在前不久結束的亞信峰會上,“信息安全”成為焦點。近日,政府也對“信息安全”頻繁表態:先是5月20日,中國與俄羅斯簽署聯合聲明,對當前信息通信技術被用于與維護國際穩定與安全目的相悖、損害國家主權和個人隱私的行為表示嚴重關切。緊接著5月22日,國務院信息化辦公室(以下簡稱國信辦)表示,我國將對關系國家安全和公共利益的系統使用的重要技術產品和服務進行網絡安全審查。業內普遍認為,隨著政策約束的不斷提高,信息安全產業將迎來發展良機。
信息泄露事故頻發
我國信息安全亟待加強已經成為共識。棱鏡門事件之后,政府對于信息安全空前重視,在國安委首次會議上,信息安全成為國家安全的重要組成部分。而小米手機800萬用戶信息泄露、攜程網大量信用卡信息“裸奔”、2000萬條酒店開房信息泄露等事件,也讓公眾意識到信息安全的重要性。
“我原本以為,我的隱私是被放在一個安全的保險柜里,現在卻發現這個保險柜根本沒上鎖。”近日,小米手機用戶王雅(化名)赫然發現自己的手機通訊錄、短信內容等隱私信息都在網上“裸奔”。
5月14日,國內手機廠商小米的用戶數據庫在網上公開傳播、下載,其中涉及800萬用戶的短信、通訊錄、精確位置等私密信息,并能被用來訪問小米云服務并獲取更多信息。
小米公司對此的解釋是,這是由于之前使用開源軟件所致。但是用戶對此解釋并不認可。王雅等多名用戶質疑:“企業明知道系統有漏洞,為什么不及時升級?如果不發生泄露事故,這些漏洞會不會一直存在下去?雷軍本人還是安全公司的創始人,如果連小米這樣的企業都如此,其它企業的安全狀況簡直不敢想象。”
其實類似事故并非首次上演。今年3月,攜程網大量用戶信用卡賬號、姓名、身份證號等敏感信息遭到泄露;2013年10月,多家酒店的開房 信 息 因 系 統 漏 洞 而 發 生 泄 露 ,2 0 0 0萬 條 開 房 信 息 在 網 上 “ 裸奔”。
“大規模信息泄露事故高發期已經到來。”國際關系學院信息科技系副主任王標說,隨著云計算、大數據技術的廣泛應用,企業保存的用戶數據量越來越大,大規模數據泄露的風險也越來越大。
世界知名信息安全廠商賽門鐵克近日發布報告稱,2013年全球超過5.52億條個人身份信息被泄露,是2012年的4倍,全球大規模信息泄露事故從2012年的1起增加到8起,每一起事故泄露的信息都超過千萬。
頻發的大規模信息泄露事故將為公民個人帶來巨大危險。王標表示,個人的賬號密碼、聯系方式、身份證號等敏感信息會被不法分子輕易獲取,為賬戶盜刷、詐騙等犯罪活動打開方便之門。例如,不法分子不僅掌握一個人的全部隱私信息,還能通過關聯分析獲取其家人、朋友的隱私信息,詐騙得手的概率將大幅提高。
企業信息安全防護“不堪一擊”
與之相對的,則是我國信息安全產業“失落的五年”。記者采訪多家安全企業了解到,2008年之后,我國信息安全產業緩慢。隨之而來的,自然是涉及公眾的信息安全事件頻發。
受訪專家表示,國內安全產業之所以失落,是因為其他企業容易片面追求發展速度,不愿加大安全投入,在黑客面前不堪一擊。同時,法律法規的缺失讓涉事企業免于處罰,也無法倒逼企業加強安全防護。這些因素,都讓我國安全廠商無用武之地。
“實踐證明,多年前用來入侵企業 網 站 的 老 技 術 , 現 在 還 繼 續 好用。”國內著名“白帽”、上海碁震云計算科技有限公司C E O王琦告訴記者,“并不是黑客的技術有多高,而是多年來我國企業的安全防護水平沒太大進步,不少企業連一個低級入侵都防不住。”
王標說,之所以多數企業在黑客面前不堪一擊,主要因為企業往往將安全當做成本,且是無法產生直接效益的成本。企業都在追求發展速度,不愿意加大安全方面的投入。“這次小米信息泄露就是一個典型事件,如果不是發生泄露事故,恐怕小米也沒有動力加強安全防護。”
信息安全專家、南京翰海源信息科技有限公司C E O方興長期從事互聯網企業安全防護服務。他講了一個真實的故事:國內某著名互聯網企業被黑客竊取了大量用戶信息,企業就去找黑客談判:“你如果在網上公布,那是毀我們名譽,我們跟你‘死磕’,如果你只是拿去賣錢,那我們不管。”他說,“這是目前國內企業的真實狀態,只要與自身利益無關,企業就不會重視安全問題。”
此外,相關法律的缺失也讓企業沒有足夠動力去維護信息安全。上海理工大學電子商務與計算機法研究所所長楊堅爭說,目前我國還沒有一部關于個人信息安全的法律,無法可依的狀態下,僅靠企業的自覺性來保障信息安全是不可能實現的。
楊堅爭說,前幾年,美國零售企業T A R G ET發生用戶信用卡信息泄露,該企業被依法處以巨額罰款,負責人也被迫引咎辭職。“近兩年我國多家企業曾發生大規模數據泄露事件,卻從未見到哪家企業被處罰,如此一來,企業更不會在信息安全方面加大投入。”
國內廠商將迎來發展良機
隨著國安委、國信辦對于信息安全的頻繁表態,我國信息安全產業發展的政策基礎將進一步夯實。專家表示,在國家和企業層面,我國可能會參照發達國家經驗,采取立法與行業自律相結合的方式予以應對。首先,及時出臺專門針對個人信息安全的法律,對企業搜集、存儲用戶信息的規范和責任做出明確細致的規定,在打擊黑客的同時,也要嚴厲處罰發生信息泄露事故的企業,倒逼企業重視安全管理。
實際上,不少國家都已出臺關于個人信息保護的“嚴刑峻法”。今年3月,韓國專門出臺防止金融領域個人信息泄露的綜合法案。根據該法案,一旦發生用戶信息泄露,金融機構和電商需要繳納的罰金是以往的3倍,且沒有上限,相關刑事處罰也加重至10年以下有期徒刑。
在政府之外,市場也開始意識到安全的價值。王標說,不重視安全的企業是短視的,例如攜程網發生信息泄露事件后,其流量排名已從全球1000名左右狂跌至4000名開外。“企業要有清醒認識,加大在安全方面的投入,并定期進行安全測評、認證。”
多位業內人士告訴記者,國內安全廠商規模并沒有權威數字。一個可以參考的數字是,2012年中國信息安全產品規模不到9億美元。但是,我國互聯網產業規模數以萬億元級。體量如此袖珍的信息安全行業,如何去保障如此龐大的互聯網產業?
統計數據顯示,4月份以來,超百家機構密集調研了衛士通、北信源、啟明星辰及綠盟科技等公司,其中部分公司接待了上百家機構的聯合調研。多位信息安全業人士告訴記者,隨著政府和市場的力挺,我國信息安全產業將迎來新的春天。