怎样从政府层面对互联网及移动互联网企业的信息安全(包括信息安全和网络安全)情况开展评估工作
谢谢题主的私信补充及有心。为了这个回答能被他人检验、反馈,我修改到答案。同时再邀请5位安全领域的热心知友@云舒@Rio@余弦@大风@瞌睡龙 以期提供意见和答案。在平时推广信息安全标准或者进行审查的时候,我们一般会首先明确这次评估的背景、目标、适用范围(局限性)、方法论(依据),然后才能正确地给出具体实施的内容。我们对题主的需求进行这样的假设,如若前提不正确,还请题主指正。背景:在已有纲领性文件的基础上,当地政府希望能出台较具体的规范指引,以供移动互联网企业参照执行。目标:政策对于移动互联网企业接地气,具备可操作性。适用范围:APP市场、APP发行公司依据:《关于维护互联网安全的决定》,公安部令33号,国务院令273号,292号。剩下其他4部行政法规可能更加不适用。此外还有《公安部等保测评准则》可供企业申请实施。可见现行法规对于移动互联网的保护确实相当薄弱。信息安全完整性:当前有诸多非官方授权的APP市场,下载正式软件、反编译、植入恶意代码、发布到市场、供用户下载并获取相应权限以执行恶意代码(包括但不限于截取密码、截获短信、耗用电信资源等),这一流程无法得到控制,对于有root权限的用户危害很大,损害了信息安全完整性。须授权公安牵头,以落实“经认证的APP市场”的备案制度,在这样的APP市场中,不可任意发布APP(但如若损害发布效率必将影响用户选择),一要做到检查,二要做到可问责(天翼空间或许已经做到了)。我们确实应该对民众宣传勿随意下载不明来源的APP,推广可信的市场,但是从制度上并不能依赖于人,能做的只有对所有APP市场进行引导和干涉,并对各手机厂商的“预装APP市场软件”作出要求。控制住了源头,这类犯罪案件才能真正得到控制。须预见到APP作为客户端有被任意篡改的可能。APP应尽量做到防止反编译。敏感信息的交互必须做到认证及校验,同时APP上不得存放敏感数据,以免遭到非授权访问、任意信息篡改。涉及个人隐私和关键业务的APP必须加密端对端通信。信息安全可用性:建议APP发行公司或个人,依据实际业务需要,建立冗余机制,灾备计划,自动切换,避免单点故障,并应当实施可用性监控,在资源可能达到瓶颈前提早发现,保证信息可用。对于关键数据应该保留日志半年备查。金融行业等的关键业务APP应当按照“应用系统”的标准、遵照监管机构要求强制实施信息安全三性保护。信息安全保密性:获取客户个人信息应当参考《新消法》,以《个人信息保护条例》为指南,做到目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行、责任明确。对于敏感信息的传输,必须加密。对称加密算法标准目前应不低于3DES256,非对称加密算法标准应不低于RSA1024。对用户设置的密码应当有复杂度要求,并尽量采取高于(不包含)1次md5强度的密文存储方式。应当设置密码取回功能。密码取回功能的安全设计不应低于密码认证。对于关键业务,必须做到双重认证。对于任意查询、修改操作,必须做认证及校验,使用户只能实施其权限内的操作,以免泄露他人隐私。APP中使用到cookies的,必须加密传输,且不能存在本地。这里请 @小九评价一下?QQ手机浏览器的隐私保护受推崇,但是技术原理我并不深悉登录成功后建议显示上次成功登录时间及失败次数。校验码应该不少于6位,并须对暴力猜测进行阻挡和提醒用户。金融单位的APP应当遵照国务院令147号建立专门的组织来进行保护,并对自家单位发布的APP、仿冒APP进行监控。APP开发过程中就应当纳入安全考虑,而非事后修改。以上是今天想到的点。由于个人对整体的APP市场和APP现状必不能做到洞察与全方位的体验,还请各位知友批评指正。谢谢。
推荐阅读
- 聪明人养花,这3种“花”怎样也要养一盆,每年能省不少医药费
- 江苏高考■江苏省发布《2021年普通高校招生考试安排和录取工作实施方案》
- 过节■江苏省委省政府办公厅下发关于做好2021年元旦春节期间有关工作的通知
- 互联网怎样解决“家政服务上门速度慢”的问题
- 怎样看待从1月8号起,QQ钱包开始提现收费
- 银行it人怎样转型
- 中东问题|
- 汽车|冬天怎样让车内温度快速升高?座椅加热的最佳使用方式二,外循环的作用总结
- 怎样进入通信行业
- 怎样评价扶他柠檬茶的小说《云养汉》的结尾