2018網(wǎng)絡(luò)安全生態(tài)峰會上��,南都報系黨委副書記����、總經(jīng)理陳文定現(xiàn)場發(fā)布《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》。
直擊2018網(wǎng)絡(luò)安全生態(tài)峰會�。掃碼觀看大會精彩內(nèi)容!
8月21日��,公安部、工信部�����、網(wǎng)信辦指導(dǎo)的2018網(wǎng)絡(luò)安全生態(tài)峰會在北京國家會議中心開幕�����,國內(nèi)外安全領(lǐng)域頂級專家云集�、共議黑灰產(chǎn)治理等議題。會上���,南都大數(shù)據(jù)研究院�����、南都新業(yè)態(tài)法治研究中心聯(lián)合阿里巴巴集團(tuán)安全部發(fā)布了《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》(以下簡稱《報告》)�。南都報系黨委副書記��、總經(jīng)理陳文定出席峰會并現(xiàn)場發(fā)布《報告》�。
近年來,網(wǎng)絡(luò)黑灰產(chǎn)所帶來的安全挑戰(zhàn)愈加嚴(yán)峻�����。公開數(shù)據(jù)顯示,全球每3起網(wǎng)絡(luò)攻擊就有1起發(fā)生在中國��,中國電信詐騙案每年以20%-30%速度快速增長�����。全年國內(nèi)6 .88億網(wǎng)民因垃圾短信�����、詐騙信息���、個人信息泄露等造成的經(jīng)濟(jì)損失估算達(dá)915億元。
《報告》指出��,網(wǎng)絡(luò)黑灰產(chǎn)已經(jīng)形成了一個平臺化��、專業(yè)化�、精細(xì)化、相互獨立��,緊密協(xié)作的產(chǎn)業(yè)鏈�。《報告》揭秘了當(dāng)前網(wǎng)絡(luò)黑灰產(chǎn)鏈路四大類型�,分別是技術(shù)類黑灰產(chǎn)�����、包括虛假賬號注冊等在內(nèi)的源頭性黑灰產(chǎn)�����、用于進(jìn)行非法交易交流的平臺類黑灰產(chǎn)�,以及實施各類違法犯罪行為的黑灰產(chǎn)�����?!秷蟾妗氛J(rèn)為,網(wǎng)絡(luò)黑灰產(chǎn)治理�,需要政企研多方聯(lián)合,共筑安全“防火墻”�。
網(wǎng)絡(luò)安全專家:
中國需有與國際接軌的數(shù)據(jù)安全框架標(biāo)準(zhǔn)
南方都市報8月20日《上市黑產(chǎn)公司忽悠運營商,盜取30億條公民信息》報道揭露了浙江紹興越城警方偵破的史上最大規(guī)模數(shù)據(jù)竊取案���,引發(fā)公眾廣泛關(guān)注���。
在8月21日舉行的“2018網(wǎng)絡(luò)安全生態(tài)峰會”上,跨境數(shù)據(jù)流動和數(shù)據(jù)安全問題成為與會國內(nèi)外安全專家討論的焦點�����。
今年以來,歐盟“最嚴(yán)數(shù)據(jù)法案”GDPR正式生效�����,美國����、俄羅斯、韓國等全球多個國家陸續(xù)出臺規(guī)則��、標(biāo)準(zhǔn)參差不齊的數(shù)據(jù)法案�,這也成了中國企業(yè)全球化面臨的一道門檻�。
與會多名專家提出,中國應(yīng)當(dāng)有與國際接軌的數(shù)據(jù)安全框架標(biāo)準(zhǔn)�����,而全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會推動的DSMM(大數(shù)據(jù)安全能力成熟度模型)可以作為一大“抓手”���。
“合規(guī)風(fēng)險增加�����、經(jīng)營成本提升”
公開數(shù)據(jù)顯示��,在國家“一帶一路”倡議引導(dǎo)下����,中國企業(yè)正加快國際化步伐,2017年全年��,有關(guān)主管部門共備案和核準(zhǔn)了境外投資企業(yè)6172家���,中國常年駐外工作人員達(dá)100萬人�����,企業(yè)國際化水平顯著提升�����。
安永大中華區(qū)信息安全主管合伙人阮祺康在會前接受采訪時表示�,中國企業(yè)在海外開展了多種多樣的業(yè)務(wù)����,而在各國出臺不一樣的數(shù)據(jù)法案后,中國企業(yè)要進(jìn)入這個市場就首先要遵從這些法案的要求,這是游戲規(guī)則���,“合規(guī)風(fēng)險增加��、經(jīng)營成本提升是現(xiàn)階段的困難����?!?/p>
國內(nèi)的數(shù)據(jù)安全問題也面臨比其他國家更加復(fù)雜的挑戰(zhàn)。中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心主任劉賢剛認(rèn)為�����,基于網(wǎng)民數(shù)量眾多�、高度網(wǎng)絡(luò)化數(shù)據(jù)化以及網(wǎng)絡(luò)黑灰產(chǎn)、網(wǎng)絡(luò)詐騙等問題突出的三大特點���,中國的數(shù)據(jù)安全發(fā)展在國際上已沒有可借鑒的對象,已經(jīng)步入“無人區(qū)”�����,需要自主創(chuàng)新來尋找解決方案�。
數(shù)據(jù)流動才能產(chǎn)生價值,跨境數(shù)據(jù)流動是當(dāng)前的必然趨勢�。這樣的背景下����,多名與會專家都認(rèn)為�����,站在全球視野下考慮數(shù)據(jù)安全��、數(shù)據(jù)保護(hù)的問題���,中國擁有自己的�����、與國際接軌的數(shù)據(jù)安全框架標(biāo)準(zhǔn)是關(guān)鍵�����。
阮祺康認(rèn)為�����,中國企業(yè)如果能夠證明合規(guī)����,有一個跟國際接軌的標(biāo)準(zhǔn),讓其他國家和消費者與中國企業(yè)建立信任�,將會產(chǎn)生更長遠(yuǎn)的正面價值。
“各國出臺了法案����,但是在法律之下還需要技術(shù)層面的標(biāo)準(zhǔn),這是目前缺失的���,”中國信息協(xié)會信息安全專委會副主任委員��,國家信息技術(shù)安全研究中心原副主任兼總工程師李京春表示���,如果這個標(biāo)準(zhǔn)中國有,且是國際化的一個標(biāo)準(zhǔn)�,那么各個企業(yè)遵守起來可能會減少一些國際上的沖突和矛盾。
DSMM是企業(yè)數(shù)據(jù)安全重要抓手
據(jù)悉�����,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會推動的DSMM(大數(shù)據(jù)安全能力成熟度模型)已進(jìn)入國家標(biāo)準(zhǔn)報批稿��,ITU-T國際標(biāo)準(zhǔn)已于2017年12月發(fā)布���,并在國際標(biāo)準(zhǔn)ISO/IEC JTC1 SC27全會上獲得通過��,下一步將在各個成員國之間的投票中尋求最終的通過�。
“數(shù)據(jù)安全管理應(yīng)該是全球各個國家共同面臨的挑戰(zhàn)�����,我們應(yīng)該把好的���、最佳實踐����、好的業(yè)界標(biāo)準(zhǔn)貢獻(xiàn)到國際上去�,積極參與和影響國際規(guī)則的制訂,并積極探索將國家標(biāo)準(zhǔn)貢獻(xiàn)到國際標(biāo)準(zhǔn)��,進(jìn)而將國家數(shù)據(jù)安全框架標(biāo)準(zhǔn)的認(rèn)證變?yōu)閲H認(rèn)證�。”劉賢剛表示���,在網(wǎng)絡(luò)安全領(lǐng)域中國的標(biāo)準(zhǔn)和認(rèn)證同時走出去貢獻(xiàn)國際�����,歷史上是沒有的���。
“DSMM從安全能力評估的角度出發(fā)����,體現(xiàn)企業(yè)的成熟度有多高����,而不是從資產(chǎn)、風(fēng)險等三要素�,彌補了保障不足的問題,對于中國企業(yè)來說�,DSMM會是一個非常有利的抓手”,李京春指出���,這是中國商業(yè)在國際上的話語權(quán)�。
阮祺康表示���,DSMM作為一個國家標(biāo)準(zhǔn)推出的話�����,能夠有效提升企業(yè)的數(shù)據(jù)安全水位�,“最起碼有標(biāo)準(zhǔn)作為抓手,能讓企業(yè)知道他們到底處于什么水平���,將來怎么改進(jìn)?�!?/p>
據(jù)悉�,DSMM已在10多個領(lǐng)域的50多家機(jī)構(gòu)開展了落地實踐,涵蓋政府�、銀行、證券等行業(yè)���。今年5月貴陽數(shù)博會���,首批107名DSMM測評師持證上崗,也進(jìn)一步推進(jìn)DSMM的落地實踐����。
專家揭秘公民信息泄露案件頻發(fā):
黑灰產(chǎn)團(tuán)伙和灰產(chǎn)被忽視是主因
以南方都市報近日報道的浙江紹興警方在阿里巴巴的技術(shù)協(xié)助下破獲的一起史上最大規(guī)模數(shù)據(jù)竊取案為例,北京一家新三板上市公司����,竟然利用30億條公民個人信息從事黑灰產(chǎn),一年營收就超過3000萬元���。這家上市黑產(chǎn)公司利用向全國十余省市多家運營商提供正常軟件服務(wù)的機(jī)會��,在運營商服務(wù)器內(nèi)放置惡意程序清洗流量�,導(dǎo)致30億條用戶數(shù)據(jù)被竊取。
有互聯(lián)網(wǎng)安全專家指出��,從運營商的層面進(jìn)行流量劫持和清洗�,相當(dāng)于從源頭上數(shù)據(jù)就丟失了,位于下游的互聯(lián)網(wǎng)公司的安全防護(hù)能力再強(qiáng)����,也無法防范。
近年來��,關(guān)于公民個人信息案件高發(fā)���。去年3月����,公安部開展打擊整治黑客攻擊破壞和網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動�,僅4個月時間就偵破相關(guān)案件1800余起,抓獲犯罪嫌疑人4800余名�����,查獲各類公民個人信息500余億條。
多名業(yè)內(nèi)專家指出�����,從這些案件中可看出�����,黑灰產(chǎn)團(tuán)伙����、黑數(shù)據(jù)平臺的存在是當(dāng)前數(shù)據(jù)泄露的主要原因���。這幫不法分子在竊取數(shù)據(jù)和使用數(shù)據(jù)上都是無底線的���,并且在非法獲取數(shù)據(jù)后,并沒有保護(hù)數(shù)據(jù)的能力����。
南都聯(lián)合阿里發(fā)布的《2018網(wǎng)絡(luò)黑灰產(chǎn)治理研究報告》指出,據(jù)不完全統(tǒng)計��,從2015年開始��,互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)從業(yè)人員就已經(jīng)超過40萬。
公開數(shù)據(jù)顯示���,2017年中國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模僅為450多億元����,而黑灰產(chǎn)早已達(dá)千億元規(guī)模�。2017年至今,阿里巴巴安全部配合全國各地執(zhí)法機(jī)關(guān)破獲各類涉黑灰產(chǎn)案件多達(dá)8022起�����,公安機(jī)關(guān)抓獲千余黑灰產(chǎn)犯罪團(tuán)伙��,共6799名犯罪嫌疑人�����。
業(yè)內(nèi)專家指出�����,黑產(chǎn)治理的嚴(yán)峻性已被公認(rèn)���,但灰產(chǎn)不被重視�����,或者視而不見����,黑產(chǎn)和灰產(chǎn)的聯(lián)合,才是整個社會需要關(guān)注的信息泄露的另一重要原因�。
此外,也應(yīng)當(dāng)看到����,受數(shù)據(jù)保護(hù)措施����、能力、意識等多方面因素的影響�,大量中小企業(yè)在數(shù)據(jù)保護(hù)問題上有所欠缺,而這些企業(yè)在經(jīng)營過程中不斷積累用戶數(shù)據(jù)���,一旦出現(xiàn)安全風(fēng)險��,很容易成為黑灰產(chǎn)團(tuán)伙盯上的肥肉��。
據(jù)安永的一份報告顯示���,大量企業(yè)管理層對現(xiàn)狀表示非常擔(dān)憂�。在25個不同行業(yè)��、1755名受訪者中�����,87%的董事會成員和企業(yè)高管都表示對其公司層面的安全缺乏信心���,57%的受訪者都曾在受訪近期遭遇過一次重大的網(wǎng)絡(luò)安全事件�,90%的受訪者認(rèn)為他們的信息安全并不完全滿足企業(yè)需求�。
安永大中華區(qū)信息安全主管合伙人阮祺康指出,從數(shù)據(jù)的產(chǎn)生到收集��、分發(fā)�、處理、儲存�、銷毀,在數(shù)據(jù)生命周期的不同環(huán)節(jié)����,很多中小企業(yè)都面臨問題。
“比如,我個人工作中接觸到的一些企業(yè)���,數(shù)據(jù)積累了很多���,但并不知道哪些數(shù)據(jù)重要,哪些不重要����,能不能給第三方,給了第三方之后又如何管理����,也不知道該如何解決這些問題?!比铎骺当硎?。
采寫:
南都記者 王琦 張雅婷 娜迪婭 蔣琳 尤一煒 錢柳君
(責(zé)任編輯 王順利)
掃一掃上新西部網(wǎng)
不良信息舉報窗口
