政府安全资讯精选 2017年第十六期 工信部发布关于规范互联网信息服务使用域名的通知；俄罗斯拟建立备用DNS；Google打击安卓应用在未经同意情况下收集个人信息

【国内政策动态】工信部发布关于规范互联网信息服务使用域名的通知 点击查看原文

概要：《规范互联网信息服务使用域名的通知》要求互联网接入服务提供者按照《网安法》要求落实实名制，并要求域名注册管理、服务机构按照《互联网域名管理办法》和电信主管要求，与“ICP／ICP地址／域名信息备案管理系统”进行对接。互联网接入服务提供者应当定期通过备案系统核查互联网信息服务提供者使用域名的状态，对于域名不存在、域名过期且未提供真实身份信息等情形的，互联网接入服务提供者应停止为其提供接入服务。

点评：通知正式发布后，互联网接入服务提供者的实名制落实责任增加，并要求定期通过备案系统进行核查，提高了管理成本。互联网信息服务提供者也需要按照电信主管要求自觉进行ICP地址和域名信息的备案，确保提供信息准确且及时更新。

【国际政策动态】俄罗斯拟建立备用DNS, 还将覆盖中国等金砖四国 点击查看原文

概要：俄罗斯联邦安全会议已经证实开始建立一个备用的 DNS 系统，普京批准并要求在 2018 年 8 月 1 日前完成该计划。俄罗斯政府希望建立独立互联网基础设施，以应对西方国家强大的信息战进攻能力。据称，俄罗斯和其它金砖五国将可以选择拉动开关，将流量转移到私有的备用 DNS 系统。  

点评：俄罗斯建立备用DNS的主要目的，是为了减少对全球DNS的依赖，降低自身风险。如果有了与重要贸易伙伴联系的备份互联网，攻击对手时对自己造成的风险就会减低。未来全球各国在互联网空间的合作、竞争和防范都将不断增加，关于互联网空间的疆界和数据主权等问题也将受到更多关注。

【行业动态】Google打击安卓应用在未经同意情况下收集个人信息 点击查看原文

概要：Google 要求其安卓平台上的应用程序处理电话号码和邮箱等个人用户数据时，必须征求用户许可。如果收集和传输与其功能无关的数据，必须征得用户同意，并予以强调。如果开发者在 60 天内不遵守规定，Google 将通向用户发出警告并进行相应处置。

点评：在个人信息保护和内容安全方面，应用商城类平台实际上承担了一定“连带责任”，需要对平台上的应用进行管理，并告知个人信息保护责任，以降低自身合规风险。日前，Google被指在2011年6月至2012年2月期间收集iPhone用户信息，并未经用户同意出售逾500万名iPhone用户信息。预计该案将于2018年在高等法院审理，Google或因此赔偿27亿英磅。GDPR等法规生效后，企业的合规成本增加，需要更多的人力、技术、时间投入，并进一步明确与用户之间的责任关系。

【安全事件】澳大利亚社会服务部承认泄漏8500员工个人信息 点击查看原文

概要：澳大利亚社会服务部（Department of Social Services，简称DSS）承认泄漏类8500名在职和前雇员的个人信息。被泄露数据包括信用卡信息、员工姓名、用户名、工作电话、工作邮箱、系统密码、澳大利亚政府服务号、公共服务类别和组织单位。DSS首席财务官称这起数据泄露并非因DSS内部系统而起，而由于第三方提供商操作不当造成，并称这些数据目前已受到妥善保护，且尚未出现不当使用这些数据和信用卡的情况。

点评：近期，全球范围内发生过数起政府网站、系统数据泄露事件。事件披露通常在发生过后至少几个月后才发现，造成影响无法预计，但后患不容小觑。同时，很多类似的政府数据泄漏事件都是由于第三方外包商的不当安全措施造成。由此可见，政府机构和关键信息基础设施运营商，除了保障自身安全措施到位，还应当选择具备相应安全能力的供应商，降低第三方数据泄漏的隐患。

 订阅 NEWS FROM THE LAB

用云栖社区APP，舒服~