今年兩會，關于數據安全的提案再次引人關注。各類關于數據安全的聲音不絕于耳，讓這個全球矚目的問題，再次受到廣泛關注。

　　據不完全統(tǒng)計，從2015年開始，互聯(lián)網黑灰產業(yè)從業(yè)人員就已經超過40萬。盡管公開數據顯示，2019年中國網絡安全產業(yè)規(guī)模預計超過600億元，但黑灰產早已達千億元規(guī)模。

　　網絡安全和數據安全是保障國家安全的重要組成部分。網絡安全的核心就是大數據安全，大數據安全關系并影響著網絡安全和國家安全、公民個人隱私權益和社會安全穩(wěn)定等。大數據對國家的政治、經濟、軍事、科研等重大領域及人們的生活、工作、學習、社交方式具有重要影響。

　　雖然大數據如此重要，但當今世界大多數國家對大數據的安全管理還缺乏明確的相關法律法規(guī)。對大數據的采集、傳輸、存儲、互聯(lián)、共享、應用、交易、安全管理等權責不明確，大數據的所有權、使用權、運營權、安全責任等模糊，造成數據資源的開發(fā)和使用者經常游走在法律的邊緣。

　　在今年第一季度，“數據泄露”這樣的字眼總是活躍在我們眼前。全球各地深受數據泄露事件的困擾，已造成重大損失。信息安全與通信保密雜志社梳理了國內外各地發(fā)生的重大數據泄露事件。這些事件不僅給企業(yè)帶來數據資產的嚴重損失，還帶來了巨大的社會影響。

　　國內

　　01

　　30人販賣6億條個人信息獲利800余萬

　　近日，鎮(zhèn)江丹陽警方成功偵破一起公安部督辦的侵犯公民個人信息案，涉及10多個省市，抓獲犯罪嫌疑人30名。

　　該團伙采用境外聊天工具和區(qū)塊鏈虛擬貨幣收付款，共販賣個人信息6億余條，違法所得800余萬元。犯罪嫌疑人已被移送檢察機關。

　　02

　　一公司賣個人信息被罰320萬

　　近日，中國裁判文書網公布一份判決書——《北京智借網絡科技有限公司、賢某某等侵犯公民個人信息罪一審刑事判決書》。

　　判決書顯示，上述公司在未取得受害人同意的情況下，向下游多家公司出售包含姓名、身份證號、手機號等個人信息，因犯侵犯公民個人信息罪，被判處罰金三百二十萬元。值得注意的是，買方涉及多家知名公司，如平安普惠、拍拍貸、你我貸等。

　　03

　　疑似超2億國內已泄漏用戶信息在國外暗網論壇兜售

　　國外安全研究團隊Cyble在一次日常安全監(jiān)控中發(fā)現(xiàn)了多個帖子正在出售與中國公民有關的個人數據。經分析，這些數據很可能來自微博、QQ等多個社交媒體，其中還發(fā)現(xiàn)了大量湖北省“公安縣”的公民數據。

　　其中一個帖子，威脅者公布了公安縣999名中國公民的戶口登記樣本數據，以作為黑客攻擊的證據。并表示共有730萬中國公民的數據可供出售，包括身份證，性別，姓名，出生日期，手機號，地址和郵編等記錄。

　　國外

　　01

　　近30TB業(yè)務數據被破壞，數據分析公司Polecat遭重大安全事件

　　英國數據分析公司Polecat專為客戶提供各類高級“數據分析與人類專業(yè)知識”工具。遺憾的是，這家專注于提供ESG（環(huán)境、社會、治理）管理方案的廠商剛剛成為數據泄露的又一位受害者。

　　根據Wizcase研究人員的分析，Polecat使用的這臺不安全的Elasticsearch服務器將接近30 TB的數據泄露至公開網絡，服務器本身未受任何身份驗證或其他加密形式的保護。換言之，任何互聯(lián)網用戶都能隨時訪問存儲在該服務器上的記錄。

　　進一步調查則顯示，該服務器上存儲著可追溯至2008年的大量業(yè)務記錄。服務器中存放有員工用戶名與密碼、超過65億條推文、收集自各個網站及博客的超過10億篇帖子以及社交媒體記錄。

　　02

　　印度800萬核酸檢測結果泄露：網站漏洞太低級

　　本周，安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個印度政府網站泄露了數百萬核酸檢測結果。研究人員發(fā)現(xiàn)網站在實現(xiàn)上存在問題，會導致在特定州進行核酸檢測的人員的測試結果泄露。報告中含有姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感個人信息。這里的特定州指的就是印度西孟加拉邦。

　　根據政府每日公布的公告數據，研究人員推斷泄露的核酸檢測報告數大約在800萬。Majumder 指出，泄露可以看到發(fā)送給測試者的消息的內容。

　　03

　　Clubhouse音頻數據遭泄露，引發(fā)安全性擔憂

　　新浪科技訊 2月22日上午消息，據報道，廣受歡迎的音頻聊天室應用Clubhouse曾表示將采取措施確保用戶數據不會被惡意黑客或間諜竊取。然而現(xiàn)在，至少有一名網絡攻擊者證明了Clubhous平臺的實時音頻是可以被竊取的。

　　Clubhouse發(fā)言人瑞瑪·巴納西（Reema Bahnasy）表示，本周末，一位身份不明的用戶能夠將Clubhouse的音頻從“多個房間”傳送到他們自己的第三方網站上。

　　04

　　2020年美國醫(yī)療機構數據泄露造成130億美元損失

　　E安全2月20日訊  近日，據Bitglass的數據顯示，去年美國的醫(yī)療保健數據泄露事件數量呈兩位數倍數增長，受影響的人數超過2600萬人。

　　Bitglass是一家提供安全服務的技術公司。這家云安全公司的第七份年度醫(yī)療泄露報告是根據美國衛(wèi)生和公共服務部的記錄整理而來的，該報告記錄了受保護的健康信息（PHI）。

　　報告顯示，與2019年的數據相比，泄露事件增加了55％以上，達到599起違規(guī)事件，影響了超過2640萬人。

　　其中，最主要的原因來自外部攻擊者的“黑客和IT事件”。與其他原因類別相比，此類數據占整個泄露記錄的91％以上。

　　其次是由于端點設備的丟失或失竊，造成584,000多人受影響，而因為內部各方或系統(tǒng)未經授權泄露數據的人數達到763,000。其他雜項裂縫及滲漏影響了超過584,000人。

　　05

　　巴西發(fā)生重大數據泄露事件：幾乎所有巴西人受波及

　　據外媒報道，當地時間周二上午，PSafe的網絡安全實驗室dfndr報告稱，巴西的一個數據庫發(fā)生了一起重大泄密事件，數百萬人的CPF號碼及其他機密信息可能遭到了泄露。據這些使用AI技術識別惡意鏈接和虛假新聞的專家們披露，泄露的數據包含有1.04億輛汽車和約4000萬家公司的詳細信息，受影響的人員數量可能有2.2億。

　　泄露的數據庫中包含的信息則覆蓋了幾乎所有巴西人的姓名、出生日期和CPF——包括當局。在一份新聞稿中，dfndr實驗室主任Emilio Simoni指出，最大的風險是這些數據會被用于網絡釣魚詐騙，其將會誘使人們在一個虛假頁面上提供更多的個人信息。

　　06

　　7700萬！Nitro PDF用戶數據庫大規(guī)模泄露

　　2021年1月，黑客免費公開泄漏包含超過7700萬條Nitro PDF用戶記錄數據庫。

　　包含超過7700萬條Nitro PDF用戶記錄（電子郵件地址、用戶名和密碼）數據庫被盜，昨天已被黑客免費公開泄漏。

　　黑客公布的這個14GB的泄漏數據庫包含77,159,696條記錄，其中包含用戶的電子郵件地址、全名、bcrypt哈希密碼、標題、公司名稱、IP地址以及其他與系統(tǒng)相關的信息。

　　該數據庫已經被添加到“Have I Been Pwned”泄露檢測服務中，該服務使用戶可以檢查其信息是否在數據泄露中暴露。

　　07

　　新西蘭央行大量敏感數據泄露

　　新西蘭中央銀行近日表示，某身份不明的攻擊者已經成功入侵其內部一個數據系統(tǒng)，并且可能已經訪問了商業(yè)及個人敏感信息。

　　這家位于新西蘭惠靈頓的國家銀行在聲明中表示，遭到非法訪問的是新西蘭儲備銀行用于共享及存儲敏感信息的第三方文件共享服務。

　　銀行行長Adrian Orr表示，違規(guī)行為已經得到遏制，該銀行的核心職能“仍然保持著健全性及可操作性?！?/p>

　　08

　　弱口令惹禍！日產公司近20GB源代碼遭到泄露

　　傳統(tǒng)機動車制造廠商近來麻煩不斷，繼去年本田遭遇勒索軟件攻擊、奔馳數據泄露、伊始川崎重工和日產公司又接連曝出數據泄露事故。

　　2021年1月，日產北美公司一臺配置錯誤（使用了默認的管理員用戶名密碼組合：admin/admin）的Bitbucket Git服務器的信息在Telegram頻道和黑客論壇上開始傳播，直到周三該服務器才脫機。

　　據悉，該服務器是存有日產北美公司開發(fā)和正在使用的移動應用程序和內部工具的源代碼，目前已在線泄漏。

　　一位瑞士軟件工程師Tillie Kottmann本周接受媒體采訪時透露，他從匿名來源獲悉泄漏，并分析了日產數據，發(fā)現(xiàn)泄露的Git存儲庫包括的源代碼。

　　09

　　英國一大型整容醫(yī)院遭勒索攻擊，近1TB病人照片泄露

　　據外媒體報道，不久之前，有黑客竊取了英國一家大型整容連鎖店-- Hospital Group的數據并威脅要公布患者手術前后的照片和其他細節(jié)。Hospital Group目前已經證實遭到了勒索軟件的攻擊。該公司表示，其已將此事告知信息專員（Information Commissioner）。

　　黑客組織REvil在其暗網網頁上表示，顧客的照片并不完全是令人愉快的景象。它聲稱已經獲得了超過900G的病人照片。遭到網絡攻擊的Hospital Group--也被稱為Transform Hospital Group--聲稱是英國減肥和美容手術的領先者。

　　數據安全的挑戰(zhàn)

　　以移動互聯(lián)網、物聯(lián)網為代表的信息網絡日益普及，云計算、大數據等信息技術日趨成熟，復雜多元、規(guī)模龐大的數據所蘊含的經濟價值和社會價值逐步凸顯，數據安全風險隨之增加，數據安全問題不斷涌現(xiàn)。

　　一是用戶隱私數據泄露事件接連不斷，危害影響持續(xù)擴散。

　　用戶隱私數據泄露事件涉及范圍持續(xù)擴大、破壞性不斷增強，對人們生產生活的影響日益深化。全球每年個人信息泄露事件總數呈遞增趨勢，重大安全事件頻發(fā)。根據荷蘭 Gemalto 公司2014年至2017年公布的安全違規(guī)水平指數調查報告顯示。2017年全球重大數據泄露事件高達1765起，比去年同期增長77%。同時，數據安全事件帶來的經濟成本和經濟損失居高不下。

　　根據IBM聯(lián)合 Ponemon Institute 發(fā)布，企業(yè)的平均數據泄露總成本基本維持在350-400萬美元。此外，數據安全威脅蔓延到關系經濟社會運行的基礎設施，乃至政治領域。2016年，劍橋分析公司不正當使用5000萬Facebook用戶數據，影響美國總統(tǒng)大選結果。2017年6月，美國共和黨全國委員會承包商營銷公司托管在AWS　S3上超過1.98億美國公民1.1TB的資料數據庫泄露，約占選民總數61%。

　　據國際安全公司Risk Based Security 報告顯示，2019年前9個月披露了 5183 起違規(guī)事件，總共泄露了79億條記錄，泄露記錄總數同比增長112%。

　　二是全球數據泄露整體形勢嚴峻，呈現(xiàn)出多類特點。

　　根據國際數據安全公司金雅拓（Gemalto）發(fā)布的《全球范圍內公共數據泄露事件嚴重程度指數》顯示，全球數據泄露形勢依然嚴峻。與2017年同期相比，數據丟失、被盜或受損的數量大增133％，2018年上半年，每天有超過2500萬條數據遭到入侵或泄露。數據泄露呈現(xiàn)四方面特點：

　　一是從數據泄露源頭來看，外部人員進行惡意活動造成的數據泄露事件占比最高，達到56%；第二大原因是意外損失，超過8.79億（9％）。

　　二是從數據泄露類型來看，身份盜竊漏洞的數量占比超過64%，財務數據泄露條數高達3.59億（2017年同期為270萬）。

　　三是從數據泄漏嚴重的行業(yè)或領域看，社交媒體泄露的數據條數（56％）排名第一，醫(yī)療領域在數據安全事故數量上繼續(xù)領先（27％）。

　　四是從數據泄露地理分布來看，北美仍占大頭，違規(guī)行為占59%，數據受損占72％，歐洲的事件數量減少了36％，但違規(guī)記錄數量增加了28％，澳大利亞的事件披露數量從18 個增加到 308 個。

　　三是云計算安全事故頻發(fā)，數據安全問題日益突出。

　　近年來，云安全導致的數據安全事件不斷發(fā)生。2016年9月，Cloudflare 數百萬網絡托管客戶數據被泄露；2017年6月，亞馬遜AWS 共和黨數據庫中的美國2億選民個人信息被曝光。

　　與此同時，數據相關企業(yè)內部安全管理問題日益凸顯，主要表現(xiàn)在未得到用戶授權的情況下，收集和使用用戶數據信息；安全運維策略缺陷，運維人員可接觸用戶數據信息以及用戶數據不切合自身利益，忽略長期潛在的未知安全問題。

　　四是移動互聯(lián)網數據安全威脅日益加深，安全隱患難以緩解。

　　當前，移動互聯(lián)網已成為數據安全威脅擴散的重要途徑。侵犯數據安全的惡意應用、木馬等日益增多，對用戶的人身、財產安全構成了極大隱患。根據騰訊安全聯(lián)合實驗室發(fā)布的《2018 上半年互聯(lián)網黑產研究報告》，2018年上半年手機病毒類型多達數十種，個人隱私信息獲取成為繼資費消耗、惡意扣費之后的第三大病毒類型，占手機病毒數量總比重的20.40%。同時，由于手機病毒功能的日益復雜化，一款病毒往往兼具多種惡意行為。

　　2018年4月初，騰訊TRP-AI反病毒引擎曾捕獲一款名為“銀行節(jié)日提款機”的惡意木馬，偽裝成正常的支付插件，在用戶不知情的情況下，私自發(fā)送訂購短信，同步上傳用戶手機固件信息和隱私，造成用戶資費損耗和隱私泄露。

　　五是數據交易黑色地下產業(yè)鏈活動猖獗，治理之路漫漫。

　　數據交易黑色地下產業(yè)鏈交易的數據范圍日益廣泛，主要包括：用戶賬號、密碼、網銀賬戶等可以直接用以進行經濟犯罪的信息以及手機號碼、家庭住址、興趣愛好等隱私信息。我國的數據交易黑色地下產業(yè)鏈存在已久，近年來，地下產業(yè)鏈的規(guī)模，產值不斷擴大，不僅侵犯虛擬數據資產，更帶來了實際的經濟利益損失，對數據安全和經濟安全構成了極大威脅。地下產業(yè)鏈治理非一日之功。

　　推進我國數據安全保護工作的思考與建議

　　面對當前數據安全嚴峻形勢，我國需要從實際出發(fā)，不斷完善管理制度，積極研發(fā)數據安全技術，多管齊下，建立以法律法規(guī)為準繩、戰(zhàn)略政策為方向、管理體制機制為保障、技術手段為依托、標準指引和評估規(guī)范為支撐的全方位數據安全保護體系。

　?。ㄒ唬┛茖W推進數據安全保護立法進程，擴展現(xiàn)有法律的調整范圍。一是加快立法進程，盡快立法明確數據保護對象、范疇和違法責任，制定關于數據開放共享和跨境流動監(jiān)管的法律條款；二是拓寬法律調整范疇，將工業(yè)互聯(lián)網、云計算等新技術新應用場景下的數據保護納入法律調整范疇。

　?。ǘ┍M快出臺數據保護的戰(zhàn)略規(guī)劃和政策法規(guī)。首先，應從國家戰(zhàn)略資源、經濟生產要素的高度重塑數據安全的定位，強化數據安全與發(fā)展的戰(zhàn)略統(tǒng)籌；其次，出臺針對數據跨境流動、長臂管轄等熱點問題的監(jiān)管政策，制定通信、金融等重點行業(yè)的重要數據和用戶信息的跨境流動監(jiān)管政策，推動立法規(guī)范我國公民個人信息和重要數據的境內存儲；此外，要積極參與國際規(guī)則的制定，提升我國在數據保護領域的話語權，為我國開展數據安全保護營造良好的國際環(huán)境。

　?。ㄈ┩晟茩C制，將數據安全保護納入國家網絡安全管理的核心范疇。在國家層面，設立或者指定統(tǒng)領性的數據安全管理機構，在各行業(yè)設置或指定數據安全的接口部門，完善數據保護行政監(jiān)管體系，確立數據保護的行業(yè)監(jiān)管模式，建立覆蓋備案、評估、舉報、處罰等各個環(huán)節(jié)的數據保護行政監(jiān)管機制，鼓勵行業(yè)自律組織制定、實施行業(yè)自律規(guī)范，建立企業(yè)間交流溝通的渠道和平臺；在行政監(jiān)管方面，加強網絡數據資源開放共享和商業(yè)合作的安全管理，建立完備的數據跨境流動審查機制，建立健全大規(guī)模用戶信息泄露事件企業(yè)向行業(yè)主管部門報告和社會公告制度，健全完善用戶隱私泄露舉報機制。

　?。ㄋ模┘訌姅祿Ｗo關鍵技術攻關，提升數據跨境流動監(jiān)管能力。一是要提升數據基礎設施安全可控水平，加大自主創(chuàng)新力度，突破存儲設備、服務器等關鍵設備，操作系統(tǒng)等基礎軟件的核心關鍵技術，加快推動安全可控軟硬件的應用推廣；二是要加強數據保護關鍵技術手段建設，加快身份管理、防御 APT 攻擊等關鍵技術研發(fā)；三是要加快能夠有效發(fā)現(xiàn)、處置敏感數據違法跨境流動行為的監(jiān)管支撐能力研發(fā)。

　　（五）統(tǒng)籌規(guī)劃制定數據安全相關標準，推動開展數據跨境流動安全評估。一是加強標準研發(fā)工作，構建我國數據安全標準體系，積極研發(fā)通用和專用的數據安全標準；二是建立安全評估制度，引導行業(yè)內第三方機構開展數據安全相關的檢測和評估，開展針對數據跨境流動的專項安全評估。