网络黑灰产业比安全产业跑得快 数据保护刻不容缓
点击次数:2017-07-24 10:35:15【打印】【关闭】
自互联网、大数据、云计算等新技术发展以来,与数据相关的问题备受关注。近日,在2017首届中国数据安全峰会上,多位专家认为,大数据越来越多地被运用到能源、健康、制造、交通等领域,数据的分析与挖掘产生巨大的经济价值,但与此同时,近年来,网络安全及数据安全事件呈高发之势,网络黑灰产业已经形成巨大的产业链,数据保护刻不容缓,安全亟待升级。
数据安全事件日益高发
近年来,网络安全及数据安全事件呈高发之势。
2016年8月,“徐玉玉事件”轰动全国,一名刚高考完的女生因被诈骗电话骗走上大学的费用9900元,伤心欲绝,郁结于心,不幸离世。
2016年12月14日,雅虎宣布该公司有10亿多用户账号于2013年被黑客窃取。此次被盗的资料中可能包括姓名、联系方式、密码以及安全问答等内容,事件导致该股跌幅超过6%。
2017年5月,“永恒之蓝”事件让很多人知晓了“蠕虫恶意代码”,全球包括中国国内多个高校校内网、大型企业内网和政府机构专网“中招”,被勒索支付高额赎金才能解密恢复文件。
类似案例不胜枚举。中国工程院院士沈昌祥说:“面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,用可信计算3.0构建网络空间安全防线。”
数据安全形势严峻。一方面,业界预测,到2020年全球数据总量将增至逾40ZB(1ZB=1024EB,约为10亿TB),站在数据“肩膀”上的还有云计算、物联网以及其他方兴未艾的新技术;而另一方面,数字安全研究公司金雅拓公司(Gemalto)发布的2016年数据泄露水平指数(Breach Level Index)报告显示,2016年共发生1800起数据泄露事件,这些事件导致近14亿条记录外泄。
中国科学院院士何积丰提出,大数据与云计算、互联网等新技术相结合,正在迅速进入各个领域。当人们越来越清晰地感知到大数据时代来临,生活、工作更为便捷的同时,也有一些迷惑,甚至疑虑和忐忑。这是因为海量数据的收集、互通、共享及相关产业的出现,与之相伴而来的是数据不安全和个人隐私难于保护感。
黑灰产业跑得更快一些
“虽然网络安全和数据安全市场在起步阶段,但国内网络安全市场规模将呈爆发式增长,未来可能催生万亿级别市场。现在看来,黑灰产业跑得更快一些。”浙江华途信息安全技术股份有限公司董事长谢永胜说。
达观数据CEO陈运文分析说,形象地理解,数据安全分“黑色”和“灰色”两类,黑色主要指黑客、网络不法分子用技术手段窃取企业的内部资料,进行敲诈勒索;灰色主要指通过“半非法”手段,窃取隐私资料进行地下交易,这主要是有些数据到底可否交易到目前还没有规范下来,进而导致市场仍不完善。“从技术上讲,窃取技术主要包括实施攻击、撞库或利用钓鱼网站、木马、免费WIFI、恶意APP等。”
网络黑灰产业已经形成巨大的产业链。根据中国互联网协会《中国网民权益保护调查报告2016》显示,近一年的时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。
阿里巴巴集团安全部副总裁杜跃进说,中国现在网络黑灰产业一年的产值已达千亿,而做网络安全的全部产值不到300亿,其中黑灰产业造成的损失至少乘以20倍。很多黑灰产业从业者利用大数据的能力甚至超过一些知名互联网企业,他们能够非常精准地获取数据,进行精确诈骗。
一位数据安全专家告诉记者,数据安全方面还应该考虑数据真实性的问题。数据是资产,在数据交易过程中,一些不法人员可能会伪造一些假数据,当数据资源池中掺入故意为之的假数据,再进行挖掘、分析,导致的后果可能是很可怕的。此外,还有大数据平台的安全问题。过去,数据集中储存,保护相对容易,如今,大数据平台是典型的分布式文件系统,也会容易招惹麻烦。
多位安全专家认为,大数据平台的应用层面、基础层面都存在大量漏洞,早已不是以往可以“一隔了之”的相对封闭的安全保障水平,现在的安全防护技术远没有跟上大数据时代独有的安全需求。
构建数据安全体系势在必行
2017年6月1日,《中华人民共和国网络安全法》正式施行,该法律是我国网络安全领域第一部基础性法律,是我国网络安全基本法。
中国工程院院士倪光南表示,网络安全法对网络安全的要求往往归结为“安全可控”、“安全可信”,这都是网络安全的内涵。华为大数据安全首席战略规划师张锐认为,随着欧盟的“通用数据保护规范”,以及国内的网络安全法等世界各国家或地区对数据安全提出要求的法律及行业规范的逐步生效,全球的大数据产业正走向一个更加重视“合法”“合规”的时代。目前,对个人隐私数据的保护,和禁止跨境的数据流动是较为突出的两个点。
业界认识到,数据共享、共融、共治成为社会发展的必然趋势。近年来,政府、企业甚至个人的数据正在被“归拢”并挖掘价值。隐私保护与数据开放共生共处不可分割,同等重要。数据开放可持续性和长期效果在很大程度上取决于隐私保护的好与坏。
谢永胜表示,目前安全建设和防护主流思路仍是从“物理安全、网络、主机、应用、数据”角度,而这个思路的顺序应该是倒置的。各方应大大提升对数据安全的重视,而不是将最重要的防护对象放到最后考虑,应尽快形成完备的数据安全产业链。
“爆炸的数据,是未来世界最为重要的资源,也意味着树大招风,招引很多攻击。传统的信息安全防护手段难以有效满足大数据时代的发展需求。”陈运文说,并且数据被喻为“石油”,目前无论是政府还是大型的互联网企业都掌握自己的“原油”,在“提炼”过程中,更好地发挥和挖掘数据的潜在价值,创造更好的社会和经济效益。但哪些数据是应该可以共享、交易,还应该有所界定。