《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 記者調(diào)查:信息安全領(lǐng)域亟待“掃黑”

記者調(diào)查:信息安全領(lǐng)域亟待“掃黑”

2021-09-11
來源:信息安全與通信保密雜志社
關(guān)鍵詞: 信息安全 掃黑

  “盡量打語音,不要發(fā)文字!”

  “可以放心,咱們是長(zhǎng)期合作,數(shù)據(jù)都是真實(shí)的?!?/p>

  “**寶付款,到時(shí)發(fā)你郵箱?!?/p>

  《中華人民共和國數(shù)據(jù)安全法》將于9月1日正式實(shí)施,我國網(wǎng)絡(luò)空間安全治理法律體系將進(jìn)一步完善。然而,近期記者調(diào)查發(fā)現(xiàn),在論壇社群、電商平臺(tái)等網(wǎng)絡(luò)空間,仍有灰色數(shù)據(jù)交易藏匿于隱蔽角落,其中也包含針對(duì)個(gè)人信息等在內(nèi)的隱私數(shù)據(jù)交易。

  被公開售賣的隱私數(shù)據(jù)

  灰色交易藏匿于貼吧、淘寶等網(wǎng)絡(luò)平臺(tái)

  聯(lián)系中介賣房,隔天就有貸款公司問你需不需要借貸;每年車險(xiǎn)快到期,就莫名其妙接到各種保險(xiǎn)公司的推銷電話……是哪個(gè)環(huán)節(jié)出現(xiàn)了問題?

  在百度貼吧上,一些個(gè)人隱私數(shù)據(jù)、行業(yè)數(shù)據(jù)被公開叫買叫賣。

  “全國企業(yè)內(nèi)部員工通訊錄,真實(shí)可測(cè)”“大眾點(diǎn)評(píng)商鋪數(shù)據(jù),量大3000萬”“收影視手機(jī)數(shù)據(jù),支持測(cè)試的來”“收微博原始數(shù)據(jù)”……

  灰色數(shù)據(jù)交易藏匿于一些網(wǎng)絡(luò)平臺(tái)

  “0.9元一條,實(shí)時(shí)抓取的?!庇浾咄ㄟ^QQ與其中一位賣家“林峰”取得聯(lián)系,對(duì)方表示可以提供包括車險(xiǎn)、網(wǎng)貸、信用卡等各行業(yè)的數(shù)據(jù)定制服務(wù)。賣家特別強(qiáng)調(diào),所有數(shù)據(jù)是實(shí)時(shí)提取一手的,不是那種“很爛的、轉(zhuǎn)賣了好幾手”的數(shù)據(jù),并強(qiáng)調(diào)“量大價(jià)格還可以再低一些”。

  賣家向記者展示了之前交易的聊天記錄和車險(xiǎn)信息數(shù)據(jù)樣本,并保證“信息都是真實(shí)的”。在他展示的數(shù)據(jù)樣本中,包含車主姓名、身份證號(hào)、手機(jī)號(hào)、車牌、車型、發(fā)動(dòng)機(jī)號(hào)、車架號(hào)、車檢日期等詳細(xì)信息。

  賣家向記者展示的數(shù)據(jù)樣本

  賣家說,車險(xiǎn)數(shù)據(jù)來自不同的平臺(tái),當(dāng)天下單要第二天才能發(fā),需要進(jìn)行數(shù)據(jù)篩選,“如果單一個(gè)保險(xiǎn)公司,搞不了那么多,一個(gè)公司沒那么強(qiáng)大?!?/p>

  記者詢問有沒有網(wǎng)貸數(shù)據(jù),對(duì)方則表示,目前只能提供號(hào)碼,量大的話可以搞到住址等更詳細(xì)的數(shù)據(jù)。

  交談過程中,賣家提醒“盡量打語音,不要發(fā)文字”。

  另一位賣家對(duì)記者表示,自己賣車險(xiǎn),同時(shí)也可以出售車險(xiǎn)客戶資料,包括車輛年限、保險(xiǎn)到期時(shí)間等“精準(zhǔn)服務(wù)”?!叭绻?0月到期的車險(xiǎn)信息,現(xiàn)在就有,11月份的需要等到下個(gè)月?!痹撡u家告訴記者。

  而在淘寶、閑魚等電商平臺(tái),記者發(fā)現(xiàn)還有不少商家上架了數(shù)據(jù)代查、數(shù)據(jù)采集等爬蟲服務(wù),涉及的內(nèi)容包括:各城市地方官員相關(guān)數(shù)據(jù)、MIMIC臨床數(shù)據(jù)庫、某券商機(jī)構(gòu)數(shù)據(jù)庫查詢下載、美團(tuán)數(shù)據(jù)采集等。

  在淘寶上,一家名為“啟航羊絨制品”的商家,實(shí)際提供的是可定制信息采集服務(wù),涉及搜狗、百度、高德、360地圖商家POI興趣點(diǎn)的電話號(hào)碼信息。“個(gè)人信息采集不到,企業(yè)、店鋪、門市、工商的都可以。”該商家告訴記者,這些都是公開信息,“沒有風(fēng)險(xiǎn)”。

  另外一家名為“CityData城市大數(shù)據(jù)”的商家告訴記者,可以提供包含聯(lián)系方式等在內(nèi)的二手房源信息,下單后24小時(shí)內(nèi)網(wǎng)盤發(fā)貨。

  爬蟲是一種快速自動(dòng)抓取網(wǎng)絡(luò)公開信息的輔助工具,例如我們使用的搜索引擎都用到了爬蟲技術(shù)。

  “一般而言,如果爬蟲所爬取的是公開數(shù)據(jù),將其打包售賣,并不被法律所禁止。但是,即便是公開數(shù)據(jù)的爬取,若爬取行為不當(dāng),仍然存在一定的法律風(fēng)險(xiǎn),當(dāng)事人有可能面臨侵權(quán)或反不正當(dāng)競(jìng)爭(zhēng)訴訟?!敝袊y行法學(xué)研究會(huì)理事肖颯告訴人民網(wǎng)記者。

  北京某科技公司技術(shù)總監(jiān)劉剛指出,爬蟲能獲取的信息其實(shí)是有限的,且多數(shù)是公開的。但通過撞庫、誘導(dǎo)、群發(fā)、釣魚手段獲取大數(shù)據(jù)信息行為,已非單純的通過爬蟲技術(shù)獲取信息,應(yīng)歸納到黑客、木馬程序竊取的范疇。

  行業(yè)互換成監(jiān)管難點(diǎn)

  越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部

  “上午9:22剛注冊(cè)好公司,我方辦稅財(cái)務(wù)未泄露信息,馬上就開始有一堆電話打過來,問我要不要記賬報(bào)稅?!比涨埃晃粊碜陨钲谑旋埲A區(qū)的市民在人民網(wǎng)領(lǐng)導(dǎo)留言板吐槽。

  記者調(diào)查發(fā)現(xiàn),在房產(chǎn)交易、教育培訓(xùn)、金融保險(xiǎn)等重要民生領(lǐng)域,信息泄露情況普遍。多位受訪者表示,有時(shí)候個(gè)人信息數(shù)據(jù)莫名其妙就被泄露了,一些企業(yè)的“精準(zhǔn)營銷”讓人無處可躲。對(duì)此,有業(yè)內(nèi)人士表示,數(shù)據(jù)行業(yè)互換是信息泄露的主要途徑之一,企業(yè)、個(gè)人私下數(shù)據(jù)互換行為成為監(jiān)管難點(diǎn)。

  “行業(yè)互換現(xiàn)象非常普遍,比如:房產(chǎn)中介員工私下交換客戶聯(lián)系方式、汽車經(jīng)銷商與保險(xiǎn)機(jī)構(gòu)互換資源等等。這些私下行為比較難監(jiān)管。”劉剛告訴記者,當(dāng)前一般涉及數(shù)據(jù)安全的企業(yè)都需要通過網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè),以黑客攻擊、木馬等技術(shù)方式大規(guī)模獲取數(shù)據(jù)的難度很大,風(fēng)險(xiǎn)也比較高。目前,大量隱私數(shù)據(jù)是通過行業(yè)互換泄露的,一些小的服務(wù)中介、代理機(jī)構(gòu)在客戶信息保護(hù)方面意識(shí)淡薄。

  事實(shí)上,隨著公民對(duì)個(gè)人信息保護(hù)意識(shí)的不斷增強(qiáng),以及監(jiān)管體系的不斷完善,一些灰色交易正在浮出水面。

  據(jù)媒體報(bào)道,浙江省通信管理局在7月5日對(duì)投訴人的答復(fù)函中核實(shí),2019年11月11日,阿里云計(jì)算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊(cè)信息泄露給第三方合作公司,該行為違反了《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定。

  當(dāng)前對(duì)于大型企業(yè),特別是互聯(lián)網(wǎng)大廠,數(shù)據(jù)安全被視為“生命線”,一旦出現(xiàn)數(shù)據(jù)安全事故,其后果將是難以承受的。網(wǎng)絡(luò)安全法第21條明確規(guī)定了“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)(”等保“)制度,要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,履行安全保護(hù)義務(wù)。”業(yè)內(nèi)人士表示,一般大中型企業(yè)都會(huì)通過“等保”全面提升數(shù)據(jù)安全防護(hù)能力。

  但是,“防止數(shù)據(jù)泄漏和數(shù)據(jù)合規(guī)運(yùn)營是當(dāng)前大多數(shù)企業(yè)面臨的難點(diǎn)?!?60集團(tuán)大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實(shí)驗(yàn)室咨詢總監(jiān)童磊坦言,中大型企業(yè)在完成數(shù)字化轉(zhuǎn)型過程中基本具備網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)能力,成熟度較高企業(yè)普遍實(shí)施傳統(tǒng)數(shù)據(jù)安全方案,但對(duì)于隱私數(shù)據(jù)企業(yè)則普遍沒有專門實(shí)施單獨(dú)的安全管控,部分出海企業(yè)會(huì)針對(duì)出海業(yè)務(wù)實(shí)施《通用數(shù)據(jù)保護(hù)條例》(GDPR)隱私合規(guī)方案。

  “越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部?!蓖谡f,一方面,隨著數(shù)據(jù)價(jià)值的提升,數(shù)據(jù)全生命周期流轉(zhuǎn)往往涉及多個(gè)部門和多個(gè)系統(tǒng),而相應(yīng)的訪問控制與權(quán)限管理很難兼顧安全與業(yè)務(wù)兩方面訴求,訴求差異以及統(tǒng)一安全運(yùn)營控制的缺失往往導(dǎo)致數(shù)據(jù)泄漏事件的發(fā)生。

  另一方面,在數(shù)據(jù)成為新型生產(chǎn)要素的背景下,數(shù)據(jù)載體分布廣,海量數(shù)據(jù)匯聚、流通、分析和共享,導(dǎo)致很多企業(yè)都不了解自己的數(shù)據(jù),不能夠清楚地知道敏感數(shù)據(jù)的具體分布,數(shù)據(jù)資產(chǎn)不清晰也為數(shù)據(jù)安全管控和保護(hù)策略的實(shí)施帶來了困難。

  “數(shù)據(jù)安全是相對(duì)的,很難做到絕對(duì)安全?!痹趧偪磥?,在一些面向C端服務(wù)的行業(yè),如房產(chǎn)中介、保險(xiǎn)金融等,基層網(wǎng)點(diǎn)多,人員流動(dòng)大,而且能夠直接觸及到客戶信息。這些特點(diǎn)使得數(shù)據(jù)“行業(yè)互換”等違法行為更加分散、隱蔽,一些企業(yè)在監(jiān)管方面的“鞭長(zhǎng)莫及”“默不作聲”一定程度上助長(zhǎng)了這種灰色交易。

  劉剛認(rèn)為,平臺(tái)方應(yīng)主動(dòng)加強(qiáng)自身監(jiān)管,落實(shí)內(nèi)外風(fēng)險(xiǎn)管控、提升信息保護(hù)等級(jí)。另一方面,建議加大對(duì)個(gè)人泄露隱私的處罰力度。

  目前,一些機(jī)構(gòu)、企業(yè)也探索通過技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)“可用不可見、可用不可取”。例如通過隱私計(jì)算技術(shù),在不共享明文數(shù)據(jù)、保障數(shù)據(jù)安全和用戶隱私的前提下,實(shí)現(xiàn)多方數(shù)據(jù)協(xié)同,聯(lián)通數(shù)據(jù)孤島,可以有效打擊數(shù)據(jù)黑產(chǎn)。

  數(shù)據(jù)安全頂層設(shè)計(jì)逐步到位

  扎緊“數(shù)據(jù)灰產(chǎn)”牢籠仍需各方合力

  隨著數(shù)字經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)的新引擎,數(shù)據(jù)作為新型生產(chǎn)要素的潛能正在逐步顯現(xiàn)。如何在數(shù)據(jù)的收集、加工、傳輸?shù)忍幚砘顒?dòng)中既能釋放效率紅利,又確保敏感數(shù)據(jù)不被侵權(quán)、泄露、販賣,成為監(jiān)管需要平衡的關(guān)鍵。

  在保護(hù)數(shù)據(jù)安全方面,即將實(shí)施的數(shù)據(jù)安全法規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者、從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)、國家機(jī)關(guān)等數(shù)據(jù)處理者均負(fù)有數(shù)據(jù)安全保護(hù)的義務(wù)。第四十四條至第五十二條還詳細(xì)規(guī)定了違反相應(yīng)義務(wù)時(shí)各主體應(yīng)當(dāng)承擔(dān)的責(zé)任。肖颯表示,這有利于在發(fā)生違規(guī)違法事件后厘清各主體的法律責(zé)任。

  “作為重要生產(chǎn)要素,數(shù)據(jù)對(duì)經(jīng)濟(jì)發(fā)展的價(jià)值需要被進(jìn)一步重視?!敝袊娮蛹夹g(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)安全部主任胡影認(rèn)為,數(shù)據(jù)安全法的一大特點(diǎn)在于兼顧統(tǒng)籌數(shù)據(jù)安全與發(fā)展:一方面厘清隱私保護(hù)、數(shù)據(jù)安全鏈條中各主體的法律責(zé)任;另一方面也鼓勵(lì)數(shù)據(jù)的合法開發(fā)利用,保障數(shù)據(jù)依法自由有序流動(dòng)。

  隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法的逐步到位,數(shù)據(jù)安全和隱私保護(hù)的監(jiān)管力度正在不斷加大。業(yè)內(nèi)人士認(rèn)為,頂層設(shè)計(jì)正在逐步到位,但要扎緊“數(shù)據(jù)灰產(chǎn)”牢籠,仍需行政監(jiān)管、市場(chǎng)約束、行業(yè)自律、社會(huì)監(jiān)督等各方合力。

  “從監(jiān)管動(dòng)向來看,電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業(yè),獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國家安全?!眲傉J(rèn)為,大公司所獲取的數(shù)據(jù),往往更具有價(jià)值,加強(qiáng)企業(yè)對(duì)個(gè)人信息規(guī)范管理的同時(shí),應(yīng)推動(dòng)建立統(tǒng)一的管理系統(tǒng),以保證數(shù)據(jù)使用安全、合法、可追溯。

  據(jù)中國信通院云計(jì)算與大數(shù)據(jù)研究所副所長(zhǎng)魏凱介紹,信通院已牽頭制定《數(shù)據(jù)安全治理能力評(píng)估方法》,編制發(fā)布《數(shù)據(jù)安全治理實(shí)踐指南》,推出國內(nèi)首個(gè)數(shù)據(jù)安全治理能力評(píng)估(DSG評(píng)估)服務(wù),為企業(yè)建設(shè)、度量、改進(jìn)自身數(shù)據(jù)安全治理體系提供方法論和操作指南,引導(dǎo)企業(yè)從戰(zhàn)略、技術(shù)和制度等角度全面提升安全能力和合規(guī)水平。截止目前,已有20多家頭部企業(yè)積極開展貫標(biāo)工作。

  “對(duì)于信息安全行業(yè)而言,應(yīng)該積極探索如何平衡地利用數(shù)據(jù),既要保護(hù)個(gè)人隱私、保護(hù)單點(diǎn)數(shù)據(jù),又要進(jìn)一步放大數(shù)據(jù)價(jià)值,真正實(shí)現(xiàn)數(shù)據(jù)全流程安全,確保數(shù)據(jù)可用不可見、可用不可取,進(jìn)而發(fā)揮更大的政企數(shù)據(jù)賦能作用。”安恒信息董事長(zhǎng)范淵說。(文中林峰、劉剛均為化名。實(shí)習(xí)生許愿對(duì)此文亦有貢獻(xiàn)。)




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。