如今的互联设备保存了我们大量的重要信息,从银行账户,个人信息到行业机密,持续增长的互联设备让网络入侵者看到了新的机会,并利用这些潜在安全 洞牟利,中国互联网协会发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到今年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。
我们通常遭到的电信诈骗、网络欺诈、个人信息泄露,背后往往都有一个黑色的影子,在一条地下黑色产业链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客。有业内人士测算,中国网络安全相关的黑色产业链(简称“网络黑产”)从业人员已经超过150万,黑产市场规模已经达到千亿级别,这与中国互联网协会公布的网民损失数据大致相符。但是,目前中国企业安全产品的市场规模仅有300亿元左右。
信息安全面临多重挑战
应该说,企业及个人信息泄露所遭受的损失只是整个互联网信息安全的冰山一角,随着移动互联网大行其道,大数据、云计算的大规模普及,我们面临的信息安全面临着多重挑战。
一方面,信息安全环境正在发生演变,从此前的PC转向APP、数据中心和云端,来自阿里巴巴的统计数据显示,2015年iOS 洞增长1.28倍,Android 洞增长10倍。比如前两年爆出的苹果iOS系统的APP出现大范围的问题,其原因就出在APP制作商为图方便,使用了非官方下载的苹果APP制作软件,被不法分子有机可乘。显然,信息安全已经是一个系统性的问题,一出问题就是“牵一发而动全身”。
另一方面,安全问题也已成为快速增长的物联网行业的潜在风险,随着物联网产品和服务越来越受欢迎,它们会成为黑客攻击的目标。惠普的研究表明,最常使用的物联网设备中有70%含有 洞,到2020年,全球将有260亿部互联终端,物联网带来了巨大的机遇,同时也暗藏风险。
在上个月刚结束的上海世界移动大会上,主办方对现场观众进行了一个调查,当问及观众是否会信任一辆完全自动驾驶的汽车时,仅有16%的人选择了完全信任,高达69%的观众选择了可能会信任,剩余15%则表示绝不可能信任。这一投票结果足以显示出,现在人们对于自动驾驶的信任度还比较低,其中的核心就是互联网汽车的安全性问题。
正因为安全问题如此复杂跟严峻 ,在今年的各大论坛上,信息安全问题都被重点关注,为此,人民网IT频道也采访了相关的网络安全专家。
“五年以前,或者十年以前,那时候数据安全,比现在真好做多了。”阿里巴巴集团安全部副总裁杜跃进博士在接受人民网IT频道专访时表示,“今天最大的难点是数据本身是跟业务融在一起的,它跟业务不再是分开的。”
信息安全的实质是风险可控
作为一位资深的安全行业专家,杜跃进博士从1999年开始就一直在网络信息安全的第一线工作,在他看来,从来没有绝对的安全。现在大家讲的网络信息安全,是人和人的对抗,凡是人和人的对抗,都没有绝对的结果,这就像体育比赛一样。
“发展与安全是放到一起来看的,拆开了看是没有意义的。”在接受采访的过程中,杜跃进一直强调这句话,“你把安全放掉了的话,发展可能会一头掉到悬崖下面去了。而不论发展只要安全的话,那一定是阻碍进步甚至是因噎废食的,一定会让中国失掉这次弯道超车的机会。”
在他看来,要想发展,一定是要承受一定的风险。如果是什么风险都不承受的话,那是一定不可能发展的。在专业人士看来,安全与发展是一个硬币的两面,那些忽略信息安全的公司将会失去消费者的信任,并面临极大的风险。而只有将确保安全放在最首要的位置,才能在抓住移动互联网发展这一巨大的机遇。
既然没有绝对的安全,需要在风险中求发展,最终就落在四个字上面:风险可控。
据了解,目前阿里巴巴(包括蚂蚁金服、高德地图等)体系内的信息安全员工达到了三四千人的规模,腾讯、百度的负责网络及信息安全的员工也超过千人,但大量的中小企业的安全形势不容乐观。
信息安全风险可控需要建立标准
在2016上海世界移动大会上,GSMA Intelligence研究总监Tim Hatt介绍到,金融和专业服务是2015年受到网络攻击最多的两个领域,而美国和中国则是全球企业网络攻击最大的两个目标。他强调,强有力的主动防护对于企业的信息安全来说是至关重要的。
杜跃进认为,数据安全是当今最重要的信息安全风险之一。对于企业来说,要做数据安全的风险可控,首先应该解决的问题是如何建立一套科学的评估模型,这也是他近年来一直努力推动的方向。
他将这个企业数据安全能力的评估模型分解为四个因子:一是组织内部整个的组织架构设置,是不是适合于企业的数据保护工作;第二是组织内部的体制机制设计,是不是能够确保相关的组织和人员发挥预期的作用,例如有没有获得相应的授权;第三就是技术手段,在数据的整个生命周期里面,是不是有完备的数据安全相关技术手段;第四个部分是人员的能力,各个数据安全岗位上的人员是不是符合其岗位所需要的能力要求。
“把这四个因子捏到一起,又可以拆分成几十个指标项,从而可以用来衡量一个组织机构的数据安全的能力到什么程度了。”杜跃进说。
这个模型是动态的,什么叫动态的呢,刚才说的四个因子,都会发生变化,在新的数据安全威胁下,形势可能不一样,会发现过去的组织结构跟机制设计不行了,新的攻防技术越来越厉害了,技术产品要升级了。这些东西都算出来之后,应该是有一个值出来,可以用来衡量一个机构它的数据保护能力。在杜跃进看来,可以通过这个值来判断安全能力是好还是不好,但这个值是永远达不到100分的。
据了解,目前杜跃进领导的团队,提出的这套模型,正在争取国家跟国际标准组织的认可。“标准的提出是第一步,我们的第一步总要迈出去,最终我们会看他有没有价值。”
给中小企业提供安全指南
《2016中国网民权益保护调查报告》显示,2016年上半年以来,我国网民平均每周收到垃圾邮件18.9 、垃圾短信20.6条、骚扰电话21.3个,其中骚扰电话是网民最为反感的骚扰来源;76%的网民曾遇到过“冒充银行、互联网公司、电视台等进行中奖诈骗的网站”,冒充公安、社保等部门进行诈骗和社交软件上进行诈骗的情况有增长趋势,37%的网民因收到各类网络诈骗而遭受经济损失。
虽然大家都遇到过个人信息泄露的问题,但是这些信息到底是如何泄露的呢?
实际上,从电信运营商网络信号发出的那一刻起,我们的移动安全就已经开始面临威胁。而随着云计算及大数据的发展,静态数据变成了动态数据,数据与业务又高度融合,让信息安全变成了一个系统性的问题。由于环节太多,一旦发生信息泄露问题,要抓出元凶都不是一件容易的事情。
“过去的数据是静态的,现在的数据是流动的,而且是跟业务融在一起流动的。这是我们现在做信息安全的一个前提,也是很大的挑战。”杜跃进说。
以电商平台为例,上千万商家背后的软件是由是独立软件供应商提供的,这些软件很多可能存在 洞,要解决这个问题,在杜跃进看来,需要用到外部的力量,给独立软件供应商提供服务,解决信息泄露问题。
杜跃进说:“国内有大量的中小企业,他们有安全需求,但是他们没有安全能力。我们重点帮他们解决信息泄露的问题,这是我们的抓手。”
这与国际组织在物联网安全领域正在做得事情不谋而合,目前,GSMA已经制定了一套涵盖多种场景的物联完全指南,该指南可以帮助厂商获得更多安全保障,提供有效建议,指导厂商通过可信任的计算库为其设备提供最佳的身份保护。物联网安全指南可以为企业提供详细的流程指导,将厂商的设备安全地推向市场,并且保证其在整个生命周期中保持安全。
国内有千万家中小企业,他们有安全需求,但是他们没有安全能力,中小企业正是长尾的部分,每个生意都非常小,利润也非常小,但这个利润如何汇集起来,就会变成大生意,显然,在安全领域也是如此。
“这部分市场能不能拿到,取决于我们的安全产业能不能转型。”在采访即将结束时,作为一位信息安全领域的老兵,杜跃进最后说道。