大數據時代,數據成為推動經濟社會創新發展的關鍵生產要素。基於數據的開放和發展,促進了跨組織、跨行業、跨區域的幫扶和創新,催生了各種全新的產業形態和商業模式,充分激活了人類的創造力和生產力。
然而,在為組織創造價值的同時,大數據也面臨著嚴峻的安全風險。壹方面,數據經濟的發展特點使得數據在不同主體間的流通和處理成為必然趨勢,這也打破了數據安全管理的邊界,削弱了管理主體的風險控制能力;另壹方面,隨著數據資源商業價值的凸顯,攻擊、竊取、濫用、劫持數據等活動持續泛濫,並呈現出產業化、高科技、跨國化的特點,對國家數據生態治理水平和組織的數據安全管理能力提出了新的挑戰。在內外雙重壓力下,大數據安全重大事件頻發,成為全社會關註的重大安全問題。
綜合近年來國內外重大數據安全事件發現,大數據安全事件正呈現以下特點:(1)風險成因復雜交織,包括外部攻擊、內部泄密、技術漏洞和管理缺陷;既有新技術、新模式引發的新風險,也有傳統安全問題的不斷觸發。(2)威脅範圍覆蓋全球,大數據安全威脅滲透到數據生產、流通、消費等大數據產業鏈的各個環節,包括數據源提供商、大數據處理平臺提供商、大數據分析服務提供商等主體。所有這些都是威脅來源;(3)事件影響重大且深遠。數據的雲存儲導致數據風險的聚集和極化效應。壹旦發生數據泄露,其影響將超越技術範圍和組織邊界,對經濟、政治和社會領域產生影響,包括造成巨大的財產損失,威脅生命安全,改變政治進程。
隨著數據經濟時代的到來,全面提升網絡空間數據資源的安全性是國家經濟社會發展的核心任務。就像環境生態的治理壹樣,數據生態治理面臨著壹場艱巨的戰鬥。這場戰役的成敗將決定新時代公民的權利、企業的利益和社會的信任,也將決定數據經濟的發展乃至國家的命運和未來。為此,我們建議從政府和企業兩個維度入手,全面提升我國大數據的安全性。
從政府角度,報告提出,不斷提高數據保護立法水平,構建網絡空間信任基石;加強網絡安全執法能力,開展網絡黑產長效治理;加強重點領域安全治理,維護國家數據經濟生態;規範數據流通市場發展,引導合法數據交易需求;科學開展跨境數據監管,有效保護國家數據主權。
從企業角度,報告建議網絡運營者需要規範數據開發利用規則,明確數據所有權關系,重點加強個人數據和關鍵數據的安全管理,對采集、存儲、傳輸、處理、交換、銷毀等各個環節進行全生命周期保護,從制度流程、人員能力、組織建設、技術工具等方面加強數據安全能力建設。
附上十個典型事件(按時間順序排列):
1.全球範圍內被勒索軟件攻擊。
關鍵詞:網絡武器泄露、勒索軟件、數據加密、比特幣
5月17,12,2065438,全球範圍內爆發了壹起針對Windows操作系統的勒索病毒(WannaCry)感染事件。該勒索軟件利用了美國國家安全局網絡武器庫泄露的WindowsSMB服務漏洞。被攻擊的文件是加密的,用戶必須支付比特幣才能找回文件,否則贖金翻倍或者文件被完全刪除。全球100多個國家數十萬用戶中招,國內企業、學校、醫療、電力、能源、銀行、交通等行業受到不同程度影響。
安全漏洞的開發利用已經形成了壹條大規模的全球性黑色產業鏈。美國政府網絡武器庫的泄露加劇了黑客利用許多未知的零日漏洞發動攻擊的威脅。2017年3月,微軟發布了壹個補丁,修復了這次黑客攻擊利用的漏洞。然而,全球太多用戶未能及時修復更新。此外,許多教育系統和醫院仍在使用Windows XP,微軟已停止安全更新。網絡安全意識的缺失,擊潰了網絡安全的第壹道防線。
類似事件:2016年10月,165438,舊金山市政地鐵系統感染勒索病毒,自動售票機被迫關閉,乘客周六免費乘坐輕軌。
2.JD。COM內部員工涉嫌竊取50億用戶數據。
關鍵詞:企業內幕,數據販賣,數據內部權威
2065438+2007年3月,JD.COM與騰訊安全團隊聯手,協助公安部破獲壹起竊取、販賣公民個人信息案。主要嫌疑人是JD.COM的壹名雇員。該員工2065438+2006年6月底才入職,尚在試用期,即竊取與交通、物流、醫療、社交、銀行等相關的個人信息50億條,並通過各種手段在網絡黑市出售。
為了防止數據被盜,企業每年都要花費巨額資金來保護信息系統免受黑客攻擊。但內部人員竊取數據造成損失的風險也不容小覷。地下數據交易的暴利和企業內部管理的無序,誘使內部人員鋌而走險,從內部竊取,竊取並出售用戶數據。管理咨詢公司埃森哲(Accenture)和其他研究機構在2016年發布的壹項調查顯示,在接受調查的208家公司中,有69%的公司在過去壹年中“被內部人士竊取或試圖竊取數據”。未采取有效的數據訪問權限管理、身份認證管理、數據使用控制等措施是大多數企業內部人員數據被盜的主要原因。
類似事件:2065438+2006年4月,美國兒童撫養執行辦公室500萬條個人信息被前員工竊取。
3.雅虎被黑,6543.8億用戶賬戶信息泄露。
關鍵詞:漏洞攻擊、用戶密碼、俄羅斯黑客
2016年9月22日,全球互聯網巨頭雅虎證實,2014年至少有5億用戶賬戶信息被盜,包括用戶姓名、郵箱、電話號碼、出生日期和部分登錄密碼。2016 12 14,雅虎再次發布聲明,宣布在2013年8月,未經授權的第三方竊取了超過10億用戶的賬戶信息。2013和2014的兩次黑客攻擊類似,都是黑客破解了雅虎用戶賬號安全算法,盜取了用戶密碼。2065438+2007年3月,美國檢察官對俄羅斯情報官員提起刑事訴訟,理由是他們參與了雅虎用戶受到的網絡攻擊。
雅虎信息泄露事件是歷史上最大的單壹網站數據泄露事件。目前,重要商業網站的海量用戶數據是企業的核心資產,也是民間黑客乃至國家攻擊的重要目標。重點企業的數據安全管理面臨著更高的要求,需要建立嚴格的安全能力體系,不僅需要保證用戶數據的加密,還需要精確控制數據的訪問權限,建立網絡破壞事件和應急響應的彈性設計方案,建立與監管部門的應急溝通機制。
類似事件:2065438+2005年2月,美國第二大健康保險公司Anthem Company的信息系統被攻破,近8000萬客戶和員工的記錄被泄露。
4.順豐工作人員泄露用戶數據。
關鍵詞:允許轉售內部數據、惡意程序
2016年8月26日,順豐速運湖南分公司的宋因侵犯公民個人信息罪在深圳市南山區人民法院受審。此前,順豐作為快遞行業的領頭羊,曾發生多起內部人員泄露客戶信息的事件。作案手法包括向他人出售個人公司網站賬戶和密碼;編寫惡意程序批量下載客戶信息;使用多個賬戶大批量查詢客戶信息;通過購買內部辦公系統的地址、賬號、密碼,侵入系統竊取信息;R&D人員直接從數據庫中導出客戶信息。
順豐快遞的壹系列數據泄露事件,暴露了內部人員數據安全管理的短板。由於黑數據生產的發展,內外用戶勾結竊取用戶數據牟取暴利的現象正在迅速蔓延。雖然順豐的IT系統具備事發後的追查能力,但無法預警和阻止員工批量下載數據的異常行為。需要設置嚴格的數據控制,對內部人員的數據進行脫敏,有效保證企業數據的安全性。
類似事件:2012店1內部人員與離職和外部人員串通,泄露90萬用戶數據。
5.徐玉玉死於電信詐騙。
關鍵詞:安全漏洞、數據庫拖拽、個人數據、精準欺詐、黑產。
2065438+2006年8月,高考生徐玉玉被電信詐騙分子騙取9900元學費,被發現被騙後心臟驟停死亡。據警方調查,騙取徐玉玉學費的電信詐騙分子的信息來自網上非法出售的高考個人信息,其來源是黑客利用安全漏洞入侵“山東2016高考網上報名信息系統”網站,下載山東省高考考生數據60余萬條,並在高考結束後開始在網上非法出售給電信詐騙分子。
近年來,針對中國公民個人信息的竊取和交易,已經形成了壹條龐大的黑色產業鏈。泄露的個人數據推動了電信詐騙、金融盜竊等壹系列犯罪活動日益“精準化”、“智能化”,對公眾的財產和人身安全構成嚴重威脅。造成這種情況的直接原因是我們的國有企事業單位全方位收集用戶數據。然而,網絡安全防護水平低、企業數據安全管理能力不足給了黑客和內部人員可乘之機,個人信息泄露後用戶通知機制的缺失增加了犯罪活動的危害性和持久性。
類似事件:2016年8月23日,山東臨沭縣大二學生宋振寧因電信詐騙突發心臟驟停,不幸離世。
6.希拉裏遭遇“郵件門”,競選失敗。
關鍵詞:私人郵件,官方郵件,維基解密,黑客
希拉裏“郵件門”是指民主黨總統候選人希拉裏在擔任美國國務卿期間,在沒有事先通知國務院相關部門的情況下,使用私人郵箱和服務器處理公務,希拉裏處理的數千封未加密郵件包含國家機密。同時,希拉裏在離任前沒有上交所有的公務郵件記錄,違反了國務院關於聯邦信息記錄保存的相關規定。2065438+2006年7月22日,美國司法部宣布不會指控希拉裏後,維基解密開始公布黑客侵入希拉裏及其親信郵箱系統後獲得的郵件,最終導致美國聯邦調查局重啟調查,希拉裏競選總統的支持率直線下降。
作為壹名重要的政府官員,希拉裏缺乏必要的數據安全意識。她在擔任美國國務卿期間,未經許可設置服務器處理公務郵件,違反了聯邦信息安全管理要求和國務院關於使用私人郵箱收發或存儲機密信息是違法行為的規定。私自搭建的郵件服務器缺乏必要的安全防護,無法應對高水平黑客的攻擊,導致重要數據泄露,被國內外政敵充分利用,最終導致大選失利。
類似事件:2065438+2006年3月,五角大樓宣布美國國防部長阿什頓·卡特的數百封郵件是通過私人郵件發送的。卡特再次承認自己有錯,但相關郵件沒有壹封是保密的。
7.法國數據保護局警告微軟,Windows10收集了太多用戶數據。
關鍵詞:過度數據收集,知情同意,合規,隱私保護
2016年7月,法國數據保護監管機構CNIL向微軟發出警告信,指控微軟利用Windows 10系統收集過多用戶數據,並在未經用戶同意的情況下跟蹤用戶的瀏覽行為。同時,微軟沒有采取令人滿意的措施來確保用戶數據的安全和保密,也沒有遵守歐盟的“安全港”規定,因為它在未經用戶允許的情況下將用戶數據保存到用戶所在國以外的服務器上,並且在未經用戶允許的情況下默認開啟了許多數據跟蹤功能。CNIL限定微軟必須在三個月內解決這些問題,否則將面臨委員會的制裁。
大數據時代,各類企業都在充分挖掘用戶數據的價值,這必然導致用戶數據的過度收集和開發。隨著國際上對個人數據的保護越來越嚴格,企業在收集數據時必須加強合法合規管理,尤其要註意對用戶隱私的保護。在獲取用戶的個人數據時,必須符合“知情同意”和“數據安全”的原則,以確保組織業務的發展不會面臨數據安全和合規的風險。例如,將於2018實施的歐盟新通用數據保護法規規定,企業違反該法規的最高處罰將達到全球營收的4%,全面提升了企業數據保護的合規風險。
類似事件:2065438+2007年2月,樂視旗下Vizio因非法收集用戶數據被罰款220萬美元。
8.黑客攻擊了SWIFT系統,從孟加拉國中央銀行竊取了865,438+0萬美元。
關鍵詞:網絡攻擊、系統控制權限、虛假指揮數據、網絡金融盜竊
2065438+2006年2月5日,孟加拉國央行被黑,導致81萬美元被盜。攻擊者通過網絡攻擊或其他手段獲得孟加拉國中央銀行SWIFT系統的操作權限,並進壹步向紐約美聯儲銀行發送虛假的SWIFT轉賬指令。紐約美聯儲銀行共收到35筆轉賬請求,總金額為951萬美元,其中81萬美元被成功轉賬並被盜,成為迄今最大的網絡金融盜竊案。
SWIFT是全球重要的金融支付結算系統,以安全、可靠、高效著稱。黑客成功攻擊系統,說明網絡犯罪的技術水平在不斷提高。客觀上要求金融機構等關鍵基礎設施的網絡安全和數據保護能力不斷提升。金融系統的網絡安全保護必須加強政府與企業的協同,並開展必要的國際合作。紐約州新金融法規於07年3月17日生效,要求所有金融服務機構部署網絡安全計劃,任命首席信息安全官,並監控業務合作夥伴的網絡安全政策。美國紐約的金融監管要求為全球金融網絡安全監管樹立了標桿。我國金融機構也需要進壹步明確網絡安全責任和義務,在組織架構、安全管理、安全技術等方面落實網絡安全責任。
類似事件:2016,16年2月2日,俄羅斯央行的代理賬戶被黑客攻擊,20億俄羅斯盧布被盜。
9.海康威視安防監控設備存在漏洞,被境外IP控制。
關鍵詞:物聯網安全,弱密碼,漏洞,遠程劫持。
2015年2月27日,江蘇省公安廳發布緊急通知,江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備被境外IP地址控制。海康威視2月27日連夜發布聲明稱:江蘇省互聯網應急中心發現,部分海康威視設備因弱密碼問題(包括使用初始產品密碼等簡單密碼)被黑客攻擊,導致視頻數據泄露。
視頻監控等物聯網設備正在成為網絡攻擊的新目標。IOT設備存在諸多風險,如弱密碼、未修復已知漏洞、產品安全加固不足等。設備接入互聯網後,應對網絡攻擊的能力非常弱,這就為黑客遠程獲取控制權、監控實時數據、實施各種攻擊提供了便利。
類似事件:2016,10年6月,黑客通過控制物聯網設備對域名服務區發起僵屍攻擊,導致美國西海岸大面積斷網。
10.2000萬國內酒店入住信息被泄露。
關鍵詞:個人隱私泄露、第三方存儲、外包服務數據權、供應鏈安全
2013,10 6月,國內安全漏洞監測平臺披露,為全國4500多家酒店提供數字客房服務提供商的浙江慧達客棧公司,因為安全漏洞,在網上泄露了與其合作的酒店的入住數據。幾天後,網上出現了壹個名為“2000w開房數據”的文件,裏面有2000萬條關於酒店開房的個人信息。開房數據中,開房時間從2010下半年到2013上半年,包括姓名、身份證號、地址、手機等14字段,涉及
酒店Wi-Fi覆蓋是隨著酒店業的發展而興起的壹項常規服務。很多酒店選擇與第三方網絡服務商合作,但在實際數據交互中存在嚴重的數據泄露風險。從惠達站事件來看,壹方面,涉事酒店缺乏保護個人信息的管理措施,未能制定嚴格的數據管理權限,使得第三方服務商掌握了大量的客戶數據。另壹方面,第三方服務商匯達郵政公司網絡安全加密水平較低,在密碼驗證過程中沒有對傳輸數據進行加密,存在嚴重的系統設計缺陷。