中國互聯(lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升致辭
“大數(shù)據(jù)時代,在充分挖掘和發(fā)揮大數(shù)據(jù)價值同時,解決好數(shù)據(jù)安全與個人信息保護等問題刻不容緩?!敝袊ヂ?lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升在貴陽參會時指出。
員工監(jiān)守自盜數(shù)億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫(yī)療、社交和銀行等領(lǐng)域數(shù)億條,隨后這些用戶個人信息被通過各種方式在網(wǎng)絡(luò)黑市進行販賣。警方發(fā)現(xiàn),幕后主要犯罪嫌疑人是發(fā)生信息泄漏的這家公司員工。
業(yè)內(nèi)數(shù)據(jù)安全專家評價稱,這起案件泄露數(shù)億條公民個人信息,其中主要問題,就在于內(nèi)部數(shù)據(jù)安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯(lián)網(wǎng)巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內(nèi)容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業(yè)數(shù)據(jù)信息泄露后,很容易被不法分子用于網(wǎng)絡(luò)黑灰產(chǎn)運作牟利,內(nèi)中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數(shù)據(jù)安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟“安全港”法規(guī),過度搜集用戶數(shù)據(jù)而遭到法國數(shù)據(jù)保護監(jiān)管機構(gòu)CNIL的發(fā)函警告。
上海社會科學院互聯(lián)網(wǎng)研究中心發(fā)布的《報告》指出,隨著數(shù)據(jù)資源商業(yè)價值凸顯,針對數(shù)據(jù)的攻擊、竊取、濫用和劫持等活動持續(xù)泛濫,并呈現(xiàn)出產(chǎn)業(yè)化、高科技化和跨國化等特性,對國家和數(shù)據(jù)生態(tài)治理水平,以及組織的數(shù)據(jù)安全能力都提出了全新挑戰(zhàn)。
當前,重要商業(yè)網(wǎng)站海量用戶數(shù)據(jù)是企業(yè)核心資產(chǎn),也是民間黑客甚至國家級攻擊的重要對象,重點企業(yè)數(shù)據(jù)安全管理更是面臨嚴峻壓力。
企業(yè)、組織機構(gòu)等如何提升自身數(shù)據(jù)安全能力?
企業(yè)機構(gòu)亟待提升數(shù)據(jù)安全管理能力
“大數(shù)據(jù)安全威脅滲透在數(shù)據(jù)生產(chǎn)、流通和消費等大數(shù)據(jù)產(chǎn)業(yè)的各個環(huán)節(jié),包括數(shù)據(jù)源、大數(shù)據(jù)加工平臺和大數(shù)據(jù)分析服務等環(huán)節(jié)的各類主體都是威脅源?!鄙虾I缈圃盒畔⑺魅位葜颈蠓治龇Q,大數(shù)據(jù)安全事件風險成因復雜交織,既有外部攻擊,也有內(nèi)部泄密,既有技術(shù)漏洞,也有管理缺陷,既有新技術(shù)新模式觸發(fā)的新風險,也有傳統(tǒng)安全問題的持續(xù)觸發(fā)。
5月27日,中國互聯(lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升稱,互聯(lián)網(wǎng)日益成為經(jīng)濟社會運行基礎(chǔ),網(wǎng)絡(luò)數(shù)據(jù)安全意識、能力和保護手段正面臨新挑戰(zhàn)。
今年6月1日即將施行的《網(wǎng)絡(luò)安全法》針對企業(yè)機構(gòu)泄露數(shù)據(jù)的相關(guān)問題,重點做了強調(diào)。法案要求各類組織應切實承擔保障數(shù)據(jù)安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現(xiàn)升介紹,實際早在2015年國務院就發(fā)布過《促進大數(shù)據(jù)發(fā)展行動綱要》,就明確要“健全大數(shù)據(jù)安全保障體系”、“強化安全支撐,提升基礎(chǔ)設(shè)施關(guān)鍵設(shè)備安全可靠水平”。
“目前,很多企業(yè)和機構(gòu)還并不知道該如何提升自己的數(shù)據(jù)安全管理能力,也不知道依據(jù)什么標準作為衡量?!币晃粯I(yè)內(nèi)人士分析稱,問題的癥結(jié)在于國內(nèi)數(shù)據(jù)安全管理尚處起步階段,很多企業(yè)機構(gòu)都沒有設(shè)立數(shù)據(jù)安全評估體系,或者沒有完整的評估參考標準。
“大數(shù)據(jù)安全能力成熟度模型”已提國標申請
從“大數(shù)據(jù)安全產(chǎn)業(yè)實踐高峰論壇”上了解到,為解決此問題,全國信息安全標準化技術(shù)委員會等職能部門與數(shù)據(jù)安全領(lǐng)域的標準化專家學者和產(chǎn)業(yè)代表企業(yè)協(xié)同,著手制定一套用于組織機構(gòu)數(shù)據(jù)安全能力的評估標準——《大數(shù)據(jù)安全能力成熟度模型》,該標準是基于阿里巴巴提出的數(shù)據(jù)安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
作為此標準項目的牽頭起草方,阿里巴巴集團安全部總監(jiān)鄭斌介紹說,該標準是阿里巴巴基于自身數(shù)據(jù)安全管理實踐經(jīng)驗成果DSMM擬定初稿,旨在與同行業(yè)分享阿里經(jīng)驗,提升行業(yè)整體安全能力。
“互聯(lián)網(wǎng)用戶的信息安全從來都不是某一家公司企業(yè)的事?!编嵄蠓Q,《大數(shù)據(jù)安全能力成熟度模型》的制訂還由中國電子技術(shù)標準化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心、公安三所、清華大學和阿里云計算有限公司等業(yè)內(nèi)權(quán)威數(shù)據(jù)安全機構(gòu)、學術(shù)單位企業(yè)等共同合作提出意見。
一位數(shù)據(jù)安全研究人員分析,企業(yè)要提升數(shù)據(jù)安全管理能力,首先就得認清自身數(shù)據(jù)保護能力水平,再對癥下藥彌補缺失和短板,而該標準正是針對大多數(shù)企業(yè)普遍存在的,不了解或不清楚自身數(shù)據(jù)安全管理能力的問題。
從標準架構(gòu)來看,會從組織機構(gòu)數(shù)據(jù)采集、存儲、傳輸、處理、交換和銷毀六個數(shù)據(jù)生命周期,就企業(yè)組織建設(shè)、制度流程、技術(shù)工具和人員能力四個關(guān)鍵能力維度,至少30多個安全域進行全方位考核評估,最終將組織機構(gòu)的數(shù)據(jù)安全能力劃分非正式執(zhí)行、計劃跟蹤、充分定義、量化控制和持續(xù)優(yōu)化,1級至5級的能力成熟等級,等級越高意味數(shù)據(jù)安全能力越強。
只有具備了3級的數(shù)據(jù)安全能力,才意味這家企業(yè)或組織機構(gòu)能針對數(shù)據(jù)安全風險進行全面有效控制。