如今的互聯(lián)設(shè)備保存了我們大量的重要資訊�����,從銀行賬戶,個(gè)人資訊到行業(yè)機(jī)密,持續(xù)增長的互聯(lián)設(shè)備讓網(wǎng)路入侵者看到了新的機(jī)會����,並利用這些潛在安全漏洞牟利���,中國網(wǎng)際網(wǎng)路協(xié)會發(fā)佈的《2016中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示,從2015年下半年到今年上半年的一年間�����,我國網(wǎng)民因垃圾資訊�����、詐騙資訊�、個(gè)人資訊洩露等遭受的經(jīng)濟(jì)損失高達(dá)915億元。
我們通常遭到的電信詐騙��、網(wǎng)路欺詐�����、個(gè)人資訊洩露,背後往往都有一個(gè)黑色的影子����,在一條地下黑色産業(yè)鏈條上,有人負(fù)責(zé)竊取數(shù)據(jù)���,有人專門從事分銷��,尋找目標(biāo)買家或幫買家尋找駭客��。有業(yè)內(nèi)人士測算��,中國網(wǎng)路安全相關(guān)的黑色産業(yè)鏈(簡稱“網(wǎng)路黑産”)從業(yè)人員已經(jīng)超過150萬�����,黑産市場規(guī)模已經(jīng)達(dá)到千億級別�����,這與中國網(wǎng)際網(wǎng)路協(xié)會公佈的網(wǎng)民損失數(shù)據(jù)大致相符�����。但是���,目前中國企業(yè)安全産品的市場規(guī)模僅有300億元左右�。
資訊安全面臨多重挑戰(zhàn)
應(yīng)該説�,企業(yè)及個(gè)人資訊洩露所遭受的損失只是整個(gè)網(wǎng)際網(wǎng)路資訊安全的冰山一角,隨著移動網(wǎng)際網(wǎng)路大行其道�,大數(shù)據(jù)、雲(yún)計(jì)算的大規(guī)模普及����,我們面臨的資訊安全面臨著多重挑戰(zhàn)。
一方面��,資訊安全環(huán)境正在發(fā)生演變�����,從此前的PC轉(zhuǎn)向APP��、數(shù)據(jù)中心和雲(yún)端�,來自阿里巴巴的統(tǒng)計(jì)數(shù)據(jù)顯示���,2015年iOS漏洞增長1.28倍�,Android漏洞增長10倍��。比如前兩年爆出的蘋果iOS系統(tǒng)的APP出現(xiàn)大範(fàn)圍的問題,其原因就出在APP製作商為圖方便����,使用了非官方下載的蘋果APP製作軟體,被不法分子有機(jī)可乘��。顯然����,資訊安全已經(jīng)是一個(gè)系統(tǒng)性的問題,一齣問題就是“牽一髮而動全身”���。
另一方面�,安全問題也已成為快速增長的物聯(lián)網(wǎng)行業(yè)的潛在風(fēng)險(xiǎn)����,隨著物聯(lián)網(wǎng)産品和服務(wù)越來越受歡迎,它們會成為駭客攻擊的目標(biāo)���?;萜盏难芯勘砻?����,最常使用的物聯(lián)網(wǎng)設(shè)備中有70%含有漏洞,到2020年�����,全球?qū)⒂?60億部互聯(lián)終端���,物聯(lián)網(wǎng)帶來了巨大的機(jī)遇��,同時(shí)也暗藏風(fēng)險(xiǎn)�����。
在上個(gè)月剛結(jié)束的上海世界移動大會上��,主辦方對現(xiàn)場觀眾進(jìn)行了一個(gè)調(diào)查,當(dāng)問及觀眾是否會信任一輛完全自動駕駛的汽車時(shí)����,僅有16%的人選擇了完全信任,高達(dá)69%的觀眾選擇了可能會信任��,剩餘15%則表示絕不可能信任����。這一投票結(jié)果足以顯示出�,現(xiàn)在人們對於自動駕駛的信任度還比較低��,其中的核心就是網(wǎng)際網(wǎng)路汽車的安全性問題�。
正因?yàn)榘踩珕栴}如此複雜跟嚴(yán)峻 ,在今年的各大論壇上�,資訊安全問題都被重點(diǎn)關(guān)注,為此��,人民網(wǎng)IT頻道也採訪了相關(guān)的網(wǎng)路安全專家�����。
“五年以前�����,或者十年以前�,那時(shí)候數(shù)據(jù)安全,比現(xiàn)在真好做多了���?���!卑⒗锇桶图瘓F(tuán)安全部副總裁杜躍進(jìn)博士在接受人民網(wǎng)IT頻道專訪時(shí)表示,“今天最大的難點(diǎn)是數(shù)據(jù)本身是跟業(yè)務(wù)融在一起的�,它跟業(yè)務(wù)不再是分開的?!?/p>
資訊安全的實(shí)質(zhì)是風(fēng)險(xiǎn)可控
作為一位資深的安全行業(yè)專家,杜躍進(jìn)博士從1999年開始就一直在網(wǎng)路資訊安全的第一線工作�����,在他看來���,從來沒有絕對的安全?,F(xiàn)在大家講的網(wǎng)路資訊安全�,是人和人的對抗,凡是人和人的對抗��,都沒有絕對的結(jié)果��,這就像體育比賽一樣��。
“發(fā)展與安全是放到一起來看的��,拆開了看是沒有意義的�����?�!痹诮邮軖裨L的過程中���,杜躍進(jìn)一直強(qiáng)調(diào)這句話�,“你把安全放掉了的話���,發(fā)展可能會一頭掉到懸崖下面去了�。而不論發(fā)展只要安全的話�����,那一定是阻礙進(jìn)步甚至是因噎廢食的�,一定會讓中國失掉這次彎道超車的機(jī)會?��!?/p>
在他看來��,要想發(fā)展�,一定是要承受一定的風(fēng)險(xiǎn)�����。如果是什麼風(fēng)險(xiǎn)都不承受的話,那是一定不可能發(fā)展的��。在專業(yè)人士看來����,安全與發(fā)展是一個(gè)硬幣的兩面,那些忽略資訊安全的公司將會失去消費(fèi)者的信任����,並面臨極大的風(fēng)險(xiǎn)。而只有將確保安全放在最首要的位置�,才能在抓住移動網(wǎng)際網(wǎng)路發(fā)展這一巨大的機(jī)遇。
既然沒有絕對的安全����,需要在風(fēng)險(xiǎn)中求發(fā)展,最終就落在四個(gè)字上面:風(fēng)險(xiǎn)可控���。
據(jù)了解�,目前阿里巴巴(包括螞蟻金服�、高德地圖等)體系內(nèi)的資訊安全員工達(dá)到了三四千人的規(guī)模,騰訊�、百度的負(fù)責(zé)網(wǎng)路及資訊安全的員工也超過千人,但大量的中小企業(yè)的安全形勢不容樂觀����。
資訊安全風(fēng)險(xiǎn)可控需要建立標(biāo)準(zhǔn)
在2016上海世界移動大會上,GSMA Intelligence研究總監(jiān)Tim Hatt介紹到����,金融和專業(yè)服務(wù)是2015年受到網(wǎng)路攻擊最多的兩個(gè)領(lǐng)域,而美國和中國則是全球企業(yè)網(wǎng)路攻擊最大的兩個(gè)目標(biāo)�。他強(qiáng)調(diào),強(qiáng)有力的主動防護(hù)對於企業(yè)的資訊安全來説是至關(guān)重要的����。
杜躍進(jìn)認(rèn)為,數(shù)據(jù)安全是當(dāng)今最重要的資訊安全風(fēng)險(xiǎn)之一�����。對於企業(yè)來説����,要做數(shù)據(jù)安全的風(fēng)險(xiǎn)可控,首先應(yīng)該解決的問題是如何建立一套科學(xué)的評估模型���,這也是他近年來一直努力推動的方向�。
他將這個(gè)企業(yè)數(shù)據(jù)安全能力的評估模型分解為四個(gè)因子:一是組織內(nèi)部整個(gè)的組織架構(gòu)設(shè)置���,是不是適合於企業(yè)的數(shù)據(jù)保護(hù)工作�;第二是組織內(nèi)部的體制機(jī)制設(shè)計(jì),是不是能夠確保相關(guān)的組織和人員發(fā)揮預(yù)期的作用���,例如有沒有獲得相應(yīng)的授權(quán)�����;第三就是技術(shù)手段�����,在數(shù)據(jù)的整個(gè)生命週期裏面��,是不是有完備的數(shù)據(jù)安全相關(guān)技術(shù)手段�����;第四個(gè)部分是人員的能力����,各個(gè)數(shù)據(jù)安全崗位上的人員是不是符合其崗位所需要的能力要求���。
“把這四個(gè)因子捏到一起���,又可以拆分成幾十個(gè)指標(biāo)項(xiàng)��,從而可以用來衡量一個(gè)組織機(jī)構(gòu)的數(shù)據(jù)安全的能力到什麼程度了?���!倍跑S進(jìn)説。
這個(gè)模型是動態(tài)的��,什麼叫動態(tài)的呢��,剛才説的四個(gè)因子��,都會發(fā)生變化�����,在新的數(shù)據(jù)安全威脅下����,形勢可能不一樣,會發(fā)現(xiàn)過去的組織結(jié)構(gòu)跟機(jī)制設(shè)計(jì)不行了��,新的攻防技術(shù)越來越厲害了����,技術(shù)産品要升級了�。這些東西都算出來之後����,應(yīng)該是有一個(gè)值出來,可以用來衡量一個(gè)機(jī)構(gòu)它的數(shù)據(jù)保護(hù)能力��。在杜躍進(jìn)看來�����,可以通過這個(gè)值來判斷安全能力是好還是不好����,但這個(gè)值是永遠(yuǎn)達(dá)不到100分的。
據(jù)了解���,目前杜躍進(jìn)領(lǐng)導(dǎo)的團(tuán)隊(duì)��,提出的這套模型��,正在爭取國家跟國際標(biāo)準(zhǔn)組織的認(rèn)可��?!皹?biāo)準(zhǔn)的提出是第一步,我們的第一步總要邁出去����,最終我們會看他有沒有價(jià)值?��!?/p>
給中小企業(yè)提供安全指南
《2016中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示���,2016年上半年以來��,我國網(wǎng)民平均每週收到垃圾郵件18.9封�、垃圾短信20.6條、騷擾電話21.3個(gè)����,其中騷擾電話是網(wǎng)民最為反感的騷擾來源;76%的網(wǎng)民曾遇到過“冒充銀行����、網(wǎng)際網(wǎng)路公司、電視臺等進(jìn)行中獎詐騙的網(wǎng)站”�����,冒充公安、社保等部門進(jìn)行詐騙和社交軟體上進(jìn)行詐騙的情況有增長趨勢�,37%的網(wǎng)民因收到各類網(wǎng)路詐騙而遭受經(jīng)濟(jì)損失。
雖然大家都遇到過個(gè)人資訊洩露的問題��,但是這些資訊到底是如何洩露的呢����?
實(shí)際上,從電信運(yùn)營商網(wǎng)路信號發(fā)出的那一刻起����,我們的移動安全就已經(jīng)開始面臨威脅。而隨著雲(yún)計(jì)算及大數(shù)據(jù)的發(fā)展��,靜態(tài)數(shù)據(jù)變成了動態(tài)數(shù)據(jù)�����,數(shù)據(jù)與業(yè)務(wù)又高度融合��,讓資訊安全變成了一個(gè)系統(tǒng)性的問題�����。由於環(huán)節(jié)太多,一旦發(fā)生資訊洩露問題�����,要抓出元兇都不是一件容易的事情�。
“過去的數(shù)據(jù)是靜態(tài)的,現(xiàn)在的數(shù)據(jù)是流動的�,而且是跟業(yè)務(wù)融在一起流動的。這是我們現(xiàn)在做資訊安全的一個(gè)前提�,也是很大的挑戰(zhàn)?��!倍跑S進(jìn)説����。
以電商平臺為例����,上千萬商家背後的軟體是由是獨(dú)立軟體供應(yīng)商提供的���,這些軟體很多可能存在漏洞����,要解決這個(gè)問題,在杜躍進(jìn)看來��,需要用到外部的力量�,給獨(dú)立軟體供應(yīng)商提供服務(wù),解決資訊洩露問題�。
杜躍進(jìn)説:“國內(nèi)有大量的中小企業(yè),他們有安全需求�,但是他們沒有安全能力。我們重點(diǎn)幫他們解決資訊洩露的問題��,這是我們的抓手����。”
這與國際組織在物聯(lián)網(wǎng)安全領(lǐng)域正在做得事情不謀而合�,目前,GSMA已經(jīng)制定了一套涵蓋多種場景的物聯(lián)完全指南�����,該指南可以幫助廠商獲得更多安全保障�����,提供有效建議���,指導(dǎo)廠商通過可信任的計(jì)算庫為其設(shè)備提供最佳的身份保護(hù)����。物聯(lián)網(wǎng)安全指南可以為企業(yè)提供詳細(xì)的流程指導(dǎo),將廠商的設(shè)備安全地推向市場���,並且保證其在整個(gè)生命週期中保持安全���。
國內(nèi)有千萬家中小企業(yè),他們有安全需求����,但是他們沒有安全能力,中小企業(yè)正是長尾的部分��,每個(gè)生意都非常小�����,利潤也非常小�����,但這個(gè)利潤如何匯集起來��,就會變成大生意�,顯然,在安全領(lǐng)域也是如此��。
“這部分市場能不能拿到��,取決於我們的安全産業(yè)能不能轉(zhuǎn)型�����?����!痹趻裨L即將結(jié)束時(shí)����,作為一位資訊安全領(lǐng)域的老兵,杜躍進(jìn)最後説道�。
京ICP證130248號京公網(wǎng)安備110102003391