網(wǎng)絡(luò)安全人才需求猛增3倍 政企安全防護升級

曾引起廣泛關(guān)注的“隱私與效率”之爭，正逐漸形成共識：越來越多的機構(gòu)與企業(yè)對公民隱私保護更加重視。

 

8月21日至23日召開的2019北京互聯(lián)網(wǎng)安全大會公布的一組數(shù)據(jù)顯示，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模迅速擴大，企業(yè)級終端安全軟件裝機量破億；過去一年間，網(wǎng)絡(luò)安全人才的需求猛增3倍。

 

政企安全防護升級，人才需求一年增長3倍

 

與會的賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)指出，近年來，各行各業(yè)更加重視網(wǎng)絡(luò)安全和信息保護，網(wǎng)絡(luò)安全產(chǎn)業(yè)得到前所未有的發(fā)展。

 

在政府層面，越來越多的政府使用了網(wǎng)絡(luò)安全運營平臺。大會發(fā)布的《2019大中型政企機構(gòu)網(wǎng)絡(luò)安全建設(shè)發(fā)展趨勢研究報告》顯示，48.5%的部委機關(guān)和56.3%的中央企業(yè)已經(jīng)部署使用了安全運營中心。安全事件的平均響應(yīng)時間從3年前的平均3天左右，降低到現(xiàn)在1小時以內(nèi)。

 

在企業(yè)層面，普遍加強了安全防火墻建設(shè)。上述報告顯示，企業(yè)級終端安全軟件裝機量快速增長。2019年上半年，裝機量已達1.05億臺，遠遠高于2016年的6189萬臺。越來越多的企業(yè)引入源代碼安全審計，這一工作可節(jié)約5%至20%的后期安全維護費用，減少10%至50%的系統(tǒng)安全漏洞，大大降低了隱私泄露風(fēng)險。

 

網(wǎng)絡(luò)威脅情報逐步成為企業(yè)安全防御標(biāo)配。報告指出，超過80%的受訪者認(rèn)為威脅情報提升了安全能力。

 

在政府和企業(yè)的共同努力下，網(wǎng)絡(luò)安全建設(shè)成效明顯。系統(tǒng)安全漏洞修復(fù)平均周期已大幅縮短，從2016年的35天下降到現(xiàn)在的16天。

 

人才需求猛增，印證了網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展之快。根據(jù)大會上智聯(lián)招聘的網(wǎng)絡(luò)安全人才大數(shù)據(jù)顯示，2019年6月網(wǎng)絡(luò)安全人才市場需求的規(guī)模達到2016年1月需求的24.6倍，相比2018年7月增長了3倍。

 

專家提醒警惕隱私數(shù)據(jù)泄露三大渠道

 

大會召開期間，5G發(fā)展與安全論壇、網(wǎng)絡(luò)安全人才論壇、電子取證技術(shù)與發(fā)展論壇等多個分論壇，紛紛探討了個人隱私相關(guān)問題。專家表示，如今公民個人隱私大量存在于政企平臺，其保護面臨著嚴(yán)峻挑戰(zhàn)。

 

隱私數(shù)據(jù)是通過哪些渠道泄露的？與會的網(wǎng)絡(luò)安全專家、中國工程院院士鄔賀銓表示，一方面，一些互聯(lián)網(wǎng)公司的App越權(quán)收集用戶信息，侵犯了個人隱私權(quán)；另一方面，一些合法利用用戶個人信息的公司，沒有做好信息保護工作，導(dǎo)致個人信息大量泄露。

 

個人隱私泄露究竟有多猖獗？“新華視點”記者做了一個小測試。在搜索引擎鍵入“個人信息買賣”“私家偵探”等關(guān)鍵詞，就能看到不少關(guān)于信息販賣的內(nèi)容。記者找到一家私家偵探公司，客服人員表示，只要記者給出手機號和身份證號，他就可以在5天內(nèi)查到該號碼的通話記錄和2年內(nèi)開房記錄，開房記錄查詢價為4200元。

 

這只是公民信息泄露亂象的冰山一角。參加大會的奇安信行業(yè)安全研究中心主任裴智勇表示，除了部分網(wǎng)絡(luò)公司越權(quán)收集用戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊、內(nèi)鬼竊取、工作人員操作失誤是個人信息泄露最主要的三大原因。

 

首先，網(wǎng)絡(luò)漏洞被黑客攻擊，隱私信息批量流出。去年6月，視頻播放網(wǎng)站A站自曝遭遇黑客攻擊，數(shù)據(jù)庫近千萬條用戶數(shù)據(jù)泄露。

 

國家互聯(lián)網(wǎng)應(yīng)急中心近日公布的《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》顯示，今年初，在我國境內(nèi)大量使用的MongoDB、Elasticsearch數(shù)據(jù)庫存在嚴(yán)重安全漏洞，訪問者無需權(quán)限驗證即可通過默認(rèn)端口本地或遠程訪問數(shù)據(jù)庫并進行任意增、刪、改、查等操作，信息泄露風(fēng)險嚴(yán)峻。

 

其次，在高額利益引誘下，部分機構(gòu)內(nèi)部人員非法獲取公司數(shù)據(jù)販賣。2017年，四川警方偵破一起新生嬰兒信息倒賣案，發(fā)現(xiàn)是某社區(qū)衛(wèi)生服務(wù)中心工作人員徐某利用職務(wù)之便，掌握該市婦幼信息管理系統(tǒng)市級權(quán)限賬號密碼，非法下載新生嬰兒數(shù)據(jù)50余萬條，販賣數(shù)萬條。

 

第三，由于企業(yè)工作人員缺乏安全和風(fēng)險評估能力，導(dǎo)致無意識的錯誤操作引起信息泄露。

 

誤發(fā)送郵件、權(quán)限設(shè)置錯誤和服務(wù)器配置不當(dāng)?shù)日`操作都可能導(dǎo)致數(shù)據(jù)泄露。奇安信針對2018年全球重大數(shù)據(jù)泄露事件進行統(tǒng)計分析后發(fā)現(xiàn)，11.1％的事件是由于配置錯誤或操作不當(dāng)導(dǎo)致的。奇安信就曾發(fā)現(xiàn)某健康A(chǔ)pp的服務(wù)器沒有設(shè)置密碼，任何人都能夠查看登錄者狀況和發(fā)送的消息內(nèi)容。

 

專家建議嚴(yán)厲打擊數(shù)據(jù)黑產(chǎn)，夯實數(shù)據(jù)管理法律基礎(chǔ)

 

公民隱私被嚴(yán)重侵犯以及多行業(yè)個人信息數(shù)據(jù)非法暴露在互聯(lián)網(wǎng)中，反映了我國數(shù)據(jù)安全管理仍存在薄弱環(huán)節(jié)。業(yè)內(nèi)人士表示，打擊數(shù)據(jù)黑產(chǎn)，重在企業(yè)自身“強身健體”，同時還要健全法制保障，并建立各部門協(xié)同治理的機制。

 

政企機構(gòu)應(yīng)進一步加強網(wǎng)絡(luò)安全防護能力。鄔賀銓表示，仍有大量企業(yè)缺乏安全觀念，內(nèi)外網(wǎng)不隔離、員工私自登錄高危網(wǎng)站、忽視漏洞檢測與修復(fù)等，將機構(gòu)暴露在黑客攻擊目標(biāo)之中。“黑客容易上手，很大程度上是由于企業(yè)安全意識不強導(dǎo)致的安全能力欠缺。”鄔賀銓說。

 

其次，應(yīng)加強源頭端數(shù)據(jù)權(quán)限管理。針對學(xué)校、政府機關(guān)、快遞公司、電商等信息泄露案例高發(fā)領(lǐng)域，應(yīng)建立有效的數(shù)據(jù)管理機制，將系統(tǒng)權(quán)限和數(shù)據(jù)獲取記錄集中管理，并增加預(yù)警。

 

思科安全業(yè)務(wù)集團首席技術(shù)官布萊特·哈特曼表示，網(wǎng)絡(luò)服務(wù)牽涉太多環(huán)節(jié)，包括云服務(wù)、應(yīng)用、數(shù)據(jù)庫等，必須建立有協(xié)同的架構(gòu)體系才能提升網(wǎng)絡(luò)安全，應(yīng)對充滿不確定性的威脅。

 

此外，盡快夯實數(shù)據(jù)管理的法律基礎(chǔ)。與會的中國通信學(xué)會網(wǎng)絡(luò)空間安全戰(zhàn)略與法律委員會副主任敬云川表示，值得期待的是，個人信息保護法和數(shù)據(jù)安全法都已列入立法規(guī)劃。他建議，未來法律對數(shù)據(jù)的屬性、數(shù)據(jù)持有者的權(quán)利、義務(wù)應(yīng)作出進一步詳細規(guī)定，并平衡市場發(fā)展與個人信息保護的關(guān)系。（記者王曉潔、王君璐、舒靜）