信息安全

信息安全

《网络安全审查办法》征求意见稿变更与简析

2021年7月10日，国家互联网信息办公室发起了《网络安全审查办法（修订草案征求意见稿）》征求意见，据2020年4月13日12部委联合发布《网络安全审查办法》仅过去15个月，这也是对7月2日开始对以滴滴为首的6月份美国上市企业集中发起网络安全审查的后续立法方面的动作和策略，核心仍在于原来的《网络安全审查办法》对此系列事件管辖覆盖的部分欠缺。我们从本次修改的内容做下分析和简述： 新征求意见稿：第一条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。 变更：征求意见稿相对于原办法增加了“《中华人民共和国数据安全法》” 新征求意见稿：第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。 变更：相对于原办法增加了“数据处理者（以下称运营者）开展数据处理活动” 简析：这两条变更是对2021年6月10日通过，2021年9月1日生效的《数据安全法》“第二十四条　国家建立数

信息安全

信息安全风险与策略共识机制浅谈

在国家网信安全和安全可信战略背景下，信息安全作为组织专业领域的保障和支撑方向，在业务数字化转型过程重要性越来越明显，信息安全带来的合规风险，品牌声誉风险，和业务风险成为组织风险治理的关键风险。 同时，信息安全的技术复杂性和专业性，需要考虑风险分析、决策、治理策略与业务战略的一致性和共识，在进行相关的风险识别、评估、分析的方法，展现形式上如何实现组织级的沟通与共识，在针对风险分析决策的参考因素，需要在关注信息安全带来的影响，损失，和投入成本之外，还需要关注业务价值，影响和带来的成果，需要考虑信息安全之外的因素和变量。在风险治理策略上，需要综合评估方案的有效性，便利性，对业务的影响， 其中的资源投入的时间成本和资金成本，获取的收益和潜在价值的影响，在综合考虑ROI的同时，关注治理方案的外部性。相对于传统的信息安全风险评估的定量、定性分析以及从综合保障纵深防御角度的风险治理策略，需要相应的分析、决策、策略综合考虑组织内的协调与共识，需要信息安全部门与业务运作、支撑部门达成广泛的共识，才能实现信息安全风险的全面治理。否则，一方面抱怨信息安全意识薄弱，一方面又觉得工作难以推动和开展，孤军奋战陷

信息安全

欧盟《通用数据保护条例》与中国《数据安全法》差异简析

中国《数据安全法》草案的公布，带来相关研究的热潮，基于相关法案的学习研究，对其中重要差异点进行分析。 一、立法的目的、范围不同 欧盟《通用数据保护条例》的目的是对个人隐私数据的保护，防止数字空间和新技术带来的个人隐私侵犯风险，尤其注重对公权力机构在采集、使用、处理个人数据过程中的监管。鉴于历史原因，对涉及民族、种族、政治、宗教信仰、个人生物识别特征的数据均为敏感数据，其相应的获取、应用均有严苛的规定和用户权利保护的强制措施。不涉及到经济发展、业务运营的数据促进以及商业、社会关键数据的安全保障。不关注数字经济的发展过程中数据的重要性，不针对该问题进行数据产业发展、流动、交易的立法监管和保护。中国《数据安全法》的目的是保障数字经济发展过程中带来的通用数据安全问题，不局限于个人隐私数据的保护，而把数据作为未来经济发展的重要生产要素，从战略高度出发促安全保发展。重调强调政府主导，自上而下的顶层设计，战略布局，通过统筹协调安排，集国家之力，集中力量办大事，在全球数字经济竞争中脱颖而出，弯道超车。目的在于发展，安全的目标是发展过程中必要支撑。 二、权利的定义与冲突 欧盟《

信息安全

一个EXIN DPO眼中的《数据安全法》

刘志诚一、明确目标，建立基础，达成共识，形成原则： 第一章数据安全法总则概述了立法的目的，管辖范围，其立法涉及的意义和本质以及立法的指导思想、组织保障以及基本原则。 首先定义了立法目标（第一条）保障数据安全与开发利用放在第一项，在强调数据安全的同时强调了数据利用是根本，保护公民和组织合法权益放在第二项，是对社会组织与个人数据保障要求的回应，国家主权，安全与发展权益放在第三项，确定国家安全的基本原则不能动摇。 数据安全法的范围（第二条）确立了境内相关活动适用，同时增加了长臂管辖条款，境外数据损害第一条规定目标利益的适用本法管辖。 数据安全涉及的主体以及意义的本质（第三条），数据包含电子、非电子的信息和记录，概念的内涵和外延包含了通常意义的电子信息也包含其他介质和形式，内容在数字身份，敏感数据的基础上包含了数据记录等。活动范围与欧盟《通用数据保护条例》包含了收集、存储、加工、使用、提供、交易、公开，其中提供、交易、公开的活动进一步扩充了活动的本质，相对于数据安全保障的目标，增加了数据利用的合法保障。数据安全强调了采取必要措施，对数据实时有效保护，保障合法利用的前提下使数据处于安全状态的能力

信息安全

企业安全公共能力开源化实现参考（2020年3月13日更新）

通过开源项目实现企业安全，需要从办公域、业务域的安全需求开发，注重业务生命周期的研发、集成运维阶段的安全预防、检测、处置技术公共能力建设，通过管理运营平台，覆盖企业的信息化安全需求，具备攻击能力，实现以攻为守，通过sorceforge、github最近3年内比较活跃的评价较高的项目梳理，形成本文，供参考。 图一、开源项目分类全景图 一、安全能力公共组件   图二：安全公共能力组件 1          密码技术 1.1         CA中心 EJBCA is an enterprise class PKI Certificate Authority built on JEE technology. It is a robust, high performance, platform independent, flexible, and component based

信息安全

浅谈互联网统一身份认证服务价值和意义（一）

天涯、CSDN、支付宝、银行、广东出入境管理局、用户身份、密码泄露有不断蔓延的趋势，好像一夜之间，互联网服务千疮百孔，不堪一击。 脆弱不是一天形成的，堤坝不是一夜倒塌的，当风险意识和信息安全成为业务发展的噱头，只是卖点，那么这一切的悲剧早已注定。一个用户，可能不了解一个账号、一个身份、一个密码的价值和意义，但是如果从业者同样无知者无畏，一面不顾一切的疯狂的获取用户的隐私，一面为了业务的发展，对信息的保护置若罔闻。那么，这一场悲剧必将是一种必然。 有几个概念要好好的聊一聊，首先是标识，既怎么样来唯一确认一个实体，像身份证号码，在中华人民共和国境内，它是识别一个公民的唯一标识。同样，每一个网站也都会有一个唯一的标识来识别用户，这个标识一般是邮箱，也可以是不冲突的昵称。 第二个概念是身份，一个标识只是一个符号，意义有限，一个标识一旦有了属性，这个属性和标识就一起构成了身份，像一个身份证号码，就会有姓名、性别、出生日期、地址等一系列属性信息。这些属性信息与标识一起构成了身份，同理，像驾驶证、护照等同样是基于标识与属性的身份。在互联网的虚拟空间里，

信息安全

可信网络需要电子签名与认证服务的基础设施建设提供保障

刘志诚 网络的发展经历了三个时代。 首先是硬件和协议的网络时代，网络的主要作用在于计算能力的共享、沟通、通信、静态内容展示。这个时代的核心是硬件和协议，基础设施以大型主机、终端、网络设备为主。此时的身份验证方式集中在以现实身份为基础的现实身份验证，接入的网络节点和设备数量有限并且具备明确的现实身份，设备使用者有着明确的身份以及现实可审计的访问记录，主要特征是用户和设备等主体的认证依赖与现实身份的校验和审计。 然后是网络服务的时代，网络的主要作用在于提供沟通、通信、信息收集与获取、动态内容展示与交互、以及基于网络的现实服务信息化等网络服务，这个时代的核心是网络服务，对应的基础设施是网络服务的软件和服务模式的系统和平台，例如：云计算。网络服务时代的身份验证集中在以虚拟身份为基础的匿名身份验证，网络对用户的身份认证依赖于虚拟的服务账号，服务账号通常并未与用户的现实身份建立必然的联系，主要特征是用户和设备等主体的认证依赖于割裂的服务账号。 未来是可信主体的时代，网络的主要作用在于主体间的网络空间互动，提供现实社会服务在网络空间的实现以及融合现实与网络的创新服务，这个时代的核心是可信主体

信息安全

电子签名与认证服务业产业趋势预测

刘志诚 （一）信息化国家战略在完善宽带建设和计算能力建设的同时，会进一步加强电子签名与认证等信息安全基础设施的建设。 支撑信息化国家战略的信息三要素（可用性、真实性、完整性）需要建设核心的基础设施提供保障。随着计算机和网络技术突破和迅猛发展，移动终端进入双核时代，固定网络和移动网络初具规模，计算能力和通信能力已经满足了信息可用性的基本条件。十一五期间《电子签名法》的颁布与实施，奠定了信息真实性和完整性保障的法律基础，依据现阶段技术特征的PKI/CA体系为基础的电子签名与认证服务产业纳入了《电子签名法》的监管体系。 十二五期间，伴随着信息化国家发展战略，进一步完善电子签名与认证服务的基础设施建设，从以CA中心为基础的数字证书发放基础设施扩充到可靠签名的电子数据的生成、传递、接收、保存、提取、举证各环节的基础设施建设。 伴随着移动通信技术和移动设备计算能力的提高，需要在传统互联网基础设施的基础上进一步加大对适用于移动互联网、物联网等新技术领域的数字证书发放、可靠签名的电子数据的生成、传递、接收、保存、提取、举证各环节的基础设施研究、建设的投入。 伴随着云计算等新兴技术和信息化模式

信息安全

移动互联网的可信身份认证服务

刘志诚 据统计目前手机、平板电脑等智能设备以移动通信网络接入的移动互联网规模，从接入设备规模和应用产生流量上已经超越了以电脑为主的传统互联网。移动互联网终端的特征决定了移动互联网的应用模式以云计算为主。解决云计算环境下的移动互联网的可信和安全问题是移动互联网进一步蓬勃发展的基础。 移动互联网终端环境的复杂性是移动互联网需要关注的重要问题，目前移动终端存在多种操作系统，操作系统的安全性设计各不相同，缺少统一的机制保障移动终端的可信和安全，实现安全可信的统一终端环境，解决移动互联网云计算模式中的终端可信和安全问题是移动互联网蓬勃发展需要面对的一个课题。课题的解决思路着眼于独立于操作系统层之上，构建一套基于电子签名和电子认证服务的可信和安全机制，结合移动可信计算的研究成果，建立终端的可信认证机制，实现终端硬件可信、操作系统可信、应用可信、用户可信，从而实现可信的终端应用环境。 硬件可信、操作系统可信、应用可信解决终端的安全问题，通过终端应用的可管可控，确保了终端环境的安全，有效地防止病毒、木马、恶意代码对移动终端的危害，由被动治理转为主动防御，而基于电子签名和电子认证的机制，可以实现应

信息安全

基于终端应用认证的版权保护解决方案

刘志诚 版权保护的概念和需求 版权保护是知识产权的重要领域，通过技术手段实现电子化的版权保护在信息化社会中具有重要的战略意义。在网络环境中的电子化的版权保护方案面对诸多的困难，需要综合考虑多方面要素才能形成行之有效的解决方案。 版权保护需要关注的两个要素是版权声明和可信授权。 版权声明关注的是著作权，即创意和实现的生产者对版权主体拥有权利的声明，需要形成版权声明制度，保障版权声明的有效性，做到版权声明有章可循，版权声明纠纷有据可以。版权声明需要提供版权拥有方实现的原创性依据，提供版权纠纷仲裁的法律依据，上述依据包括在确定时间下的版权主体和版权声明的完整性和可检验性。 首先版权声明要能够做到确认版权所有者的身份，作为版权授予的主体以及版权纠纷仲裁的主体，同时作为著作权侵权责任追溯的主体。其次版权声明要能做到版权声明对版权主体的完整性确认，依据版权声明对版权主体的完整性校验是作为版权争议的仲裁、取证依据。从上述版权声明特征来看，有效的版权声明需要权威的第三方机构提供版权的登记，版权声明的发布，纠纷的取证和仲裁。 可信授权是对版权主体使用的范围和可信授权属性授权的依据，是版权拥有

信息安全

手机客户端安全保障措施决定移动支付的竞争格局

中国移动在2008年率先步入移动支付领域，从手机钱包、网上支付等各方突围，期望以支付带来增值业务的全面突破，改变通信市场日趋饱和收入吓下滑和沦为通信通道的尴尬局面。此时，一直占据支付领域绝对优势的银联以攻代守，推出基于手机终端的移动支付方案，把战火燃烧到运营商擅长的领域——移动终端，同时，同为运营商的联通、电信不甘寂寞，纷纷加入移动支付战团。银联利用联通、电信对移动市场的垂涎，在战略上与联通、电信结盟，期望三方共同在移动支付战役中阻击通信用户规模接近6亿的中国移动。因此，移动支付领域俨然进入战国时代，群雄割据，逐鹿中原。 中国移动和联通、电信的移动支付强调的是支付，切入点除了基于手机终端的支付，还包括银联接近垄断地位的现场支付，以及网银与第三方支付仍在有竞争有合作依然混战的网上支付。而银联觊觎的市场是利用运营商的桥头堡——手机终端进一步拓展自己的支付领域和支付方式。因此，从本质上讲，如果运营商期望通过移动支付实现突破通信领域的金融服务战略，利用用户优势把金融服务做成核心业务以实现多元化，那么运营商与银联的合作只能是各怀鬼胎，貌合神离。毕竟，运营商的以金融服务实现多元化目标与银联的拓展