政府安全资讯精选 2017年第四期：聚焦美国网络安全新动态

【安全事件】

Uber被指控侵犯用户数据 美政府要求接受20年隐私系统审核  点击查看全文

概要：美国联邦贸易委员会（下称FTC）经调查称，Uber失实报告了对雇员提取乘客和司机个人信息的监测程度，且未采取适当措施保护用户数据。FTC称，Uber甚至未采取低成本的防止入侵措施，例如要求工程师使用区分的密钥，或要求多重因素认证。此外，Uber还把地理位置等敏感用户信息，在数据库存为普通可读文本。Uber和FTC达成协议，将在在180天内取得独立第三方的隐私审核，今后每两年进行一次审核，持续20年。

点评：许多快速发展的初创企业都面临此类风险。初创企业专注于业务的发展，通常会在保障用户数据安全和隐私方面缺少投入。相关监管部门可以引导并支持初创企业增加安全投入，在公司整体架构之初就把安全当作重点，培养员工的安全意识，通过制度和技术保障数据的安全性和隐私性，避免公司壮大后出现更大的安全隐患。

 【全球政策趋势】

美科技公司建议对执法部门获取位置数据设更高门槛 点击查看原文

概要：苹果，脸书，谷歌，SNAP等美国科技巨头联名向美国最高法院建言，希望提高政府部门和警方通过智能电话来直接固定使用者位置的门槛。各大公司的意见是消费者不应该在买一个智能电话的同时就可能被无限制的监视位置，而相关政府部门应当有足够的理由才应该能通过智能电话定位用户。美国最高法院将在今年秋天审议该意见。

点评：这一提议体现了科技公司在依法配合执法部门要求与保障用户数据隐私之间的平衡，也反映了消费者对个人隐私保护的重视。

欧盟《网络与信息安全指令》和GDPR将同时生效 点击查看原文

概要：《网络与信息安全指令》（下称NIS指令）将要求某些类别的关键基础设施提供商采取措施来应对越来越多的网络威胁。NIS指令不适用于所有企业，只适用于能源，运输，银行，金融市场基础设施，卫生部门，水和数字基础设施部门的“基本服务运营商”。一般来说，要求这些组织实施适当的安全措施，并将事件通知主管机关。但具体细节将由各成员国决定，尚未确定。符合NIS指令目前更具挑战性，因为尚未指定最终的细节。

点评：虽然关注度不及GDPR，但是NIS指令的重要度同样很高，且将与GDPR同时生效。NIS和GDPR的前身，现在的数据保护指令是同一种形式， 虽然不是法律法规，但是要求各成员过按照指令要求渗透到本国法律中去。

 【云上视角】

美国商务部计划将三个网络安全项目迁移上云 点击查看原文  

概要：美国商务部计划将企业安全运营中心（Enterprise Security Operations Center）、企业网络安全监控与运营（Enterprise Cybersecurity Monitoring and Operations）和持续诊断与缓解项目（Continuous Diagnostic and Mitigation systems）迁移到云上。美商务部上个月面向行业征集上云最佳方案。

点评：美商务部希望将这三个项目迁移上云，主要是看重云环境中管理与拓展的灵活性、安全性和成本的透明度。美商务部要求有意向的云服务商提供对迁移可操作性的分析、完整供应链的风险评估、云托管架构和运维管理方式。这个项目是对云服务商安全能力的极大考验，最终花落谁家、如何实现，值得持续关注，并借鉴其精华。