政府安全资讯精选 2017年第六期 车联网和移动安全可能成为未来监管重点

【全球政策趋势】

车辆数据隐私受美国监管重视点击查看原文

概要：美国政府问责办公室（GAO）做了一项关于车辆数据隐私的调查，包括汽车制造商如何收集、使用和共享定位、轮胎压力等车辆数据。被研究调查的16家制造商中，有13家都表示有限制数据收集和使用的隐私条款，但没有给消费者明确易懂的文字通知。国家交通安全管理局（NHTSA）在隐私保护中提到关键作用，但其目前责任仍然不明确。

点评：日前，Uber追踪客户地理位置引起争议，车辆数据隐私和车联网安全的讨论热度增加。汽车制造商和网约车公司收集用户的定位，向保险公司、执法部门、维修商提供数据等场景都涉及隐私问题。在国内，个人信息和数据隐私保护的监管力度持续加强，细化到各行业。滴滴打车也在四部委首批隐私条款审核和整改的名单之中，在个人信息更改和删除、调用操作系统权限等方面将作出调整。

【安全事件】

黑客组织利用名为Gazer的后门程序攻击全球大使馆、领事馆点击查看原文

概要：近日，有安全研究人员发现一种针对全球范围内的领事馆、大使馆的恶意程序，主要用来对政府和外交官进行窃听。这类恶意程序从2016年开始逐渐活跃，利用一个名为Gazer的后门。Gazer 使用 C++ 编写，通过钓鱼邮件投递Skipper后门，随后安装Gazer组建。研究人员认为攻击来自俄罗斯的黑客组织Turla APT，目前劫持目标大部分都在欧洲。

点评：Gazer相较于其他后门程序更具隐蔽性，善于躲避检测，能长期潜伏在被感染设备中，施展隐藏术设法长期窃取数据。建议包括执法、司法、外交在内的各类政府网站涉及国家和社会利益，应当警惕此类风险，加强防范。

【国内政策趋势】

《电信业务经营许可管理办法》9月1日起正式实行 加强网络安全和信誉管理点击查看原文

概要：工信部颁布了《电信业务经营许可管理办法》（第42号令），再次明确了经营基础电信业务和增值电信业务的资质与申请流程，对监督管理机制进行了更新。

点评：对比2009年颁布的版本，新管理办法加强了对网络安全的要求和公司信誉的监督，值得运营者高度注意。具体体现为，在申请资质和年检材料中加入了网络安全保障措施和实施情况。同时，新增了电信业务经营不良名单和失信名单。未完成年报或日常检查将被纳入不良名单；纳入失信名单三年内再次失信责令停业或吊销执照。

国家安全标准委已对安全手机标准立项 移动安全将是未来重点点击查看原文

概要：国家安全标准委已立项研究安全手机标准，包括关键硬件、软件信息基础设施的网络安全防护能力，系统安全等级，App权限限定等。

点评：随着手机上网和移动支付的快速普及，手机网络成为各类支付陷阱和蠕虫病毒等恶意程序的目标。国家标准的出台将在未来对手机制造商提出更高对安全能力要求。从应用开发者的角度，移动安全的风险管理包括风险检测，安全防护，威胁情报三大步骤，安全措施应该覆盖设计、开发、测试到上线的完整生命周期。

期待听到您的反馈

金融、政府、游戏安全资讯精选会通过云栖社区专栏，

阿里云安全微信和微博，每周与您见面。

如果您是阿里云用户，

也欢迎通过邮件、钉钉公众号查看本周行业资讯。

原文链接