在前不久结束的亚信峰会上,“信息安全”成为焦点。近日,政府也对“信息安全”频繁表态:先是5月20日,中国与俄罗斯签署联合声明,对当前信息通信技术被用于与维护国际稳定与安全目的相悖、损害国家主权和个人隐私的行为表示严重关切。紧接着5月22日,国务院信息化办公室(以下简称国信办)表示,我国将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。业内普遍认为,随着政策约束的不断提高,信息安全产业将迎来发展良机。
信息泄露事故频发
我国信息安全亟待加强已经成为共识。棱镜门事件之后,政府对于信息安全空前重视,在国安委首次会议上,信息安全成为国家安全的重要组成部分。而小米手机800万用户信息泄露、携程网大量信用卡信息“裸奔”、2000万条酒店开房信息泄露等事件,也让公众意识到信息安全的重要性。
“我原本以为,我的隐私是被放在一个安全的保险柜里,现在却发现这个保险柜根本没上锁。”近日,小米手机用户王雅(化名)赫然发现自己的手机通讯录、短信内容等隐私信息都在网上“裸奔”。
5月14日,国内手机厂商小米的用户数据库在网上公开传播、下载,其中涉及800万用户的短信、通讯录、精确位置等私密信息,并能被用来访问小米云服务并获取更多信息。
小米公司对此的解释是,这是由于之前使用开源软件所致。但是用户对此解释并不认可。王雅等多名用户质疑:“企业明知道系统有漏洞,为什么不及时升级?如果不发生泄露事故,这些漏洞会不会一直存在下去?雷军本人还是安全公司的创始人,如果连小米这样的企业都如此,其它企业的安全状况简直不敢想象。”
其实类似事故并非首次上演。今年3月,携程网大量用户信用卡账号、姓名、身份证号等敏感信息遭到泄露;2013年10月,多家酒店的开房信息因系统漏洞而发生泄露,2000万条开房信息在网上“裸奔”。
“大规模信息泄露事故高发期已经到来。”国际关系学院信息科技系副主任王标说,随着云计算、大数据技术的广泛应用,企业保存的用户数据量越来越大,大规模数据泄露的风险也越来越大。
世界知名信息安全厂商赛门铁克近日发布报告称,2013年全球超过5.52亿条个人身份信息被泄露,是2012年的4倍,全球大规模信息泄露事故从2012年的1起增加到8起,每一起事故泄露的信息都超过千万。
频发的大规模信息泄露事故将为公民个人带来巨大危险。王标表示,个人的账号密码、联系方式、身份证号等敏感信息会被不法分子轻易获取,为账户盗刷、诈骗等犯罪活动打开方便之门。例如,不法分子不仅掌握一个人的全部隐私信息,还能通过关联分析获取其家人、朋友的隐私信息,诈骗得手的概率将大幅提高。
企业信息安全防护“不堪一击”
与之相对的,则是我国信息安全产业“失落的五年”。记者采访多家安全企业了解到,2008年之后,我国信息安全产业缓慢。随之而来的,自然是涉及公众的信息安全事件频发。
受访专家表示,国内安全产业之所以失落,是因为其他企业容易片面追求发展速度,不愿加大安全投入,在黑客面前不堪一击。同时,法律法规的缺失让涉事企业免于处罚,也无法倒逼企业加强安全防护。这些因素,都让我国安全厂商无用武之地。
“实践证明,多年前用来入侵企业网站的老技术,现在还继续好用。”国内著名“白帽”、上海碁震云计算科技有限公司CEO王琦告诉记者,“并不是黑客的技术有多高,而是多年来我国企业的安全防护水平没太大进步,不少企业连一个低级入侵都防不住。”
王标说,之所以多数企业在黑客面前不堪一击,主要因为企业往往将安全当做成本,且是无法产生直接效益的成本。企业都在追求发展速度,不愿意加大安全方面的投入。“这次小米信息泄露就是一个典型事件,如果不是发生泄露事故,恐怕小米也没有动力加强安全防护。”
信息安全专家、南京翰海源信息科技有限公司CEO方兴长期从事互联网企业安全防护服务。他讲了一个真实的故事:国内某著名互联网企业被黑客窃取了大量用户信息,企业就去找黑客谈判:“你如果在网上公布,那是毁我们名誉,我们跟你‘死磕’,如果你只是拿去卖钱,那我们不管。”他说,“这是目前国内企业的真实状态,只要与自身利益无关,企业就不会重视安全问题。”
此外,相关法律的缺失也让企业没有足够动力去维护信息安全。上海理工大学电子商务与计算机法研究所所长杨坚争说,目前我国还没有一部关于个人信息安全的法律,无法可依的状态下,仅靠企业的自觉性来保障信息安全是不可能实现的。
杨坚争说,前几年,美国零售企业TARGET发生用户信用卡信息泄露,该企业被依法处以巨额罚款,负责人也被迫引咎辞职。“近两年我国多家企业曾发生大规模数据泄露事件,却从未见到哪家企业被处罚,如此一来,企业更不会在信息安全方面加大投入。”
国内厂商将迎来发展良机
随着国安委、国信办对于信息安全的频繁表态,我国信息安全产业发展的政策基础将进一步夯实。专家表示,在国家和企业层面,我国可能会参照发达国家经验,采取立法与行业自律相结合的方式予以应对。首先,及时出台专门针对个人信息安全的法律,对企业搜集、存储用户信息的规范和责任做出明确细致的规定,在打击黑客的同时,也要严厉处罚发生信息泄露事故的企业,倒逼企业重视安全管理。
实际上,不少国家都已出台关于个人信息保护的“严刑峻法”。今年3月,韩国专门出台防止金融领域个人信息泄露的综合法案。根据该法案,一旦发生用户信息泄露,金融机构和电商需要缴纳的罚金是以往的3倍,且没有上限,相关刑事处罚也加重至10年以下有期徒刑。
在政府之外,市场也开始意识到安全的价值。王标说,不重视安全的企业是短视的,例如携程网发生信息泄露事件后,其流量排名已从全球1000名左右狂跌至4000名开外。“企业要有清醒认识,加大在安全方面的投入,并定期进行安全测评、认证。”
多位业内人士告诉记者,国内安全厂商规模并没有权威数字。一个可以参考的数字是,2012年中国信息安全产品规模不到9亿美元。但是,我国互联网产业规模数以万亿元级。体量如此袖珍的信息安全行业,如何去保障如此庞大的互联网产业?
统计数据显示,4月份以来,超百家机构密集调研了卫士通、北信源、启明星辰及绿盟科技等公司,其中部分公司接待了上百家机构的联合调研。多位信息安全业人士告诉记者,随着政府和市场的力挺,我国信息安全产业将迎来新的春天。