信息化觀察網(wǎng)

信息安全問題已是老生長談，近年來，信息泄露事件頻繁發(fā)生，勒索病毒事件、趣店百萬學(xué)生信息被泄露、優(yōu)步被曝曾發(fā)生用戶和司機個人信息泄漏事件等。每曝出一件信息泄露事件，就代表著我們的個人信息又離危險近了一步?；ヂ?lián)網(wǎng)時代，你我都成了透明人。

只有用戶覺得自己的信息是安全的、放心的，他們才會更大膽地去嘗試各種新的互聯(lián)網(wǎng)服務(wù)，互聯(lián)網(wǎng)也才能由此實現(xiàn)可持續(xù)的安全發(fā)展。

近日，英美媒體曝出美國社交媒體"臉書"多達(dá)5000萬用戶信息"失竊"后，臉書保護(hù)數(shù)據(jù)的能力和誠意受到用戶和政府質(zhì)疑。在互聯(lián)網(wǎng)特別是移動互聯(lián)網(wǎng)已經(jīng)成為大家生活的一部分的時候，臉書的信息泄露事件引發(fā)的全球性影響，也對我們國內(nèi)互聯(lián)網(wǎng)平臺和用戶的信息安全敲響了警鐘。今年全國兩會期間，網(wǎng)絡(luò)信息安全話題以及相關(guān)提案就引起了廣泛關(guān)注。

2017年6月1日，我國網(wǎng)絡(luò)安全法正式實施。從互聯(lián)網(wǎng)時代的PC終端，到現(xiàn)在移動互聯(lián)的手機時代，甚至是即將到來的未來萬物互聯(lián)網(wǎng)的多智能時代，在這樣的大數(shù)據(jù)時代，如何確保用戶的信息安全，已經(jīng)成為迫在眉睫的全球性難題。

■全球數(shù)據(jù)泄露事件數(shù)量呈高速增長

在剛剛過去的2017年，全球數(shù)據(jù)泄露事件數(shù)量呈現(xiàn)爆發(fā)式增長，而且其涉及的行業(yè)也更為廣泛。

據(jù)美國威瑞森電信公司的《2017年數(shù)據(jù)泄露調(diào)查報告》顯示，金融行業(yè)依然首當(dāng)其沖，24%的數(shù)據(jù)泄露事件和金融機構(gòu)有關(guān);其次是醫(yī)療保健行業(yè)15%。從泄露信息數(shù)量來看，《2017政企機構(gòu)信息泄露形勢分析報告》顯示，金融行業(yè)、通信運營商網(wǎng)站可能泄露信息數(shù)量最多，遠(yuǎn)高于其他行業(yè)。特別是金融、教育、醫(yī)療行業(yè)數(shù)據(jù)附加值逐漸提高，加上行業(yè)監(jiān)管嚴(yán)厲的特點，數(shù)據(jù)泄露帶來的損失也更大，其數(shù)據(jù)泄露成本遠(yuǎn)高于公共部門、科研等行業(yè)。

如2017年3月，日本支付服務(wù)提供商GMOPaymentGateway公司證實，黑客利用應(yīng)用框架中的ApacheStructs2漏洞發(fā)起網(wǎng)絡(luò)攻擊，導(dǎo)致該公司兩大客戶東京都征服和日本住宅金融支援機構(gòu)網(wǎng)站的近10萬條信用卡信息數(shù)據(jù)被竊。

2017年9月，美國信用機構(gòu)Equifax遭到黑客攻擊，導(dǎo)致約1.43億信用和信息服務(wù)用戶數(shù)據(jù)遭到泄露。事件曝光后，Equifax股票暴跌30%，相當(dāng)于蒸發(fā)掉50億美元市值。這是史上罕見大型數(shù)據(jù)泄露事件之一。

2017年10月，美國必勝客通知，由于網(wǎng)站遭到入侵，顧客的支付卡信息等可能被盜，使用必勝客網(wǎng)站或移動應(yīng)用預(yù)訂訂單的用戶可能會受影響。這一漏洞很快被發(fā)現(xiàn)并得到解決，受到這一事件影響的有不到1%的網(wǎng)站和大約6萬人。

而縱觀國內(nèi)，2017年3月，多家新聞網(wǎng)站曝"58同城陷數(shù)據(jù)泄露，700元可采集網(wǎng)站全部簡歷信息"。

2017年3月，京東與騰訊的安全團隊聯(lián)手協(xié)助公安部破獲一起特大竊取販賣公民個人信息案，其主要犯罪嫌疑人乃京東內(nèi)部員工。這名尚處于試用期的員工盜取涉及交通、物流、醫(yī)療等個人信息50億條，在網(wǎng)絡(luò)黑市販賣。

業(yè)界人士都表示，相較于2016年，2017年數(shù)據(jù)泄露的情勢顯得更為復(fù)雜。雖然越來越多的人已經(jīng)意識到數(shù)據(jù)泄露風(fēng)險并主動尋求規(guī)避，然而不斷被曝光的數(shù)據(jù)泄露事件帶來的影響、經(jīng)濟損失及其背后的原因已經(jīng)讓我們深刻感受到了"安全不能承受之重"。

■漏洞及時修復(fù)刻不容緩

根據(jù)美國身份盜竊資源中心和CyberScout的報告，2017年前11個月，全球數(shù)據(jù)泄露事件已猛增至1202起，比2016年全年的1093起多出10%。各國已開始高度重視網(wǎng)絡(luò)信息安全，那么為何相較于2016年，2017年數(shù)據(jù)泄露事件數(shù)量仍在上升?有業(yè)內(nèi)專家在接受本報記者采訪時認(rèn)為，造成大量數(shù)據(jù)泄露事件的原因主要包括"內(nèi)部人員疏忽"的內(nèi)因和"黑客攻擊"的外因。

對此，在接受本報記者采訪時，全國政協(xié)委員、360集團董事長兼CEO周鴻祎也提出了自己的看法。他指出，從黑客攻擊的角度來看，漏洞是網(wǎng)絡(luò)安全的"命門"。軟硬件系統(tǒng)漏洞使得攻擊者可以利用漏洞竊取信息或者控制、破壞目標(biāo)系統(tǒng)，從而引發(fā)各種網(wǎng)絡(luò)安全問題。例如，2010年伊朗核設(shè)施遭受"震網(wǎng)病毒"攻擊，2016年美國東海岸大面積斷網(wǎng)事件，以及2017年肆虐全球的"WannaCry"勒索病毒事件，都是由于網(wǎng)絡(luò)安全漏洞引發(fā)的。但從目前的實際情況來看，很多單位對漏洞不重視，修復(fù)不及時。

據(jù)360集團提供的數(shù)據(jù)顯示，360集團一年新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞就超過8萬個。而據(jù)360補天漏洞響應(yīng)平臺統(tǒng)計，25.6%的漏洞未進(jìn)行修復(fù)，一些行業(yè)漏洞平均修復(fù)時間長達(dá)數(shù)月之久。"去年5月12日'WannaCry'勒索病毒事件爆發(fā)，其實微軟公司早在3月份就已發(fā)布了相應(yīng)安全漏洞補丁，但我國很多單位卻一直沒有打補丁，導(dǎo)致近30萬臺主機和電腦被感染。直到今天，360集團還能發(fā)現(xiàn)到我國每天仍有近千臺電腦感染此勒索病毒。"周鴻祎說。

我國網(wǎng)絡(luò)安全法正式實施以來，規(guī)定了網(wǎng)絡(luò)運營者的安全義務(wù)以及相應(yīng)的追責(zé)，但對網(wǎng)絡(luò)安全漏洞管理還沒有執(zhí)行細(xì)則。對此，周鴻祎認(rèn)為，應(yīng)盡快建立漏洞管理全流程監(jiān)督處罰制度，并強制要求漏洞必須及時修復(fù)，對漏洞修復(fù)時間以及違規(guī)處罰措施予以明確規(guī)定;建立監(jiān)督檢查機制和力量，及時發(fā)現(xiàn)未及時修復(fù)漏洞的行為，并追究相關(guān)單位和責(zé)任人責(zé)任;強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測，如對涉及國計民生、國家關(guān)鍵信息基礎(chǔ)設(shè)施的重大信息系統(tǒng)工程和項目，一方面在其上線運行或交付使用之前，應(yīng)強制要求進(jìn)行網(wǎng)絡(luò)安全漏洞的自檢和備案，尤其應(yīng)加強源代碼層面的安全缺陷和漏洞檢測。另一方面，國家網(wǎng)絡(luò)安全主管部門也應(yīng)對上線系統(tǒng)進(jìn)行抽檢，發(fā)現(xiàn)問題及時整改;同時，應(yīng)引導(dǎo)和鼓勵軟硬件系統(tǒng)開發(fā)企業(yè)加強安全開發(fā)規(guī)范和流程，盡量在源頭避免網(wǎng)絡(luò)安全漏洞的出現(xiàn);強制召回存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品。

網(wǎng)絡(luò)是一個整體，任何一個單位、任何一個系統(tǒng)存在漏洞，都會成為犯罪分子和敵對勢力攻擊的跳板，成為整個網(wǎng)絡(luò)的薄弱環(huán)節(jié)，而網(wǎng)絡(luò)安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性，也需要集合民間智慧。

"應(yīng)鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞。如可以借鑒美國在安全漏洞收集和挖掘方面的做法。一方面，加強政企單位與專業(yè)網(wǎng)絡(luò)安全企業(yè)的深度合作，充分利用網(wǎng)絡(luò)安全企業(yè)的漏洞挖掘能力和情報優(yōu)勢，幫助政企單位及早發(fā)現(xiàn)和修復(fù)漏洞;另一方面，在安全可控的前提下，鼓勵政企單位采用眾測眾包方式，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞，提高網(wǎng)絡(luò)安全能力。"周鴻祎強調(diào)說。

■明確責(zé)任

個人信息立法保護(hù)成當(dāng)務(wù)之急

大數(shù)據(jù)時代，可以說個人已經(jīng)變得非常透明。只要用戶使用互聯(lián)網(wǎng)的服務(wù)，無論是聊天搜索還是看視頻、閱讀，都會產(chǎn)生實時的、海量的用戶行為數(shù)據(jù)反饋給互聯(lián)網(wǎng)公司。所以當(dāng)下有"網(wǎng)民都在給互聯(lián)網(wǎng)公司打工"的形象說法。在這種背景下，相對于黑客攻擊所引起的信息泄露來說，互聯(lián)網(wǎng)企業(yè)濫用用戶數(shù)據(jù)信息的風(fēng)險和隱患也開始逐漸顯現(xiàn)。據(jù)《2017年數(shù)據(jù)泄露QuickView報告》顯示，黑客行為仍然是主要違規(guī)類型，但其對數(shù)據(jù)泄露的影響下降到第二位，自2008年以來，無意的數(shù)據(jù)泄露和其他數(shù)據(jù)處理錯誤比惡意入侵網(wǎng)絡(luò)導(dǎo)致更多的數(shù)據(jù)丟失。

談及此話題，作為國家信息安全工程技術(shù)中心理事單位、深圳前海智安信息科技有限公司總經(jīng)理于修良在接受本報記者采訪時表示，這就要解決信息Owner化問題，信息Owner指的就是信息的主人。如果信息是無主的信息，就會非常不安全，有如掌握了一堆裸奔無主的數(shù)據(jù)，數(shù)據(jù)越大，風(fēng)險就會越大。

那么該如何做到信息的Owner化?于修良認(rèn)為，首先各信息終端必須具備一定的認(rèn)證能力。簡單地說，對于發(fā)起端來說每發(fā)起一個信息，必須簽名，然后拿給對方再用加密標(biāo)識加一層密。如此這條信息就解決了兩個根本問題:一是信息從哪里來，是誰的信息;二是信息到哪里去，要給到誰。信息從哪里來用簽名實現(xiàn)，信息到哪里去是用標(biāo)識加密實現(xiàn)。這個信息實現(xiàn)了全部密態(tài)，誰拿到都不好使，實現(xiàn)了數(shù)據(jù)的認(rèn)證化、Owner化，這就有如讓信息自己穿上了一層鐵甲，而不是去堵住別人的眼睛，這將會實現(xiàn)網(wǎng)絡(luò)的無序化變有序化，可以實現(xiàn)信息主動安全之道。

而除了技術(shù)層面的安全加碼，為了解決互聯(lián)網(wǎng)企業(yè)濫用用戶數(shù)據(jù)信息的風(fēng)險和隱患問題，周鴻祎提出，一方面要靠互聯(lián)網(wǎng)公司的自覺自律，同時更需要國家的立法進(jìn)行規(guī)范。為此，他提出了制定用戶隱私信息保護(hù)的"三原則":一是明確用戶數(shù)據(jù)信息是用戶個人資產(chǎn);二是保障用戶對數(shù)據(jù)信息使用的知情權(quán)、選擇權(quán);三是明確互聯(lián)網(wǎng)公司保護(hù)用戶數(shù)據(jù)信息安全的責(zé)任。

萬物互聯(lián)時代，無論智能硬件還是傳統(tǒng)網(wǎng)絡(luò)應(yīng)用服務(wù)，都會收集、產(chǎn)生很多用戶數(shù)據(jù)信息，企業(yè)在存儲、傳輸這些數(shù)據(jù)過程中，稍有不慎，就會造成大量用戶數(shù)據(jù)信息泄漏。因此，周鴻祎強調(diào)，國家應(yīng)該盡快立法明確互聯(lián)網(wǎng)公司在用戶數(shù)據(jù)信息保護(hù)方面的義務(wù)與責(zé)任，確保用戶數(shù)據(jù)信息的安全性。"只有用戶覺得自己的信息是安全的、放心的，他們才會更大膽地去嘗試各種新的互聯(lián)網(wǎng)服務(wù)，互聯(lián)網(wǎng)也才能由此實現(xiàn)可持續(xù)的安全發(fā)展。"周鴻祎最后說。

（原標(biāo)題：信息數(shù)據(jù)泄露再敲警鐘: 大數(shù)據(jù)時代確保主動信息安全）