历史上的今天
今天是:2025年04月08日(星期二)
2020年04月08日 | 新思科技:软件安全是遵循隐私法规的先决条件
2020-04-08 来源:EEWORLD
企业对个人信息的过度收集或不当利用很可能会侵犯个人隐私,甚至存在危害社会公共安全的风险。随着隐私权越来越受到关注,如何遵循陆续发布的相关法律法规成为了企业的新课题。
新思科技建议:首先需要保护软件和系统不受网络攻击和防止数据泄露。如果软件不够安全,则不要指望信息保密。
可以说,软件安全是遵循隐私法规的先决条件。
欧盟的通用数据保护条例(GDPR)是迄今为止最著名的相关法规,非常关注隐私。美国加州消费者隐私法案(CCPA)也已经生效。通常,这些法律规定可以收集哪些数据、可以保存多长时间以及如何与“合作伙伴”“共享”数据。它们还为用户提供了有关如何收集和使用其数据的各种权限,以及删除数据的权利。 CCPA还禁止公司向拒绝收集和共享其信息的用户提供较低级别的服务。
网络安全是隐私的关键组成部分,不可或缺。如果企业系统遭到攻击,客户或用户个人数据泄露,那隐私合规就无从谈起。
不遵守隐私规定的后果不仅限于罚款
GDPR对违规行为最严厉的现行处罚是年收入的4%。不是利润,不是收益,而是总收入。对于一些全球性行业巨头来说,罚款高达数十亿美金也不出奇。
新思科技软件质量与安全部门高级安全架构师杨国梁指出除了罚款,企业还可能面临补偿,此外重新建立一个良好的企业形象更是一个漫长且成本未知的事情。他表示:“品牌口碑可以直接影响最终用户的选择偏好。违反隐私规定,发生信息泄露会导致企业在公众中的信任度下降,影响企业的业务拓展。可以说信息安全问题关乎到企业的外部竞争力。”
杨国梁介绍道中国已经发布了《网络安全法》,并且《个人信息保护法 》预计今年也将生效。无论是开发商、厂商还是消费者都可以依法可循,更加明确职责和权益。
网络安全的黄金时代会随着隐私法的颁布而到来吗?
不要对此抱有太高的期望。即使高额罚款有一定威慑作用,但如果企业配合监管机构,在发生网络安全问题后进行整改,则罚款也会大幅减少。
GDPR现已生效近20个月,迄今为止最高额的“建议”罚款是对英国航空公司的2.3亿美元。是的,这笔钱不菲,但这仍然只占公司年收入166亿美元的1.3%。
此外,对网络安全要求的细节不够清晰。
新思科技副总顾问Adam Brown指出当谈到软件安全时,这些法规要么说“考虑采用最新技术来提升软件安全性”,要么更含糊地说“合理的行政、技术和保障”。
Adam Brown表示:“除此之外,现实中担起合规重任的人往往不具备充足的软件知识,相关经验有限。他们可能将软件安全和安全防护软件混为一谈。因此他们会将一些声称是最新技术但实则缺乏安全性的软件视为解决方案。”
如何做到遵循隐私法规?
世界上没有一蹴而就的安全解决方案。但是企业可以避免因不遵守日益严格的隐私法而受到上诉处罚的潜在法律费用。他们可以将这笔钱,或者更少的钱,用在一些更实在的举措上:软件安全计划(SSI),以帮助保护其数据。
正如新思科技销售工程师Ian Ashworth指出的那样,软件是提高安全性的核心,因为“应用程序已成为网络攻击的首选目标” 。
他表示:“我相信软件安全解决方案提供商希望更多人能关注这些风险,并乐意与政府合作,为制定最佳方案出谋献策。”
“向左移”,软件更安全
安全“向左移”已经是业界共识,倡议将安全贯穿在整个软件开发生命周期(SDLC),从软件构建之初就开始安全测试。这些测试工具包括SAST(静态应用安全测试)、DAST(动态应用安全测试)、IAST(交互式应用安全测试)、RASP(运行时应用程序自我保护)和渗透测试等,所有这些都有助于开发商交付更安全的产品,尽管这些产品不是无懈可击(没有产品可以做到),但也不会被不法分子列入“易攻击”名单。
10多年前,新思科技发起了软件安全构建成熟度模型(BSIMM)项目,每年发布一版BSIMM报告,在2020年将发布第11个版本。BSIMM是一款“描述性”模型,涉及多个垂直领域,旨在帮助企业规划、执行、完善和评估其SSI。。2019年发布的BSIMM10反映了122家公司的软件安全计划,涵盖金融服务、高科技、独立软件供应商(ISVs),云、医疗保健、物联网、保险及零售业。
BSIMM并不是建议每个企业都以相同的方式进行SSI,不会提出需要“做什么”或“怎么做”。BSIMM的数据是从真正建立SSIs的公司收集而来,量化了119项活动的发生,来展示许多计划的共同点以及彰显个性的不同之处。BSIMM数据显示高成熟度的计划是全面的,涵盖该模型所描述的全部 12项实践中各种各样的活动。企业可以采用BSIMM来比较计划并且决定哪些额外活动可能对支持其整体战略有意义。
简而言之,更高的软件安全性可以实现。如果没有软件安全,企业则无法符合陆续推出的与隐私有关的法律法规。
史海拾趣
|
Linux是单体内核,即将图形、驱动及文件系统等功能全在操作系统内核中实现,运行在内核状态和同一地址空间,其优点是减少了进程间通信和状态切换的系统开销,获得较高的运行效率;缺点是内核比较庞大! WinCE是微内核,即在内核中实现基本功能, ...… 查看全部问答> |
|
void vSetMotorTimer(unsigned short uiTime)// uiTime us { RCAP2LH = uiTime; } //重新载入定时数据 void vUpdateMotorTimer(void) { T2LH=RCAP2L ...… 查看全部问答> |
|
有没有人研究过mini2440的BSP,其BSP是如何识别128M/256M等flash的? 因为我使用的是QQ2440,但是我发现最新的mini2440的BSP更新了很多驱动,我想移进去QQ2440使用,但是可惜烧写进去后不能启动。 我觉得想搞好这个bsp必须先知道如何使用其他flash时需要修改的代码,哪位高手知道的,麻烦指导下。… 查看全部问答> |
|
我是初学,最近被此问题困扰了好多天, 打开inputPanel后,改变输入法,inputPanel的高度会改变,此时如何捕获该事件。 我使用C#,开发环境vs 2005,.net CF 2.0。 希望解释能详细些,我是初学。 还有我的 ...… 查看全部问答> |
|
研究了N就,PG128128A资料到底怎么驱动,谁有能提供详细资料 12864及以下的我会,就是不会PG128128A的 邮箱 zoujun224@qq.com… 查看全部问答> |
|
请教大家有没有用过 5V和3.3V接口电压转换芯片,我需要DSP2812外接DS18B20和其他几个5V峰值的转速信号,需要做电平转换,但是不知道使用什么样的接口电压转换芯片,需要方向控制的就不要介绍了,比如:SN74LVC164245。我需要的是自动双向转换电平的 ...… 查看全部问答> |