如今的互聯設備保存了我們大量的重要資訊,從銀行賬戶,個人資訊到行業機密,持續增長的互聯設備讓網路入侵者看到了新的機會,並利用這些潛在安全漏洞牟利,中國網際網路協會發佈的《2016中國網民權益保護調查報告》顯示,從2015年下半年到今年上半年的一年間,我國網民因垃圾資訊、詐騙資訊、個人資訊洩露等遭受的經濟損失高達915億元。
我們通常遭到的電信詐騙、網路欺詐、個人資訊洩露,背後往往都有一個黑色的影子,在一條地下黑色産業鏈條上,有人負責竊取數據,有人專門從事分銷,尋找目標買家或幫買家尋找駭客。有業內人士測算,中國網路安全相關的黑色産業鏈(簡稱“網路黑産”)從業人員已經超過150萬,黑産市場規模已經達到千億級別,這與中國網際網路協會公佈的網民損失數據大致相符。但是,目前中國企業安全産品的市場規模僅有300億元左右。
資訊安全面臨多重挑戰
應該説,企業及個人資訊洩露所遭受的損失只是整個網際網路資訊安全的冰山一角,隨著移動網際網路大行其道,大數據、雲計算的大規模普及,我們面臨的資訊安全面臨著多重挑戰。
一方面,資訊安全環境正在發生演變,從此前的PC轉向APP、數據中心和雲端,來自阿里巴巴的統計數據顯示,2015年iOS漏洞增長1.28倍,Android漏洞增長10倍。比如前兩年爆出的蘋果iOS系統的APP出現大範圍的問題,其原因就出在APP製作商為圖方便,使用了非官方下載的蘋果APP製作軟體,被不法分子有機可乘。顯然,資訊安全已經是一個系統性的問題,一齣問題就是“牽一髮而動全身”。
另一方面,安全問題也已成為快速增長的物聯網行業的潛在風險,隨著物聯網産品和服務越來越受歡迎,它們會成為駭客攻擊的目標。惠普的研究表明,最常使用的物聯網設備中有70%含有漏洞,到2020年,全球將有260億部互聯終端,物聯網帶來了巨大的機遇,同時也暗藏風險。
在上個月剛結束的上海世界移動大會上,主辦方對現場觀眾進行了一個調查,當問及觀眾是否會信任一輛完全自動駕駛的汽車時,僅有16%的人選擇了完全信任,高達69%的觀眾選擇了可能會信任,剩餘15%則表示絕不可能信任。這一投票結果足以顯示出,現在人們對於自動駕駛的信任度還比較低,其中的核心就是網際網路汽車的安全性問題。
正因為安全問題如此複雜跟嚴峻 ,在今年的各大論壇上,資訊安全問題都被重點關注,為此,人民網IT頻道也採訪了相關的網路安全專家。
“五年以前,或者十年以前,那時候數據安全,比現在真好做多了。”阿里巴巴集團安全部副總裁杜躍進博士在接受人民網IT頻道專訪時表示,“今天最大的難點是數據本身是跟業務融在一起的,它跟業務不再是分開的。”
資訊安全的實質是風險可控
作為一位資深的安全行業專家,杜躍進博士從1999年開始就一直在網路資訊安全的第一線工作,在他看來,從來沒有絕對的安全。現在大家講的網路資訊安全,是人和人的對抗,凡是人和人的對抗,都沒有絕對的結果,這就像體育比賽一樣。
“發展與安全是放到一起來看的,拆開了看是沒有意義的。”在接受採訪的過程中,杜躍進一直強調這句話,“你把安全放掉了的話,發展可能會一頭掉到懸崖下面去了。而不論發展只要安全的話,那一定是阻礙進步甚至是因噎廢食的,一定會讓中國失掉這次彎道超車的機會。”
在他看來,要想發展,一定是要承受一定的風險。如果是什麼風險都不承受的話,那是一定不可能發展的。在專業人士看來,安全與發展是一個硬幣的兩面,那些忽略資訊安全的公司將會失去消費者的信任,並面臨極大的風險。而只有將確保安全放在最首要的位置,才能在抓住移動網際網路發展這一巨大的機遇。
既然沒有絕對的安全,需要在風險中求發展,最終就落在四個字上面:風險可控。
據了解,目前阿里巴巴(包括螞蟻金服、高德地圖等)體系內的資訊安全員工達到了三四千人的規模,騰訊、百度的負責網路及資訊安全的員工也超過千人,但大量的中小企業的安全形勢不容樂觀。
資訊安全風險可控需要建立標準
在2016上海世界移動大會上,GSMA Intelligence研究總監Tim Hatt介紹到,金融和專業服務是2015年受到網路攻擊最多的兩個領域,而美國和中國則是全球企業網路攻擊最大的兩個目標。他強調,強有力的主動防護對於企業的資訊安全來説是至關重要的。
杜躍進認為,數據安全是當今最重要的資訊安全風險之一。對於企業來説,要做數據安全的風險可控,首先應該解決的問題是如何建立一套科學的評估模型,這也是他近年來一直努力推動的方向。
他將這個企業數據安全能力的評估模型分解為四個因子:一是組織內部整個的組織架構設置,是不是適合於企業的數據保護工作;第二是組織內部的體制機制設計,是不是能夠確保相關的組織和人員發揮預期的作用,例如有沒有獲得相應的授權;第三就是技術手段,在數據的整個生命週期裏面,是不是有完備的數據安全相關技術手段;第四個部分是人員的能力,各個數據安全崗位上的人員是不是符合其崗位所需要的能力要求。
“把這四個因子捏到一起,又可以拆分成幾十個指標項,從而可以用來衡量一個組織機構的數據安全的能力到什麼程度了。”杜躍進説。
這個模型是動態的,什麼叫動態的呢,剛才説的四個因子,都會發生變化,在新的數據安全威脅下,形勢可能不一樣,會發現過去的組織結構跟機制設計不行了,新的攻防技術越來越厲害了,技術産品要升級了。這些東西都算出來之後,應該是有一個值出來,可以用來衡量一個機構它的數據保護能力。在杜躍進看來,可以通過這個值來判斷安全能力是好還是不好,但這個值是永遠達不到100分的。
據了解,目前杜躍進領導的團隊,提出的這套模型,正在爭取國家跟國際標準組織的認可。“標準的提出是第一步,我們的第一步總要邁出去,最終我們會看他有沒有價值。”
給中小企業提供安全指南
《2016中國網民權益保護調查報告》顯示,2016年上半年以來,我國網民平均每週收到垃圾郵件18.9封、垃圾短信20.6條、騷擾電話21.3個,其中騷擾電話是網民最為反感的騷擾來源;76%的網民曾遇到過“冒充銀行、網際網路公司、電視臺等進行中獎詐騙的網站”,冒充公安、社保等部門進行詐騙和社交軟體上進行詐騙的情況有增長趨勢,37%的網民因收到各類網路詐騙而遭受經濟損失。
雖然大家都遇到過個人資訊洩露的問題,但是這些資訊到底是如何洩露的呢?
實際上,從電信運營商網路信號發出的那一刻起,我們的移動安全就已經開始面臨威脅。而隨著雲計算及大數據的發展,靜態數據變成了動態數據,數據與業務又高度融合,讓資訊安全變成了一個系統性的問題。由於環節太多,一旦發生資訊洩露問題,要抓出元兇都不是一件容易的事情。
“過去的數據是靜態的,現在的數據是流動的,而且是跟業務融在一起流動的。這是我們現在做資訊安全的一個前提,也是很大的挑戰。”杜躍進説。
以電商平臺為例,上千萬商家背後的軟體是由是獨立軟體供應商提供的,這些軟體很多可能存在漏洞,要解決這個問題,在杜躍進看來,需要用到外部的力量,給獨立軟體供應商提供服務,解決資訊洩露問題。
杜躍進説:“國內有大量的中小企業,他們有安全需求,但是他們沒有安全能力。我們重點幫他們解決資訊洩露的問題,這是我們的抓手。”
這與國際組織在物聯網安全領域正在做得事情不謀而合,目前,GSMA已經制定了一套涵蓋多種場景的物聯完全指南,該指南可以幫助廠商獲得更多安全保障,提供有效建議,指導廠商通過可信任的計算庫為其設備提供最佳的身份保護。物聯網安全指南可以為企業提供詳細的流程指導,將廠商的設備安全地推向市場,並且保證其在整個生命週期中保持安全。
國內有千萬家中小企業,他們有安全需求,但是他們沒有安全能力,中小企業正是長尾的部分,每個生意都非常小,利潤也非常小,但這個利潤如何匯集起來,就會變成大生意,顯然,在安全領域也是如此。
“這部分市場能不能拿到,取決於我們的安全産業能不能轉型。”在採訪即將結束時,作為一位資訊安全領域的老兵,杜躍進最後説道。
[責任編輯:葛新燕]