中國互聯(lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升致辭
“大數(shù)據(jù)時代���,在充分挖掘和發(fā)揮大數(shù)據(jù)價值同時,解決好數(shù)據(jù)安全與個人信息保護等問題刻不容緩?����!敝袊ヂ?lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升在貴陽參會時指出�。
員工監(jiān)守自盜數(shù)億條用戶信息
今年初����,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通����、物流����、醫(yī)療�����、社交和銀行等領(lǐng)域數(shù)億條��,隨后這些用戶個人信息被通過各種方式在網(wǎng)絡(luò)黑市進行販賣�。警方發(fā)現(xiàn),幕后主要犯罪嫌疑人是發(fā)生信息泄漏的這家公司員工���。
業(yè)內(nèi)數(shù)據(jù)安全專家評價稱����,這起案件泄露數(shù)億條公民個人信息����,其中主要問題,就在于內(nèi)部數(shù)據(jù)安全管理缺陷�����。
國外情況也不容樂觀��。2016年9月22日����,全球互聯(lián)網(wǎng)巨頭雅虎證實�,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內(nèi)容涉及用戶姓名�、電子郵箱����、電話號碼、出生日期和部分登陸密碼�����。
企業(yè)數(shù)據(jù)信息泄露后����,很容易被不法分子用于網(wǎng)絡(luò)黑灰產(chǎn)運作牟利�,內(nèi)中危害輕則竊財重則取命��,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數(shù)據(jù)安全事件���,就可見一斑。
去年7月����,微軟Window10也因未遵守歐盟“安全港”法規(guī),過度搜集用戶數(shù)據(jù)而遭到法國數(shù)據(jù)保護監(jiān)管機構(gòu)CNIL的發(fā)函警告����。
上海社會科學院互聯(lián)網(wǎng)研究中心發(fā)布的《報告》指出��,隨著數(shù)據(jù)資源商業(yè)價值凸顯�,針對數(shù)據(jù)的攻擊、竊取���、濫用和劫持等活動持續(xù)泛濫�����,并呈現(xiàn)出產(chǎn)業(yè)化�����、高科技化和跨國化等特性�����,對國家和數(shù)據(jù)生態(tài)治理水平����,以及組織的數(shù)據(jù)安全能力都提出了全新挑戰(zhàn)。
當前���,重要商業(yè)網(wǎng)站海量用戶數(shù)據(jù)是企業(yè)核心資產(chǎn),也是民間黑客甚至國家級攻擊的重要對象�,重點企業(yè)數(shù)據(jù)安全管理更是面臨嚴峻壓力。
企業(yè)����、組織機構(gòu)等如何提升自身數(shù)據(jù)安全能力?
企業(yè)機構(gòu)亟待提升數(shù)據(jù)安全管理能力
“大數(shù)據(jù)安全威脅滲透在數(shù)據(jù)生產(chǎn)��、流通和消費等大數(shù)據(jù)產(chǎn)業(yè)的各個環(huán)節(jié)���,包括數(shù)據(jù)源���、大數(shù)據(jù)加工平臺和大數(shù)據(jù)分析服務等環(huán)節(jié)的各類主體都是威脅源��?��!鄙虾I缈圃盒畔⑺魅位葜颈蠓治龇Q,大數(shù)據(jù)安全事件風險成因復雜交織�,既有外部攻擊,也有內(nèi)部泄密��,既有技術(shù)漏洞����,也有管理缺陷��,既有新技術(shù)新模式觸發(fā)的新風險�����,也有傳統(tǒng)安全問題的持續(xù)觸發(fā)�。
5月27日,中國互聯(lián)網(wǎng)協(xié)會副秘書長石現(xiàn)升稱���,互聯(lián)網(wǎng)日益成為經(jīng)濟社會運行基礎(chǔ)�����,網(wǎng)絡(luò)數(shù)據(jù)安全意識���、能力和保護手段正面臨新挑戰(zhàn)����。
今年6月1日即將施行的《網(wǎng)絡(luò)安全法》針對企業(yè)機構(gòu)泄露數(shù)據(jù)的相關(guān)問題����,重點做了強調(diào)。法案要求各類組織應切實承擔保障數(shù)據(jù)安全的責任��,即保密性�、完整性和可用性�。另外需保障個人對其個人信息的安全可控。
石現(xiàn)升介紹����,實際早在2015年國務院就發(fā)布過《促進大數(shù)據(jù)發(fā)展行動綱要》,就明確要“健全大數(shù)據(jù)安全保障體系”���、“強化安全支撐�����,提升基礎(chǔ)設(shè)施關(guān)鍵設(shè)備安全可靠水平”�����。
“目前��,很多企業(yè)和機構(gòu)還并不知道該如何提升自己的數(shù)據(jù)安全管理能力���,也不知道依據(jù)什么標準作為衡量�����?!币晃粯I(yè)內(nèi)人士分析稱����,問題的癥結(jié)在于國內(nèi)數(shù)據(jù)安全管理尚處起步階段,很多企業(yè)機構(gòu)都沒有設(shè)立數(shù)據(jù)安全評估體系�����,或者沒有完整的評估參考標準�。
“大數(shù)據(jù)安全能力成熟度模型”已提國標申請
從“大數(shù)據(jù)安全產(chǎn)業(yè)實踐高峰論壇”上了解到,為解決此問題,全國信息安全標準化技術(shù)委員會等職能部門與數(shù)據(jù)安全領(lǐng)域的標準化專家學者和產(chǎn)業(yè)代表企業(yè)協(xié)同���,著手制定一套用于組織機構(gòu)數(shù)據(jù)安全能力的評估標準——《大數(shù)據(jù)安全能力成熟度模型》�,該標準是基于阿里巴巴提出的數(shù)據(jù)安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂���。
阿里巴巴集團安全部總監(jiān)鄭斌介紹DSMM
作為此標準項目的牽頭起草方��,阿里巴巴集團安全部總監(jiān)鄭斌介紹說����,該標準是阿里巴巴基于自身數(shù)據(jù)安全管理實踐經(jīng)驗成果DSMM擬定初稿�,旨在與同行業(yè)分享阿里經(jīng)驗,提升行業(yè)整體安全能力��。
“互聯(lián)網(wǎng)用戶的信息安全從來都不是某一家公司企業(yè)的事�����?����!编嵄蠓Q���,《大數(shù)據(jù)安全能力成熟度模型》的制訂還由中國電子技術(shù)標準化研究院�、國家信息安全工程技術(shù)研究中心�����、中國信息安全測評中心����、公安三所、清華大學和阿里云計算有限公司等業(yè)內(nèi)權(quán)威數(shù)據(jù)安全機構(gòu)�����、學術(shù)單位企業(yè)等共同合作提出意見��。
一位數(shù)據(jù)安全研究人員分析��,企業(yè)要提升數(shù)據(jù)安全管理能力��,首先就得認清自身數(shù)據(jù)保護能力水平��,再對癥下藥彌補缺失和短板����,而該標準正是針對大多數(shù)企業(yè)普遍存在的�����,不了解或不清楚自身數(shù)據(jù)安全管理能力的問題���。
從標準架構(gòu)來看,會從組織機構(gòu)數(shù)據(jù)采集�、存儲、傳輸�、處理、交換和銷毀六個數(shù)據(jù)生命周期�,就企業(yè)組織建設(shè)、制度流程���、技術(shù)工具和人員能力四個關(guān)鍵能力維度���,至少30多個安全域進行全方位考核評估,最終將組織機構(gòu)的數(shù)據(jù)安全能力劃分非正式執(zhí)行����、計劃跟蹤、充分定義����、量化控制和持續(xù)優(yōu)化,1級至5級的能力成熟等級����,等級越高意味數(shù)據(jù)安全能力越強。
只有具備了3級的數(shù)據(jù)安全能力���,才意味這家企業(yè)或組織機構(gòu)能針對數(shù)據(jù)安全風險進行全面有效控制���。
