員工監守自盜數億條用戶信息
今年初,公安部破獲了壹起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網絡黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網絡黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見壹斑。
去年7月,微軟Window10也因未遵守歐盟“安全港”法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
“大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平臺和大數據分析服務等環節的各類主體都是威脅源。”上海社科院信息所主任惠誌斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網絡數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網絡安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要“健全大數據安全保障體系”、“強化安全支撐,提升基礎設施關鍵設備安全可靠水平”。
“目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麽標準作為衡量。”壹位業內人士分析稱,問題的癥結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標準。
“大數據安全能力成熟度模型”已提國標申請
數博會期間,記者從“大數據安全產業實踐高峰論壇”上了解到,為解決此問題,全國信息安全標準化技術委員會等職能部門與數據安全領域的標準化專家學者和產業代表企業協同,著手制定壹套用於組織機構數據安全能力的評估標準——《大數據安全能力成熟度模型》,該標準是基於阿裏巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿裏巴巴集團安全部總監鄭斌介紹DSMM。
作為此標準項目的牽頭起草方,阿裏巴巴集團安全部總監鄭斌介紹說,該標準是阿裏巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿裏經驗,提升行業整體安全能力。
“互聯網用戶的信息安全從來都不是某壹家公司企業的事。”鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿裏雲計算有限公司等業內權威數據安全機構、學術單位企業等***同合作提出意見。