“大數(shù)據(jù)時(shí)代，在充分挖掘和發(fā)揮大數(shù)據(jù)價(jià)值同時(shí)，解決好數(shù)據(jù)安全與個(gè)人信息保護(hù)等問題刻不容緩?！敝袊ヂ?lián)網(wǎng)協(xié)會(huì)副秘書長石現(xiàn)升在貴陽參會(huì)時(shí)指出。

員工監(jiān)守自盜數(shù)億條用戶信息

今年初，公安部破獲了一起特大竊取販賣公民個(gè)人信息案。

被竊取的用戶信息主要涉及交通、物流、醫(yī)療、社交和銀行等領(lǐng)域數(shù)億條，隨后這些用戶個(gè)人信息被通過各種方式在網(wǎng)絡(luò)黑市進(jìn)行販賣。警方發(fā)現(xiàn)，幕后主要犯罪嫌疑人是發(fā)生信息泄漏的這家公司員工。

業(yè)內(nèi)數(shù)據(jù)安全專家評(píng)價(jià)稱，這起案件泄露數(shù)億條公民個(gè)人信息，其中主要問題，就在于內(nèi)部數(shù)據(jù)安全管理缺陷。

國外情況也不容樂觀。2016年9月22日，全球互聯(lián)網(wǎng)巨頭雅虎證實(shí)，在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內(nèi)容涉及用戶姓名、電子郵箱、電話號(hào)碼、出生日期和部分登陸密碼。

企業(yè)數(shù)據(jù)信息泄露后，很容易被不法分子用于網(wǎng)絡(luò)黑灰產(chǎn)運(yùn)作牟利，內(nèi)中危害輕則竊財(cái)重則取命，去年8月，山東高考生徐玉玉被電信詐騙9900元學(xué)費(fèi)致死案等數(shù)據(jù)安全事件，就可見一斑。

去年7月，微軟Window10也因未遵守歐盟“安全港”法規(guī)，過度搜集用戶數(shù)據(jù)而遭到法國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)CNIL的發(fā)函警告。

上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心發(fā)布的《報(bào)告》指出，隨著數(shù)據(jù)資源商業(yè)價(jià)值凸顯，針對(duì)數(shù)據(jù)的攻擊、竊取、濫用和劫持等活動(dòng)持續(xù)泛濫，并呈現(xiàn)出產(chǎn)業(yè)化、高科技化和跨國化等特性，對(duì)國家和數(shù)據(jù)生態(tài)治理水平，以及組織的數(shù)據(jù)安全能力都提出了全新挑戰(zhàn)。

當(dāng)前，重要商業(yè)網(wǎng)站海量用戶數(shù)據(jù)是企業(yè)核心資產(chǎn)，也是民間黑客甚至國家級(jí)攻擊的重要對(duì)象，重點(diǎn)企業(yè)數(shù)據(jù)安全管理更是面臨嚴(yán)峻壓力。

企業(yè)、組織機(jī)構(gòu)等如何提升自身數(shù)據(jù)安全能力？

企業(yè)機(jī)構(gòu)亟待提升數(shù)據(jù)安全管理能力

“大數(shù)據(jù)安全威脅滲透在數(shù)據(jù)生產(chǎn)、流通和消費(fèi)等大數(shù)據(jù)產(chǎn)業(yè)的各個(gè)環(huán)節(jié)，包括數(shù)據(jù)源、大數(shù)據(jù)加工平臺(tái)和大數(shù)據(jù)分析服務(wù)等環(huán)節(jié)的各類主體都是威脅源?！鄙虾Ｉ缈圃盒畔⑺魅位葜颈蠓治龇Q，大數(shù)據(jù)安全事件風(fēng)險(xiǎn)成因復(fù)雜交織，既有外部攻擊，也有內(nèi)部泄密，既有技術(shù)漏洞，也有管理缺陷，既有新技術(shù)新模式觸發(fā)的新風(fēng)險(xiǎn)，也有傳統(tǒng)安全問題的持續(xù)觸發(fā)。
5月27日，中國互聯(lián)網(wǎng)協(xié)會(huì)副秘書長石現(xiàn)升稱，互聯(lián)網(wǎng)日益成為經(jīng)濟(jì)社會(huì)運(yùn)行基礎(chǔ)，網(wǎng)絡(luò)數(shù)據(jù)安全意識(shí)、能力和保護(hù)手段正面臨新挑戰(zhàn)。

今年6月1日即將施行的《網(wǎng)絡(luò)安全法》針對(duì)企業(yè)機(jī)構(gòu)泄露數(shù)據(jù)的相關(guān)問題，重點(diǎn)做了強(qiáng)調(diào)。法案要求各類組織應(yīng)切實(shí)承擔(dān)保障數(shù)據(jù)安全的責(zé)任，即保密性、完整性和可用性。另外需保障個(gè)人對(duì)其個(gè)人信息的安全可控。

石現(xiàn)升介紹，實(shí)際早在2015年國務(wù)院就發(fā)布過《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，就明確要“健全大數(shù)據(jù)安全保障體系”、“強(qiáng)化安全支撐，提升基礎(chǔ)設(shè)施關(guān)鍵設(shè)備安全可靠水平”。

“目前，很多企業(yè)和機(jī)構(gòu)還并不知道該如何提升自己的數(shù)據(jù)安全管理能力，也不知道依據(jù)什么標(biāo)準(zhǔn)作為衡量。”一位業(yè)內(nèi)人士分析稱，問題的癥結(jié)在于國內(nèi)數(shù)據(jù)安全管理尚處起步階段，很多企業(yè)機(jī)構(gòu)都沒有設(shè)立數(shù)據(jù)安全評(píng)估體系，或者沒有完整的評(píng)估參考標(biāo)準(zhǔn)。

“大數(shù)據(jù)安全能力成熟度模型”已提國標(biāo)申請(qǐng)

從“大數(shù)據(jù)安全產(chǎn)業(yè)實(shí)踐高峰論壇”上了解到，為解決此問題，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等職能部門與數(shù)據(jù)安全領(lǐng)域的標(biāo)準(zhǔn)化專家學(xué)者和產(chǎn)業(yè)代表企業(yè)協(xié)同，著手制定一套用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的評(píng)估標(biāo)準(zhǔn)——《大數(shù)據(jù)安全能力成熟度模型》，該標(biāo)準(zhǔn)是基于阿里巴巴提出的數(shù)據(jù)安全成熟度模型（Data Security Maturity Model, DSMM）進(jìn)行制訂。

阿里巴巴集團(tuán)安全部總監(jiān)鄭斌介紹DSMM

作為此標(biāo)準(zhǔn)項(xiàng)目的牽頭起草方，阿里巴巴集團(tuán)安全部總監(jiān)鄭斌介紹說，該標(biāo)準(zhǔn)是阿里巴巴基于自身數(shù)據(jù)安全管理實(shí)踐經(jīng)驗(yàn)成果DSMM擬定初稿，旨在與同行業(yè)分享阿里經(jīng)驗(yàn)，提升行業(yè)整體安全能力。

“互聯(lián)網(wǎng)用戶的信息安全從來都不是某一家公司企業(yè)的事?！编嵄蠓Q，《大數(shù)據(jù)安全能力成熟度模型》的制訂還由中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測(cè)評(píng)中心、公安三所、清華大學(xué)和阿里云計(jì)算有限公司等業(yè)內(nèi)權(quán)威數(shù)據(jù)安全機(jī)構(gòu)、學(xué)術(shù)單位企業(yè)等共同合作提出意見。

一位數(shù)據(jù)安全研究人員分析，企業(yè)要提升數(shù)據(jù)安全管理能力，首先就得認(rèn)清自身數(shù)據(jù)保護(hù)能力水平，再對(duì)癥下藥彌補(bǔ)缺失和短板，而該標(biāo)準(zhǔn)正是針對(duì)大多數(shù)企業(yè)普遍存在的，不了解或不清楚自身數(shù)據(jù)安全管理能力的問題。

從標(biāo)準(zhǔn)架構(gòu)來看，會(huì)從組織機(jī)構(gòu)數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、交換和銷毀六個(gè)數(shù)據(jù)生命周期，就企業(yè)組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵能力維度，至少30多個(gè)安全域進(jìn)行全方位考核評(píng)估，最終將組織機(jī)構(gòu)的數(shù)據(jù)安全能力劃分非正式執(zhí)行、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)優(yōu)化，1級(jí)至5級(jí)的能力成熟等級(jí)，等級(jí)越高意味數(shù)據(jù)安全能力越強(qiáng)。

只有具備了3級(jí)的數(shù)據(jù)安全能力，才意味這家企業(yè)或組織機(jī)構(gòu)能針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行全面有效控制。

xiesc