網絡安全人才需求猛增3倍 政企安全防護升級
曾引起廣泛關注的“隱私與效率”之爭,正逐漸形成共識:越來越多的機構與企業對公民隱私保護更加重視。
8月21日至23日召開的2019北京互聯網安全大會公佈的一組數據顯示,網絡安全産業規模迅速擴大,企業級終端安全軟體裝機量破億;過去一年間,網絡安全人才的需求猛增3倍。
政企安全防護升級,人才需求一年增長3倍
與會的賽迪智庫網絡安全研究所所長劉權指出,近年來,各行各業更加重視網絡安全和信息保護,網絡安全産業得到前所未有的發展。
在政府層面,越來越多的政府使用了網絡安全運營平臺。大會發佈的《2019大中型政企機構網絡安全建設發展趨勢研究報告》顯示,48.5%的部委機關和56.3%的中央企業已經部署使用了安全運營中心。安全事件的平均響應時間從3年前的平均3天左右,降低到現在1小時以內。
在企業層面,普遍加強了安全防火牆建設。上述報告顯示,企業級終端安全軟體裝機量快速增長。2019年上半年,裝機量已達1.05億台,遠遠高於2016年的6189萬台。越來越多的企業引入源代碼安全審計,這一工作可節約5%至20%的後期安全維護費用,減少10%至50%的系統安全漏洞,大大降低了隱私洩露風險。
網絡威脅情報逐步成為企業安全防禦標配。報告指出,超過80%的受訪者認為威脅情報提升了安全能力。
在政府和企業的共同努力下,網絡安全建設成效明顯。系統安全漏洞修復平均週期已大幅縮短,從2016年的35天下降到現在的16天。
人才需求猛增,印證了網絡安全産業發展之快。根據大會上智聯招聘的網絡安全人才大數據顯示,2019年6月網絡安全人才市場需求的規模達到2016年1月需求的24.6倍,相比2018年7月增長了3倍。
專家提醒警惕隱私數據洩露三大渠道
大會召開期間,5G發展與安全論壇、網絡安全人才論壇、電子取證技術與發展論壇等多個分論壇,紛紛探討了個人隱私相關問題。專家表示,如今公民個人隱私大量存在於政企平臺,其保護面臨著嚴峻挑戰。
隱私數據是通過哪些渠道洩露的?與會的網絡安全專家、中國工程院院士鄔賀銓表示,一方面,一些互聯網公司的App越權收集用戶信息,侵犯了個人隱私權;另一方面,一些合法利用用戶個人信息的公司,沒有做好信息保護工作,導致個人信息大量洩露。
個人隱私洩露究竟有多猖獗?“新華視點”記者做了一個小測試。在搜索引擎鍵入“個人信息買賣”“私家偵探”等關鍵詞,就能看到不少關於信息販賣的內容。記者找到一傢俬家偵探公司,客服人員表示,只要記者給出手機號和身份證號,他就可以在5天內查到該號碼的通話記錄和2年內開房記錄,開房記錄查詢價為4200元。
這只是公民信息洩露亂象的冰山一角。參加大會的奇安信行業安全研究中心主任裴智勇表示,除了部分網絡公司越權收集用戶數據,網絡攻擊、內鬼竊取、工作人員操作失誤是個人信息洩露最主要的三大原因。
首先,網絡漏洞被駭客攻擊,隱私信息批量流出。去年6月,視頻播放網站A站自曝遭遇駭客攻擊,數據庫近千萬條用戶數據洩露。
國家互聯網應急中心近日公佈的《2019年上半年我國互聯網網絡安全態勢》顯示,今年初,在我國境內大量使用的MongoDB、Elasticsearch數據庫存在嚴重安全漏洞,訪問者無需權限驗證即可通過默認端口本地或遠程訪問數據庫並進行任意增、刪、改、查等操作,信息洩露風險嚴峻。
其次,在高額利益引誘下,部分機構內部人員非法獲取公司數據販賣。2017年,四川警方偵破一起新生嬰兒信息倒賣案,發現是某社區衛生服務中心工作人員徐某利用職務之便,掌握該市婦幼信息管理系統市級權限賬號密碼,非法下載新生嬰兒數據50余萬條,販賣數萬條。
第三,由於企業工作人員缺乏安全和風險評估能力,導致無意識的錯誤操作引起信息洩露。
誤發送郵件、權限設置錯誤和伺服器配置不當等誤操作都可能導致數據洩露。奇安信針對2018年全球重大數據洩露事件進行統計分析後發現,11.1%的事件是由於配置錯誤或操作不當導致的。奇安信就曾發現某健康App的伺服器沒有設置密碼,任何人都能夠查看登錄者狀況和發送的消息內容。
專家建議嚴厲打擊數據黑産,夯實數據管理法律基礎
公民隱私被嚴重侵犯以及多行業個人信息數據非法暴露在互聯網中,反映了我國數據安全管理仍存在薄弱環節。業內人士表示,打擊數據黑産,重在企業自身“強身健體”,同時還要健全法制保障,並建立各部門協同治理的機制。
政企機構應進一步加強網絡安全防護能力。鄔賀銓表示,仍有大量企業缺乏安全觀念,內外網不隔離、員工私自登錄高危網站、忽視漏洞檢測與修復等,將機構暴露在駭客攻擊目標之中。“駭客容易上手,很大程度上是由於企業安全意識不強導致的安全能力欠缺。”鄔賀銓説。
其次,應加強源頭端數據權限管理。針對學校、政府機關、快遞公司、電商等信息洩露案例高發領域,應建立有效的數據管理機制,將系統權限和數據獲取記錄集中管理,並增加預警。
思科安全業務集團首席技術官布萊特·哈特曼表示,網絡服務牽涉太多環節,包括雲服務、應用、數據庫等,必須建立有協同的架構體系才能提升網絡安全,應對充滿不確定性的威脅。
此外,儘快夯實數據管理的法律基礎。與會的中國通信學會網絡空間安全戰略與法律委員會副主任敬雲川表示,值得期待的是,個人信息保護法和數據安全法都已列入立法規劃。他建議,未來法律對數據的屬性、數據持有者的權利、義務應作出進一步詳細規定,並平衡市場發展與個人信息保護的關係。(記者王曉潔、王君璐、舒靜)