央广网上海9月29日消息(记者傅闻捷 韩晓余 通讯员杨文)如何切实防范、控制和化解各种数据安全与隐私保护的风险,成社交网络、在线购物、医疗和移动服务等应用深入的互联网行业,面临的最大安全挑战。
9月29日,为期三天的2018(第三届)数据安全与隐私保护大会落下帷幕。来自中国、美国、日本、韩国等国家的70余名专家学者,围绕上述行业问题,从数据安全及隐私保护的政策法律标准、产业实践、前沿技术和全球跨境数据流动政策分析等维度,展开深入讨论,共议克服挑战的策略与方案。
会上,阿里巴巴数据安全研究院发布了业内首份《数据安全能力建设实施指南V1.0》(下称《指南》)征求意见稿,为组织数据安全能力建设提供参考。
黑灰产行为成数据保护主要威胁
近年,关于公民个人信息案频发,有数据安全专家就指出,数据安全和隐私保护的主要威胁,仍在于日益猖獗的黑灰产团伙行为。泄露的数据大多会被黑灰产团伙用于诈骗等牟利行为,对个人、社会和国家都产生恶劣危害。
无论是今年8月曝光,牵涉96家互联网公司30亿条用户信息泄漏案;还是包括上百万虚假网络账号的国内首例空号短信劫持案,以及华住5亿多用户隐私数据泄露案;或是9月爆发,覆盖山东10市不动产系统遭病毒入侵案等亿级信息数据泄露案,幕后就都存在黑灰产团伙身影。
公开的行业报告《国内外敏感信息泄露案例汇总分析》也指出,互联网行业、政府机构和金融、教育与医疗等行业,是敏感数据泄露的重灾区。其中,70%以上个人信息泄露均因黑客入侵等手段导致,另有近两成是通过安插或买通“内鬼”等非技术手段引发泄露,此外还有7.87%泄密路径尚不清楚。
去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
没有安全防护能力的第三方企业、机构,都是黑灰产团伙攻击的主要对象,这些企业通常拥有大量数据,但往往缺乏足够的数据安全意识,使得加强互联网行业的整体数据安全防护能力,变得迫在眉睫。
阿里发布业内首份数据安全能力建设实施指南
就目前行业整体数据安全能力水位不高,面临数据业务持续发展、数据泄露事件频发等现状,29日上午,阿里巴巴数据安全研究院联合多家单位公开发布了业内首份《数据安全能力建设实施指南V1.0》征求意见稿。
这是针对组织的数据安全能力建设提出的系统性和专门性实操方案。《指南》征求意见稿填补了数据安全能力建设实操指南的空白,是从0到1的突破。作为数据安全能力成熟度模型(DSMM)配套文档,该《指南》由阿里巴巴数据安全研究院联合中国电子技术标准化研究院、杭州数梦工场、杭州安恒信息、蚂蚁金服和阿里云等单位共同起草。
《指南》以充分定义级(3级成熟度)为目标,结合数据安全合规要求和组织的业务发展需求,从组织建设、制度流程、技术工具和人员能力等四个方面整体框架设计和规划入手,对DSMM的安全域设置目的和要求进行详细解读,并辅以实践案例,为各行各业具体组织的数据安全能力建设提供实践参考。
阿里巴巴集团技术副总裁杜跃进分析称,探索保障数据为中心的安全,需要做到“融合”,打通政策法律、产业实践和学术研究;同时需要掌握“平衡”,保证数据流动发挥价值,还要防止在流通过程中危害到个人及企业自身利益;另需学会“创新”,在新领域积极探索,不再基于传统经验制定未来解决方案;最后是需持续“改进”,先立初步标准,再不断打磨优化。
“在数据安全保护方面,我们积累了丰富的实践经验,除了搭建御城河系统为商家保护数据安全,我们还与生态合作伙伴发起电子商务生态安全联盟(SAEE),之后又沉淀经验总结出以DSMM为核心的数据安全治理体系,为整个社会全行业赋能。”杜跃进介绍,阿里目前还有云壳、钱盾、PC安全保镖等11项自主创新科技,在为经济体的数据安全护航。
今年中秋,你回家吗?
