爸，我昨天嫖娼被抓了，現(xiàn)在派出所，他們要塞錢才能放我出來，這是那個人的賬號****，開戶行是**，派出所不讓打電話，不然會挨揍，不要告訴我媽。

你可能沒有兒子，但你可能收到過這樣的信息，對，這樣肯定騙不到機智的你，我們來看下一條。

爸，我昨天嫖娼被抓了，現(xiàn)在派出所，賈伯伯雖然在外地，但他幫我找了人，他現(xiàn)在急著飛國外，他們要塞錢才能放我出來，這是那個人的賬號****，開戶行是**，派出所不讓打電話，不然會挨揍，不要告訴我媽，你也知道她有心臟病，一個星期前才住了院。

如果騙子操作細致，通過各路信息渠道知道老王有個兒子在外地上學，他的妻子一個星期前因為心臟病住院，他有個朋友姓賈，電話暫時聯(lián)系不上。那么，老王有可能上當受騙。 

電信詐騙似乎無處不在，徐玉玉遭遇電信詐騙的事件絕對不是孤例。在等車的間隙，吃火鍋燙菜的時候，或者網(wǎng)購時，你都可能會收到一條詐騙短信，內(nèi)容各異，目的相同。

如果要為這些那些精準的電信詐騙、網(wǎng)絡詐騙等各類詐騙找一個共同的兇手，想必你絕對不會反對這一個——信息泄露。

阿里巴巴集團安全副總裁杜躍進在2016中國國際大數(shù)據(jù)大會上干脆下了一個定論——信息泄露來自什么地方？來自今天的大數(shù)據(jù)環(huán)境，不一定是在擁有大量數(shù)據(jù)的地方，而是到處都在漏數(shù)據(jù)。

不要以為這是聳人聽聞。幾天前，雅虎才承認5億賬戶遭竊，2億賬戶信息暗網(wǎng)黑市叫賣，比雅虎泄露更嚴重的是，超85萬臺思科設備仍受“零日漏洞”影響，這意味著攻擊者可直接從設備內(nèi)存中盜取數(shù)據(jù)。

直觀的是，各類電信詐騙、網(wǎng)絡詐騙等帶來錢財損失，有時甚至是生命的代價，還有一類損失看不見，卻感受得到。但是之前，一直有一種聲音——被騙是因為你蠢。

作為安全行業(yè)的資深從業(yè)者，杜躍進要給大家辟個謠：

非常重要的數(shù)據(jù)的泄露，導致非常精準的詐騙，老百姓沒有辦法應對這些騙局。大家不要覺得被詐騙的人自己不聰明，我在阿里巴巴客服部門專門聽反詐騙的東西，發(fā)現(xiàn)對很多人而言，被詐騙之后，最大的打擊來自心理，很多高級知識分子被騙后，打擊更大。而類似徐玉玉的群體，他們收入很低，打擊更大一些。

因此，數(shù)據(jù)安全迫在眉睫。

防盜防漏防豬隊友

但是，一個需要強調(diào)的問題又來了，數(shù)據(jù)安全涉及到兩個層面：數(shù)據(jù)存放系統(tǒng)的安全和流動數(shù)據(jù)本身的安全。

何謂數(shù)據(jù)流動的安全？

舉個栗子。

老王在某通信運營商辦理了一項需要詳細身份信息的業(yè)務，剛好通信運營商自己在做數(shù)據(jù)統(tǒng)計和用戶分析，這項研究他們和A機構(gòu)一起開展，不久后他們又將這批數(shù)據(jù)作為資源和B銀行一起合作。不過，B銀行也不是單獨開展業(yè)務，它還有C和D兩個合作商……

在運營商及A、B、C、D還有數(shù)不清的潛在字母合作者手里，至關(guān)重要的數(shù)據(jù)在流動。有一天，老王接到一個來電，通知辦理的某項業(yè)務有問題，需要他去外地某個機構(gòu)實地辦理，或者登錄某個網(wǎng)址、打某個看似客服電話的電話咨詢。在這個極有可能是電信詐騙的案例里，老王納悶了，哪個環(huán)節(jié)，哪一家把信息給賣了？

杜躍進充分感受到了這一點。

數(shù)據(jù)安全是“以數(shù)據(jù)為中心的安全”，而當今以數(shù)據(jù)為中心的安全和過去非常不同。現(xiàn)在的數(shù)據(jù)是融在業(yè)務里的，數(shù)據(jù)在流動的過程中要保證它的安全?？墒菙?shù)據(jù)在哪里產(chǎn)生、存儲、丟失？都和過去不一樣，這涉及到數(shù)據(jù)是不是能防止被外面竊取，甚至包括自己的業(yè)務生態(tài)圈——你自己之外的數(shù)據(jù)流轉(zhuǎn)時，安全能否得到保證？

“采集數(shù)據(jù)是罪惡之源，數(shù)據(jù)采集了后應該被遺忘，實際上我不認同這樣的觀點。”

實際上大數(shù)據(jù)也是解決安全問題的關(guān)鍵。利用大數(shù)據(jù)和網(wǎng)絡空間的壞人對抗時，速度是特別關(guān)鍵的點，這個“速度”來自快速的大數(shù)據(jù)分析。我們正在進入數(shù)據(jù)時代，未來各種業(yè)務也都離不開大數(shù)據(jù)的應用。但是，在這種情況下，當你是一家和數(shù)據(jù)有關(guān)的公司或者部門，你會面臨兩個問題。

杜躍進對雷鋒網(wǎng)強調(diào)：

第一個問題，下一個徐玉玉案出現(xiàn)時，你是不是數(shù)據(jù)泄露的地方，為此你需要擔責？

第二個問題，當你想要和別人合作的時候需要數(shù)據(jù)，有10個競爭者，數(shù)據(jù)在你的手里比在別人手里更安全嗎？

他介紹，電商生態(tài)圈有很多獨立軟件供應商，他們會處理實施交易數(shù)據(jù)，但是以前這些獨立軟件供應商的安全問題比較多，大量數(shù)據(jù)被黑產(chǎn)直接偷走。用戶剛下一個訂單，詳細的數(shù)據(jù)就出來了，這樣就可以詐騙了。

我們跟這樣的合作商合作，也很惱火，客戶如果受到損失，就會來找我們，客戶也會因為這樣的事情失去信心，更加不愿意使用各種網(wǎng)絡應用，這會讓整個行業(yè)失去信心。

數(shù)據(jù)在你手里就安全？

來看一個讓人驚訝的對比數(shù)據(jù)。

在中國大陸，數(shù)據(jù)黑產(chǎn)一年的產(chǎn)值在1000億人民幣左右，網(wǎng)絡安全產(chǎn)業(yè)卻只有300億人民幣的規(guī)模。

那么，數(shù)據(jù)是怎么被偷走的？

一種是拖庫，一個網(wǎng)站出現(xiàn)了漏洞，攻擊者利用漏洞獲取網(wǎng)站數(shù)據(jù)庫內(nèi)保存的各類數(shù)據(jù)，這些數(shù)據(jù)可能包括在這個網(wǎng)站注冊過的用戶的賬號、密碼、電子郵箱、訂單等敏感信息。

還有一種，被擁有數(shù)據(jù)的公司或者部門員工偷偷販賣。

你手里不是有新數(shù)據(jù)嗎？隨便找一個員工，你給我一點數(shù)據(jù)，我給你錢，一條十塊、五十塊怎么樣？在有些案例里，一個基層政府部門的員工賣了幾千萬數(shù)據(jù)，他可以掙到很多的錢。

 杜躍進提了很多問題。

• 數(shù)據(jù)在你手里，這種濫用行為你能發(fā)現(xiàn)嗎？

• 你的員工不合規(guī)使用了權(quán)限，比如，他的女朋友找他查一查某個人的數(shù)據(jù)，他給查了，你能發(fā)現(xiàn)嗎？

• 如果你不能發(fā)現(xiàn)，你怎么樣解決濫用問題？

• 如果你解決不了濫用問題，你怎么得到信任？怎么防止被販賣？

• 就算販賣被抓住，你連一個線索都找不到，證明不了你的內(nèi)部販賣數(shù)據(jù)。有沒有人來審核他在做這個過程當中侵犯到隱私？

杜躍進借此機會，推銷了一把“數(shù)據(jù)安全成熟度模型”，他強調(diào)：也不算廣告，因為也不拿它賣錢。

既然不“賣錢”，我們來看一下。

據(jù)杜躍進介紹，這個模型是基于自身的數(shù)據(jù)安全實踐，借鑒國際上成熟的度量模型，聚焦組織在數(shù)據(jù)上的安全管理能力，圍繞數(shù)據(jù)從生產(chǎn)、存儲、使用、傳輸、共享到銷毀的全生命周期，覆蓋組織結(jié)構(gòu)、制度流程、技術(shù)能力、人員能力四個能力維度，共計14個安全域，50個安全管理過程。

不過這個模型還有待完善，因為杜躍進說：

我不敢說現(xiàn)在一定可以，因為我們自己也在不斷的打磨和完善它，與此同時，我們現(xiàn)在盡量選擇和更多的企業(yè)和部門合作，讓他們嘗試這些東西，目的是讓這個模型能夠適應各種不同類型的企業(yè)或部門，看一看管不管用？從而摸索出不僅阿里巴巴能夠使用，其他企業(yè)或部門也能使用的最佳實踐。

杜躍進還對雷鋒網(wǎng)宅客頻道透露，阿里巴巴推出的這個模型已經(jīng)在國際標準、國家標準和行業(yè)標準立項，正在制訂細節(jié)的過程中。

結(jié)尾

威瑞森《2016數(shù)據(jù)泄露報告》在2015年調(diào)查的大量數(shù)據(jù)泄露事件中表示，人的因素是其中最弱的一環(huán)。網(wǎng)絡罪犯在依靠諸如網(wǎng)絡釣魚之類熟悉的攻擊模式的同時，一直持續(xù)利用著人類的本性弱點。在2016年的報告中，公司終端用戶的各種小失誤，占據(jù)了安全事件根源榜首位置。這些多種多樣的用戶失誤包括不恰當?shù)墓拘畔G棄、IT系統(tǒng)的錯誤配置，以及遺失和被盜的筆記本、智能手機等公司資產(chǎn)。

看來，無論是有意的販賣，還是無意的泄露，保證數(shù)據(jù)安全，對抗精準詐騙都任重道遠。

 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。