《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 記者調(diào)查:信息安全領(lǐng)域亟待“掃黑”

記者調(diào)查:信息安全領(lǐng)域亟待“掃黑”

2021-09-11
來源:信息安全與通信保密雜志社
關(guān)鍵詞: 信息安全 掃黑

  “盡量打語音,,不要發(fā)文字,!”

  “可以放心,咱們是長(zhǎng)期合作,,數(shù)據(jù)都是真實(shí)的,?!?/p>

  “**寶付款,到時(shí)發(fā)你郵箱,?!?/p>

  《中華人民共和國(guó)數(shù)據(jù)安全法》將于9月1日正式實(shí)施,我國(guó)網(wǎng)絡(luò)空間安全治理法律體系將進(jìn)一步完善,。然而,,近期記者調(diào)查發(fā)現(xiàn),在論壇社群,、電商平臺(tái)等網(wǎng)絡(luò)空間,,仍有灰色數(shù)據(jù)交易藏匿于隱蔽角落,其中也包含針對(duì)個(gè)人信息等在內(nèi)的隱私數(shù)據(jù)交易,。

  被公開售賣的隱私數(shù)據(jù)

  灰色交易藏匿于貼吧,、淘寶等網(wǎng)絡(luò)平臺(tái)

  聯(lián)系中介賣房,隔天就有貸款公司問你需不需要借貸,;每年車險(xiǎn)快到期,,就莫名其妙接到各種保險(xiǎn)公司的推銷電話……是哪個(gè)環(huán)節(jié)出現(xiàn)了問題?

  在百度貼吧上,,一些個(gè)人隱私數(shù)據(jù),、行業(yè)數(shù)據(jù)被公開叫買叫賣。

  “全國(guó)企業(yè)內(nèi)部員工通訊錄,,真實(shí)可測(cè)”“大眾點(diǎn)評(píng)商鋪數(shù)據(jù),,量大3000萬”“收影視手機(jī)數(shù)據(jù),支持測(cè)試的來”“收微博原始數(shù)據(jù)”……

  灰色數(shù)據(jù)交易藏匿于一些網(wǎng)絡(luò)平臺(tái)

  “0.9元一條,,實(shí)時(shí)抓取的,。”記者通過QQ與其中一位賣家“林峰”取得聯(lián)系,,對(duì)方表示可以提供包括車險(xiǎn),、網(wǎng)貸、信用卡等各行業(yè)的數(shù)據(jù)定制服務(wù),。賣家特別強(qiáng)調(diào),,所有數(shù)據(jù)是實(shí)時(shí)提取一手的,不是那種“很爛的,、轉(zhuǎn)賣了好幾手”的數(shù)據(jù),,并強(qiáng)調(diào)“量大價(jià)格還可以再低一些”,。

  賣家向記者展示了之前交易的聊天記錄和車險(xiǎn)信息數(shù)據(jù)樣本,并保證“信息都是真實(shí)的”,。在他展示的數(shù)據(jù)樣本中,,包含車主姓名、身份證號(hào),、手機(jī)號(hào),、車牌、車型,、發(fā)動(dòng)機(jī)號(hào),、車架號(hào)、車檢日期等詳細(xì)信息,。

  賣家向記者展示的數(shù)據(jù)樣本

  賣家說,,車險(xiǎn)數(shù)據(jù)來自不同的平臺(tái),當(dāng)天下單要第二天才能發(fā),,需要進(jìn)行數(shù)據(jù)篩選,,“如果單一個(gè)保險(xiǎn)公司,搞不了那么多,,一個(gè)公司沒那么強(qiáng)大,。”

  記者詢問有沒有網(wǎng)貸數(shù)據(jù),,對(duì)方則表示,目前只能提供號(hào)碼,,量大的話可以搞到住址等更詳細(xì)的數(shù)據(jù),。

  交談過程中,賣家提醒“盡量打語音,,不要發(fā)文字”,。

  另一位賣家對(duì)記者表示,自己賣車險(xiǎn),,同時(shí)也可以出售車險(xiǎn)客戶資料,,包括車輛年限、保險(xiǎn)到期時(shí)間等“精準(zhǔn)服務(wù)”,?!叭绻?0月到期的車險(xiǎn)信息,現(xiàn)在就有,,11月份的需要等到下個(gè)月,。”該賣家告訴記者,。

  而在淘寶,、閑魚等電商平臺(tái),,記者發(fā)現(xiàn)還有不少商家上架了數(shù)據(jù)代查、數(shù)據(jù)采集等爬蟲服務(wù),,涉及的內(nèi)容包括:各城市地方官員相關(guān)數(shù)據(jù),、MIMIC臨床數(shù)據(jù)庫(kù)、某券商機(jī)構(gòu)數(shù)據(jù)庫(kù)查詢下載,、美團(tuán)數(shù)據(jù)采集等,。

  在淘寶上,一家名為“啟航羊絨制品”的商家,,實(shí)際提供的是可定制信息采集服務(wù),,涉及搜狗、百度,、高德,、360地圖商家POI興趣點(diǎn)的電話號(hào)碼信息?!皞€(gè)人信息采集不到,,企業(yè)、店鋪,、門市,、工商的都可以?!痹撋碳腋嬖V記者,,這些都是公開信息,“沒有風(fēng)險(xiǎn)”,。

  另外一家名為“CityData城市大數(shù)據(jù)”的商家告訴記者,,可以提供包含聯(lián)系方式等在內(nèi)的二手房源信息,下單后24小時(shí)內(nèi)網(wǎng)盤發(fā)貨,。

  爬蟲是一種快速自動(dòng)抓取網(wǎng)絡(luò)公開信息的輔助工具,,例如我們使用的搜索引擎都用到了爬蟲技術(shù)。

  “一般而言,,如果爬蟲所爬取的是公開數(shù)據(jù),,將其打包售賣,并不被法律所禁止,。但是,,即便是公開數(shù)據(jù)的爬取,若爬取行為不當(dāng),,仍然存在一定的法律風(fēng)險(xiǎn),,當(dāng)事人有可能面臨侵權(quán)或反不正當(dāng)競(jìng)爭(zhēng)訴訟?!敝袊?guó)銀行法學(xué)研究會(huì)理事肖颯告訴人民網(wǎng)記者,。

  北京某科技公司技術(shù)總監(jiān)劉剛指出,,爬蟲能獲取的信息其實(shí)是有限的,且多數(shù)是公開的,。但通過撞庫(kù),、誘導(dǎo)、群發(fā),、釣魚手段獲取大數(shù)據(jù)信息行為,,已非單純的通過爬蟲技術(shù)獲取信息,應(yīng)歸納到黑客,、木馬程序竊取的范疇,。

  行業(yè)互換成監(jiān)管難點(diǎn)

  越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部

  “上午9:22剛注冊(cè)好公司,我方辦稅財(cái)務(wù)未泄露信息,,馬上就開始有一堆電話打過來,,問我要不要記賬報(bào)稅?!比涨?,一位來自深圳市龍華區(qū)的市民在人民網(wǎng)領(lǐng)導(dǎo)留言板吐槽。

  記者調(diào)查發(fā)現(xiàn),,在房產(chǎn)交易,、教育培訓(xùn)、金融保險(xiǎn)等重要民生領(lǐng)域,,信息泄露情況普遍,。多位受訪者表示,有時(shí)候個(gè)人信息數(shù)據(jù)莫名其妙就被泄露了,,一些企業(yè)的“精準(zhǔn)營(yíng)銷”讓人無處可躲,。對(duì)此,有業(yè)內(nèi)人士表示,,數(shù)據(jù)行業(yè)互換是信息泄露的主要途徑之一,企業(yè),、個(gè)人私下數(shù)據(jù)互換行為成為監(jiān)管難點(diǎn),。

  “行業(yè)互換現(xiàn)象非常普遍,比如:房產(chǎn)中介員工私下交換客戶聯(lián)系方式,、汽車經(jīng)銷商與保險(xiǎn)機(jī)構(gòu)互換資源等等,。這些私下行為比較難監(jiān)管?!眲偢嬖V記者,,當(dāng)前一般涉及數(shù)據(jù)安全的企業(yè)都需要通過網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè),以黑客攻擊,、木馬等技術(shù)方式大規(guī)模獲取數(shù)據(jù)的難度很大,,風(fēng)險(xiǎn)也比較高,。目前,大量隱私數(shù)據(jù)是通過行業(yè)互換泄露的,,一些小的服務(wù)中介,、代理機(jī)構(gòu)在客戶信息保護(hù)方面意識(shí)淡薄。

  事實(shí)上,,隨著公民對(duì)個(gè)人信息保護(hù)意識(shí)的不斷增強(qiáng),,以及監(jiān)管體系的不斷完善,一些灰色交易正在浮出水面,。

  據(jù)媒體報(bào)道,,浙江省通信管理局在7月5日對(duì)投訴人的答復(fù)函中核實(shí),2019年11月11日,,阿里云計(jì)算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊(cè)信息泄露給第三方合作公司,,該行為違反了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十二條規(guī)定。

  當(dāng)前對(duì)于大型企業(yè),,特別是互聯(lián)網(wǎng)大廠,,數(shù)據(jù)安全被視為“生命線”,一旦出現(xiàn)數(shù)據(jù)安全事故,,其后果將是難以承受的,。網(wǎng)絡(luò)安全法第21條明確規(guī)定了“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)(”等保“)制度,,要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,,履行安全保護(hù)義務(wù)?!睒I(yè)內(nèi)人士表示,,一般大中型企業(yè)都會(huì)通過“等保”全面提升數(shù)據(jù)安全防護(hù)能力,。

  但是,,“防止數(shù)據(jù)泄漏和數(shù)據(jù)合規(guī)運(yùn)營(yíng)是當(dāng)前大多數(shù)企業(yè)面臨的難點(diǎn)?!?60集團(tuán)大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室咨詢總監(jiān)童磊坦言,,中大型企業(yè)在完成數(shù)字化轉(zhuǎn)型過程中基本具備網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)能力,成熟度較高企業(yè)普遍實(shí)施傳統(tǒng)數(shù)據(jù)安全方案,,但對(duì)于隱私數(shù)據(jù)企業(yè)則普遍沒有專門實(shí)施單獨(dú)的安全管控,,部分出海企業(yè)會(huì)針對(duì)出海業(yè)務(wù)實(shí)施《通用數(shù)據(jù)保護(hù)條例》(GDPR)隱私合規(guī)方案。

  “越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部,?!蓖谡f,一方面,隨著數(shù)據(jù)價(jià)值的提升,,數(shù)據(jù)全生命周期流轉(zhuǎn)往往涉及多個(gè)部門和多個(gè)系統(tǒng),,而相應(yīng)的訪問控制與權(quán)限管理很難兼顧安全與業(yè)務(wù)兩方面訴求,訴求差異以及統(tǒng)一安全運(yùn)營(yíng)控制的缺失往往導(dǎo)致數(shù)據(jù)泄漏事件的發(fā)生,。

  另一方面,,在數(shù)據(jù)成為新型生產(chǎn)要素的背景下,數(shù)據(jù)載體分布廣,,海量數(shù)據(jù)匯聚,、流通、分析和共享,,導(dǎo)致很多企業(yè)都不了解自己的數(shù)據(jù),,不能夠清楚地知道敏感數(shù)據(jù)的具體分布,數(shù)據(jù)資產(chǎn)不清晰也為數(shù)據(jù)安全管控和保護(hù)策略的實(shí)施帶來了困難,。

  “數(shù)據(jù)安全是相對(duì)的,,很難做到絕對(duì)安全?!痹趧偪磥?,在一些面向C端服務(wù)的行業(yè),如房產(chǎn)中介,、保險(xiǎn)金融等,,基層網(wǎng)點(diǎn)多,人員流動(dòng)大,,而且能夠直接觸及到客戶信息,。這些特點(diǎn)使得數(shù)據(jù)“行業(yè)互換”等違法行為更加分散、隱蔽,,一些企業(yè)在監(jiān)管方面的“鞭長(zhǎng)莫及”“默不作聲”一定程度上助長(zhǎng)了這種灰色交易,。

  劉剛認(rèn)為,平臺(tái)方應(yīng)主動(dòng)加強(qiáng)自身監(jiān)管,,落實(shí)內(nèi)外風(fēng)險(xiǎn)管控,、提升信息保護(hù)等級(jí)。另一方面,,建議加大對(duì)個(gè)人泄露隱私的處罰力度,。

  目前,一些機(jī)構(gòu),、企業(yè)也探索通過技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)“可用不可見、可用不可取”,。例如通過隱私計(jì)算技術(shù),,在不共享明文數(shù)據(jù)、保障數(shù)據(jù)安全和用戶隱私的前提下,實(shí)現(xiàn)多方數(shù)據(jù)協(xié)同,,聯(lián)通數(shù)據(jù)孤島,,可以有效打擊數(shù)據(jù)黑產(chǎn)。

  數(shù)據(jù)安全頂層設(shè)計(jì)逐步到位

  扎緊“數(shù)據(jù)灰產(chǎn)”牢籠仍需各方合力

  隨著數(shù)字經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)的新引擎,,數(shù)據(jù)作為新型生產(chǎn)要素的潛能正在逐步顯現(xiàn),。如何在數(shù)據(jù)的收集、加工,、傳輸?shù)忍幚砘顒?dòng)中既能釋放效率紅利,,又確保敏感數(shù)據(jù)不被侵權(quán)、泄露,、販賣,,成為監(jiān)管需要平衡的關(guān)鍵。

  在保護(hù)數(shù)據(jù)安全方面,,即將實(shí)施的數(shù)據(jù)安全法規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,、從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)、國(guó)家機(jī)關(guān)等數(shù)據(jù)處理者均負(fù)有數(shù)據(jù)安全保護(hù)的義務(wù),。第四十四條至第五十二條還詳細(xì)規(guī)定了違反相應(yīng)義務(wù)時(shí)各主體應(yīng)當(dāng)承擔(dān)的責(zé)任,。肖颯表示,這有利于在發(fā)生違規(guī)違法事件后厘清各主體的法律責(zé)任,。

  “作為重要生產(chǎn)要素,,數(shù)據(jù)對(duì)經(jīng)濟(jì)發(fā)展的價(jià)值需要被進(jìn)一步重視?!敝袊?guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)安全部主任胡影認(rèn)為,,數(shù)據(jù)安全法的一大特點(diǎn)在于兼顧統(tǒng)籌數(shù)據(jù)安全與發(fā)展:一方面厘清隱私保護(hù)、數(shù)據(jù)安全鏈條中各主體的法律責(zé)任,;另一方面也鼓勵(lì)數(shù)據(jù)的合法開發(fā)利用,,保障數(shù)據(jù)依法自由有序流動(dòng)。

  隨著網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法,、個(gè)人信息保護(hù)法的逐步到位,數(shù)據(jù)安全和隱私保護(hù)的監(jiān)管力度正在不斷加大,。業(yè)內(nèi)人士認(rèn)為,,頂層設(shè)計(jì)正在逐步到位,但要扎緊“數(shù)據(jù)灰產(chǎn)”牢籠,,仍需行政監(jiān)管,、市場(chǎng)約束、行業(yè)自律,、社會(huì)監(jiān)督等各方合力,。

  “從監(jiān)管動(dòng)向來看,電商、外賣,、快遞,、打車、連鎖酒店,、求職招聘等行業(yè),,獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國(guó)家安全,?!眲傉J(rèn)為,大公司所獲取的數(shù)據(jù),,往往更具有價(jià)值,,加強(qiáng)企業(yè)對(duì)個(gè)人信息規(guī)范管理的同時(shí),應(yīng)推動(dòng)建立統(tǒng)一的管理系統(tǒng),,以保證數(shù)據(jù)使用安全,、合法、可追溯,。

  據(jù)中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所副所長(zhǎng)魏凱介紹,,信通院已牽頭制定《數(shù)據(jù)安全治理能力評(píng)估方法》,編制發(fā)布《數(shù)據(jù)安全治理實(shí)踐指南》,,推出國(guó)內(nèi)首個(gè)數(shù)據(jù)安全治理能力評(píng)估(DSG評(píng)估)服務(wù),,為企業(yè)建設(shè)、度量,、改進(jìn)自身數(shù)據(jù)安全治理體系提供方法論和操作指南,,引導(dǎo)企業(yè)從戰(zhàn)略、技術(shù)和制度等角度全面提升安全能力和合規(guī)水平,。截止目前,,已有20多家頭部企業(yè)積極開展貫標(biāo)工作。

  “對(duì)于信息安全行業(yè)而言,,應(yīng)該積極探索如何平衡地利用數(shù)據(jù),,既要保護(hù)個(gè)人隱私、保護(hù)單點(diǎn)數(shù)據(jù),,又要進(jìn)一步放大數(shù)據(jù)價(jià)值,,真正實(shí)現(xiàn)數(shù)據(jù)全流程安全,確保數(shù)據(jù)可用不可見,、可用不可取,,進(jìn)而發(fā)揮更大的政企數(shù)據(jù)賦能作用?!卑埠阈畔⒍麻L(zhǎng)范淵說,。(文中林峰,、劉剛均為化名。實(shí)習(xí)生許愿對(duì)此文亦有貢獻(xiàn),。)




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。