在前不久結(jié)束的亞信峰會(huì)上,“信息安全”成為焦點(diǎn)����。近日,政府也對(duì)“信息安全”頻繁表態(tài):先是5月20日�,中國(guó)與俄羅斯簽署聯(lián)合聲明,對(duì)當(dāng)前信息通信技術(shù)被用于與維護(hù)國(guó)際穩(wěn)定與安全目的相悖�����、損害國(guó)家主權(quán)和個(gè)人隱私的行為表示嚴(yán)重關(guān)切���。緊接著5月22日��,國(guó)務(wù)院信息化辦公室(以下簡(jiǎn)稱(chēng)國(guó)信辦)表示����,我國(guó)將對(duì)關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查��。業(yè)內(nèi)普遍認(rèn)為�����,隨著政策約束的不斷提高���,信息安全產(chǎn)業(yè)將迎來(lái)發(fā)展良機(jī)����。
信息泄露事故頻發(fā)
我國(guó)信息安全亟待加強(qiáng)已經(jīng)成為共識(shí)��。棱鏡門(mén)事件之后���,政府對(duì)于信息安全空前重視�����,在國(guó)安委首次會(huì)議上�,信息安全成為國(guó)家安全的重要組成部分����。而小米手機(jī)800萬(wàn)用戶(hù)信息泄露、攜程網(wǎng)大量信用卡信息“裸奔”��、2000萬(wàn)條酒店開(kāi)房信息泄露等事件���,也讓公眾意識(shí)到信息安全的重要性�。
“我原本以為���,我的隱私是被放在一個(gè)安全的保險(xiǎn)柜里��,現(xiàn)在卻發(fā)現(xiàn)這個(gè)保險(xiǎn)柜根本沒(méi)上鎖�������!苯����,小米手機(jī)用戶(hù)王雅(化名)赫然發(fā)現(xiàn)自己的手機(jī)通訊錄、短信內(nèi)容等隱私信息都在網(wǎng)上“裸奔”���!
5月14日,國(guó)內(nèi)手機(jī)廠商小米的用戶(hù)數(shù)據(jù)庫(kù)在網(wǎng)上公開(kāi)傳播���、下載��,其中涉及800萬(wàn)用戶(hù)的短信�、通訊錄����、精確位置等私密信息,并能被用來(lái)訪問(wèn)小米云服務(wù)并獲取更多信息����。
小米公司對(duì)此的解釋是,這是由于之前使用開(kāi)源軟件所致�����。但是用戶(hù)對(duì)此解釋并不認(rèn)可����。王雅等多名用戶(hù)質(zhì)疑:“企業(yè)明知道系統(tǒng)有漏洞,為什么不及時(shí)升級(jí)��?如果不發(fā)生泄露事故����,這些漏洞會(huì)不會(huì)一直存在下去?雷軍本人還是安全公司的創(chuàng)始人����,如果連小米這樣的企業(yè)都如此,其它企業(yè)的安全狀況簡(jiǎn)直不敢想象�����。”
其實(shí)類(lèi)似事故并非首次上演�����。今年3月��,攜程網(wǎng)大量用戶(hù)信用卡賬號(hào)�����、姓名��、身份證號(hào)等敏感信息遭到泄露�;2013年10月,多家酒店的開(kāi)房信息因系統(tǒng)漏洞而發(fā)生泄露��,2000萬(wàn)條開(kāi)房信息在網(wǎng)上“裸奔”�。
“大規(guī)模信息泄露事故高發(fā)期已經(jīng)到來(lái)���!眹(guó)際關(guān)系學(xué)院信息科技系副主任王標(biāo)說(shuō)���,隨著云計(jì)算、大數(shù)據(jù)技術(shù)的廣泛應(yīng)用,企業(yè)保存的用戶(hù)數(shù)據(jù)量越來(lái)越大����,大規(guī)模數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大����。
世界知名信息安全廠商賽門(mén)鐵克近日發(fā)布報(bào)告稱(chēng),2013年全球超過(guò)5.52億條個(gè)人身份信息被泄露�����,是2012年的4倍�����,全球大規(guī)模信息泄露事故從2012年的1起增加到8起����,每一起事故泄露的信息都超過(guò)千萬(wàn)。
頻發(fā)的大規(guī)模信息泄露事故將為公民個(gè)人帶來(lái)巨大危險(xiǎn)�����。王標(biāo)表示����,個(gè)人的賬號(hào)密碼���、聯(lián)系方式、身份證號(hào)等敏感信息會(huì)被不法分子輕易獲取����,為賬戶(hù)盜刷、詐騙等犯罪活動(dòng)打開(kāi)方便之門(mén)�����。例如�,不法分子不僅掌握一個(gè)人的全部隱私信息,還能通過(guò)關(guān)聯(lián)分析獲取其家人����、朋友的隱私信息,詐騙得手的概率將大幅提高��。
企業(yè)信息安全防護(hù)“不堪一擊”
與之相對(duì)的�,則是我國(guó)信息安全產(chǎn)業(yè)“失落的五年”。記者采訪多家安全企業(yè)了解到�����,2008年之后,我國(guó)信息安全產(chǎn)業(yè)緩慢���。隨之而來(lái)的����,自然是涉及公眾的信息安全事件頻發(fā)����。
受訪專(zhuān)家表示���,國(guó)內(nèi)安全產(chǎn)業(yè)之所以失落��,是因?yàn)槠渌髽I(yè)容易片面追求發(fā)展速度�����,不愿加大安全投入��,在黑客面前不堪一擊����。同時(shí)��,法律法規(guī)的缺失讓涉事企業(yè)免于處罰,也無(wú)法倒逼企業(yè)加強(qiáng)安全防護(hù)�。這些因素,都讓我國(guó)安全廠商無(wú)用武之地�����。
“實(shí)踐證明�,多年前用來(lái)入侵企業(yè)網(wǎng)站的老技術(shù),現(xiàn)在還繼續(xù)好用�。”國(guó)內(nèi)著名“白帽”��、上海碁震云計(jì)算科技有限公司CEO王琦告訴記者����,“并不是黑客的技術(shù)有多高,而是多年來(lái)我國(guó)企業(yè)的安全防護(hù)水平?jīng)]太大進(jìn)步����,不少企業(yè)連一個(gè)低級(jí)入侵都防不住�����!
王標(biāo)說(shuō)���,之所以多數(shù)企業(yè)在黑客面前不堪一擊�,主要因?yàn)槠髽I(yè)往往將安全當(dāng)做成本,且是無(wú)法產(chǎn)生直接效益的成本�����。企業(yè)都在追求發(fā)展速度��,不愿意加大安全方面的投入����������!斑@次小米信息泄露就是一個(gè)典型事件��,如果不是發(fā)生泄露事故��,恐怕小米也沒(méi)有動(dòng)力加強(qiáng)安全防護(hù)������!
信息安全專(zhuān)家、南京翰海源信息科技有限公司CEO方興長(zhǎng)期從事互聯(lián)網(wǎng)企業(yè)安全防護(hù)服務(wù)�����。他講了一個(gè)真實(shí)的故事:國(guó)內(nèi)某著名互聯(lián)網(wǎng)企業(yè)被黑客竊取了大量用戶(hù)信息���,企業(yè)就去找黑客談判:“你如果在網(wǎng)上公布��,那是毀我們名譽(yù)���,我們跟你‘死磕’,如果你只是拿去賣(mài)錢(qián)�,那我們不管����!彼f(shuō),“這是目前國(guó)內(nèi)企業(yè)的真實(shí)狀態(tài)�,只要與自身利益無(wú)關(guān),企業(yè)就不會(huì)重視安全問(wèn)題�������!
此外,相關(guān)法律的缺失也讓企業(yè)沒(méi)有足夠動(dòng)力去維護(hù)信息安全����。上海理工大學(xué)電子商務(wù)與計(jì)算機(jī)法研究所所長(zhǎng)楊堅(jiān)爭(zhēng)說(shuō),目前我國(guó)還沒(méi)有一部關(guān)于個(gè)人信息安全的法律�,無(wú)法可依的狀態(tài)下,僅靠企業(yè)的自覺(jué)性來(lái)保障信息安全是不可能實(shí)現(xiàn)的�。
楊堅(jiān)爭(zhēng)說(shuō),前幾年���,美國(guó)零售企業(yè)TARGET發(fā)生用戶(hù)信用卡信息泄露����,該企業(yè)被依法處以巨額罰款���,負(fù)責(zé)人也被迫引咎辭職����!敖鼉赡晡覈(guó)多家企業(yè)曾發(fā)生大規(guī)模數(shù)據(jù)泄露事件,卻從未見(jiàn)到哪家企業(yè)被處罰�,如此一來(lái),企業(yè)更不會(huì)在信息安全方面加大投入�������!
國(guó)內(nèi)廠商將迎來(lái)發(fā)展良機(jī)
隨著國(guó)安委、國(guó)信辦對(duì)于信息安全的頻繁表態(tài)�����,我國(guó)信息安全產(chǎn)業(yè)發(fā)展的政策基礎(chǔ)將進(jìn)一步夯實(shí)�����。專(zhuān)家表示����,在國(guó)家和企業(yè)層面,我國(guó)可能會(huì)參照發(fā)達(dá)國(guó)家經(jīng)驗(yàn)�,采取立法與行業(yè)自律相結(jié)合的方式予以應(yīng)對(duì)。首先����,及時(shí)出臺(tái)專(zhuān)門(mén)針對(duì)個(gè)人信息安全的法律,對(duì)企業(yè)搜集�����、存儲(chǔ)用戶(hù)信息的規(guī)范和責(zé)任做出明確細(xì)致的規(guī)定,在打擊黑客的同時(shí)�����,也要嚴(yán)厲處罰發(fā)生信息泄露事故的企業(yè)����,倒逼企業(yè)重視安全管理。
實(shí)際上����,不少?lài)?guó)家都已出臺(tái)關(guān)于個(gè)人信息保護(hù)的“嚴(yán)刑峻法”。今年3月�,韓國(guó)專(zhuān)門(mén)出臺(tái)防止金融領(lǐng)域個(gè)人信息泄露的綜合法案。根據(jù)該法案���,一旦發(fā)生用戶(hù)信息泄露�����,金融機(jī)構(gòu)和電商需要繳納的罰金是以往的3倍,且沒(méi)有上限��,相關(guān)刑事處罰也加重至10年以下有期徒刑��。
在政府之外,市場(chǎng)也開(kāi)始意識(shí)到安全的價(jià)值�����。王標(biāo)說(shuō)�,不重視安全的企業(yè)是短視的,例如攜程網(wǎng)發(fā)生信息泄露事件后���,其流量排名已從全球1000名左右狂跌至4000名開(kāi)外���。“企業(yè)要有清醒認(rèn)識(shí)�,加大在安全方面的投入,并定期進(jìn)行安全測(cè)評(píng)����、認(rèn)證��!
多位業(yè)內(nèi)人士告訴記者�����,國(guó)內(nèi)安全廠商規(guī)模并沒(méi)有權(quán)威數(shù)字。一個(gè)可以參考的數(shù)字是�����,2012年中國(guó)信息安全產(chǎn)品規(guī)模不到9億美元�����。但是�,我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模數(shù)以萬(wàn)億元級(jí)。體量如此袖珍的信息安全行業(yè)�����,如何去保障如此龐大的互聯(lián)網(wǎng)產(chǎn)業(yè)�?
統(tǒng)計(jì)數(shù)據(jù)顯示,4月份以來(lái)��,超百家機(jī)構(gòu)密集調(diào)研了衛(wèi)士通�����、北信源����、啟明星辰及綠盟科技等公司,其中部分公司接待了上百家機(jī)構(gòu)的聯(lián)合調(diào)研�。多位信息安全業(yè)人士告訴記者,隨著政府和市場(chǎng)的力挺����,我國(guó)信息安全產(chǎn)業(yè)將迎來(lái)新的春天。