大數據時代網路安全進入產業爆發期
2017年中國雲市場競爭中,「1分中標」、「1元中標」案例已經不新鮮,在競爭白熱化的雲計算市場中,第一部網路安全相關法律的出台,再次攪動業界神經,安全成為各大雲服務廠商標榜的核心競爭力。以近日菜鳥和順豐的爭議為例,數據安全、雲市場爭奪都被成為各執一詞的緣由。
21世紀經濟報道記者近日采訪包括阿里雲在內的雲服務公司以及網路安全領域的創業者和專家,解讀雲服務市場的安全競爭。其中阿里雲總裁胡曉明一一回應跟阿里雲相關的競爭和安全問題。他表示,「根本不存在(阿里雲)與騰訊雲爭奪順豐一事,另外如果阿里雲做侵犯用戶隱私的事情,那應該倒閉。」
阿里雲回應「不安全」
6月1日,《網路安全法》實施第一天,順豐和菜鳥陷入數據之爭,在數據資源方面互不讓步,雙方皆以保護用戶數據隱私安全的名義指責對方。捲入這場「羅生門」的,還有順豐和菜鳥各執一詞的「雲市場」爭奪,即騰訊雲和阿里雲的的雲服務市場競爭。
在這場風波中,關於安全的討論爭議也很多。
近日,胡曉明在上海接受21世紀經濟報道記者采訪時回應菜鳥順豐之爭。「順豐早就是我們的客戶了,我也沒有提要跟順豐進一步加大雲計算的合作,我們都沒有找過對方。」胡曉明說。
他表示,一方面不存在與騰訊雲爭奪順豐一事,另外一方面從技術角度也不可能實現通過用戶IP地址獲取用戶核心數據的可能。
在接受采訪的一個小時時間里,胡曉明約有一半時間在談安全、回應與安全相關的質疑。據介紹,阿里雲平台上承載了大概37%的中國網站業務,阿里雲平均每天承受的攻擊是16億次。
據胡曉明介紹,阿里雲有嚴格的內部審計制度。阿里雲工程師進行任何運維管理操作時,都會有內部審計和實時違規預警。所有工程師都需要雙因素認證來完成操作人的身份驗證。此外,還通過定期的安全掃描和模擬滲透,來確保數據安全的內部控制有效、完整性。
「為什麼我們今天特別歡迎網路安全法的正式實施?就像交通法規定的紅綠燈一樣,交通規則越嚴格越好。」阿里雲的另一位負責人補充說,這個也是整個雲計算產業發展的前提。
網路安全產業爆發期
從5月份的勒索病毒事件,再到6月的菜鳥順豐事件,疊加《網路安全法》的落地,網路安全的概念被熱炒到了新高度。
法律對於網路運營者的管理責任作了較為明確的規定,《網路安全法》規定了網路安全等級保護制度,而網路運營者則應根據網路安全等級保護制度的要求,履行安全保護義務,保障網路免受干擾、破壞或入侵,防止數據泄露或被竊取或篡改。
6月13日,21世紀經濟報道記者在2017中國網路安全大會采訪十餘家參會網路安全公司,其中瑞星安全的一位負責人告訴21世紀經濟報道記者,近期咨詢業務的客戶明顯增加,行業向好。
北京另一家做雲安全服務的創業公司人士表示,國外的網路安全市場相對成熟,中國相當於剛剛做完基礎設施建設,對安全的需求正處於爆發的上升期,產業也在爆發期。他們公司2015年創立,現在基本能做到盈虧平衡,比較難得。
據介紹,他們的客戶主要是政府的政務雲平台和金融機構,客戶的安全意識還是比較強的,特別是《網路安全法》出台後,對一些網路數據管理運營平台擔負的責任進一步清晰,大家也不得不重視起來。
某信息安全眾包服務電商平台的CEO陳新龍表示,網路安全元年,應該從2017年《網路安全法》的實施開始。
根據國家互聯網應急中心數據顯示,2016年1月至11月,中國境內被篡改網站數量總數達到62894個,其中被篡改政府網站數量達到1483個。已收集到的信息系統安全漏洞達9756個,其中高危漏洞3764個,佔比為38.6%。
又一份IDC 報告數據顯示,截至 2014 年底,中國信息安全投資的比例依然不足 1%,和美國(3.6%)及日本(6%)等成熟市場差距明顯,中國網路安全市場還有很大的釋放空間。
陳新龍告訴21世紀經濟報道記者,2017年他所創立的安全服務平台,新入駐的網路安全廠商增長迅速。
此前,工信部電子科學技術情報研究所總工程師尹麗波在接受21世紀經濟報道記者采訪時也表示,目前政府的意識很強,包括工信部和網信辦,這些年都在對政府部門在做安全培訓和檢查,提升網路安全意識,普及網路安全技能和知識。在保護安全方面,大部分政府部門都已經行動起來。但企業這塊還有很大的空間,特別是中小企業,信息化程度很低,更別說網路安全措施。所以海量的中小企業,可能會是將來網路安全產業的巨大目標群體。
『貳』 網路時代的我們的信息安全如何得到保護
截止2017中國的網民人數達到了7 億多人,互聯網普及率達到53.2%,在這樣一個全民網路時代,我們最擔心的是什麼?答案基本都是個人信息,然而在這個網路時代,只要涉及到網路的方方面面都會用到個人信息,比如注冊個網站用戶,也是需要你提供手機號碼。比如你想在某個平台出售一些東西,不但需要你提供相關的個人信息,還要你提供個人身份證信息以及一些身份圖片,對於一些資深網民來說還可以判斷哪些可以提供,哪些不可以提供。但是對於一些剛接觸到互聯網的人來說就比較難了,因為他們接觸到網路的時間不長,沒有完全判斷哪些是真,哪些是假。先就給大家說說該怎樣去判斷!
互聯網其實就是一個無法預知的大宇宙,凡事自己注意點就行,信息安全,從我做起。
『叄』 2016信息安全威脅和趨勢主要來自於哪些方面
隨著2015年即將接近尾聲,我們可以預期,在2016年相關網路罪犯活動的規模、嚴重程度、危害性、復雜性都將繼續增加,一家負責評估安全和風險管理問題的非營利性協會:信息安全論壇(ISF)的總經理史蒂夫·德賓代表其成員表示說。「在我看來,2016年可能將會是網路安全風險最為嚴峻的一年。」德賓說。「我這樣說的原因是因為人們已經越來越多的意識到這樣一個事實:即在網路運營正帶來了其自己的特殊性。」德賓說,根據ISF的調研分析,他們認為在即將到來的2016年,五大安全趨勢將占據主導。
當我們進入2016年,網路攻擊將進一步變得更加具有創新性、且更為復雜,德賓說:「不幸的是,雖然現如今的企業正開發出新的安全管理機制,但網路犯罪分子們也正在開發出新的技術來躲避這些安全管理機制。在推動企業網路更具彈性的過程中,企業需要將他們的風險管理的重點從純粹的信息保密性、確保數據信息的完整性和可用性轉移到包括風險規模,如企業聲譽和客戶渠道保護等方面,並充分認識到網路空間活動可能導致的意想不到的後果。通過為未知的各種突發狀況做好萬全的准備,企業才能過具有足夠的靈活性,以抵禦各種意外的、高沖擊性的安全事件。」德賓說,ISF所發現的這些網路安全威脅趨勢並不相互排斥。他們甚至可以結合起來,創造更具破壞性的網路安全威脅配置文件。他補充說,我們預計明年將為出現新的網路安全威脅。
1、國家干預網路活動所導致的意外後果
德賓說,在2016年,有官方背景參與的網路空間相關活動或將對網路安全造成附帶的損害,甚至造成不可預見的影響和後果。而這些影響和後果的危害程度將取決於這些網路活動背後所依賴的官方組織。並指出,改變監管和立法將有助於限制這些活動,無論其是否是以攻擊企業為目標。但他警告說,即使是那些並不受牽連的企業也可能會遭受到損害。
德賓說:「我們已經看到,歐洲法院宣布歐美數據《安全港協議》無效。同時,我們正看到越來越多的來自政府機構關於重視數據隱私的呼籲,盡管某些技術供應商會表示說,』我們已經徹底執行了端到端的加密。』但在一個連恐怖主義都變得日趨規范的世界裡,當看到一個網路物理鏈接時,我們要如何面對這一問題?」展望未來,企業必須了解政府部分的相關監管要求,並積極與合作夥伴合作,德賓說。
德賓說:「立法者必須將始終對此高度重視,並及時跟上最新網路攻擊技術的步伐,我甚至認為立法者本身也需要參與到預防網路安全威脅的過程中來。他們所探討的一直是如何應對昨天已經發生的網路安全事件,但事實上,網路安全更多的是關於明天的。」
2、大數據將引發大問題
現如今的企業在他們的運營和決策過程中,正越來越多的運用到大數據分析了。但這些企業同時也必須認識到:數據分析其實是有人為因素的。對於那些不尊重人的因素的企業而言,或將存在高估了大數據輸出價值的風險,德賓說。並指出,信息數據集完整性較差,很可能會影響分析結果,並導致糟糕的業務決策,甚至錯失市場機會,造成企業品牌形象受損和利潤損失。
德賓說:「當然,大數據分析是一個巨大的誘惑,而當您訪問這些數據信息時,必須確保這些數據信息是准確的。」這個問題關乎到數據的完整性,對我來說,這是一個大問題。當然,數據是當今企業的生命線,但是我們真的對其有充分的認識嗎?」「現如今,企業已經收集了大量的信息。而最讓我所擔憂的問題並不是犯罪份子竊取這些信息,而是企業實際上是在以其從來不會去看的方式來操縱這些數據。」他補充道。例如,他指出,相當多的企業已經將代碼編寫工作進行外包多年了。他說:「我們並不知道在那些代碼中有沒有可能會讓您企業泄露數據信息的後門。」事實上,這是有可能的。而您更需要懷疑的是:不斷提出假設的問題,並確保從數據信息中獲得的洞察分析正是其實際上所反映的。」當然,您所需要擔心的並不只是代碼的完整性。您更需要了解所有數據的出處。「如果企業收集並存儲了相關數據信息,務必要明白了解其出處。」他說。一旦您開始分享這些數據,您就是把自己也打開了。您需要知道這些信息是如何被使用的,與誰進行了分享,誰在不斷增加,以及這些數據是如何被操縱的。」
3、移動應用和物聯網
德賓說,智能手機和其他移動設備迅速普及正在使得物聯網(IoT)日漸成為網路犯罪份子進行惡意行為的首要目標。隨著攜帶自己的設備辦公(BYOD)、以及工作場所可穿戴技術的不斷推出,在未來的一年裡,人們對工作和家庭移動應用程序的要求會不斷增加。而為了滿足這一需求的增加,開發商們在面臨強大的工作壓力和微薄的利潤空間的情況下,很可能會犧牲應用程序的安全性,並盡快在未經徹底測試的情況下,以低成本交付產品,導致質量差的產品更容易被不法分子或黑客所攻擊。「不要把這和手機簡單的相混淆了。」德賓說。移動性遠不只有這么一點,智能手機只是移動性的一個組成部分。他注意到,越來越多的企業員工也和他一樣,需要不斷地出差到各地辦公。「我們沒有固定的辦公室。」他說。上次我登陸網路是在一家旅館。而今天則是在別人的辦公環境。我如何確保真的是我史蒂夫本人登錄的某個特別的系統呢?我可能只知道這是一款來自史蒂夫的設備登錄的,或者我相信是史蒂夫的設備登錄的,但我怎麼能夠知道這是否是用史蒂夫的另一款設備的呢?
企業應做好准備迎接日益復雜的物聯網,並明白物聯網的到來對於他們的意義何在,德賓說。企業的首席信息安全官們(CISO)應積極主動,確保企業內部開發的各款應用程序均遵循了公認的系統開發生命周期方法,相關的測試准備步驟是不可避免的。他們還應該按照企業現有的資產管理策略和流程管理員工用戶的設備,將用戶設備對於企業網路的訪問納入企業現有管理的標准,以創新的方式推動和培養員工們的BYOD風險意識。
4、網路犯罪造成的安全威脅風暴
德賓說,網路犯罪高居2015年安全威脅名單榜首,而這一趨勢在2016年並不會減弱。網路犯罪以及黑客活動的增加,迫使企業必須遵從不斷提升的監管要求,不懈追求技術進步,這使得企業在安全部門的投資激增,而這些因素結合起來,可能形成安全威脅風暴。那些採用了風險管理辦法的企業需要確定那些企業的業務部門所最為依賴的技術,並對其進行量化,投資於彈性。
網路空間對於網路犯罪分子和恐怖分子而言,是一個越來越有吸引力的攻擊動機、和賺錢來源,他們會製造破壞,甚至對企業和政府機構實施網路攻擊。故而企業必須為那些不可預測的網路事件做好准備,以便使他們有能力能夠承受住不可預見的,高沖擊性的網路事件。「我看到越來越多日益成熟的網路犯罪團伙。」德賓說。他們的組織非常復雜和成熟,並具有良好的協調。我們已經看到網路犯罪作為一種服務的增加。這種日益增加的復雜性將給企業帶來真正的挑戰。我們真的進入了一個新的時代,您根本無法預測一個網路犯罪是否會找您。從企業的角度來看,您要如何防禦呢?
問題的部分原因在於,許多企業仍然還處在專注於保衛企業外部邊界的時代,但現如今的主要威脅則是由於企業內部的人士,無論其是出於惡意目的或只是無知採取了不當的安全實踐方案,這使得網路威脅日漸已經開始向外圍滲透了「不管是對是錯,我們一直是將網路犯罪視為是從外部攻擊的角度來看,所以我們試圖採用防火牆來簡單應對。」德賓說。 「但企業還存在來自內部的威脅。這讓我們從企業的角度來看,是一個非常不舒服的地方。」事實的真相是,企業根本無法對付網路犯罪,除非他們採取更具前瞻性的方法。「幾個星期前,我在與一名大公司的擁有九年工作經驗的首席信息安全官交談時,他告訴我說,藉助大數據分析,他現在已經在整個企業幾乎完全實現了可視化。在從業了九年後,他發現網路罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動反應,而不是主動的防禦。」「網路犯罪分子的工作方式卻不是這樣的。」他補充說。「他們總是試圖想出一個新的方法。我認為我們還不擅長打防守。我們需要真正將其提高到同一水平。我們永遠不會想出新的方法。而在我們企業內部甚至還存在這樣的想法:即然我們還沒有被攻破,為什麼我們要花所有這些錢呢?」
5、技能差距將成為信息安全的一個無底深淵
隨著網路攻擊犯罪份子的能力日益提高,信息安全專家們正變得越來越成熟,企業對於信息安全專家的需求越來越多。而網路犯罪分子和黑客也在進一步深化他們的技能,他們都在努力跟上時代的步伐,德賓說。企業的首席信息安全官們需要在企業內部建立可持續的招募計劃,培養和留住現有人才,提高企業網路的適應能力。德賓說,在2016年,隨著超連通性的增加,這個問題將變得更糟。首席信息安全官在幫助企業及時獲得新的技能方面將需要更積極。「在2016年,我認為我們將變得更加清楚,也許企業在其安全部門並沒有合適的人才。」他說。我們知道,企業有一些很好的技術人員可以安裝和修復防火牆等。但真正好的人才則是可以在確保企業網路安全的情況下,滿足業務的挑戰和業務發展。這將是一個明顯的弱點。企業的董事會也開始意識到,企業網路是他們做生意的重要方式。我們還沒有在業務和網路安全實踐之間建立起聯系。」
在某些情況下,企業根本沒有合適的首席信息安全官會變得相當明顯。而其他企業也必須問自己,安全本身是否被放在了恰當的位置。
德賓說:「您企業無法避免每一次嚴重的事件,雖然許多企業在事件管理方面做得很好,但很少有企業建立了一套有組織的方法來評估哪些是錯誤的。」因此,這會產生不必要的成本,並讓企業承擔不適當的風險。各種規模的企業均需要對此給予高度重視,以確保他們對於未來的這些新興的安全挑戰做好了充分的准備,並能夠很好的應對。通過採用一個切實的,具有廣泛基礎的,協作的方式,提高網路安全和應變能力,政府部門、監管機構、企業的高級業務經理和信息安全專業人士都將能夠更好地了解網路威脅的真實本質,以及如何快速作出適當的反應。」
『肆』 數據安全有哪些案例
我國《網路安全法》將正式生效實施,對網路運營者數據安全管理提出了系統且嚴格的法律要求。近日,上海社會科學院互聯網研究中心發布大數據安全風險與對策研究報告,遴選了近年來國內外典型數據安全事件,系統分析了大數據安全風險產生的類型和誘因,並分別從提升國家大數據生態治理水平(政府)和加強企業大數據安全能力(企業)兩個層面提出推動我國大數據安全發展的對策建議。
大數據時代,數據成為推動經濟社會創新發展的關鍵生產要素,基於數據的開放與開發推動了跨組織、跨行業、跨地域的協助與創新,催生出各類全新的產業形態和商業模式,全面激活了人類的創造力和生產力。
然而,大數據在為組織創造價值的同時,也面臨著嚴峻的安全風險。一方面,數據經濟發展特性使得數據在不同主體間的流通和加工成為不可避免的趨勢,由此也打破了數據安全管理邊界,弱化了管理主體風險控制能力;另一方面,隨著數據資源商業價值的凸顯,針對數據的攻擊、竊取、濫用、劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家的數據生態治理水平和組織的數據安全管理能力提出全新挑戰。在內外雙重壓力下,大數據安全重大事件頻發,已經成為全社會關注的重大安全議題。
綜合近年來國內外重大數據安全事件發現,大數據安全事件正在呈現以下特點:(1)風險成因復雜交織,既有外部攻擊,也有內部泄露,既有技術漏洞,也有管理缺陷;既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。(2)威脅范圍全域覆蓋,大數據安全威脅滲透在數據生產、流通和消費等大數據產業鏈的各個環節,包括數據源的提供者、大數據加工平台提供者、大數據分析服務提供者等各類主體都是威脅源;(3)事件影響重大深遠。數據雲端化存儲導致數據風險呈現集聚和極化效應,一旦發生數據泄露等其影響都將超越技術范疇和組織邊界,對經濟、政治和社會等領域產生影響,包括產生重大財產損失、威脅生命安全和改變政治進程。
隨著數據經濟時代的來臨,全面提升網路空間數據資源的安全是國家經濟社會發展的核心任務,如同環境生態的治理,數據生態治理面臨一場艱巨的戰役,這場戰役的成敗將決定新時期公民的權利、企業的利益、社會的信任,也將決定數據經濟的發展乃至國家的命運和前途。為此,我們建議重點從政府和企業兩個維度入手,全面提升我國大數據安全
從政府角度,報告建議持續提升數據保護立法水平,構築網路空間信任基石;加強網路安全執法能力,開展網路黑產長效治理;加強重點領域安全治理,維護國家數據經濟生態;規范發展數據流通市場,引導合法數據交易需求;科學開展跨境數據監管,切實保障國家數據主權。
從企業角度,報告建議網路運營者需要規范數據開發利用規則,明確數據權屬關系,重點加強個人數據和重點數據的安全管理,針對採集、存儲、傳輸、處理、交換和銷毀等各個環節開展全生命周期的保護,從制度流程、人員能力、組織建設和技術工具等方面加強數據安全能力建設。
附十大典型事件(時間順序):
1. 全球范圍遭受勒索軟體攻擊
關鍵詞:網路武器泄漏,勒索軟體,數據加密,比特幣
2017年5月12日,全球范圍爆發針對Windows操作系統的勒索軟體(WannaCry)感染事件。該勒索軟體利用此前美國國家安全局網路武器庫泄露的WindowsSMB服務漏洞進行攻擊,受攻擊文件被加密,用戶需支付比特幣才能取迴文件,否則贖金翻倍或是文件被徹底刪除。全球100多個國家數十萬用戶中招,國內的企業、學校、醫療、電力、能源、銀行、交通等多個行業均遭受不同程度的影響。
安全漏洞的發掘和利用已經形成了大規模的全球性黑色產業鏈。美國政府網路武器庫的泄漏更是加劇了黑客利用眾多未知零日漏洞發起攻擊的威脅。2017年3月,微軟就已經發布此次黑客攻擊所利用的漏洞的修復補丁,但全球有太多用戶沒有及時修復更新,再加上眾多教育系統、醫院等還在使用微軟早已停止安全更新的Windows XP系統,網路安全意識的缺乏擊潰了網路安全的第一道防線。
類似事件:2016年11月舊金山市政地鐵系統感染勒索軟體,自動售票機被迫關閉,旅客被允許在周六免費乘坐輕軌。
2.京東內部員工涉嫌竊取50億條用戶數據
關鍵詞:企業內鬼,數據販賣,數據內部許可權
2017年3月,京東與騰訊的安全團隊聯手協助公安部破獲的一起特大竊取販賣公民個人信息案,其主要犯罪嫌疑人乃京東內部員工。該員工2016年6月底才入職,尚處於試用期,即盜取涉及交通、物流、醫療、社交、銀行等個人信息50億條,通過各種方式在網路黑市販賣。
為防止數據盜竊,企業每年花費巨額資金保護信息系統不受黑客攻擊,然而因內部人員盜竊數據而導致損失的風險也不容小覷。地下數據交易的暴利以及企業內部管理的失序誘使企業內部人員鋌而走險、監守自盜,盜取販賣用戶數據的案例屢見不鮮。管理咨詢公司埃森哲等研究機構2016年發布的一項調查研究結果顯示,其調查的208家企業中,69%的企業曾在過去一年內「遭公司內部人員竊取數據或試圖盜取」。未採取有效的數據訪問許可權管理,身份認證管理、數據利用控制等措施是大多數企業數據內部人員數據盜竊的主要原因。
類似事件:2016年4月,美國兒童撫養執行辦公室500萬個人信息遭前員工盜竊。
3. 雅虎遭黑客攻擊10億級用戶賬戶信息泄露
關鍵詞:漏洞攻擊,用戶密碼,俄羅斯黑客
2016年9月22日,全球互聯網巨頭雅虎證實至少5億用戶賬戶信息在2014年遭人竊取,內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。2016年12月14日,雅虎再次發布聲明,宣布在2013年8月,未經授權的第三方盜取了超過10億用戶的賬戶信息。2013年和2014年這兩起黑客襲擊事件有著相似之處,即黑客攻破了雅虎用戶賬戶保密演算法,竊得用戶密碼。2017年3 月,美國檢方以參與雅虎用戶受到影響的網路攻擊活動為由,對俄羅斯情報官員提起刑事訴訟。
雅虎信息泄露事件是有史以來規模最大的單一網站數據泄漏事件,當前,重要商業網站的海量用戶數據是企業的核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理面臨更高的要求,必須建立嚴格的安全能力體系,不僅需要確保對用戶數據進行加密處理,對數據的訪問許可權進行精準控制,並為網路破壞事件、應急響應建立彈性設計方案,與監管部門建立應急溝通機制。
類似事件:2015年2月,美國第二大健康醫療保險公司Anthem公司信息系統被攻破,將近8000萬客戶和員工的記錄遭遇泄露。
4. 順豐內部人員泄漏用戶數據
關鍵詞:轉賣內部數據許可權,惡意程序
2016年8月26日,順豐速遞湖南分公司宋某被控「侵犯公民個人信息罪」在深圳南山區人民法院受審。此前,順豐作為快遞行業領頭羊,出現過多次內部人員泄漏客戶信息事件,作案手法包括將個人掌握的公司網站賬號及密碼出售他人;編寫惡意程序批量下載客戶信息;利用多個賬號大批量查詢客戶信息;通過購買內部辦公系統地址、賬號及密碼,侵入系統盜取信息;研發人員從資料庫直接導出客戶信息等。
順豐發生的系列數據泄漏事件暴露出針對內部人員數據安全管理的缺陷,由於數據黑產的發展,內外勾結盜竊用戶數據謀取暴利的行為正在迅速蔓延。雖然順豐的IT系統具備事件發生後的追查能力,但是無法對員工批量下載數據的異常行為發出警告和風險預防,針對內部人員數據訪問需要設置嚴格的數據管控,並對數據進行脫敏處理,才能有效確保企業數據的安全。
類似事件:2012年1號店內部員工與離職、外部人員內外勾結,泄露90萬用戶數據。
5. 徐玉玉遭電信詐騙致死
關鍵詞:安全漏洞,拖庫,個人數據,精準詐騙,黑產
2016年8月,高考生徐玉玉被電信詐騙者騙取學費9900元,發現被騙後突然心臟驟停,不幸離世。據警方調查,騙取徐玉玉學費的電信詐騙者的信息來自網上非法出售的個高考個人信息,而其源頭則是黑客利用安全漏洞侵入了「山東省2016高考網上報名信息系統」網站,下載了60多萬條山東省高考考生數據,高考結束後開始在網上非法出售給電信詐騙者。
近年來,針對我國公民個人信息的竊取和交易已經形成了龐大黑色產業鏈,遭遇泄露的個人數據推動電信詐騙、金融盜竊等一系列犯罪活動日益「精準化」、「智能化」,對社會公眾的財產和人身安全構成嚴峻威脅。造成這一現狀的直接原因在於我國企事業單位全方位收集用戶數據,但企業網路安全防護水平低下和數據安全管理能力不足,使黑客和內鬼有機可乘,而個人信息泄漏後缺乏用戶告知機制,加大了犯罪活動的危害性和持續性。
類似事件:2016年8月23日,山東省臨沭縣的大二學生宋振寧遭遇電信詐騙心臟驟停,不幸離世。
6. 希拉里遭遇「郵件門」導致競選失敗
鍵詞:私人郵箱,公務郵件,維基解密,黑客
希拉里「郵件門」是指民主黨總統競選人希拉里·柯林頓任職美國國務卿期間,在沒有事先通知國務院相關部門的情況下使用私人郵箱和伺服器處理公務,並且希拉里處理的未加密郵件中有上千封包含國家機密。同時,希拉里沒有在離任前上交所有涉及公務的郵件記錄,違反了國務院關於聯邦信息記錄保存的相關規定。2016年7月22日,在美國司法部宣布不指控希拉里之後,維基解密開始對外公布黑客攻破希拉里及其親信的郵箱系統後獲得的郵件,最終導致美國聯邦調查局重啟調查,希拉里總統競選支持率暴跌。
作為政府要員,希拉里缺乏必要的數據安全意識,在擔任美國國務卿期間私自架設伺服器處理公務郵件違反聯邦信息安全管理要求,觸犯了美國國務院有關「使用私人郵箱收發或者存儲機密信息為違法行為」的規定。私自架設的郵件伺服器缺乏必要的安全保護,無法應對高水平黑客的攻擊,造成重要數據遭遇泄露並被國內外政治對手充分利用,最終導致大選落敗。
類似事件:2016年3月,五角大樓公布美國防部長阿什頓·卡特數百份郵件是經由私人電子郵箱發送,卡特再次承認自己存在過失,但相關郵件均不涉密。
7. 法國數據保護機構警告微軟Windows10過度搜集用戶數據
關鍵詞:過度收集數據,知情同意,合規,隱私保護
2016年7月,法國數據保護監管機構CNIL向微軟發出警告函,指責微軟利用Windows 10系統搜集了過多的用戶數據,並且在未獲得用戶同意的情況下跟蹤了用戶的瀏覽行為。同時,微軟並沒有採取令人滿意的措施來保證用戶數據的安全性和保密性,沒有遵守歐盟「安全港」法規,因為它在未經用戶允許的情況下就將用戶數據保存到了用戶所在國家之外的伺服器上,並且在未經用戶允許的情況下默認開啟了很多數據追蹤功能。CNIL限定微軟必須在3個月內解決這些問題,否則將面臨委員會的制裁。
大數據時代,各類企業都在充分挖掘用戶數據價值,不可避免的導致用戶數據被過度採集和開發。隨著全球個人數據保護日趨嚴苛,企業在收集數據中必須加強法律遵從和合規管理,尤其要注重用戶隱私保護,獲取用戶個人數據需滿足「知情同意」、「數據安全性」等原則,以保證組織業務的發展不會面臨數據安全合規的風險。例如歐盟2018年即將實施新的《一般數據保護條例》就規定企業違反《條例》的最高處罰額將達全球營收的4%,全面提升了企業數據保護的合規風險。
類似事件:2017年2月,樂視旗下Vizio因違規收集用戶數據被罰220萬美元。
8. 黑客攻擊SWIFT系統盜竊孟加拉國央行8100萬美元
關鍵詞:網路攻擊,系統控制許可權,虛假指令數據,網路金融盜竊
2016年2月5日,孟加拉國央行被黑客攻擊導致8100萬美元被竊取,攻擊者通過網路攻擊或者其他方式獲得了孟加拉國央行SWIFT系統的操作許可權,攻擊者進一步向紐約聯邦儲備銀行發送虛假的SWIFT轉賬指令。紐約聯邦儲備銀行總共收到35筆,總價值9.51億美元的轉賬要求,其中8100萬美元被成功轉走盜取,成為迄今為止規模最大的網路金融盜竊案。
SWIFT是全球重要的金融支付結算系統,並以安全、可靠、高效著稱。黑客成功攻擊該系統,表明網路犯罪技術水平正在不斷提高,客觀上要求金融機構等關鍵性基礎設施的網路安全和數據保護能力持續提升,金融系統網路安全防護必須加強政府和企業的協同聯動,並開展必要的國際合作。2017年3月1日生效的美國紐約州新金融條例,要求所有金融服務機構部署網路安全計劃,任命首席信息安全官,並監控商業夥伴的網路安全政策。美國紐約州的金融監管要求為全球金融業網路安全監管樹立了標桿,我國的金融機構也需進一步明確自身應當履行的網路安全責任和義務,在組織架構、安全管理、安全技術等多個方面進行落實網路安全責任。
類似事件:2016年12月2日,俄羅斯央行代理賬戶遭黑客襲擊,被盜取了20億俄羅斯盧布。
9.海康威視安防監控設備存在漏洞被境外IP控制
關鍵詞:物聯網安全,弱口令,漏洞,遠程挾持
2015年2月27日,江蘇省公安廳特急通知稱:江蘇省各級公安機關使用的海康威視監控設備存在嚴安全隱患,其中部分設備被境外IP地址控制。海康威視於2月27日連夜發表聲明稱:江蘇省互聯網應急中心通過網路流量監控,發現部分海康威視設備因弱口令問題(包括使用產品初始密碼和其他簡單密碼)被黑客攻擊,導致視頻數據泄露等。
以視頻監控等為代表的物聯網設備正成為新的網路攻擊目標。物聯網設備廣泛存在弱口令,未修復已知漏洞、產品安全加固不足等風險,設備接入互聯網後應對網路攻擊能力十分薄弱,為黑客遠程獲取控制許可權、監控實時數據並實施各類攻擊提供了便利。
類似事件:2016年10月,黑客通過控制物聯網設備對域名服務區發動僵屍攻擊,導致美國西海岸大面積斷網。
10. 國內酒店2000萬入住信息遭泄露
關鍵詞:個人隱私泄露,第三方存儲,外包服務數據許可權,供應鏈安全
2013年10月,國內安全漏洞監測平台披露,為全國4500多家酒店提供數字客房服務商的浙江慧達驛站公司,因為安全漏洞問題,使與其有合作關系的酒店的入住數據在網上泄露。數天後,一個名為「2000w開房數據」的文件出現在網上,其中包含2000萬條在酒店開房的個人信息,開房數據中,開房時間介於2010年下半年至2013年上半年,包含姓名、身份證號、地址、手機等14個欄位,其中涉及大量用戶隱私,引起全社會廣泛關注。
酒店內的Wi-Fi覆蓋是隨著酒店業發展而興起的一項常規服務,很多酒店選擇和第三方網路服務商合作,但在實際數據交互中存在嚴重的數據泄露風險。從慧達驛站事件中,一方面,涉事酒店缺乏個人信息保護的管理措施,未能制定嚴格的數據管理許可權,使得第三方服務商可以掌握大量客戶數據。另一方面,第三方服務商慧達驛站公司網路安全加密等級低,在密碼驗證過程中未對傳輸數據加密,存在嚴重的系統設計缺陷。