網(wǎng)絡(luò)安全人才需求猛增3倍 政企安全防護(hù)升級(jí)

曾引起廣泛關(guān)注的“隱私與效率”之爭，正逐漸形成共識(shí)：越來越多的機(jī)構(gòu)與企業(yè)對(duì)公民隱私保護(hù)更加重視。

 

8月21日至23日召開的2019北京互聯(lián)網(wǎng)安全大會(huì)公布的一組數(shù)據(jù)顯示，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模迅速擴(kuò)大，企業(yè)級(jí)終端安全軟件裝機(jī)量破億；過去一年間，網(wǎng)絡(luò)安全人才的需求猛增3倍。

 

政企安全防護(hù)升級(jí)，人才需求一年增長3倍

 

與會(huì)的賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)指出，近年來，各行各業(yè)更加重視網(wǎng)絡(luò)安全和信息保護(hù)，網(wǎng)絡(luò)安全產(chǎn)業(yè)得到前所未有的發(fā)展。

 

在政府層面，越來越多的政府使用了網(wǎng)絡(luò)安全運(yùn)營平臺(tái)。大會(huì)發(fā)布的《2019大中型政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)發(fā)展趨勢(shì)研究報(bào)告》顯示，48.5%的部委機(jī)關(guān)和56.3%的中央企業(yè)已經(jīng)部署使用了安全運(yùn)營中心。安全事件的平均響應(yīng)時(shí)間從3年前的平均3天左右，降低到現(xiàn)在1小時(shí)以內(nèi)。

 

在企業(yè)層面，普遍加強(qiáng)了安全防火墻建設(shè)。上述報(bào)告顯示，企業(yè)級(jí)終端安全軟件裝機(jī)量快速增長。2019年上半年，裝機(jī)量已達(dá)1.05億臺(tái)，遠(yuǎn)遠(yuǎn)高于2016年的6189萬臺(tái)。越來越多的企業(yè)引入源代碼安全審計(jì)，這一工作可節(jié)約5%至20%的后期安全維護(hù)費(fèi)用，減少10%至50%的系統(tǒng)安全漏洞，大大降低了隱私泄露風(fēng)險(xiǎn)。

 

網(wǎng)絡(luò)威脅情報(bào)逐步成為企業(yè)安全防御標(biāo)配。報(bào)告指出，超過80%的受訪者認(rèn)為威脅情報(bào)提升了安全能力。

 

在政府和企業(yè)的共同努力下，網(wǎng)絡(luò)安全建設(shè)成效明顯。系統(tǒng)安全漏洞修復(fù)平均周期已大幅縮短，從2016年的35天下降到現(xiàn)在的16天。

 

人才需求猛增，印證了網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展之快。根據(jù)大會(huì)上智聯(lián)招聘的網(wǎng)絡(luò)安全人才大數(shù)據(jù)顯示，2019年6月網(wǎng)絡(luò)安全人才市場(chǎng)需求的規(guī)模達(dá)到2016年1月需求的24.6倍，相比2018年7月增長了3倍。

 

專家提醒警惕隱私數(shù)據(jù)泄露三大渠道

 

大會(huì)召開期間，5G發(fā)展與安全論壇、網(wǎng)絡(luò)安全人才論壇、電子取證技術(shù)與發(fā)展論壇等多個(gè)分論壇，紛紛探討了個(gè)人隱私相關(guān)問題。專家表示，如今公民個(gè)人隱私大量存在于政企平臺(tái)，其保護(hù)面臨著嚴(yán)峻挑戰(zhàn)。

 

隱私數(shù)據(jù)是通過哪些渠道泄露的？與會(huì)的網(wǎng)絡(luò)安全專家、中國工程院院士鄔賀銓表示，一方面，一些互聯(lián)網(wǎng)公司的App越權(quán)收集用戶信息，侵犯了個(gè)人隱私權(quán)；另一方面，一些合法利用用戶個(gè)人信息的公司，沒有做好信息保護(hù)工作，導(dǎo)致個(gè)人信息大量泄露。

 

個(gè)人隱私泄露究竟有多猖獗？“新華視點(diǎn)”記者做了一個(gè)小測(cè)試。在搜索引擎鍵入“個(gè)人信息買賣”“私家偵探”等關(guān)鍵詞，就能看到不少關(guān)于信息販賣的內(nèi)容。記者找到一家私家偵探公司，客服人員表示，只要記者給出手機(jī)號(hào)和身份證號(hào)，他就可以在5天內(nèi)查到該號(hào)碼的通話記錄和2年內(nèi)開房記錄，開房記錄查詢價(jià)為4200元。

 

這只是公民信息泄露亂象的冰山一角。參加大會(huì)的奇安信行業(yè)安全研究中心主任裴智勇表示，除了部分網(wǎng)絡(luò)公司越權(quán)收集用戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊、內(nèi)鬼竊取、工作人員操作失誤是個(gè)人信息泄露最主要的三大原因。

 

首先，網(wǎng)絡(luò)漏洞被黑客攻擊，隱私信息批量流出。去年6月，視頻播放網(wǎng)站A站自曝遭遇黑客攻擊，數(shù)據(jù)庫近千萬條用戶數(shù)據(jù)泄露。

 

國家互聯(lián)網(wǎng)應(yīng)急中心近日公布的《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》顯示，今年初，在我國境內(nèi)大量使用的MongoDB、Elasticsearch數(shù)據(jù)庫存在嚴(yán)重安全漏洞，訪問者無需權(quán)限驗(yàn)證即可通過默認(rèn)端口本地或遠(yuǎn)程訪問數(shù)據(jù)庫并進(jìn)行任意增、刪、改、查等操作，信息泄露風(fēng)險(xiǎn)嚴(yán)峻。

 

其次，在高額利益引誘下，部分機(jī)構(gòu)內(nèi)部人員非法獲取公司數(shù)據(jù)販賣。2017年，四川警方偵破一起新生嬰兒信息倒賣案，發(fā)現(xiàn)是某社區(qū)衛(wèi)生服務(wù)中心工作人員徐某利用職務(wù)之便，掌握該市婦幼信息管理系統(tǒng)市級(jí)權(quán)限賬號(hào)密碼，非法下載新生嬰兒數(shù)據(jù)50余萬條，販賣數(shù)萬條。

 

第三，由于企業(yè)工作人員缺乏安全和風(fēng)險(xiǎn)評(píng)估能力，導(dǎo)致無意識(shí)的錯(cuò)誤操作引起信息泄露。

 

誤發(fā)送郵件、權(quán)限設(shè)置錯(cuò)誤和服務(wù)器配置不當(dāng)?shù)日`操作都可能導(dǎo)致數(shù)據(jù)泄露。奇安信針對(duì)2018年全球重大數(shù)據(jù)泄露事件進(jìn)行統(tǒng)計(jì)分析后發(fā)現(xiàn)，11.1％的事件是由于配置錯(cuò)誤或操作不當(dāng)導(dǎo)致的。奇安信就曾發(fā)現(xiàn)某健康A(chǔ)pp的服務(wù)器沒有設(shè)置密碼，任何人都能夠查看登錄者狀況和發(fā)送的消息內(nèi)容。

 

專家建議嚴(yán)厲打擊數(shù)據(jù)黑產(chǎn)，夯實(shí)數(shù)據(jù)管理法律基礎(chǔ)

 

公民隱私被嚴(yán)重侵犯以及多行業(yè)個(gè)人信息數(shù)據(jù)非法暴露在互聯(lián)網(wǎng)中，反映了我國數(shù)據(jù)安全管理仍存在薄弱環(huán)節(jié)。業(yè)內(nèi)人士表示，打擊數(shù)據(jù)黑產(chǎn)，重在企業(yè)自身“強(qiáng)身健體”，同時(shí)還要健全法制保障，并建立各部門協(xié)同治理的機(jī)制。

 

政企機(jī)構(gòu)應(yīng)進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力。鄔賀銓表示，仍有大量企業(yè)缺乏安全觀念，內(nèi)外網(wǎng)不隔離、員工私自登錄高危網(wǎng)站、忽視漏洞檢測(cè)與修復(fù)等，將機(jī)構(gòu)暴露在黑客攻擊目標(biāo)之中。“黑客容易上手，很大程度上是由于企業(yè)安全意識(shí)不強(qiáng)導(dǎo)致的安全能力欠缺。”鄔賀銓說。

 

其次，應(yīng)加強(qiáng)源頭端數(shù)據(jù)權(quán)限管理。針對(duì)學(xué)校、政府機(jī)關(guān)、快遞公司、電商等信息泄露案例高發(fā)領(lǐng)域，應(yīng)建立有效的數(shù)據(jù)管理機(jī)制，將系統(tǒng)權(quán)限和數(shù)據(jù)獲取記錄集中管理，并增加預(yù)警。

 

思科安全業(yè)務(wù)集團(tuán)首席技術(shù)官布萊特·哈特曼表示，網(wǎng)絡(luò)服務(wù)牽涉太多環(huán)節(jié)，包括云服務(wù)、應(yīng)用、數(shù)據(jù)庫等，必須建立有協(xié)同的架構(gòu)體系才能提升網(wǎng)絡(luò)安全，應(yīng)對(duì)充滿不確定性的威脅。

 

此外，盡快夯實(shí)數(shù)據(jù)管理的法律基礎(chǔ)。與會(huì)的中國通信學(xué)會(huì)網(wǎng)絡(luò)空間安全戰(zhàn)略與法律委員會(huì)副主任敬云川表示，值得期待的是，個(gè)人信息保護(hù)法和數(shù)據(jù)安全法都已列入立法規(guī)劃。他建議，未來法律對(duì)數(shù)據(jù)的屬性、數(shù)據(jù)持有者的權(quán)利、義務(wù)應(yīng)作出進(jìn)一步詳細(xì)規(guī)定，并平衡市場(chǎng)發(fā)展與個(gè)人信息保護(hù)的關(guān)系。（記者王曉潔、王君璐、舒靜）