文档介绍:贵州移动数据业务安全培训贵州移动数据部 * 目录目录一、我国面临的信息安全形势二、信息安全相关法律法规三、新技术新业务安全评估介绍四、常见漏洞分析五、开发过程中安全规范* 国际趋势:棱镜门后各国强化数据保护制度“棱镜门事件后”各国对数据保护立法重视空前。德国、巴西是数据保护的主要倡导国家。重点是本地存储、禁止跨国分享。欧盟: 《跨境数据保护指令》和制度欧盟:通过新版《数据保护法》巴西:推动公民数据国内存放法案?在欧盟境外领域,欧盟委员会实施“白名单”国家,代表此类国家具有与欧盟相同或相应的数据保护水平及安全措施。欧盟成员国也可独立对第三国的数据保护水平做出评估。欧盟禁止数据向不在“白名单”上的国家流动,防止个人数据收到侵害。?在欧盟境内领域,为推动各国数据保护的统一,欧盟主要采取三种方式: 一是由各国监管部门对公司内部的个人数据保护规则(即 BCRs ) 进行认证;二是规定在相关合同中应有由欧盟认可的格式条款;三是美欧安全港协议。? 2012 年,欧盟通过修改“数据保护指令”,将个人数据保护制度适用范围扩大到任何处理欧盟公民数据的外国公司。? 2013 年 10月欧盟通过新数据保护法。规定除非符合欧盟法律及相关国际条约或协定,任何公司不得将欧盟公民的数据信息与欧盟之外的第三国分享。?该法案表明,欧洲从数据开放的态度,转向数据保护态度。?巴西总统迪尔玛?罗塞夫正在推进一项将巴西民众的信息储存在国内信息储存中心的方案,罗塞夫还建议铺设直通欧洲的海底光缆,免受美国监控。?此法案一旦通过将会迫使谷歌等公司在巴西建立服务器。使美国失去对巴西的主控。* 国际趋势:数据保护出口行政审查制度云计算趋势下,通过加强行政审查手段保障数据安全。包括数据出口与跨国云计算审查,此外充分利用国际对话机制。美国数据出口/跨国云计算审查?商务部产业安全局、国会国防交易控制委员会依据《出口管理条例》和《国际武器交易条例》,对商业技术和军事技术数据实施出口审查。?提供军事技术数据的云计算服务的, 须取得国务院国防交易控制委员会颁发的军事技术数据出口许可证。国际对话机制? 2009 年 OECD “网络数据保护和隐私全球会议”。美国并未签署《马德里决意》。? 2012 年7月,美国主动加入 APEC 的跨境隐私规则体系( CBPR system ), 商务部正重新梳理美国跨境数据传送处理的程序。? 2012 年, 美欧重新审视安全港协议, 纳入金融与电信部门,增强执行力度。美国有严格国家机密数据保护机制?国土安全部等保密机关对接触秘密信息行为实行限制措施,对涉密信息流动严格控制。?商务部负责政府保密技术标准的咨询和研究任务。?国家标准技术局( NIST )负责政府信息保密技术标准的制定和推广。* 网络安全态势* 网络安全态势* 攻击者需要的技术水平逐渐降低,手段更加灵活,联合攻击急剧增多?攻击工具易于从网络下载?网络蠕虫具有隐蔽性,传染性,破坏性,自主攻击能力?新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊。攻击者只需在网上下载相关工具和教程,就可以对网站或者主机进行攻击,无需太多技术水平。网络安全态势* ?网络已经全面渗透到社会、经济、文化、政治、军事等各领域,已成为现代国家继陆、海、空、天外的“第五空间”和“第五行动疆域”,成为各国致力角逐的重点。?网络与信息安全影响越来越突出,地位越来越重要,成为国家安全的重要组成部分, 成为事关国家政权巩固、经济发展和社会稳定的关键性、全局性战略问题。网络安全态势* ?信息通信行业变革创新, 4G 商用激发移动互联网新应用浪潮,物联网/云计算/大数据等新兴领域快速发展,下一代互联网 2015 年全面部署,三网融合全面推广, IPSec 等安全加密技术普及应用?新技术新业务带来的网络信息安全问题日益突出,确保信息内容安全与数据安全、维护国家安全和社会稳定的压力和挑战与日俱增网络层——宽带、高速、融合应用层:海量、即时、社交化?以微博、微信为代表的互联网应用改变了传统的信息流动模式,极大增加了有害信息监测预警、管控处置、追踪溯源的难度。同时,当前我国经济社会正处于发展转型期、矛盾多发期,互联网日益成为发酵、放大社会现实问题的媒介和窗口,对网络与信息安全管理工作带来严峻挑战。技术发展趋势* 大数据时代全球去重后有 13亿条数据的数据库。每条记录,都包含了用户名、密码、身份证号(社保 ID)、手机号、邮箱、登录 IP等信息。