信息安全问题已是老生长谈,近年来,信息泄露事件频繁发生,勒索病毒事件、趣店百万学生信息被泄露、优步被曝曾发生用户和司机个人信息泄漏事件等。每曝出一件信息泄露事件,就代表着我们的个人信息又离危险近了一步。互联网时代,你我都成了透明人。
只有用户觉得自己的信息是安全的、放心的,他们才会更大胆地去尝试各种新的互联网服务,互联网也才能由此实现可持续的安全发展。
近日,英美媒体曝出美国社交媒体"脸书"多达5000万用户信息"失窃"后,脸书保护数据的能力和诚意受到用户和政府质疑。在互联网特别是移动互联网已经成为大家生活的一部分的时候,脸书的信息泄露事件引发的全球性影响,也对我们国内互联网平台和用户的信息安全敲响了警钟。今年全国两会期间,网络信息安全话题以及相关提案就引起了广泛关注。
2017年6月1日,我国网络安全法正式实施。从互联网时代的PC终端,到现在移动互联的手机时代,甚至是即将到来的未来万物互联网的多智能时代,在这样的大数据时代,如何确保用户的信息安全,已经成为迫在眉睫的全球性难题。
■全球数据泄露事件数量呈高速增长
在刚刚过去的2017年,全球数据泄露事件数量呈现爆发式增长,而且其涉及的行业也更为广泛。
据美国威瑞森电信公司的《2017年数据泄露调查报告》显示,金融行业依然首当其冲,24%的数据泄露事件和金融机构有关;其次是医疗保健行业15%。从泄露信息数量来看,《2017政企机构信息泄露形势分析报告》显示,金融行业、通信运营商网站可能泄露信息数量最多,远高于其他行业。特别是金融、教育、医疗行业数据附加值逐渐提高,加上行业监管严厉的特点,数据泄露带来的损失也更大,其数据泄露成本远高于公共部门、科研等行业。
如2017年3月,日本支付服务提供商GMOPaymentGateway公司证实,黑客利用应用框架中的ApacheStructs2漏洞发起网络攻击,导致该公司两大客户东京都征服和日本住宅金融支援机构网站的近10万条信用卡信息数据被窃。
2017年9月,美国信用机构Equifax遭到黑客攻击,导致约1.43亿信用和信息服务用户数据遭到泄露。事件曝光后,Equifax股票暴跌30%,相当于蒸发掉50亿美元市值。这是史上罕见大型数据泄露事件之一。
2017年10月,美国必胜客通知,由于网站遭到入侵,顾客的支付卡信息等可能被盗,使用必胜客网站或移动应用预订订单的用户可能会受影响。这一漏洞很快被发现并得到解决,受到这一事件影响的有不到1%的网站和大约6万人。
而纵观国内,2017年3月,多家新闻网站曝"58同城陷数据泄露,700元可采集网站全部简历信息"。
2017年3月,京东与腾讯的安全团队联手协助公安部破获一起特大窃取贩卖公民个人信息案,其主要犯罪嫌疑人乃京东内部员工。这名尚处于试用期的员工盗取涉及交通、物流、医疗等个人信息50亿条,在网络黑市贩卖。
业界人士都表示,相较于2016年,2017年数据泄露的情势显得更为复杂。虽然越来越多的人已经意识到数据泄露风险并主动寻求规避,然而不断被曝光的数据泄露事件带来的影响、经济损失及其背后的原因已经让我们深刻感受到了"安全不能承受之重"。
■漏洞及时修复刻不容缓
根据美国身份盗窃资源中心和CyberScout的报告,2017年前11个月,全球数据泄露事件已猛增至1202起,比2016年全年的1093起多出10%。各国已开始高度重视网络信息安全,那么为何相较于2016年,2017年数据泄露事件数量仍在上升?有业内专家在接受本报记者采访时认为,造成大量数据泄露事件的原因主要包括"内部人员疏忽"的内因和"黑客攻击"的外因。
对此,在接受本报记者采访时,全国政协委员、360集团董事长兼CEO周鸿祎也提出了自己的看法。他指出,从黑客攻击的角度来看,漏洞是网络安全的"命门"。软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统,从而引发各种网络安全问题。例如,2010年伊朗核设施遭受"震网病毒"攻击,2016年美国东海岸大面积断网事件,以及2017年肆虐全球的"WannaCry"勒索病毒事件,都是由于网络安全漏洞引发的。但从目前的实际情况来看,很多单位对漏洞不重视,修复不及时。
据360集团提供的数据显示,360集团一年新发现的网络安全漏洞就超过8万个。而据360补天漏洞响应平台统计,25.6%的漏洞未进行修复,一些行业漏洞平均修复时间长达数月之久。"去年5月12日'WannaCry'勒索病毒事件爆发,其实微软公司早在3月份就已发布了相应安全漏洞补丁,但我国很多单位却一直没有打补丁,导致近30万台主机和电脑被感染。直到今天,360集团还能发现到我国每天仍有近千台电脑感染此勒索病毒。"周鸿祎说。
我国网络安全法正式实施以来,规定了网络运营者的安全义务以及相应的追责,但对网络安全漏洞管理还没有执行细则。对此,周鸿祎认为,应尽快建立漏洞管理全流程监督处罚制度,并强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定;建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任;强制执行重要信息系统上线前漏洞检测,如对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门也应对上线系统进行抽检,发现问题及时整改;同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现;强制召回存在重大网络安全漏洞产品。
网络是一个整体,任何一个单位、任何一个系统存在漏洞,都会成为犯罪分子和敌对势力攻击的跳板,成为整个网络的薄弱环节,而网络安全漏洞的挖掘和发现具有一定的偶然性,也需要集合民间智慧。
"应鼓励政企单位采用众测众包方式发现和收集漏洞。如可以借鉴美国在安全漏洞收集和挖掘方面的做法。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞;另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全能力。"周鸿祎强调说。
■明确责任
个人信息立法保护成当务之急
大数据时代,可以说个人已经变得非常透明。只要用户使用互联网的服务,无论是聊天搜索还是看视频、阅读,都会产生实时的、海量的用户行为数据反馈给互联网公司。所以当下有"网民都在给互联网公司打工"的形象说法。在这种背景下,相对于黑客攻击所引起的信息泄露来说,互联网企业滥用用户数据信息的风险和隐患也开始逐渐显现。据《2017年数据泄露QuickView报告》显示,黑客行为仍然是主要违规类型,但其对数据泄露的影响下降到第二位,自2008年以来,无意的数据泄露和其他数据处理错误比恶意入侵网络导致更多的数据丢失。
谈及此话题,作为国家信息安全工程技术中心理事单位、深圳前海智安信息科技有限公司总经理于修良在接受本报记者采访时表示,这就要解决信息Owner化问题,信息Owner指的就是信息的主人。如果信息是无主的信息,就会非常不安全,有如掌握了一堆裸奔无主的数据,数据越大,风险就会越大。
那么该如何做到信息的Owner化?于修良认为,首先各信息终端必须具备一定的认证能力。简单地说,对于发起端来说每发起一个信息,必须签名,然后拿给对方再用加密标识加一层密。如此这条信息就解决了两个根本问题:一是信息从哪里来,是谁的信息;二是信息到哪里去,要给到谁。信息从哪里来用签名实现,信息到哪里去是用标识加密实现。这个信息实现了全部密态,谁拿到都不好使,实现了数据的认证化、Owner化,这就有如让信息自己穿上了一层铁甲,而不是去堵住别人的眼睛,这将会实现网络的无序化变有序化,可以实现信息主动安全之道。
而除了技术层面的安全加码,为了解决互联网企业滥用用户数据信息的风险和隐患问题,周鸿祎提出,一方面要靠互联网公司的自觉自律,同时更需要国家的立法进行规范。为此,他提出了制定用户隐私信息保护的"三原则":一是明确用户数据信息是用户个人资产;二是保障用户对数据信息使用的知情权、选择权;三是明确互联网公司保护用户数据信息安全的责任。
万物互联时代,无论智能硬件还是传统网络应用服务,都会收集、产生很多用户数据信息,企业在存储、传输这些数据过程中,稍有不慎,就会造成大量用户数据信息泄漏。因此,周鸿祎强调,国家应该尽快立法明确互联网公司在用户数据信息保护方面的义务与责任,确保用户数据信息的安全性。"只有用户觉得自己的信息是安全的、放心的,他们才会更大胆地去尝试各种新的互联网服务,互联网也才能由此实现可持续的安全发展。"周鸿祎最后说。
(原标题:信息数据泄露再敲警钟: 大数据时代确保主动信息安全)
