端科技您的位置:首页 >新闻 >

中国的网络安全法更新让国家机构对本地公司进行了笔试

任何提供与超过五台连接互联网的计算机的互联网相关服务的公司都容易受到这些检查。

负责进行这些渗透测试的中国政府机构是公安部(MPS),该机构还负责维护中国的防火墙及其全国范围的面部识别系统和监控摄像机网络。

中国的网络安全法更新让国家机构对本地公司进行了笔试

MSP官员于2018年11月1日以2017年首次通过的中国网络安全法新规定的形式获得了这些新权力。

这些新的规定,“被公安机关对互联网安全监督检查规定 ”(公安机关互联网安全监督检查规定)给予MSP以下新的权力:

对在中国运营的公司采取的网络安全防御进行现场或远程检查。

检查中国境内禁止的“禁止内容”。

在现场检查期间记录安全响应计划。

在现场或远程检查期间复制在被检查系统上找到的任何用户信息。

执行渗透测试以检查漏洞。

在不通知公司的情况下执行远程检查。

与其他州政府机构共享任何收集的数据。

在现场视察期间有两名人民武装警察(PAP)成员执行程序的权利。

新规定支持了2017年通过的一项已经侵入的网络安全法,该法赋予中国当局分析外国公司在中国使用的技术源代码的权利,所有这些都是在“国家安全审查”中确定漏洞以确保国家安全的幌子下。

当时,总部位于美国的威胁英特尔公司Recorded Future 敲响了警告,中国国家机构可能会滥用这项法律来识别西方技术源代码中的零日和漏洞,这些技术通常会被中国当局关闭。以及由国家赞助的黑客。

现在,Recorded Future的专家们也对新条款提出了警告,理由是它们的范围广泛,语言模糊。

专家们担心新条款将有助于中国国家掩盖其数据收集实践。最糟糕的是,公司面临着甚至不知道中国当局的入侵发生的风险。

Recorded Future表示,新法律并未强制MPS在进行远程检查或渗透测试时通知公司,也不强制它分享其调查结果的报告以及与“被检查”公司收集的数据。

这意味着MPS代理商可以在“被检查”的公司中发现漏洞,收集公司的数据,然后与其他机构共享,根据中国法律,这些都是完全合法的。

此外,新的法律规定也非常模糊,没有具体规定MPS官员有权复制哪些数据 - 仅限中国公民的数据,或公司的所有用户,包括外国人。

检查可以在任何时候进行,无需事先通知,并且可以检查公司是否在其服务器上存储“非法内容”,中国当局在国内审查并可能希望强制或恐吓当地的内容。或外国公司也进入禁令。

“几乎所有外国企业都将接受现场设施搜索,复制公司用户数据,对'非法出版材料进行侵入式检查'以及对公司网络进行远程检查,”Recorded Future专家在一份分析新网络安全规定的报告中表示。今天。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。