国外如何加强移动设备安全监控
前文讲了济铁推车票自助售取设备进社区,本文来看国外如何加强移动设备安全监控。移动智能终端的兴起给我们的生活带来了巨大的改变。一方面,移动智能终端的种类日渐丰富,功能日渐强大,成为人们生活中不可或缺的部分。另一方面,移动智能终端的普及,催生了海量应用,并有力推进了云计算、大数据等技术的落地。
国外如何加强移动设备安全监控
今天,全球移动智能终端市场还在进一步发展,以智能手机、平板电脑为代表的传统智能终端的成熟度不断提升,可穿戴智能终端以及适用于各行业的智能终端产品相继涌现。在市场不断壮大的同时,移动智能终端的创新、跨界和安全等问题依然是热点。
随着移动设备的通信、计算、存储等能力的不断提升,其应用范围不再局限于通信和娱乐领域,已经扩展到政企移动办公、金融支付等与人们工作和生活密切相关的领域。移动设备存储和处理的用户敏感信息越来越多,使得移动设备成为非法攻击的目标,导致移动设备产生隐私信息泄露、金融资产被盗等安全问题,严重影响着公民的个人权益和国家安全,成为各国监管的重点。如何才能更好地加强移动设备安全监管?看看国外的举措和经验。
立法奠定监管基础
国际社会虽没有专门针对移动设备安全监管的法规,但十分重视移动设备上用户信息的保护,立法对移动设备等信息产品收集、共享个人信息的行为进行规范,以避免用户隐私信息泄露和被滥用。美国以《隐私权法》、《电子通信隐私法》等基础性和行业性法律为依据,在个人信息保护方面推动形成了较好的行业自律氛围。同时,在个人信息安全方面,美国针对某个行业或某一部分特定人群制定了专门的法律,如《电子通信隐私法》《儿童在线隐私保护法》等,这些法规对包括移动设备在内的信息产品收集、存储、使用用户信息进行了规定,防止用户信息泄露和被滥用。
日本制定了《个人信息保护法》《独立行政法人等所持有之个人信息保护法》等多部个人信息保护法律。2011年,日本发布了《智能手机用户信息处理措施(草案)》,从智能手机用户个人隐私的角度,规定了智能手机用户信息保护措施。2011年11月,日本总务省对《电信业个人信息保护条例》第26条“位置信息”进行了修订,新法对个人位置信息的收集、使用、提供给第三方的情形作出了详细规定。
2016年4月,欧洲议会通过《欧盟个人数据保护条例》,以一个统一、泛欧的数据保护法代替目前各成员国碎片化的现有立法,并明确了“遗忘权”“数据可携权”等新型用户权利。另外,韩国、澳大利亚也纷纷修订原有个人信息保护的法律法规,这些法规同样适用于移动设备上用户信息的监管。
策略提供监管保障
国际社会主要关注移动设备在国家安全系统、政府、军队等领域的应用监管,提升移动设备安全能力,确保国家安全。2000年1月,美国国家安全系统委员会(CNSS)发布文件,规定进入国家安全系统的信息安全产品,必须通过美国国家信息保障联盟(NIAP)通用准则评估认证体系的评估认证,以及美国国家标准与技术研究院(NIST)的密码模块安全性评估。政府部门采购该类产品时,须从NIAP审查通过的产品清单中选择满足安全要求的产品。
为了保障商业智能手机及平板电脑等移动设备在美国政府和军队中使用的安全,美国国防部、国土安全部、国家安全局等多个部门陆续出台了一系列监管政策,以指导移动信息系统安全防护体系的建设和技术的研发,推动移动设备在政府与军队中的安全应用。从2012年起,美国国防部先后发布了《国防部移动设备战略》、《商用移动设备实施计划》和《移动设备管理方法》等政策或管理文件,制定了针对移动设备安全的指导准则,同时规范移动设备安全认证审核流程,以加强移动设备安全机制,降低移动设备安全威胁。2013年11月,美国国家安全局发布了《移动能力包》,提出了在政府和军队信息系统中使用移动设备的安全要求。2013年5月,美国国土安全部发布了《移动安全参考体系结构》,从移动设备数据安全、移动设备管理、移动应用管理等方面,给出了实现移动信息系统安全的参考体系。
自2013年起,美国标准组织NIAP和NIST发布了若干移动设备安全标准规范,包括《移动设备基础保护轮廓》《移动设备管理保护轮廓》《企业移动设备安全管理指南》等,提出了针对移动设备的安全管理措施,指导政府或企业将安全策略应用到移动设备,为移动设备的安全管理和评测提供依据。
在英国,面向政府、公共部门销售的关键基础设施、信息产品都需要接受源代码审查,本国及外国的设备商均需要通过这一关键步骤才能向政府与公共部门提供信息产品和服务。英国政府通信总部(GCHQ)下设的通信电子安全小组(CESG)负责英国政府通信、信息系统和英国关键基础设施的安全,CESG网站信息显示,通信产品、操作系统、数据加密产品、服务器等多种关键基础设施都需要进行源代码审查,以便测试和验证这些产品的安全性。
应用成为重点对象
各国针对移动设备安全的监管策略中,移动应用成为移动设备安全监管的重点对象。2013年,美国电信和信息管理局(NTIA)发布了关于移动App行为准则的倡议,要求App收集和使用用户数据必须向用户明示,以增强移动App的透明性;2014年,NIST和NIAP先后发布了《移动应用安全审查》和《应用软件保护轮廓》,规范了评估移动应用安全性的流程和方法。
欧盟委员会数据保护工作组也于2013年发布了《关于智能终端App的相关意见》,从用户授权、目的限制原则、安全保障措施、用户权利、合理的保留期限等多个方面,分析App中存在的个人信息保护问题,并分别针对各个产业链的主体如何加强个人信息保护给出了相关意见。
其他国家也相继制定了移动应用安全监管策略。2014年4月,日本智能终端安全社JSSEC发布《Android应用安全设计/安全代码指导》,对Android应用开发组件和用户权限的安全使用作出规定。韩国未来创造部于2014年1月发布了《关于智能手机预置应用准则》,该准则规定从2014年4月起,上市的智能手机应保证用户对于预置应用的选择权以及向用户公开预置应用的相关信息。
“三大举措”完善国内监管
国外针对移动设备安全的监管采取了一系列措施,我国可借鉴国外移动设备安全监管的成功经验并结合我国国情,采取有针对性的措施以加强移动设备安全监管,保护公民的个人权益和国家安全。
一是逐步完善相关法规和标准。在移动设备监管上,国际社会通过建章立制出台一系列相关的政策法规和标准规范,引导和规范移动设备和移动应用的研发、测试和评估。
二是关注敏感领域移动设备的安全监管,加强安全认证。国外关注进入国家安全系统、政府、军队等领域移动设备的安全监管,通过加强政府战略指导、建立安全指导准则、规范安全认证流程等措施,以加强移动设备安全防范,降低移动设备对国家安全的威胁。
三是重点推动移动应用安全监管。各国针对移动设备安全的监管策略中,把移动应用作为移动设备安全监管的重点对象,对移动应用开发、移动应用行为、移动应用安全认证等进行了规范,确保移动应用安全可控。
了解更多,请点击乾元坤和设备管理系统、