚可的人臉面具或頭套。只要不是在極暗或極亮的背景下,通過面具或頭套進行人臉識別的成功率高達3成。
                     
                    如何增強人臉識別安全性?
                     
                    專家表示,目前最簡單的人臉識別,只需要采集、提取人臉上的6個或8個特征點就能實現。而復雜的人臉識別,則需要采集、提取人臉上的數十個乃至上百個特征點才能實現。相比于解鎖手機,“刷臉”支付、“刷臉”進小區等應用,采集的人臉特征點更多,安全性自然也更高。
                     
                    此外,目前已經研發出了專門針對生物特征的活體檢測技術,可有效識別掃描對象的生命體征,大大降低了識別系統把照片或面具當人臉的風險。
                     

                     
                    2元就能買上千張照片 人臉信息是如何泄露的?
                     
                    經調查發現,在某些網絡交易平臺上,只要花2元錢就能買到上千張人臉照片,而5000多張人臉照片標價還不到10元。
                     

                     
                    商家的素材庫里,全都是真人生活照、自拍照等充滿個人隱私內容的照片。當記者詢問客服,這些圖片是否涉及版權時,客服矢口否認,但卻提供不了任何可以證明照片版權的材料。
                     

                     
                    這些包含個人信息的人臉照片如果落入不法分子手中,照片主人除了有可能遭遇精準詐騙,蒙受財產損失之外,甚至還有可能因自己的人臉信息被用于洗錢、涉黑等違法犯罪活動,而卷入刑事訴訟。
                     
                    在專家看來,當下人臉識別技術的風險點,更多集中在存儲環節。由于人臉識別應用五花八門,也沒有統一的行業標準,大量的人臉數據都被存儲在各應用運營方,或是技術提供方的中心化數據庫中。
                     

                     
                    數據是否脫敏、安全是否到位、哪些用于算法訓練、哪些會被合作方分享,外界一概不知。而且,一旦服務器被入侵,高度敏感的人臉數據就會面臨泄露風險。
                     
                    個人信息法草案發布 人臉信息保護更規范
                     
                    為了封堵這個漏洞,專家提出了多種技術改進,并進一步指出,人臉數據存儲應該建立更嚴格的標準和規范,技術開發方、APP運營方應該在更趨嚴格的監管、法律以及行業規范下采集、使用、存儲數據。
                     

                     
                    針對人臉信息被濫用、盜用、隨意采集的現象,法律專家指出,《網絡安全法》明確將個人生物識別信息納入個人信息范圍。我國《民法典》規定,收集、處理自然人個人信息的,應當遵循合法、正當、必要原則,征得該自然人或其監護人同意,且被采用者同意后還有權撤回。
                     
                    目前,《中華人民共和國個人信息保護法(草案)》正在面向社會公開征求意見。草案提出,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。

                    11月 7,2020 by admin

                    解析:11月1日實施的《信息安全技術網絡安全等級保護定級指南》有哪些變化?

                    近日,國家市場監督管理總局和國家標準化管理委員會發布了《GBT 22240-2020信息安全技術網絡安全等級保護定級指南》新的國家標準,新的國標將于2020年11月1日正式實施。
                     

                     
                    新版定級指南有哪些變化呢?指南前言中指出:
                     

                     
                    01、定級流程有變化
                     
                    第二級及以上等級保護對象定級流程新增專家評審環節,不再自主定級,需要聘請專家認定等級保護對象的級別。
                     
                    02、定級對象有變化
                     
                    定級對象的范圍相比舊標準變化較多,本次《指南》包含了云計算、物聯網、工業控制系統、采用移動互聯技術的系統、通信網絡設施以及數據資源。
                     
                    通用定級對象基本特征明確,共計三點:
                     
                    具有確定的主要安全責任體;
                     
                    承載相對獨立的業務應用;
                     
                    包含相互關聯的多個資源。
                     
                    從這幾個特征來看,基本互聯網上的系統差不多都要定級備案?!吨改稀方o出了有關安全責任主體的解釋:包括但不限于企業、機關和事業單位等法人,以及不具備法人資格的社會團體等其他組織。
                     
                    以前很多人一直有個疑問,我們的系統很小,沒多少數據,就不需要定級了?,F在官方給出了解釋,企事業單位、機關基本都是具有法人的,那么這些單位的系統必須都要定級備案。其他團體(包括公益組織)和中小私營企業原則上也都要對系統進行定級備案。
                     
                    哪些系統屬于強制定級備案范疇?
                     
                    ?云計算平臺/系統
                     
                    《指南》明確表示,云上租戶和云服務商的等級保護對象要分開定級,根據云上服務模式再分別定級。就是說,云服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式,那么就分為三個對象來分別定級。
                     
                    對于大型云計算平臺,除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。
                     
                    ?物聯網
                     
                    通常是以系統為單位,將所有邊緣設備和應用統一起來,作為一個整體來定級。(比如某些智能家居系統,就要以整體平臺作為定級對象,不能以不同家庭或不同區域作為定級對象)
                     
                    ?工業控制系統
                     
                    不同于其他行業,《指南》要求對于工業控制系統,將現場、過程控制要素作為一個整體定級,而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分成兩個對象定級備案。
                     
                    對于大型工控系統,類似大型云計算平臺要求,根據功能、主體、控制對象和生產廠商等因素劃分多個定級對象。這里《指南》并不是建議,而是要求,也就是說大型工控系統會進行拆分定級。
                     
                    ?采用移動互聯技術的系統
                     
                    《指南》為這類系統進行了簡要描述,即包括移動終端(手機、平板、筆記本)、移動應用和無線網絡等特征要素的系統。將所有移動技術整合,作為一個整體來定級。
                     
                    ?通信網絡設施
                     
                    主要是通信和廣電行業的核心網絡,基本可以算得上關鍵信息基礎設施了,也是國家重點關注的行業之一?!吨改稀方ㄗh(用了“宜”)可根據安全責任主體、服務類型或服務地域劃分不同的定級對象。
                     
                    而對于運營商網絡(骨干網、接入網),多以地市為單位作為定級對象?!吨改稀方ㄗh跨省行業或單位專用通信網可作為一個整體對象定級,這對于運營商企業來說算是一個利好了。
                     
                    ?數據資源
                     
                    這是新版《指南》提出的一個新要素。數據資源可以獨立定級。定級是基于大數據、大數據平臺安全責任主體相同與否。舉個例子,比如某些電商平臺,數據分布在多個平臺,每個平臺都有獨立法人,這種情況就應該屬于安全責任主體不同,這時就要把數據資源單獨作為定級對象,電商平臺作為另一個定級對象。
                     
                    03、確定受侵害的客體方面有變化
                     
                    1.侵害國家安全事項方面:
                     
                    新增影響海洋權益完整的侵害;
                     
                    新增影響國家社會主義經濟秩序和文化實力的侵害。
                     
                    2.侵害社會秩序事項方面:
                     
                    明確提出影響企事業單位、社會團體生產秩序、醫療衛生秩序的侵害;
                     
                    新增影響公共交通秩序的侵害;
                     
                    新增影響人民群眾生活的侵害;
                     
                    隨著我國信息化進程的全面加快,全社會特別是重要行業、重要領域對基礎信息網絡和重要信息系統的依賴程度越來越高,網絡安全等級保護制度作為我國網絡安全領域的基本國策、基本制度,嚴格落實網絡安全等級保護測評工作已經逐漸成為各行業必備。

                    11月 7,2020 by admin

                    四維創智鬼斧車聯網安全實驗室在第三屆中國汽車安全與召回技術論壇-“車聯網信息安全技能大賽”斬獲兩項大獎

                    10月20日,第三屆中國汽車安全與召回技術論壇在重慶開幕,活動的重要賽事之一“車聯網信息安全技能大賽”同時開啟,“車聯網信息安全技能大賽”由國家市場監督管理總局缺陷產品管理中心指導,中國汽車工程研究院與國家互聯網應急中心聯合主辦,裁判團隊來自政府、科研院所、主機廠、安全公司等各級領導和專家,全程跟蹤每一個比賽環節。為國家《智能汽車創新發展戰略》加速落地提供有力支持,為智能汽車時代的汽車消費者保駕護航。
                     

                     
                    此次車聯網信息安全技能大賽的參賽團隊共16支,來自于科研院所、高校、主機廠以及安全公司,覆蓋了車聯網信息安全產業鏈的各個環節。四維創智鬼斧車聯網安全實驗室憑借豐富的項目實踐經驗和領先的產品研發能力斬獲“車載娛樂交互攻防演練賽第一名”“車聯網信息安全技能大賽三等獎”、兩項大獎。
                     


                     
                    “車聯網信息安全技能大賽”選擇具有較高車聯網信息安全水平的實車進行比賽,比賽內容涉及車內網絡、汽車移動APP、高低頻無線通訊、智能網聯汽車云平臺、車輛T-BOX/IVI滲透與攻擊測試場景。對汽車云平臺采用CTF奪旗賽方式進行競賽,汽車移動APP、車輛T-BOX/IVI滲透與攻擊測試以及車內網絡采用挖掘漏洞累積分數方式,高低頻無線通訊采用挑戰賽方式進行。本次賽事采用真實車輛,實際車輛所用車機終端和系統,以及實車測試環境,更具實戰意義。
                     

                     
                    四維創智鬼斧車聯網安全實驗室自主研發的四維車聯網測試平臺結合車聯網仿真平臺,實現模擬車內傳統網絡環境,快速搭建整車網絡安全檢測環境,對整車進行靈活多類型檢測,包括但不限于檢測車輛無線接口安全、車輛硬件接口安全、車輛控制安全、車輛總線系統安全、車輛人機系統安全、安全固件升級。功能安全測試的本質就是風險控制。此外,該系統能實現以3D動態演示汽車檢測狀態變化,支持跨網關數據的實時展示、分析和統計。本次獲獎是對四維創智創新、研發能力的印證,更是對四維創智車聯網安全研究領域的認可,未來四維創智將在車聯網安全領域持續突破創新,為安全、智能、便捷的交通出行保駕護航。

                    10月 23,2020 by admin

                    個人信息保護法草案首次亮相

                    備受關注的個人信息保護法草案今天提請十三屆全國人大常委會第二十二次會議審議。
                     
                    數字顯示,截至2020年3月,我國互聯網用戶已達9億,互聯網網站超過400萬個,應用程序數量超過300萬個,個人信息的收集、使用更為廣泛。應當看到,雖然近年來我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人,從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。
                     
                    “為及時回應廣大人民群眾的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門法律,將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義?!比珖舜蟪N瘯üの敝魅蝿⒖〕急硎?,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求,是維護網絡空間良好生態的現實需要,也是促進數字經濟健康發展的重要舉措。
                     
                    草案共八章七十條。從內容上看,草案聚焦目前個人信息保護的突出問題,落實個人信息保護責任,加大違法行為懲處力度。
                     
                    聚焦突出問題 健全個人信息處理系列規則

                    ——設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意
                     
                    在應對新冠肺炎疫情中,大數據應用為聯防聯控和復工復產提供了有力支持。為此,草案將應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。
                     
                    “需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務?!眲⒖〕颊f。
                     
                    草案確立了個人信息處理應遵循的原則,強調處理個人信息應當采用合法、正當的方式,具有明確、合理的目的,限于實現處理目的的最小范圍,公開處理規則,保證信息準確,采取安全保護措施等,并將上述原則貫穿于個人信息處理的全過程、各環節。
                     
                    同時,草案還確立了以“告知一同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。
                     
                    考慮到經濟社會生活的復雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規定。
                     
                    草案還設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。
                     
                    此外,草案設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。
                     
                    明確適用范圍 賦予本法必要域外適用效力

                    ——賦予個人信息保護法必要的域外適用效力,以充分保護我國境內個人的權益
                     
                    草案明確規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
                     
                    同時,借鑒有關國家和地區的做法,草案還賦予了必要的域外適用效力,以充分保護我國境內個人的權益。
                     
                    草案規定,以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動,也適用本法;并要求境外的個人信息處理者在境內設立專門機構或者指定代表,負責個人信息保護相關事務。
                     
                    維護國家利益 完善個人信息跨境提供規則

                    ——對跨境提供個人信息的“告知—同意”作出更嚴格的要求
                     
                    草案明確,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,規定了經專業機構認證等途徑。
                     
                    同時,草案對跨境提供個人信息的“告知—同意”作出更嚴格的要求。對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。
                     
                    對從事損害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區,草案規定了可以采取的相應措施。
                     
                    落實保護責任 明確相關主體的權利和義務

                    ——要求個人信息處理者按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督
                     
                    與民法典的有關規定相銜接,草案對個人信息處理活動中個人的各項權利進行了明確,包括知情權、決定權、查詢權、更正權、刪除權等,并要求個人信息處理者建立個人行使權利的申請受理和處理機制。
                     
                    與此同時,草案明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。
                     
                    明確職責分工 突出網信部門統籌協調作用

                    ——國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作
                     
                    個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用。
                     
                    草案同時規定,國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。
                     
                    加大懲處力度 對違法行為設嚴格法律責任

                    ——侵害個人信息權益的違法行為,情節嚴重的,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款

                    草案對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。
                     
                    草案規定,違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
                     
                    草案同時規定,有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他安志杰責任人員處十萬元以上一百萬元以下罰款。
                     
                    根據草案,有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
                     
                    此外,草案規定,對侵害個人信息權益的民事賠償,按照個人所受損失或者個人信息處理者所獲利益確定數額,上述數額無法確定的,由人民法院根據實際情況確定賠償數額。

                    (法治日報)

                    10月 13,2020 by admin

                    當手機失竊信息被盜后 我們應該怎么辦?

                    近日一篇《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》的文章引發廣泛關注,文章由一位信息安全專家根據親身經歷梳理。文章作者老駱駝表示,由于家人一部手機被盜,自己經歷一場與一伙專業老練、利用竊取個人信息盜取他人銀行賬戶資金的犯罪團伙斗智斗勇的事件。
                     
                    信息安全專家尚且如此,如果是普通用戶手機丟失或被盜之后,又該如何盡量避免個人信息泄露和保障資金安全?
                     
                    01手機信息安全
                     
                    從手機本身來說,大多數安卓手機和蘋果手機在設置中都具備查找手機的功能,如果該功能可用,失主可以通過定位功能盡可能的找到丟失的手機。
                     
                    以文章作者使用的華為手機為例,第一步當然是要設置好手機的鎖屏密碼,這是防止手機中聯系人、相冊等個人信息被盜取的第一道屏障。
                     
                    如果鎖屏密碼被破解,查找手機的功能就可以派上用場。
                     


                     
                    在華為手機上開啟“云空間”后,“查找我的手機”開關會自動開啟;如果用戶曾手動關閉了“查找我的手機”開關,可以前往“設置”>“華為帳號”>“云空間”>“查找我的手機”頁面重新開啟。
                     
                    當手機丟失時,失主可以通過訪問“云空間”官網(cloud.huawei.com),使用網頁版的“查找我的手機”對設備進行定位和數據保護。
                     
                    可以執行的操作包括:
                     
                    ? 定位設備:查看設備在地圖上的大致位置
                     
                    ? 播放鈴聲:讓設備響鈴,便于小范圍查找
                     
                    ? 擦除數據:清空設備數據,防止信息泄露
                     
                    其它品牌的安卓手機以及蘋果手機的查找手機功能,與華為手機的操作類似。如果是丟失,可以通過定位盡量找回;如果是被盜,可以直接鎖定設備或者擦除數據,防止個人信息泄露。
                     
                    02資金安全
                     
                    在文章作者的經歷中,起初犯罪團伙并未破解手機鎖屏密碼時,但選擇將手機SIM卡安裝在另一個設備中,通過SIM卡獲取失主的個人信息,進而盜取資金。
                     
                    這個時候,將手機SIM卡掛失就十分必要。
                     
                    以文章作者使用的中國電信SIM卡為例,中國電信有一項服務是因丟失、盜用或其它原因,暫時辦理緊急停機。撥打處于緊急停機狀態下的電話聽到的是“您所撥打的號碼已暫停服務”,緊急停機期間也不能收發短信。
                     
                    辦理的途徑有三種:
                     
                    一、登陸中國電信網上營業廳http://189.cn辦理,業務辦理->移動業務->可辦理業務->基礎業務->緊急停機;
                     
                    二、通過手機撥打中國電信客服10000號,按照語音提示自助辦理或選擇人工幫助辦理。自助模式下只能辦理緊急停機,無法辦理復話;
                     
                    三、在線下的中國電信營業廳辦理,用戶需持有效證件到營業廳辦理緊急停機和復話業務。
                     
                    除了事后的掛失,文章作者也給出了事前防范措施:設置SIM卡密碼。在手機設置中的安全選項中,有一項SIM卡鎖定的功能,設置密碼之后,當SIM卡被犯罪分子安裝到另外一個手機中時,就需要輸入密碼才能使用。如果密碼輸入錯誤多次,則需要PUK碼才能解鎖,PUK碼可以在SIM購買時的卡片上找到,或者聯系運營商獲取。
                     
                    當然,除了用戶SIM卡本身的密碼設置和掛失之外,銀行、支付寶、微信等金融App自身的安全風控也十分重要。
                     
                    支付寶相關部門人員就回應稱,文章所披露的黑產在支付寶里沒套到錢和信息;且支付寶承諾資金被盜全額賠付,包括手機丟失導致的。
                     
                    支付寶相關部門人員在回應中提到,熱文中的對手確實是高階黑產,但黑產在修改支付密碼時被支付寶風控攔住了,查不了銀行卡號,也沒法收付款,才注冊了一個新號,但新號也不能使用原號里的錢。
                     
                    此外,用戶在手機丟失之后,也可以通過相應的官方客服對銀行、支付寶、微信等金融App賬號進行凍結,以防止出現資金損失。

                    10月 10,2020 by admin

                    紅隊必備-WEB蜜罐識別阻斷插件

                    在真實攻防演習中,藍隊不再像以前只是被動防守,而是慢慢開始轉變到主動出擊的角色。對藍隊反制紅隊幫助最大的想來非蜜罐莫屬,現在的商業蜜罐除了會模擬一個虛擬的靶機之外,還承擔了一個很重要的任務:溯源黑客真實身份。相當一部分黑客因為瀏覽器沒開隱身模式導致被利用jsonhijack漏洞抓到真實ID,雖然可以反手一個舉報到src換積分,但是在漏洞修復之前,又是一批戰友被溯源。相信很對已經被溯源的紅方選手對此更有體會。

                     
                    在這種背景下,各位紅方老司機應當很需要一個能自動識別這種WEB蜜罐,因此我們寫了個簡單的chrome插件,用來幫助我們擺脫被溯源到真實ID的困境。插件有兩個功能,一是識別當前訪問的網站是否是蜜罐,是的話就彈框預警;二是對訪問的jsonp接口進行重置,防止對方獲取到真實ID。所采用的原理非常簡單粗暴,就是判斷當前網站域和jsonp接口的域是否是同一個,不是的話就預警并阻斷。比如我訪問一個http://1.2.3.4/的網站,結果這個網站里的js去請求了一個baidu.com的api,那妥妥的有問題了。但是粗暴判斷也會帶來誤報,比如我正常訪問baidu.com,但是其引用了個apibaidu.com的jsonp,就一樣也會報警和攔截,這種情況下就暫時用白名單來解決了。

                     

                    使用方法:

                     
                    下載地址:https://github.com/cnrstar/anti-honeypot

                     
                    打開chrome的插件管理 chrome://extensions/:

                     
                    打開開發者模式,并點擊”加載已解壓的擴展程序”,選擇對應的目錄導入即可

                     

                     
                    當訪問到滿足條件的網站,會彈出警告框并阻斷這個請求,注意開啟彈窗權限。
                     

                     
                    由于時間問題,只能簡單寫個開源出來,希望能幫到大家,大家可以對源碼隨意修改,然后開源出來,紅方加油!

                     
                    原創文章,轉載請注明出處:四維創智

                    9月 17,2020 by admin
                    国产小视频精品_国产小视频网站_国产小视频在线播放