今年两会,关于数据安全的提案再次引人关注。各类关于数据安全的声音不绝于耳,让这个全球瞩目的问题,再次受到广泛关注。
据不完全统计,从2015年开始,互联网黑灰产业从业人员就已经超过40万。尽管公开数据显示,2019年中国网络安全产业规模预计超过600亿元,但黑灰产早已达千亿元规模。
网络安全和数据安全是保障国家安全的重要组成部分。网络安全的核心就是大数据安全,大数据安全关系并影响着网络安全和国家安全、公民个人隐私权益和社会安全稳定等。大数据对国家的政治、经济、军事、科研等重大领域及人们的生活、工作、学习、社交方式具有重要影响。
虽然大数据如此重要,但当今世界大多数国家对大数据的安全管理还缺乏明确的相关法律法规。对大数据的采集、传输、存储、互联、共享、应用、交易、安全管理等权责不明确,大数据的所有权、使用权、运营权、安全责任等模糊,造成数据资源的开发和使用者经常游走在法律的边缘。
在今年第一季度,“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰,已造成重大损失。信息安全与通信保密杂志社梳理了国内外各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。
国内
01、30人贩卖6亿条个人信息获利800余万
02、一公司卖个人信息被罚320万
03、疑似超2亿国内已泄漏用户信息在国外暗网论坛兜售
国外
01、近30TB业务数据被破坏,数据分析公司Polecat遭重大安全事件
02、印度800万核酸检测结果泄露:网站漏洞太低级
03、Clubhouse音频数据遭泄露,引发安全性担忧
04、2020年美国医疗机构数据泄露造成130亿美元损失
05、巴西发生重大数据泄露事件:几乎所有巴西人受波及
06、7700万!Nitro PDF用户数据库大规模泄露
07、新西兰央行大量敏感数据泄露
08、弱口令惹祸!日产公司近20GB源代码遭到泄露
09、英国一大型整容医院遭勒索攻击,近1TB病人照片泄露
数据安全的挑战
以移动互联网、物联网为代表的信息网络日益普及,云计算、大数据等信息技术日趋成熟,复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显,数据安全风险随之增加,数据安全问题不断涌现。
一是用户隐私数据泄露事件接连不断,危害影响持续扩散。
用户隐私数据泄露事件涉及范围持续扩大、破坏性不断增强,对人们生产生活的影响日益深化。全球每年个人信息泄露事件总数呈递增趋势,重大安全事件频发。根据荷兰 Gemalto 公司2014年至2017年公布的安全违规水平指数调查报告显示。2017年全球重大数据泄露事件高达1765起,比去年同期增长77%。同时,数据安全事件带来的经济成本和经济损失居高不下。
根据IBM联合 Ponemon Institute 发布,企业的平均数据泄露总成本基本维持在350-400万美元。此外,数据安全威胁蔓延到关系经济社会运行的基础设施,乃至政治领域。2016年,剑桥分析公司不正当使用5000万Facebook用户数据,影响美国总统大选结果。2017年6月,美国共和党全国委员会承包商营销公司托管在AWS S3上超过1.98亿美国公民1.1TB的资料数据库泄露,约占选民总数61%。
据国际安全公司Risk Based Security 报告显示,2019年前9个月披露了 5183 起违规事件,总共泄露了79亿条记录,泄露记录总数同比增长112%。
二是全球数据泄露整体形势严峻,呈现出多类特点。
根据国际数据安全公司金雅拓(Gemalto)发布的《全球范围内公共数据泄露事件严重程度指数》显示,全球数据泄露形势依然严峻。与2017年同期相比,数据丢失、被盗或受损的数量大增133%,2018年上半年,每天有超过2500万条数据遭到入侵或泄露。数据泄露呈现四方面特点:
一是从数据泄露源头来看,外部人员进行恶意活动造成的数据泄露事件占比最高,达到56%;第二大原因是意外损失,超过8.79亿(9%)。
二是从数据泄露类型来看,身份盗窃漏洞的数量占比超过64%,财务数据泄露条数高达3.59亿(2017年同期为270万)。
三是从数据泄漏严重的行业或领域看,社交媒体泄露的数据条数(56%)排名第一,医疗领域在数据安全事故数量上继续领先(27%)。
四是从数据泄露地理分布来看,北美仍占大头,违规行为占59%,数据受损占72%,欧洲的事件数量减少了36%,但违规记录数量增加了28%,澳大利亚的事件披露数量从18 个增加到 308 个。
三是云计算安全事故频发,数据安全问题日益突出。
近年来,云安全导致的数据安全事件不断发生。2016年9月,Cloudflare 数百万网络托管客户数据被泄露;2017年6月,亚马逊AWS 共和党数据库中的美国2亿选民个人信息被曝光。
与此同时,数据相关企业内部安全管理问题日益凸显,主要表现在未得到用户授权的情况下,收集和使用用户数据信息;安全运维策略缺陷,运维人员可接触用户数据信息以及用户数据不切合自身利益,忽略长期潜在的未知安全问题。
四是移动互联网数据安全威胁日益加深,安全隐患难以缓解。
当前,移动互联网已成为数据安全威胁扩散的重要途径。侵犯数据安全的恶意应用、木马等日益增多,对用户的人身、财产安全构成了极大隐患。根据腾讯安全联合实验室发布的《2018 上半年互联网黑产研究报告》,2018年上半年手机病毒类型多达数十种,个人隐私信息获取成为继资费消耗、恶意扣费之后的第三大病毒类型,占手机病毒数量总比重的20.40%。同时,由于手机病毒功能的日益复杂化,一款病毒往往兼具多种恶意行为。
2018年4月初,腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马,伪装成正常的支付插件,在用户不知情的情况下,私自发送订购短信,同步上传用户手机固件信息和隐私,造成用户资费损耗和隐私泄露。
五是数据交易黑色地下产业链活动猖獗,治理之路漫漫。
数据交易黑色地下产业链交易的数据范围日益广泛,主要包括:用户账号、密码、网银账户等可以直接用以进行经济犯罪的信息以及手机号码、家庭住址、兴趣爱好等隐私信息。我国的数据交易黑色地下产业链存在已久,近年来,地下产业链的规模,产值不断扩大,不仅侵犯虚拟数据资产,更带来了实际的经济利益损失,对数据安全和经济安全构成了极大威胁。地下产业链治理非一日之功。
推进我国数据安全保护工作的思考与建议
面对当前数据安全严峻形势,我国需要从实际出发,不断完善管理制度,积极研发数据安全技术,多管齐下,建立以法律法规为准绳、战略政策为方向、管理体制机制为保障、技术手段为依托、标准指引和评估规范为支撑的全方位数据安全保护体系。
(一)科学推进数据安全保护立法进程,扩展现有法律的调整范围。一是加快立法进程,尽快立法明确数据保护对象、范畴和违法责任,制定关于数据开放共享和跨境流动监管的法律条款;二是拓宽法律调整范畴,将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。
(二)尽快出台数据保护的战略规划和政策法规。首先,应从国家战略资源、经济生产要素的高度重塑数据安全的定位,强化数据安全与发展的战略统筹;其次,出台针对数据跨境流动、长臂管辖等热点问题的监管政策,制定通信、金融等重点行业的重要数据和用户信息的跨境流动监管政策,推动立法规范我国公民个人信息和重要数据的境内存储;此外,要积极参与国际规则的制定,提升我国在数据保护领域的话语权,为我国开展数据安全保护营造良好的国际环境。
(三)完善机制,将数据安全保护纳入国家网络安全管理的核心范畴。在国家层面,设立或者指定统领性的数据安全管理机构,在各行业设置或指定数据安全的接口部门,完善数据保护行政监管体系,确立数据保护的行业监管模式,建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制,鼓励行业自律组织制定、实施行业自律规范,建立企业间交流沟通的渠道和平台;在行政监管方面,加强网络数据资源开放共享和商业合作的安全管理,建立完备的数据跨境流动审查机制,建立健全大规模用户信息泄露事件企业向行业主管部门报告和社会公告制度,健全完善用户隐私泄露举报机制。
(四)加强数据保护关键技术攻关,提升数据跨境流动监管能力。一是要提升数据基础设施安全可控水平,加大自主创新力度,突破存储设备、服务器等关键设备,操作系统等基础软件的核心关键技术,加快推动安全可控软硬件的应用推广;二是要加强数据保护关键技术手段建设,加快身份管理、防御 APT 攻击等关键技术研发;三是要加快能够有效发现、处置敏感数据违法跨境流动行为的监管支撑能力研发。
(五)统筹规划制定数据安全相关标准,推动开展数据跨境流动安全评估。一是加强标准研发工作,构建我国数据安全标准体系,积极研发通用和专用的数据安全标准;二是建立安全评估制度,引导行业内第三方机构开展数据安全相关的检测和评估,开展针对数据跨境流动的专项安全评估。
今年两会,关于数据安全的提案再次引人关注。各类关于数据安全的声音不绝于耳,让这个全球瞩目的问题,再次受到广泛关注。
据不完全统计,从2015年开始,互联网黑灰产业从业人员就已经超过40万。尽管公开数据显示,2019年中国网络安全产业规模预计超过600亿元,但黑灰产早已达千亿元规模。
网络安全和数据安全是保障国家安全的重要组成部分。网络安全的核心就是大数据安全,大数据安全关系并影响着网络安全和国家安全、公民个人隐私权益和社会安全稳定等。大数据对国家的政治、经济、军事、科研等重大领域及人们的生活、工作、学习、社交方式具有重要影响。
虽然大数据如此重要,但当今世界大多数国家对大数据的安全管理还缺乏明确的相关法律法规。对大数据的采集、传输、存储、互联、共享、应用、交易、安全管理等权责不明确,大数据的所有权、使用权、运营权、安全责任等模糊,造成数据资源的开发和使用者经常游走在法律的边缘。
在今年第一季度,“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰,已造成重大损失。信息安全与通信保密杂志社梳理了国内外各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。
国内
01、30人贩卖6亿条个人信息获利800余万
02、一公司卖个人信息被罚320万
03、疑似超2亿国内已泄漏用户信息在国外暗网论坛兜售
国外
01、近30TB业务数据被破坏,数据分析公司Polecat遭重大安全事件
02、印度800万核酸检测结果泄露:网站漏洞太低级
03、Clubhouse音频数据遭泄露,引发安全性担忧
04、2020年美国医疗机构数据泄露造成130亿美元损失
05、巴西发生重大数据泄露事件:几乎所有巴西人受波及
06、7700万!Nitro PDF用户数据库大规模泄露
07、新西兰央行大量敏感数据泄露
08、弱口令惹祸!日产公司近20GB源代码遭到泄露
09、英国一大型整容医院遭勒索攻击,近1TB病人照片泄露
数据安全的挑战
以移动互联网、物联网为代表的信息网络日益普及,云计算、大数据等信息技术日趋成熟,复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显,数据安全风险随之增加,数据安全问题不断涌现。
一是用户隐私数据泄露事件接连不断,危害影响持续扩散。
用户隐私数据泄露事件涉及范围持续扩大、破坏性不断增强,对人们生产生活的影响日益深化。全球每年个人信息泄露事件总数呈递增趋势,重大安全事件频发。根据荷兰 Gemalto 公司2014年至2017年公布的安全违规水平指数调查报告显示。2017年全球重大数据泄露事件高达1765起,比去年同期增长77%。同时,数据安全事件带来的经济成本和经济损失居高不下。
根据IBM联合 Ponemon Institute 发布,企业的平均数据泄露总成本基本维持在350-400万美元。此外,数据安全威胁蔓延到关系经济社会运行的基础设施,乃至政治领域。2016年,剑桥分析公司不正当使用5000万Facebook用户数据,影响美国总统大选结果。2017年6月,美国共和党全国委员会承包商营销公司托管在AWS S3上超过1.98亿美国公民1.1TB的资料数据库泄露,约占选民总数61%。
据国际安全公司Risk Based Security 报告显示,2019年前9个月披露了 5183 起违规事件,总共泄露了79亿条记录,泄露记录总数同比增长112%。
二是全球数据泄露整体形势严峻,呈现出多类特点。
根据国际数据安全公司金雅拓(Gemalto)发布的《全球范围内公共数据泄露事件严重程度指数》显示,全球数据泄露形势依然严峻。与2017年同期相比,数据丢失、被盗或受损的数量大增133%,2018年上半年,每天有超过2500万条数据遭到入侵或泄露。数据泄露呈现四方面特点:
一是从数据泄露源头来看,外部人员进行恶意活动造成的数据泄露事件占比最高,达到56%;第二大原因是意外损失,超过8.79亿(9%)。
二是从数据泄露类型来看,身份盗窃漏洞的数量占比超过64%,财务数据泄露条数高达3.59亿(2017年同期为270万)。
三是从数据泄漏严重的行业或领域看,社交媒体泄露的数据条数(56%)排名第一,医疗领域在数据安全事故数量上继续领先(27%)。
四是从数据泄露地理分布来看,北美仍占大头,违规行为占59%,数据受损占72%,欧洲的事件数量减少了36%,但违规记录数量增加了28%,澳大利亚的事件披露数量从18 个增加到 308 个。
三是云计算安全事故频发,数据安全问题日益突出。
近年来,云安全导致的数据安全事件不断发生。2016年9月,Cloudflare 数百万网络托管客户数据被泄露;2017年6月,亚马逊AWS 共和党数据库中的美国2亿选民个人信息被曝光。
与此同时,数据相关企业内部安全管理问题日益凸显,主要表现在未得到用户授权的情况下,收集和使用用户数据信息;安全运维策略缺陷,运维人员可接触用户数据信息以及用户数据不切合自身利益,忽略长期潜在的未知安全问题。
四是移动互联网数据安全威胁日益加深,安全隐患难以缓解。
当前,移动互联网已成为数据安全威胁扩散的重要途径。侵犯数据安全的恶意应用、木马等日益增多,对用户的人身、财产安全构成了极大隐患。根据腾讯安全联合实验室发布的《2018 上半年互联网黑产研究报告》,2018年上半年手机病毒类型多达数十种,个人隐私信息获取成为继资费消耗、恶意扣费之后的第三大病毒类型,占手机病毒数量总比重的20.40%。同时,由于手机病毒功能的日益复杂化,一款病毒往往兼具多种恶意行为。
2018年4月初,腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马,伪装成正常的支付插件,在用户不知情的情况下,私自发送订购短信,同步上传用户手机固件信息和隐私,造成用户资费损耗和隐私泄露。
五是数据交易黑色地下产业链活动猖獗,治理之路漫漫。
数据交易黑色地下产业链交易的数据范围日益广泛,主要包括:用户账号、密码、网银账户等可以直接用以进行经济犯罪的信息以及手机号码、家庭住址、兴趣爱好等隐私信息。我国的数据交易黑色地下产业链存在已久,近年来,地下产业链的规模,产值不断扩大,不仅侵犯虚拟数据资产,更带来了实际的经济利益损失,对数据安全和经济安全构成了极大威胁。地下产业链治理非一日之功。
推进我国数据安全保护工作的思考与建议
面对当前数据安全严峻形势,我国需要从实际出发,不断完善管理制度,积极研发数据安全技术,多管齐下,建立以法律法规为准绳、战略政策为方向、管理体制机制为保障、技术手段为依托、标准指引和评估规范为支撑的全方位数据安全保护体系。
(一)科学推进数据安全保护立法进程,扩展现有法律的调整范围。一是加快立法进程,尽快立法明确数据保护对象、范畴和违法责任,制定关于数据开放共享和跨境流动监管的法律条款;二是拓宽法律调整范畴,将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。
(二)尽快出台数据保护的战略规划和政策法规。首先,应从国家战略资源、经济生产要素的高度重塑数据安全的定位,强化数据安全与发展的战略统筹;其次,出台针对数据跨境流动、长臂管辖等热点问题的监管政策,制定通信、金融等重点行业的重要数据和用户信息的跨境流动监管政策,推动立法规范我国公民个人信息和重要数据的境内存储;此外,要积极参与国际规则的制定,提升我国在数据保护领域的话语权,为我国开展数据安全保护营造良好的国际环境。
(三)完善机制,将数据安全保护纳入国家网络安全管理的核心范畴。在国家层面,设立或者指定统领性的数据安全管理机构,在各行业设置或指定数据安全的接口部门,完善数据保护行政监管体系,确立数据保护的行业监管模式,建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制,鼓励行业自律组织制定、实施行业自律规范,建立企业间交流沟通的渠道和平台;在行政监管方面,加强网络数据资源开放共享和商业合作的安全管理,建立完备的数据跨境流动审查机制,建立健全大规模用户信息泄露事件企业向行业主管部门报告和社会公告制度,健全完善用户隐私泄露举报机制。
(四)加强数据保护关键技术攻关,提升数据跨境流动监管能力。一是要提升数据基础设施安全可控水平,加大自主创新力度,突破存储设备、服务器等关键设备,操作系统等基础软件的核心关键技术,加快推动安全可控软硬件的应用推广;二是要加强数据保护关键技术手段建设,加快身份管理、防御 APT 攻击等关键技术研发;三是要加快能够有效发现、处置敏感数据违法跨境流动行为的监管支撑能力研发。
(五)统筹规划制定数据安全相关标准,推动开展数据跨境流动安全评估。一是加强标准研发工作,构建我国数据安全标准体系,积极研发通用和专用的数据安全标准;二是建立安全评估制度,引导行业内第三方机构开展数据安全相关的检测和评估,开展针对数据跨境流动的专项安全评估。
- [ 2022-08-08 ] 云顶集团动态│沈昌祥院士莅临云顶集团信安考察指导
- [ 2024-10-30 ] 热烈庆祝yd2333云顶电子游戏融入中国中检大家庭!
- [ 2024-10-28 ] 中国中检举办网络数据安全合规治理体系与创新战略研讨会
- [ 2024-10-28 ] 全国首批!yd2333云顶电子游戏成功通过2024年度数据安全服务能力验证
- [ 2024-10-25 ] 云顶集团动态丨yd2333云顶电子游戏与合肥工业大学、京师合肥律所开展产学研三方合作交流
- [ 2024-10-21 ] 中国中检江苏公司认证事业部总经理冯旭升一行莅临yd2333云顶电子游戏调研交流
- [ 2024-10-03 ] 云顶集团网络安全合规治理数智平台入选安徽省工信厅第七批省级服务型制造示范