坊間一直傳言�����,互聯(lián)網(wǎng)巨頭阿里之所以不會(huì)被黑客攻擊,是因?yàn)榉彩怯懈呒夹g(shù)的“黑客”攻擊完阿里系統(tǒng)之后都會(huì)被收入麾下�。以至于留下了廣為流傳的段子:
一位15歲就考入西安交大少年班的天才少年,在2005年其20歲時(shí)參加了阿里巴巴的實(shí)習(xí)面試����。在展示個(gè)人能力環(huán)節(jié),其略顯靦腆地在電腦上敲了幾行代碼��,就在面試官不以為然的時(shí)候��,整個(gè)阿里巴巴內(nèi)部網(wǎng)絡(luò)同時(shí)癱瘓����!瞬間驚呆了面試官,最終馬云下了死命令���,怎么也得留住他�。于是阿里用500萬的年薪將這個(gè)天才少年留了下來����。而這位靦腆的天才少年就是當(dāng)年號(hào)稱中國最頂尖“黑客”之一。
近期����,當(dāng)事人出面辟謠并表示,網(wǎng)絡(luò)流傳的段子是假的,阿里不會(huì)高新聘請(qǐng)黑阿里網(wǎng)站的人�����,反而會(huì)交給警察�。
難以逃脫的信息安全漏洞
“生活在一個(gè)透明的世界”
“經(jīng)常被電話騷擾、推銷產(chǎn)品”
“個(gè)人信息基本不存在隱私”
對(duì)于個(gè)人而言��,這就是我們所能感受到的信息安全威脅���;
而對(duì)于企業(yè)����、組織�、國家來說,信息安全意味著信譽(yù)降級(jí)�����、經(jīng)濟(jì)損失甚至是系統(tǒng)癱瘓退出市場�����。
2019年出現(xiàn)的部分重大的信息安全事件:
01
2019年1月20日凌晨�����,國內(nèi)一家電商平臺(tái)被曝出現(xiàn)重大BUG�����,用戶可領(lǐng)100元無門檻券��。官方表示��,有黑灰產(chǎn)團(tuán)伙通過一個(gè)過期的優(yōu)惠券漏洞盜取數(shù)千萬元平臺(tái)優(yōu)惠券�,進(jìn)行不正當(dāng)牟利
02
2019年2月16日,一網(wǎng)友在微博發(fā)布視頻稱��,某APP疑似會(huì)獲取用戶的截圖和照片并上傳��。經(jīng)排查��,發(fā)現(xiàn)安卓系統(tǒng)上的APP5.0.5以后版本存在該問題���,并已定位問題且下線修復(fù)��,該功能屬于需求錯(cuò)誤開發(fā)
03
2019年3月22日一份報(bào)告指出��,F(xiàn)acebook在沒有加密的情況下存儲(chǔ)了數(shù)億用戶的密碼���,并且以明文的方式展示給數(shù)萬名公司職員�。據(jù)調(diào)查����,此事件直接影響可能多達(dá)6億用戶。
04
2019年6月15日���,《紐約時(shí)報(bào)》發(fā)表報(bào)道稱��,美國政府官員承認(rèn)����,早在2012年就在俄羅斯電網(wǎng)中植入病毒程序�,可隨時(shí)發(fā)起網(wǎng)絡(luò)攻擊
05
2019年7月,美國銀行第一資本金融公司披露�����,一名黑客獲取了逾1億名顧客和潛在顧客的個(gè)人信息�����,包括姓名�、地址、電話號(hào)碼和生日
06
2019年7月�����,南非約翰內(nèi)斯堡的City Power電力公司遭受勒索病毒攻擊����,該公司的應(yīng)用程序、數(shù)據(jù)庫都被黑客進(jìn)行了惡意加密�����,導(dǎo)致對(duì)外服務(wù)基本陷入癱瘓
從以上案例可以看出��,無論是互聯(lián)網(wǎng)企業(yè)�,還是政府都難以逃脫高度信息網(wǎng)絡(luò)化帶來的信息安全問題。而信息安全問題一方面來自外部的惡意攻擊���,還有一部分原因是系統(tǒng)本身出現(xiàn)漏洞�����。
網(wǎng)絡(luò)信息安全態(tài)勢緊張��,成本增加
廣義的信息安全是指保護(hù)資源免受各種類型威脅��、干擾和破壞�,即保證信息的機(jī)密性、完整性與可用性���。據(jù)公開數(shù)據(jù)����,2019年上半年���,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)自主監(jiān)測發(fā)現(xiàn)約4.6萬個(gè)針對(duì)我國境內(nèi)網(wǎng)站的仿冒頁面���,境內(nèi)外約1.4萬個(gè)IP地址對(duì)我國境內(nèi)約2.6萬個(gè)網(wǎng)站植入后門,同比增長約1.2倍�。
網(wǎng)絡(luò)信息安全態(tài)勢緊張,如何防止信息外泄成為全民互聯(lián)網(wǎng)時(shí)期重要議題�����。
面對(duì)嚴(yán)峻的信息安全現(xiàn)狀����,一度出現(xiàn)文章開頭的傳言,大型互聯(lián)網(wǎng)企業(yè)不惜重金將所謂的“黑客”收入麾下�,以增強(qiáng)自身的技術(shù)防御能力,識(shí)別出每天上億次的惡意攻擊�����。
但是��,此方法僅僅是“段子”���,對(duì)國家��、企業(yè)系統(tǒng)進(jìn)行破壞等于犯罪行為��,聘請(qǐng)更高層級(jí)的技術(shù)人員在多數(shù)時(shí)候治標(biāo)不治本��。
一個(gè)會(huì)被輕易攻擊的系統(tǒng)�����,是一個(gè)有嚴(yán)重漏洞的系統(tǒng)�,至少其系統(tǒng)管理是不規(guī)范的���,而全世界的公司在整個(gè)管理系統(tǒng)中正花費(fèi)著更多的成本���。根據(jù)IBM最新的數(shù)據(jù)泄露年度成本研究���,平均數(shù)據(jù)泄露成本現(xiàn)在高達(dá)392萬美元,這些費(fèi)用在過去五年里增加了12%�。
市場上漲,防范未然
網(wǎng)絡(luò)信息安全頻繁出現(xiàn)的同時(shí)也促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展�����?�!笆濉币詠?�,我國網(wǎng)絡(luò)安全產(chǎn)業(yè)保持高速增長����,2019年產(chǎn)業(yè)規(guī)模超過600億元,年增長率超過20%����,明顯高于國際8%的平均增數(shù),保持健康的發(fā)展態(tài)勢�����。
另外,隨著一系列法律法規(guī)的實(shí)施��,信息安全管理的規(guī)范性將日益凸顯����。
1.第十三屆全國人大常委會(huì)第十四次會(huì)議正式通過《密碼法》��;
2.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》三項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布���;
3. 工信部��、教育部���、生態(tài)環(huán)境部等十部門聯(lián)合發(fā)布《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》;
4.《數(shù)據(jù)安全管理辦法(征求意見稿)》已經(jīng)由國家互聯(lián)網(wǎng)信息辦公室發(fā)布��;
多數(shù)時(shí)候���,信息泄露所呈現(xiàn)的不僅僅是經(jīng)濟(jì)糾紛�����,更多的是大眾對(duì)企業(yè)信用的懷疑���。對(duì)企業(yè)����、政府而言���,面對(duì)信息安全管理�����,需要的不僅是高端的技術(shù)人才���,也需要規(guī)范管理,及時(shí)更新發(fā)現(xiàn)漏洞����。在信息安全管理方面,英國標(biāo)準(zhǔn)ISO27000已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)之一����。
據(jù)了解,ISO27000管理體系認(rèn)證是以信息安全方針���、信息安全組織�����、人力資源安全��、資產(chǎn)管理��、訪問控制��、加密�����、物理和環(huán)境安全�����、操作安全��、通信安全����、系統(tǒng)的獲取���、開發(fā)和維護(hù)�、供應(yīng)關(guān)系、信息安全事件管理����、信息安全方面的業(yè)務(wù)持續(xù)管理等為內(nèi)容對(duì)企業(yè)信息安全管理進(jìn)行評(píng)估和持續(xù)改進(jìn)。
根據(jù) ESI Thoughtlab 發(fā)布的研究報(bào)告顯示��,公司在網(wǎng)絡(luò)安全中持續(xù)增加的投入可以產(chǎn)生 179% 的超高投資回報(bào)(ROI)����。因此,企業(yè)����、組織通過第三方認(rèn)證建立起標(biāo)準(zhǔn)規(guī)范的信息安全管理體系,對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果建立具有針對(duì)性的規(guī)范管理�,通過認(rèn)證向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性,能夠最大程度減弱發(fā)生信息安全問題時(shí)的負(fù)面影響��,減小損失��。
