【国内政策动态】工信部过去三年将466个“问题APP”纳入黑名单 

概要：近日，有媒体报道过去三年工信部一共公布了466个“问题APP”。根据《移动互联网恶意程序描述格式》规定，具有恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为八种恶意行为之一，即可被认定为问题APP。一经检测发现，这些恶意APP将会出现在工信部每个季度公布的应用软件黑名单里。

点评：工信部在近期加强了对信用管理机制的建设，从移动互联网到其他电信业务经营者，如果一定严重程度的违规行为，都有可能被纳入失信或不良名单，并面临对业务的影响。例如，被列入相应“黑灰”名单的企业，有可能会在招投标、行业评比中受到影响，面临更多检查频次，甚至会影响到主要投资者、管理者和企业法人的信用度。   

【行业动态】新加坡政府首开漏洞奖励计划，邀“白帽子”渗透军方网络系统

概要：新加坡政府将于明年1月15日至2月4日间首次邀请漏洞众测公司HackerOne渗透国防部的电脑网络系统，以测试系统是否有漏洞。超过300名将检测国防部八个连接网络的电脑系统，包括国防部网站、国民服役网站，及国防部和新加坡武装部队人员的公共电邮服务。每个漏洞的奖赏介于150元至两万元，取决于寻获漏洞的多寡、复杂程度和关键性。

点评：邀请“白帽子”进行漏洞检测是企业和政府机构发现系统漏洞的常见方法之一。通过奖金激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，防止造成更大的业务损失。

新加坡国防部称，漏洞检测公司的佣金甚至会低于雇用商业网络安全评估团队的费用。

【云上视角】阿里云成为全球唯一完成德国C5云安全基础附加标准审计云服务商

概要：近日，德国联邦信息安全局宣布阿里云全世界第一个通过德国C5标准评审（Cloud Computing Compliance Controls Catalog）。德国C5标准评审是由德国德国联邦信息安全局发起一项数据保护标准，也是业界公认云服务领域最全面、要求最严格的数据保护标准。114项基础要求覆盖物理安全，资产管理、运维管理、鉴权与访问控制、加密到秘钥管理等17个方面；同时还有52条附加项，对渗透测试周期、密码管理强度、客户安全管理灵活性提出更高的要求。云服务商在德国经营必须要符合德国数据保护法BDSG和即将生效的欧盟GDPR，而C5是云服务商符合上述法律的重要路径之一。

点评：阿里云从一开始就坚守数据隐私保护为第一原则。2年前的云栖大会·北京峰会上，阿里云发起《数据保护倡议书》，明确绝对不碰用户数据。阿里云合规“全球夺金”，打破了对中国云服务提供商“输在起跑线上”的偏见。

 订阅 NEWS FROM THE LAB