導(dǎo)讀:對于企業(yè)、組織、國家來說,信息安全意味著信譽(yù)降級、經(jīng)濟(jì)損失甚至是系統(tǒng)癱瘓退出市場。
坊間一直傳言,互聯(lián)網(wǎng)巨頭阿里之所以不會(huì)被黑客攻擊,是因?yàn)榉彩怯懈呒夹g(shù)的“黑客”攻擊完阿里系統(tǒng)之后都會(huì)被收入麾下。以至于留下了廣為流傳的段子:
一位15歲就考入西安交大少年班的天才少年,在2005年其20歲時(shí)參加了阿里巴巴的實(shí)習(xí)面試。在展示個(gè)人能力環(huán)節(jié),其略顯靦腆地在電腦上敲了幾行代碼,就在面試官不以為然的時(shí)候,整個(gè)阿里巴巴內(nèi)部網(wǎng)絡(luò)同時(shí)癱瘓!瞬間驚呆了面試官,最終馬云下了死命令,怎么也得留住他。于是阿里用500萬的年薪將這個(gè)天才少年留了下來。而這位靦腆的天才少年就是當(dāng)年號稱中國最頂尖“黑客”之一。
近期,當(dāng)事人出面辟謠并表示,網(wǎng)絡(luò)流傳的段子是假的,阿里不會(huì)高新聘請黑阿里網(wǎng)站的人,反而會(huì)交給警察。
難以逃脫的信息安全漏洞
“生活在一個(gè)透明的世界”
“經(jīng)常被電話騷擾、推銷產(chǎn)品”
“個(gè)人信息基本不存在隱私”
對于個(gè)人而言,這就是我們所能感受到的信息安全威脅;
而對于企業(yè)、組織、國家來說,信息安全意味著信譽(yù)降級、經(jīng)濟(jì)損失甚至是系統(tǒng)癱瘓退出市場。
2019年出現(xiàn)的部分重大的信息安全事件:
01
2019年1月20日凌晨,國內(nèi)一家電商平臺被曝出現(xiàn)重大BUG,用戶可領(lǐng)100元無門檻券。官方表示,有黑灰產(chǎn)團(tuán)伙通過一個(gè)過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺優(yōu)惠券,進(jìn)行不正當(dāng)牟利
02
2019年2月16日,一網(wǎng)友在微博發(fā)布視頻稱,某APP疑似會(huì)獲取用戶的截圖和照片并上傳。經(jīng)排查,發(fā)現(xiàn)安卓系統(tǒng)上的APP5.0.5以后版本存在該問題,并已定位問題且下線修復(fù),該功能屬于需求錯(cuò)誤開發(fā)
03
2019年3月22日一份報(bào)告指出,F(xiàn)acebook在沒有加密的情況下存儲(chǔ)了數(shù)億用戶的密碼,并且以明文的方式展示給數(shù)萬名公司職員。據(jù)調(diào)查,此事件直接影響可能多達(dá)6億用戶。
04
2019年6月15日,《紐約時(shí)報(bào)》發(fā)表報(bào)道稱,美國政府官員承認(rèn),早在2012年就在俄羅斯電網(wǎng)中植入病毒程序,可隨時(shí)發(fā)起網(wǎng)絡(luò)攻擊
05
2019年7月,美國銀行第一資本金融公司披露,一名黑客獲取了逾1億名顧客和潛在顧客的個(gè)人信息,包括姓名、地址、電話號碼和生日
06
2019年7月,南非約翰內(nèi)斯堡的City Power電力公司遭受勒索病毒攻擊,該公司的應(yīng)用程序、數(shù)據(jù)庫都被黑客進(jìn)行了惡意加密,導(dǎo)致對外服務(wù)基本陷入癱瘓
從以上案例可以看出,無論是互聯(lián)網(wǎng)企業(yè),還是政府都難以逃脫高度信息網(wǎng)絡(luò)化帶來的信息安全問題。而信息安全問題一方面來自外部的惡意攻擊,還有一部分原因是系統(tǒng)本身出現(xiàn)漏洞。
網(wǎng)絡(luò)信息安全態(tài)勢緊張,成本增加
廣義的信息安全是指保護(hù)資源免受各種類型威脅、干擾和破壞,即保證信息的機(jī)密性、完整性與可用性。據(jù)公開數(shù)據(jù),2019年上半年,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)自主監(jiān)測發(fā)現(xiàn)約4.6萬個(gè)針對我國境內(nèi)網(wǎng)站的仿冒頁面,境內(nèi)外約1.4萬個(gè)IP地址對我國境內(nèi)約2.6萬個(gè)網(wǎng)站植入后門,同比增長約1.2倍。
網(wǎng)絡(luò)信息安全態(tài)勢緊張,如何防止信息外泄成為全民互聯(lián)網(wǎng)時(shí)期重要議題。
面對嚴(yán)峻的信息安全現(xiàn)狀,一度出現(xiàn)文章開頭的傳言,大型互聯(lián)網(wǎng)企業(yè)不惜重金將所謂的“黑客”收入麾下,以增強(qiáng)自身的技術(shù)防御能力,識別出每天上億次的惡意攻擊。
但是,此方法僅僅是“段子”,對國家、企業(yè)系統(tǒng)進(jìn)行破壞等于犯罪行為,聘請更高層級的技術(shù)人員在多數(shù)時(shí)候治標(biāo)不治本。
一個(gè)會(huì)被輕易攻擊的系統(tǒng),是一個(gè)有嚴(yán)重漏洞的系統(tǒng),至少其系統(tǒng)管理是不規(guī)范的,而全世界的公司在整個(gè)管理系統(tǒng)中正花費(fèi)著更多的成本。根據(jù)IBM最新的數(shù)據(jù)泄露年度成本研究,平均數(shù)據(jù)泄露成本現(xiàn)在高達(dá)392萬美元,這些費(fèi)用在過去五年里增加了12%。
市場上漲,防范未然
網(wǎng)絡(luò)信息安全頻繁出現(xiàn)的同時(shí)也促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展?!笆濉币詠?,我國網(wǎng)絡(luò)安全產(chǎn)業(yè)保持高速增長,2019年產(chǎn)業(yè)規(guī)模超過600億元,年增長率超過20%,明顯高于國際8%的平均增數(shù),保持健康的發(fā)展態(tài)勢。
另外,隨著一系列法律法規(guī)的實(shí)施,信息安全管理的規(guī)范性將日益凸顯。
1.第十三屆全國人大常委會(huì)第十四次會(huì)議正式通過《密碼法》;
2.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》三項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布;
3. 工信部、教育部、生態(tài)環(huán)境部等十部門聯(lián)合發(fā)布《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》;
4.《數(shù)據(jù)安全管理辦法(征求意見稿)》已經(jīng)由國家互聯(lián)網(wǎng)信息辦公室發(fā)布;
多數(shù)時(shí)候,信息泄露所呈現(xiàn)的不僅僅是經(jīng)濟(jì)糾紛,更多的是大眾對企業(yè)信用的懷疑。對企業(yè)、政府而言,面對信息安全管理,需要的不僅是高端的技術(shù)人才,也需要規(guī)范管理,及時(shí)更新發(fā)現(xiàn)漏洞。在信息安全管理方面,英國標(biāo)準(zhǔn)ISO27000已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)之一。
據(jù)了解,ISO27000管理體系認(rèn)證是以信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、加密、物理和環(huán)境安全、操作安全、通信安全、系統(tǒng)的獲取、開發(fā)和維護(hù)、供應(yīng)關(guān)系、信息安全事件管理、信息安全方面的業(yè)務(wù)持續(xù)管理等為內(nèi)容對企業(yè)信息安全管理進(jìn)行評估和持續(xù)改進(jìn)。
根據(jù) ESI Thoughtlab 發(fā)布的研究報(bào)告顯示,公司在網(wǎng)絡(luò)安全中持續(xù)增加的投入可以產(chǎn)生 179% 的超高投資回報(bào)(ROI)。因此,企業(yè)、組織通過第三方認(rèn)證建立起標(biāo)準(zhǔn)規(guī)范的信息安全管理體系,對風(fēng)險(xiǎn)評估結(jié)果建立具有針對性的規(guī)范管理,通過認(rèn)證向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性,能夠最大程度減弱發(fā)生信息安全問題時(shí)的負(fù)面影響,減小損失。