❶ 數據安全有哪些案例
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
❷ 結合生活中的案例,分析信息安全的重要性
咨詢記錄 · 回答於2021-10-27
❸ 2016年國家網路安全宣傳周的主題
經中央網路安全和信息化領導小組同意,今年的網路安全宣傳周將於9月16日至24日在全國范圍內統一舉行,主題是「網路安全為人民,網路安全靠人民」。開幕式將於9月16日在上海西郊賓館舉行。
網路安全建設離不開優秀的網路安全人才。對此,今年國家網路安全宣傳周首次開展一流網路安全學院示範高校評選活動。據悉,在宣傳周開幕式上,將對評選出的示範高校進行授牌。
(3)2016年國內重大網路安全事件擴展閱讀:
此外,中央網信辦、教育部還指導中國互聯網發展基金會網路安全專項基金組織開展了2017年網路安全優秀人才、優秀教師等評選活動。經過中央有關部門和院士推薦、專家評審、公示,評選出網路安全優秀人才10名、優秀教師10名予以表彰。
另據了解,9月19日至24日期間,教育部、工業和信息化部、公安部、人民銀行、共青團中央、全國總工會將分別組織開展校園日、電信日、法治日、金融日、青少年日、個人信息保護日等主題日活動。
❹ 2016信息安全威脅和趨勢主要來自於哪些方面
隨著2015年即將接近尾聲,我們可以預期,在2016年相關網路罪犯活動的規模、嚴重程度、危害性、復雜性都將繼續增加,一家負責評估安全和風險管理問題的非營利性協會:信息安全論壇(ISF)的總經理史蒂夫·德賓代表其成員表示說。「在我看來,2016年可能將會是網路安全風險最為嚴峻的一年。」德賓說。「我這樣說的原因是因為人們已經越來越多的意識到這樣一個事實:即在網路運營正帶來了其自己的特殊性。」德賓說,根據ISF的調研分析,他們認為在即將到來的2016年,五大安全趨勢將占據主導。
當我們進入2016年,網路攻擊將進一步變得更加具有創新性、且更為復雜,德賓說:「不幸的是,雖然現如今的企業正開發出新的安全管理機制,但網路犯罪分子們也正在開發出新的技術來躲避這些安全管理機制。在推動企業網路更具彈性的過程中,企業需要將他們的風險管理的重點從純粹的信息保密性、確保數據信息的完整性和可用性轉移到包括風險規模,如企業聲譽和客戶渠道保護等方面,並充分認識到網路空間活動可能導致的意想不到的後果。通過為未知的各種突發狀況做好萬全的准備,企業才能過具有足夠的靈活性,以抵禦各種意外的、高沖擊性的安全事件。」德賓說,ISF所發現的這些網路安全威脅趨勢並不相互排斥。他們甚至可以結合起來,創造更具破壞性的網路安全威脅配置文件。他補充說,我們預計明年將為出現新的網路安全威脅。
1、國家干預網路活動所導致的意外後果
德賓說,在2016年,有官方背景參與的網路空間相關活動或將對網路安全造成附帶的損害,甚至造成不可預見的影響和後果。而這些影響和後果的危害程度將取決於這些網路活動背後所依賴的官方組織。並指出,改變監管和立法將有助於限制這些活動,無論其是否是以攻擊企業為目標。但他警告說,即使是那些並不受牽連的企業也可能會遭受到損害。
德賓說:「我們已經看到,歐洲法院宣布歐美數據《安全港協議》無效。同時,我們正看到越來越多的來自政府機構關於重視數據隱私的呼籲,盡管某些技術供應商會表示說,』我們已經徹底執行了端到端的加密。』但在一個連恐怖主義都變得日趨規范的世界裡,當看到一個網路物理鏈接時,我們要如何面對這一問題?」展望未來,企業必須了解政府部分的相關監管要求,並積極與合作夥伴合作,德賓說。
德賓說:「立法者必須將始終對此高度重視,並及時跟上最新網路攻擊技術的步伐,我甚至認為立法者本身也需要參與到預防網路安全威脅的過程中來。他們所探討的一直是如何應對昨天已經發生的網路安全事件,但事實上,網路安全更多的是關於明天的。」
2、大數據將引發大問題
現如今的企業在他們的運營和決策過程中,正越來越多的運用到大數據分析了。但這些企業同時也必須認識到:數據分析其實是有人為因素的。對於那些不尊重人的因素的企業而言,或將存在高估了大數據輸出價值的風險,德賓說。並指出,信息數據集完整性較差,很可能會影響分析結果,並導致糟糕的業務決策,甚至錯失市場機會,造成企業品牌形象受損和利潤損失。
德賓說:「當然,大數據分析是一個巨大的誘惑,而當您訪問這些數據信息時,必須確保這些數據信息是准確的。」這個問題關乎到數據的完整性,對我來說,這是一個大問題。當然,數據是當今企業的生命線,但是我們真的對其有充分的認識嗎?」「現如今,企業已經收集了大量的信息。而最讓我所擔憂的問題並不是犯罪份子竊取這些信息,而是企業實際上是在以其從來不會去看的方式來操縱這些數據。」他補充道。例如,他指出,相當多的企業已經將代碼編寫工作進行外包多年了。他說:「我們並不知道在那些代碼中有沒有可能會讓您企業泄露數據信息的後門。」事實上,這是有可能的。而您更需要懷疑的是:不斷提出假設的問題,並確保從數據信息中獲得的洞察分析正是其實際上所反映的。」當然,您所需要擔心的並不只是代碼的完整性。您更需要了解所有數據的出處。「如果企業收集並存儲了相關數據信息,務必要明白了解其出處。」他說。一旦您開始分享這些數據,您就是把自己也打開了。您需要知道這些信息是如何被使用的,與誰進行了分享,誰在不斷增加,以及這些數據是如何被操縱的。」
3、移動應用和物聯網
德賓說,智能手機和其他移動設備迅速普及正在使得物聯網(IoT)日漸成為網路犯罪份子進行惡意行為的首要目標。隨著攜帶自己的設備辦公(BYOD)、以及工作場所可穿戴技術的不斷推出,在未來的一年裡,人們對工作和家庭移動應用程序的要求會不斷增加。而為了滿足這一需求的增加,開發商們在面臨強大的工作壓力和微薄的利潤空間的情況下,很可能會犧牲應用程序的安全性,並盡快在未經徹底測試的情況下,以低成本交付產品,導致質量差的產品更容易被不法分子或黑客所攻擊。「不要把這和手機簡單的相混淆了。」德賓說。移動性遠不只有這么一點,智能手機只是移動性的一個組成部分。他注意到,越來越多的企業員工也和他一樣,需要不斷地出差到各地辦公。「我們沒有固定的辦公室。」他說。上次我登陸網路是在一家旅館。而今天則是在別人的辦公環境。我如何確保真的是我史蒂夫本人登錄的某個特別的系統呢?我可能只知道這是一款來自史蒂夫的設備登錄的,或者我相信是史蒂夫的設備登錄的,但我怎麼能夠知道這是否是用史蒂夫的另一款設備的呢?
企業應做好准備迎接日益復雜的物聯網,並明白物聯網的到來對於他們的意義何在,德賓說。企業的首席信息安全官們(CISO)應積極主動,確保企業內部開發的各款應用程序均遵循了公認的系統開發生命周期方法,相關的測試准備步驟是不可避免的。他們還應該按照企業現有的資產管理策略和流程管理員工用戶的設備,將用戶設備對於企業網路的訪問納入企業現有管理的標准,以創新的方式推動和培養員工們的BYOD風險意識。
4、網路犯罪造成的安全威脅風暴
德賓說,網路犯罪高居2015年安全威脅名單榜首,而這一趨勢在2016年並不會減弱。網路犯罪以及黑客活動的增加,迫使企業必須遵從不斷提升的監管要求,不懈追求技術進步,這使得企業在安全部門的投資激增,而這些因素結合起來,可能形成安全威脅風暴。那些採用了風險管理辦法的企業需要確定那些企業的業務部門所最為依賴的技術,並對其進行量化,投資於彈性。
網路空間對於網路犯罪分子和恐怖分子而言,是一個越來越有吸引力的攻擊動機、和賺錢來源,他們會製造破壞,甚至對企業和政府機構實施網路攻擊。故而企業必須為那些不可預測的網路事件做好准備,以便使他們有能力能夠承受住不可預見的,高沖擊性的網路事件。「我看到越來越多日益成熟的網路犯罪團伙。」德賓說。他們的組織非常復雜和成熟,並具有良好的協調。我們已經看到網路犯罪作為一種服務的增加。這種日益增加的復雜性將給企業帶來真正的挑戰。我們真的進入了一個新的時代,您根本無法預測一個網路犯罪是否會找您。從企業的角度來看,您要如何防禦呢?
問題的部分原因在於,許多企業仍然還處在專注於保衛企業外部邊界的時代,但現如今的主要威脅則是由於企業內部的人士,無論其是出於惡意目的或只是無知採取了不當的安全實踐方案,這使得網路威脅日漸已經開始向外圍滲透了「不管是對是錯,我們一直是將網路犯罪視為是從外部攻擊的角度來看,所以我們試圖採用防火牆來簡單應對。」德賓說。 「但企業還存在來自內部的威脅。這讓我們從企業的角度來看,是一個非常不舒服的地方。」事實的真相是,企業根本無法對付網路犯罪,除非他們採取更具前瞻性的方法。「幾個星期前,我在與一名大公司的擁有九年工作經驗的首席信息安全官交談時,他告訴我說,藉助大數據分析,他現在已經在整個企業幾乎完全實現了可視化。在從業了九年後,他發現網路罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動反應,而不是主動的防禦。」「網路犯罪分子的工作方式卻不是這樣的。」他補充說。「他們總是試圖想出一個新的方法。我認為我們還不擅長打防守。我們需要真正將其提高到同一水平。我們永遠不會想出新的方法。而在我們企業內部甚至還存在這樣的想法:即然我們還沒有被攻破,為什麼我們要花所有這些錢呢?」
5、技能差距將成為信息安全的一個無底深淵
隨著網路攻擊犯罪份子的能力日益提高,信息安全專家們正變得越來越成熟,企業對於信息安全專家的需求越來越多。而網路犯罪分子和黑客也在進一步深化他們的技能,他們都在努力跟上時代的步伐,德賓說。企業的首席信息安全官們需要在企業內部建立可持續的招募計劃,培養和留住現有人才,提高企業網路的適應能力。德賓說,在2016年,隨著超連通性的增加,這個問題將變得更糟。首席信息安全官在幫助企業及時獲得新的技能方面將需要更積極。「在2016年,我認為我們將變得更加清楚,也許企業在其安全部門並沒有合適的人才。」他說。我們知道,企業有一些很好的技術人員可以安裝和修復防火牆等。但真正好的人才則是可以在確保企業網路安全的情況下,滿足業務的挑戰和業務發展。這將是一個明顯的弱點。企業的董事會也開始意識到,企業網路是他們做生意的重要方式。我們還沒有在業務和網路安全實踐之間建立起聯系。」
在某些情況下,企業根本沒有合適的首席信息安全官會變得相當明顯。而其他企業也必須問自己,安全本身是否被放在了恰當的位置。
德賓說:「您企業無法避免每一次嚴重的事件,雖然許多企業在事件管理方面做得很好,但很少有企業建立了一套有組織的方法來評估哪些是錯誤的。」因此,這會產生不必要的成本,並讓企業承擔不適當的風險。各種規模的企業均需要對此給予高度重視,以確保他們對於未來的這些新興的安全挑戰做好了充分的准備,並能夠很好的應對。通過採用一個切實的,具有廣泛基礎的,協作的方式,提高網路安全和應變能力,政府部門、監管機構、企業的高級業務經理和信息安全專業人士都將能夠更好地了解網路威脅的真實本質,以及如何快速作出適當的反應。」
❺ 網路漏洞一年超8萬個嗎
北京3月4日消息,漏洞是網路安全的「命門」。全國政協委員、360集團董事長兼CEO周鴻禕4日說,360集團一年新發現的網路安全漏洞就超8萬個。為強化網路安全漏洞管理,他提出了幾點建議。
「軟硬體系統漏洞使得攻擊者可以藉此竊取信息或者控制、破壞目標系統,從而引發各種網路安全問題。」周鴻禕說,更值得注意的是,網路是一個整體,任何一個單位、系統存在漏洞,都會成為犯罪分子和敵對勢力攻擊的跳板,成為整個網路的薄弱環節。
為解決這一問題,周鴻禕建議,一是要建立漏洞管理全流程監督處罰制度,及時發現未修復漏洞的行為,並追究相關責任;二是強制執行重要信息系統上線前漏洞檢測,盡量在源頭上堵住漏洞。此外,對存在嚴重網路安全漏洞,可能導致大規模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬體產品,應實施強制召回,避免造成更大損失。
他說,網路安全漏洞的挖掘和發現具有一定的偶然性,需要集合民間智慧。應鼓勵政企單位採用眾測眾包方式發現和收集漏洞,提高網路安全整體防護能力。
「解決網路安全的關鍵不是硬體,也不是軟體,而是人才。」周鴻禕說。針對我國存在的70萬網路安全人才缺口問題,他建議大力支持網路安全企業設立相關教育培訓機構,開展網路安全學科聯合建設,並把網路安全納入職業技能鑒定體系。
❻ 2016年發生的大事件。
2016年,支付寶傍上春晚,集五福活動,其中敬業福緊缺,據說在全國幾億網民中,敬業福只有幾十萬份,最後,大部分人沒有得到敬業福,支付寶「惹眾怒」。
❼ 中國網路安全現狀
2021年7月20日,新浪科技發文稱iPhone手機存在安全隱患,Pegasus惡意軟體可能會入侵用戶的iPhone手機,竊取用戶的信息和郵件,甚至可以控制手機的麥克風和攝像頭,大數據時代用戶或無隱私可言。
實際上,我國對打擊大數據泄露安全事件有著強大的決心和執行力,在滴滴事件之後,國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》,向社會公開徵求意見,擬規定掌握超百萬用戶信息國外上市須審查。
由此可見,在我國互聯網高速發展的時代,用戶數據的監管變得越來越困難,此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。
網路安全行業主要企業:目前國內網路安全行業的主要企業有深信服(300454)、安恆信息(688023)、綠盟科技(300369)、啟明星辰(002439)、北信源(300352)等。
1、iPhone存在漏洞對用戶數據安全造成威脅
2021年7月20日,新浪科技發文稱iPhone存在漏洞,Pegasus惡意軟體在用戶不點擊鏈接的情況下也可以入侵用戶的手機,竊取信息和郵件,甚至可以操控用戶的攝像頭,此消息一出,網友大呼大數據時代無隱私可言,網路安全問題堪憂,實際上,在我國對網路安全問題有著強大的決心,滴滴事件之後,國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》,向社會公開徵求意見,擬規定掌握超百萬用戶信息國外上市須審查。
由此可見,在我國互聯網高速發展的時代,用戶數據的監管變得越來越困難,此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。
綜合來看,滴滴事件對國家數據安全層面敲起了警鍾,而iPhone此次網路安全漏洞問題針對個人數據安全問題敲響了警鈴,相信未來隨著我國網路安全相關法案的不斷完善,我國個人網路安全問題將得到有效的保護。
—— 以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》
❽ 網路安全政策
法律分析:國家對網路安全行業越來越重視,未來人才培訓和產業規模發展前景可觀,如何規范,保障網路安全行業健康發展,國家出台了一系列相關法規政策:
2016年11月:《中華人民共和國網路安全法》,於2017年6月1日開始實施。主要強調了金融、能源、交通、電子政務等行業在網路安全等級保護制度的建設,是我國第一部網路空間管理方面的基礎性法律。
2017年1月:《關於促進互聯網健康有序發展的意見》,意見要求要加快完善市場准入制度,提升網路安全保障水平,維護用戶合法權益、打擊網路違法犯罪、增強網路管理能力,防範移動互聯網安全風險。
2018年3月:《關於推動資本市場服務網路強國建設的指導意見》,意見重點強調要推動網信事業和資本市場協調發展,保障國家網路安全和金融安全,促進網信和證券監督工作聯動。
2019年3月:《中央企業負責人經營業績考核辦法》,將網路安全納入考核范圍。
2019年10月:《中華人民共和國密碼法》,將規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,提出了國家對密碼實行分類管理。
2019年5月24日:《網路安全審查辦法(徵求意見稿)》,由國家網信辦發布。
2019年7月2日:《雲計算服務安全評估辦法》,由國家網信辦、發改委、工信部及財政部。
法律依據:《中華人民共和國網路安全法》 第一條 為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
❾ 中華人民共和國網路安全法什麼時候頒布
《中華人民共和國網路安全法》由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,自2017年6月1日起施行。
為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,而制定了《中華人民共和國網路安全法》。
(9)2016年國內重大網路安全事件擴展閱讀:
網路主權是國家主權在網路空間的體現和延伸,網路主權原則是中國維護國家安全和利益、參與網路國際治理與合作所堅持的重要原則。為此,草案將「維護網路空間主權和國家安全」作為立法宗旨。同時,按照安全與發展並重的原則,設專章對國家網路安全戰略和重要領域網路安全規劃、促進網路安全的支持措施作了規定。
為加強國家的網路安全監測預警和應急制度建設,提高網路安全保障能力,專章要求國務院有關部門建立健全網路安全監測預警和信息通報制度,加強網路安全信息收集、分析和情況通報工作;建立網路安全應急工作機制,制定應急預案;規定預警信息的發布及網路安全事件應急處置措施。