楚网 > > 新闻 > 深度报道 > 详细内容

专家谈网络安全审查:不重视安全的企业短视

作者:新华网   |   来源: 新华网  

2014年11月26日 09:40

分享到:

@!n:t6t.F:J-z2b6y0国家互联网信息办公室22日发布消息称,我国将于近期推出针对企业技术产品和服务的网络安全审查制度。然而,近期我国企业大规模信息泄露事故频发,小米手机800万用户信息泄露、携程网大量信用卡信息“裸奔”等,不仅关系到公共利益,甚至威胁国家安全。

Enx8a;{0 楚网 D1Jy"\1QK R5u

专家表示,我国互联网企业普遍片面追求发展速度,安全防护水平“瘸腿”严重,网络安全审查制度将成为倒逼企业提升安全防护水平的重大利好,不重视安全的企业是短视的。

@aEK9b#A0 楚网e0{%QS$UZ+P/y.q8\3}

企业大规模信息泄露事故“轮番上演”楚网`%?*Z[$smgm-d

楚网/f5l;piTT

22日,国家互联网信息办公室发布消息,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。

4m5{G)}!x\#pT3|5P0

$@:Rq x5o4J7m"{"Fx0作为提供产品和服务的主体,我国互联网企业近期频发大规模信息泄露事故。楚网m(uuV(E P

L%RR@7A,\_D05月14日,国内手机厂商小米发生用户信息泄露事故,其中涉及800万用户的短信、通讯录、精确位置等私密信息;今年3月,携程网大量用户信用卡账号、姓名、身份证号等敏感信息泄露;2013年10月,多家酒店的开房信息因系统漏洞发生泄露,2000万条开房信息在网上“裸奔”。楚网 jGot:N

楚网 d,|!c f A(mxb(C\

“大规模信息泄露事故高发期已经到来。”国际关系学院信息科技系副主任王标说,随着云计算、大数据技术的广泛应用,企业保存的用户数据量越来越大,大规模数据泄露的风险也越来越大。

/xmEc/H0 楚网%{%P%g&V4fkV*n0O9]:I

频发的大规模信息泄露事故将给公民个人带来巨大危险。信息安全专家、南京瀚海源信息科技有限公司CEO方兴表示,个人的账号密码、联系方式、身份证号等敏感信息会被不法分子轻易获取,为账户盗刷、诈骗等犯罪活动打开方便之门。例如,不法分子不仅掌握一个人的全部隐私信息,还能通过关联分析获取其家人、朋友的隐私信息,诈骗得手的概率将大幅提高。楚网(og/J&w k tEns-x r

楚网,Q"O5{Q6XVj;t

同时,国家安全也将因此受到威胁。王标指出,大规模个人信息泄露后,敌对势力可通过大数据分析,获取与国家安全有关人员的信息,还能摸清我国经济社会脉搏等。楚网oo^+x$M9py#c P3p+q

:n,p i`_K+D\$V0企业:“如果泄露的信息只是拿去卖钱,那我们不管”

)e` zxmW0 楚网;W?xOHjZ%Gs

受访专家表示,国内互联网企业普遍片面追求发展速度,不愿加大安全投入,在黑客面前不堪一击,与安全审查要求存在较大差距。安全审查制度无疑将成为倒逼企业加大安全投入的重大利好。楚网 {5WoV(vuyf)X+?

楚网 N/` Z&YS

“实践证明,多年前用来入侵企业网站的老技术,现在还继续好用。”上海碁震云计算科技有限公司CEO王琦告诉记者,“并不是黑客的技术有多高,而是多年来我国企业的安全防护水平没太大进步,不少企业连一个低级入侵都防不住。”

aGzi }@;H[ Z.{7w0 楚网2Nyms%Fc LFu5P

王标说,企业往往将安全当做成本,且是无法产生直接效益的成本,企业都在追求发展速度,而不愿意加大安全方面的投入。“前几天发生的小米信息泄露就是一个典型事件,如果不是发生泄露事故,恐怕小米也没有动力加强安全防护。”

3sE0H6hJlG q0?,L0

/?,YuL$k!g,{/L0方兴长期为互联网企业做安全防护服务。他讲了一个真实的故事:国内某著名互联网企业被黑客窃取了大量用户信息,企业就去找黑客谈判:“你如果在网上公布,那是毁我们名誉,我们跟你‘死磕’,如果你只是拿去卖钱,那我们不管。”他说,“这是目前国内企业的真实状态,只要与自身利益无关,企业就不会重视安全问题。”楚网O{^h8z7pE2{vr

楚网3^gyV)o/x;W;t'O!V

“即将出台的网络安全审查制度无疑是重大利好,将对企业产生倒逼效应。”上海理工大学电子商务与计算机法研究所所长杨坚争说,由于无法可依,此前发生信息泄露事故的企业均未受到任何处罚,企业没有动力重视安全防护,而安全审查制度的事前审查、事中监测和事后惩处机制将倒逼企业加大安全投入。

h"b u,L ~E0 楚网h#S4uamSVY+O1P T

安全审查、完善法规、行业自律一个都不能少

Ap6R!U'zz;R*u:A0 楚网W`xhm/]

专家表示,应对企业大规模信息泄露事件频发的情况,参照发达国家经验,除了不断完善相关法律法规,推进企业层面的行业自律必不可少。

%}lL#uP5vl0

Z` }7m:T,GPS0杨坚争表示,在国家层面,除了网络安全审查制度外,还应继续完善相关法律法规。例如出台专门针对个人信息安全的法律,对企业搜集、存储用户信息的规范和责任做出明确细致的规定,在打击黑客的同时,严厉处罚发生信息泄露事故的企业。楚网8^(DNo/n }5X_*k

6Hp.C#f&HiE[tfe0实际上,不少国家都已出台关于个人信息保护的“严刑峻法”。今年3月,韩国专门出台防止金融领域个人信息泄露的综合法案。根据该法案,一旦发生用户信息泄露,金融机构和电商需要缴纳的罚金是以往的3倍,且没有上限,相关刑事处罚也加重至10年以下有期徒刑。

!Qa}!a5Rr!Wnq(e4B0 楚网$N'zzG&fL*X%U

同时,企业应加强对安全的重视程度,推动行业自律。王标说,不重视安全的企业是短视的。例如携程网发生信息泄露事件后,其流量排名已从全球1000名左右狂跌至4000名开外。“企业要有清醒认识,加大在安全方面的投入,并定期进行安全测评、认证。”

;w/vL8^L9H)P%uH^ J0

.xt&d8YA ijU0复旦大学国际政治系副教授沈逸建议,应改变整个行业在面对安全威胁时的“一盘散沙”状态,可以采取“产业联盟”“安全联盟”的方式形成企业间的合作机制,出台安全标准,推动企业自律,提升行业安全防护水平。(记者 赵宇飞、叶健)

2DM.Z[\0