爸，我昨天嫖娼被抓了，現(xiàn)在派出所，他們要塞錢才能放我出來(lái)，這是那個(gè)人的賬號(hào)****，開(kāi)戶行是**，派出所不讓打電話，不然會(huì)挨揍，不要告訴我媽。

你可能沒(méi)有兒子，但你可能收到過(guò)這樣的信息，對(duì)，這樣肯定騙不到機(jī)智的你，我們來(lái)看下一條。

爸，我昨天嫖娼被抓了，現(xiàn)在派出所，賈伯伯雖然在外地，但他幫我找了人，他現(xiàn)在急著飛國(guó)外，他們要塞錢才能放我出來(lái)，這是那個(gè)人的賬號(hào)****，開(kāi)戶行是**，派出所不讓打電話，不然會(huì)挨揍，不要告訴我媽，你也知道她有心臟病，一個(gè)星期前才住了院。

如果騙子操作細(xì)致，通過(guò)各路信息渠道知道老王有個(gè)兒子在外地上學(xué)，他的妻子一個(gè)星期前因?yàn)樾呐K病住院，他有個(gè)朋友姓賈，電話暫時(shí)聯(lián)系不上。那么，老王有可能上當(dāng)受騙。 

電信詐騙似乎無(wú)處不在，徐玉玉遭遇電信詐騙的事件絕對(duì)不是孤例。在等車的間隙，吃火鍋燙菜的時(shí)候，或者網(wǎng)購(gòu)時(shí)，你都可能會(huì)收到一條詐騙短信，內(nèi)容各異，目的相同。

如果要為這些那些精準(zhǔn)的電信詐騙、網(wǎng)絡(luò)詐騙等各類詐騙找一個(gè)共同的兇手，想必你絕對(duì)不會(huì)反對(duì)這一個(gè)——信息泄露。

阿里巴巴集團(tuán)安全副總裁杜躍進(jìn)在2016中國(guó)國(guó)際大數(shù)據(jù)大會(huì)上干脆下了一個(gè)定論——信息泄露來(lái)自什么地方？來(lái)自今天的大數(shù)據(jù)環(huán)境，不一定是在擁有大量數(shù)據(jù)的地方，而是到處都在漏數(shù)據(jù)。

不要以為這是聳人聽(tīng)聞。幾天前，雅虎才承認(rèn)5億賬戶遭竊，2億賬戶信息暗網(wǎng)黑市叫賣，比雅虎泄露更嚴(yán)重的是，超85萬(wàn)臺(tái)思科設(shè)備仍受“零日漏洞”影響，這意味著攻擊者可直接從設(shè)備內(nèi)存中盜取數(shù)據(jù)。

直觀的是，各類電信詐騙、網(wǎng)絡(luò)詐騙等帶來(lái)錢財(cái)損失，有時(shí)甚至是生命的代價(jià)，還有一類損失看不見(jiàn)，卻感受得到。但是之前，一直有一種聲音——被騙是因?yàn)槟愦?/strong>。

作為安全行業(yè)的資深從業(yè)者，杜躍進(jìn)要給大家辟個(gè)謠：

非常重要的數(shù)據(jù)的泄露，導(dǎo)致非常精準(zhǔn)的詐騙，老百姓沒(méi)有辦法應(yīng)對(duì)這些騙局。大家不要覺(jué)得被詐騙的人自己不聰明，我在阿里巴巴客服部門專門聽(tīng)反詐騙的東西，發(fā)現(xiàn)對(duì)很多人而言，被詐騙之后，最大的打擊來(lái)自心理，很多高級(jí)知識(shí)分子被騙后，打擊更大。而類似徐玉玉的群體，他們收入很低，打擊更大一些。

因此，數(shù)據(jù)安全迫在眉睫。

防盜防漏防豬隊(duì)友

但是，一個(gè)需要強(qiáng)調(diào)的問(wèn)題又來(lái)了，數(shù)據(jù)安全涉及到兩個(gè)層面：數(shù)據(jù)存放系統(tǒng)的安全和流動(dòng)數(shù)據(jù)本身的安全。

何謂數(shù)據(jù)流動(dòng)的安全？

舉個(gè)栗子。

老王在某通信運(yùn)營(yíng)商辦理了一項(xiàng)需要詳細(xì)身份信息的業(yè)務(wù)，剛好通信運(yùn)營(yíng)商自己在做數(shù)據(jù)統(tǒng)計(jì)和用戶分析，這項(xiàng)研究他們和A機(jī)構(gòu)一起開(kāi)展，不久后他們又將這批數(shù)據(jù)作為資源和B銀行一起合作。不過(guò)，B銀行也不是單獨(dú)開(kāi)展業(yè)務(wù)，它還有C和D兩個(gè)合作商……

在運(yùn)營(yíng)商及A、B、C、D還有數(shù)不清的潛在字母合作者手里，至關(guān)重要的數(shù)據(jù)在流動(dòng)。有一天，老王接到一個(gè)來(lái)電，通知辦理的某項(xiàng)業(yè)務(wù)有問(wèn)題，需要他去外地某個(gè)機(jī)構(gòu)實(shí)地辦理，或者登錄某個(gè)網(wǎng)址、打某個(gè)看似客服電話的電話咨詢。在這個(gè)極有可能是電信詐騙的案例里，老王納悶了，哪個(gè)環(huán)節(jié)，哪一家把信息給賣了？

杜躍進(jìn)充分感受到了這一點(diǎn)。

數(shù)據(jù)安全是“以數(shù)據(jù)為中心的安全”，而當(dāng)今以數(shù)據(jù)為中心的安全和過(guò)去非常不同?，F(xiàn)在的數(shù)據(jù)是融在業(yè)務(wù)里的，數(shù)據(jù)在流動(dòng)的過(guò)程中要保證它的安全?？墒菙?shù)據(jù)在哪里產(chǎn)生、存儲(chǔ)、丟失？都和過(guò)去不一樣，這涉及到數(shù)據(jù)是不是能防止被外面竊取，甚至包括自己的業(yè)務(wù)生態(tài)圈——你自己之外的數(shù)據(jù)流轉(zhuǎn)時(shí)，安全能否得到保證？

“采集數(shù)據(jù)是罪惡之源，數(shù)據(jù)采集了后應(yīng)該被遺忘，實(shí)際上我不認(rèn)同這樣的觀點(diǎn)?！?/strong>

實(shí)際上大數(shù)據(jù)也是解決安全問(wèn)題的關(guān)鍵。利用大數(shù)據(jù)和網(wǎng)絡(luò)空間的壞人對(duì)抗時(shí)，速度是特別關(guān)鍵的點(diǎn)，這個(gè)“速度”來(lái)自快速的大數(shù)據(jù)分析。我們正在進(jìn)入數(shù)據(jù)時(shí)代，未來(lái)各種業(yè)務(wù)也都離不開(kāi)大數(shù)據(jù)的應(yīng)用。但是，在這種情況下，當(dāng)你是一家和數(shù)據(jù)有關(guān)的公司或者部門，你會(huì)面臨兩個(gè)問(wèn)題。

杜躍進(jìn)對(duì)雷鋒網(wǎng)強(qiáng)調(diào)：

第一個(gè)問(wèn)題，下一個(gè)徐玉玉案出現(xiàn)時(shí)，你是不是數(shù)據(jù)泄露的地方，為此你需要擔(dān)責(zé)？

第二個(gè)問(wèn)題，當(dāng)你想要和別人合作的時(shí)候需要數(shù)據(jù)，有10個(gè)競(jìng)爭(zhēng)者，數(shù)據(jù)在你的手里比在別人手里更安全嗎？

他介紹，電商生態(tài)圈有很多獨(dú)立軟件供應(yīng)商，他們會(huì)處理實(shí)施交易數(shù)據(jù)，但是以前這些獨(dú)立軟件供應(yīng)商的安全問(wèn)題比較多，大量數(shù)據(jù)被黑產(chǎn)直接偷走。用戶剛下一個(gè)訂單，詳細(xì)的數(shù)據(jù)就出來(lái)了，這樣就可以詐騙了。

我們跟這樣的合作商合作，也很惱火，客戶如果受到損失，就會(huì)來(lái)找我們，客戶也會(huì)因?yàn)檫@樣的事情失去信心，更加不愿意使用各種網(wǎng)絡(luò)應(yīng)用，這會(huì)讓整個(gè)行業(yè)失去信心。

數(shù)據(jù)在你手里就安全？

來(lái)看一個(gè)讓人驚訝的對(duì)比數(shù)據(jù)。

在中國(guó)大陸，數(shù)據(jù)黑產(chǎn)一年的產(chǎn)值在1000億人民幣左右，網(wǎng)絡(luò)安全產(chǎn)業(yè)卻只有300億人民幣的規(guī)模。

那么，數(shù)據(jù)是怎么被偷走的？

一種是拖庫(kù)，一個(gè)網(wǎng)站出現(xiàn)了漏洞，攻擊者利用漏洞獲取網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)保存的各類數(shù)據(jù)，這些數(shù)據(jù)可能包括在這個(gè)網(wǎng)站注冊(cè)過(guò)的用戶的賬號(hào)、密碼、電子郵箱、訂單等敏感信息。

還有一種，被擁有數(shù)據(jù)的公司或者部門員工偷偷販賣。

你手里不是有新數(shù)據(jù)嗎？隨便找一個(gè)員工，你給我一點(diǎn)數(shù)據(jù)，我給你錢，一條十塊、五十塊怎么樣？在有些案例里，一個(gè)基層政府部門的員工賣了幾千萬(wàn)數(shù)據(jù)，他可以掙到很多的錢。

 杜躍進(jìn)提了很多問(wèn)題。

• 數(shù)據(jù)在你手里，這種濫用行為你能發(fā)現(xiàn)嗎？

• 你的員工不合規(guī)使用了權(quán)限，比如，他的女朋友找他查一查某個(gè)人的數(shù)據(jù)，他給查了，你能發(fā)現(xiàn)嗎？

• 如果你不能發(fā)現(xiàn)，你怎么樣解決濫用問(wèn)題？

• 如果你解決不了濫用問(wèn)題，你怎么得到信任？怎么防止被販賣？

• 就算販賣被抓住，你連一個(gè)線索都找不到，證明不了你的內(nèi)部販賣數(shù)據(jù)。有沒(méi)有人來(lái)審核他在做這個(gè)過(guò)程當(dāng)中侵犯到隱私？

杜躍進(jìn)借此機(jī)會(huì)，推銷了一把“數(shù)據(jù)安全成熟度模型”，他強(qiáng)調(diào)：也不算廣告，因?yàn)橐膊荒盟u錢。

既然不“賣錢”，我們來(lái)看一下。

據(jù)杜躍進(jìn)介紹，這個(gè)模型是基于自身的數(shù)據(jù)安全實(shí)踐，借鑒國(guó)際上成熟的度量模型，聚焦組織在數(shù)據(jù)上的安全管理能力，圍繞數(shù)據(jù)從生產(chǎn)、存儲(chǔ)、使用、傳輸、共享到銷毀的全生命周期，覆蓋組織結(jié)構(gòu)、制度流程、技術(shù)能力、人員能力四個(gè)能力維度，共計(jì)14個(gè)安全域，50個(gè)安全管理過(guò)程。

不過(guò)這個(gè)模型還有待完善，因?yàn)槎跑S進(jìn)說(shuō)：

我不敢說(shuō)現(xiàn)在一定可以，因?yàn)槲覀冏约阂苍诓粩嗟拇蚰ズ屯晟扑?，與此同時(shí)，我們現(xiàn)在盡量選擇和更多的企業(yè)和部門合作，讓他們嘗試這些東西，目的是讓這個(gè)模型能夠適應(yīng)各種不同類型的企業(yè)或部門，看一看管不管用？從而摸索出不僅阿里巴巴能夠使用，其他企業(yè)或部門也能使用的最佳實(shí)踐。

杜躍進(jìn)還對(duì)雷鋒網(wǎng)宅客頻道透露，阿里巴巴推出的這個(gè)模型已經(jīng)在國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)立項(xiàng)，正在制訂細(xì)節(jié)的過(guò)程中。

結(jié)尾

威瑞森《2016數(shù)據(jù)泄露報(bào)告》在2015年調(diào)查的大量數(shù)據(jù)泄露事件中表示，人的因素是其中最弱的一環(huán)。網(wǎng)絡(luò)罪犯在依靠諸如網(wǎng)絡(luò)釣魚(yú)之類熟悉的攻擊模式的同時(shí)，一直持續(xù)利用著人類的本性弱點(diǎn)。在2016年的報(bào)告中，公司終端用戶的各種小失誤，占據(jù)了安全事件根源榜首位置。這些多種多樣的用戶失誤包括不恰當(dāng)?shù)墓拘畔G棄、IT系統(tǒng)的錯(cuò)誤配置，以及遺失和被盜的筆記本、智能手機(jī)等公司資產(chǎn)。

看來(lái)，無(wú)論是有意的販賣，還是無(wú)意的泄露，保證數(shù)據(jù)安全，對(duì)抗精準(zhǔn)詐騙都任重道遠(yuǎn)。

 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。