数据安全有哪些案例?
员工偷偷窃取上亿用户信息。
今年年初,公安部破获了一起窃取、贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交网络、银行等领域的上亿条,然后这些用户的个人信息通过各种方式在网络黑市出售。警方发现幕后的主要嫌疑人是这家公司泄露信息的员工。
业内数据安全专家评价,这起案件泄露了上亿条公民个人信息,主要问题在于内部数据安全管理的短板。
国外的情况也不乐观。2016年9月22日,全球互联网巨头雅虎证实,2014年至少有5亿用户的账户信息被盗。被盗内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产的运营中牟利。危害轻的话,偷钱会要了他们的命。去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死,其他数据安全事件可见一斑。
去年7月,微软windows 10也因未能遵守欧盟的“安全港”规定,过度收集用户数据而受到法国数据保护监管机构CNIL的警告。
上海社科院互联网研究中心发布的报告指出,随着数据资源商业价值的凸显,数据的攻击、窃取、滥用、劫持等活动持续泛滥,并呈现出产业化、高科技、国际化的特点,对国家和数据生态治理水平以及组织的数据安全能力提出了新的挑战。
目前,重要商业网站的海量用户数据是企业的核心资产,也是私人黑客乃至国家攻击的重要目标。重点企业的数据安全管理面临严峻压力。
企业和组织如何提高数据安全能力?
企业迫切需要提高数据安全管理能力。
“大数据安全威胁渗透到数据生产、流通、消费等大数据产业的各个环节,包括数据源、大数据处理平台、大数据分析服务在内的各类主体都是威胁源。”上海社科院信息研究所所长惠志斌告诉记者,大数据安全事件的风险成因复杂交织,既有外部攻击和内部泄密,也有技术漏洞和管理缺陷,既有新技术、新模式引发的新风险,也有传统安全问题。
5月27日,中国互联网协会副秘书长石现生表示,互联网日益成为经济社会运行的基础,网络数据安全的意识、能力和保护手段面临新的挑战。
将于今年6月1实施的《网络安全法》,重点关注企事业单位数据泄露相关问题。该法案要求各类机构承担确保数据安全的责任,即保密性、完整性和可用性。此外,需要确保个人对其个人信息的安全和可控。
史宪生介绍,早在2015年,国务院就发布了《促进大数据发展行动计划》,明确提出要“完善大数据安全保障体系”,“强化安全支撑,提高关键基础设施设备安全可靠性水平”。
“目前很多企事业单位不知道如何提高数据安全管理能力,也不知道用什么标准来衡量。”一位业内人士表示,问题的症结在于国内的数据安全管理还处于初级阶段,很多企业没有建立数据安全评估体系,或者说没有完整的评估参考标准。
“大数据安全能力成熟度模型”已申请国家标准。
博览会期间,记者从“大数据安全产业实践高峰论坛”上获悉,为解决这一问题,全国信息安全标准化技术委员会等职能部门,联合数据安全领域的标准化专家学者和行业代表企业,着手制定一套机构数据安全能力的评估标准——“大数据安全能力成熟度模型”,该模型基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model,DSMM)。
阿里巴巴集团安全部部长郑斌介绍了DSMM。
作为该标准项目的主要起草人,阿里巴巴集团安全部总监郑斌表示,该标准是DSMM基于阿里巴巴自身数据安全管理实践经验起草的第一份草案,旨在与同行业分享阿里的经验,提升行业整体安全能力。
“互联网用户的信息安全从来就不是一个公司的事情。”郑斌表示,“大数据安全能力成熟度模型”的制定也是由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安第三研究所、清华大学和阿里云计算有限公司等权威数据安全机构、学术机构和企业共同提出的。