國家互聯(lián)網(wǎng)信息辦公室22日發(fā)布消息稱,我國將于近期推出針對企業(yè)技術產(chǎn)品和服務的網(wǎng)絡安全審查制度。然而,近期我國企業(yè)大規(guī)模信息泄露事故頻發(fā),小米手機800萬用戶信息泄露、攜程網(wǎng)大量信用卡信息“裸奔”等,不僅關系到公共利益,甚至威脅國家安全。
專家表示,我國互聯(lián)網(wǎng)企業(yè)普遍片面追求發(fā)展速度,安全防護水平“瘸腿”嚴重,網(wǎng)絡安全審查制度將成為倒逼企業(yè)提升安全防護水平的重大利好,不重視安全的企業(yè)是短視的。
企業(yè)大規(guī)模信息泄露事故“輪番上演”
22日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息,為維護國家網(wǎng)絡安全、保障中國用戶合法利益,我國即將推出網(wǎng)絡安全審查制度。該制度規(guī)定,關系國家安全和公共利益的重要技術產(chǎn)品和服務,應通過網(wǎng)絡安全審查。
作為提供產(chǎn)品和服務的主體,我國互聯(lián)網(wǎng)企業(yè)近期頻發(fā)大規(guī)模信息泄露事故。
5月14日,國內(nèi)手機廠商小米發(fā)生用戶信息泄露事故,其中涉及800萬用戶的短信、通訊錄、精確位置等私密信息;今年3月,攜程網(wǎng)大量用戶信用卡賬號、姓名、身份證號等敏感信息泄露;2013年10月,多家酒店的開房信息因系統(tǒng)漏洞發(fā)生泄露,2000萬條開房信息在網(wǎng)上“裸奔”。
“大規(guī)模信息泄露事故高發(fā)期已經(jīng)到來。”國際關系學院信息科技系副主任王標說,隨著云計算、大數(shù)據(jù)技術的廣泛應用,企業(yè)保存的用戶數(shù)據(jù)量越來越大,大規(guī)模數(shù)據(jù)泄露的風險也越來越大。
頻發(fā)的大規(guī)模信息泄露事故將給公民個人帶來巨大危險。信息安全專家、南京瀚海源信息科技有限公司CEO方興表示,個人的賬號密碼、聯(lián)系方式、身份證號等敏感信息會被不法分子輕易獲取,為賬戶盜刷、詐騙等犯罪活動打開方便之門。例如,不法分子不僅掌握一個人的全部隱私信息,還能通過關聯(lián)分析獲取其家人、朋友的隱私信息,詐騙得手的概率將大幅提高。
同時,國家安全也將因此受到威脅。王標指出,大規(guī)模個人信息泄露后,敵對勢力可通過大數(shù)據(jù)分析,獲取與國家安全有關人員的信息,還能摸清我國經(jīng)濟社會脈搏等。
企業(yè):“如果泄露的信息只是拿去賣錢,那我們不管”
受訪專家表示,國內(nèi)互聯(lián)網(wǎng)企業(yè)普遍片面追求發(fā)展速度,不愿加大安全投入,在黑客面前不堪一擊,與安全審查要求存在較大差距。安全審查制度無疑將成為倒逼企業(yè)加大安全投入的重大利好。
“實踐證明,多年前用來入侵企業(yè)網(wǎng)站的老技術,現(xiàn)在還繼續(xù)好用。”上海碁震云計算科技有限公司CEO王琦告訴記者,“并不是黑客的技術有多高,而是多年來我國企業(yè)的安全防護水平?jīng)]太大進步,不少企業(yè)連一個低級入侵都防不住。”
王標說,企業(yè)往往將安全當做成本,且是無法產(chǎn)生直接效益的成本,企業(yè)都在追求發(fā)展速度,而不愿意加大安全方面的投入。“前幾天發(fā)生的小米信息泄露就是一個典型事件,如果不是發(fā)生泄露事故,恐怕小米也沒有動力加強安全防護。”
方興長期為互聯(lián)網(wǎng)企業(yè)做安全防護服務。他講了一個真實的故事:國內(nèi)某著名互聯(lián)網(wǎng)企業(yè)被黑客竊取了大量用戶信息,企業(yè)就去找黑客談判:“你如果在網(wǎng)上公布,那是毀我們名譽,我們跟你‘死磕’,如果你只是拿去賣錢,那我們不管。”他說,“這是目前國內(nèi)企業(yè)的真實狀態(tài),只要與自身利益無關,企業(yè)就不會重視安全問題。”
“即將出臺的網(wǎng)絡安全審查制度無疑是重大利好,將對企業(yè)產(chǎn)生倒逼效應。”上海理工大學電子商務與計算機法研究所所長楊堅爭說,由于無法可依,此前發(fā)生信息泄露事故的企業(yè)均未受到任何處罰,企業(yè)沒有動力重視安全防護,而安全審查制度的事前審查、事中監(jiān)測和事后懲處機制將倒逼企業(yè)加大安全投入。
安全審查、完善法規(guī)、行業(yè)自律一個都不能少
專家表示,應對企業(yè)大規(guī)模信息泄露事件頻發(fā)的情況,參照發(fā)達國家經(jīng)驗,除了不斷完善相關法律法規(guī),推進企業(yè)層面的行業(yè)自律必不可少。
楊堅爭表示,在國家層面,除了網(wǎng)絡安全審查制度外,還應繼續(xù)完善相關法律法規(guī)。例如出臺專門針對個人信息安全的法律,對企業(yè)搜集、存儲用戶信息的規(guī)范和責任做出明確細致的規(guī)定,在打擊黑客的同時,嚴厲處罰發(fā)生信息泄露事故的企業(yè)。
實際上,不少國家都已出臺關于個人信息保護的“嚴刑峻法”。今年3月,韓國專門出臺防止金融領域個人信息泄露的綜合法案。根據(jù)該法案,一旦發(fā)生用戶信息泄露,金融機構和電商需要繳納的罰金是以往的3倍,且沒有上限,相關刑事處罰也加重至10年以下有期徒刑。
同時,企業(yè)應加強對安全的重視程度,推動行業(yè)自律。王標說,不重視安全的企業(yè)是短視的。例如攜程網(wǎng)發(fā)生信息泄露事件后,其流量排名已從全球1000名左右狂跌至4000名開外。“企業(yè)要有清醒認識,加大在安全方面的投入,并定期進行安全測評、認證。”
復旦大學國際政治系副教授沈逸建議,應改變整個行業(yè)在面對安全威脅時的“一盤散沙”狀態(tài),可以采取“產(chǎn)業(yè)聯(lián)盟”“安全聯(lián)盟”的方式形成企業(yè)間的合作機制,出臺安全標準,推動企業(yè)自律,提升行業(yè)安全防護水平。
原標題: 專家談網(wǎng)絡安全審查:不重視安全的企業(yè)是短視的
凡注有"浙江在線臺州頻道"或電頭為"浙江在線臺州頻道"的稿件,均為"浙江在線臺州頻道"獨家版權所有,未經(jīng)許可不得轉(zhuǎn)載或鏡像;授權轉(zhuǎn)載必須注明來源為"浙江在線臺州頻道",并保留"浙江在線臺州頻道"的電頭。
浙江在線臺州頻道微信分享
看臺州新聞,關注浙江在線臺州頻道微信