人民網(wǎng)北京5月19日電（記者宋豪新）6月1日，我國《網(wǎng)絡安全法》將正式生效實施，對網(wǎng)絡運營者數(shù)據(jù)安全管理提出了系統(tǒng)且嚴格的法律要求。近日，上海社會科學院互聯(lián)網(wǎng)研究中心發(fā)布大數(shù)據(jù)安全風險與對策研究報告，遴選了近年來國內(nèi)外典型數(shù)據(jù)安全事件，系統(tǒng)分析了大數(shù)據(jù)安全風險產(chǎn)生的類型和誘因，并分別從提升國家大數(shù)據(jù)生態(tài)治理水平（政府）和加強企業(yè)大數(shù)據(jù)安全能力（企業(yè)）兩個層面提出推動我國大數(shù)據(jù)安全發(fā)展的對策建議。

大數(shù)據(jù)時代，數(shù)據(jù)成為推動經(jīng)濟社會創(chuàng)新發(fā)展的關鍵生產(chǎn)要素，基于數(shù)據(jù)的開放與開發(fā)推動了跨組織、跨行業(yè)、跨地域的協(xié)助與創(chuàng)新，催生出各類全新的產(chǎn)業(yè)形態(tài)和商業(yè)模式，全面激活了人類的創(chuàng)造力和生產(chǎn)力。

然而，大數(shù)據(jù)在為組織創(chuàng)造價值的同時，也面臨著嚴峻的安全風險。一方面，數(shù)據(jù)經(jīng)濟發(fā)展特性使得數(shù)據(jù)在不同主體間的流通和加工成為不可避免的趨勢，由此也打破了數(shù)據(jù)安全管理邊界，弱化了管理主體風險控制能力；另一方面，隨著數(shù)據(jù)資源商業(yè)價值的凸顯，針對數(shù)據(jù)的攻擊、竊取、濫用、劫持等活動持續(xù)泛濫，并呈現(xiàn)出產(chǎn)業(yè)化、高科技化和跨國化等特性，對國家的數(shù)據(jù)生態(tài)治理水平和組織的數(shù)據(jù)安全管理能力提出全新挑戰(zhàn)。在內(nèi)外雙重壓力下，大數(shù)據(jù)安全重大事件頻發(fā)，已經(jīng)成為全社會關注的重大安全議題。

綜合近年來國內(nèi)外重大數(shù)據(jù)安全事件發(fā)現(xiàn)，大數(shù)據(jù)安全事件正在呈現(xiàn)以下特點：（1）風險成因復雜交織，既有外部攻擊，也有內(nèi)部泄露，既有技術漏洞，也有管理缺陷；既有新技術新模式觸發(fā)的新風險，也有傳統(tǒng)安全問題的持續(xù)觸發(fā)。（2）威脅范圍全域覆蓋，大數(shù)據(jù)安全威脅滲透在數(shù)據(jù)生產(chǎn)、流通和消費等大數(shù)據(jù)產(chǎn)業(yè)鏈的各個環(huán)節(jié)，包括數(shù)據(jù)源的提供者、大數(shù)據(jù)加工平臺提供者、大數(shù)據(jù)分析服務提供者等各類主體都是威脅源；(3)事件影響重大深遠。數(shù)據(jù)云端化存儲導致數(shù)據(jù)風險呈現(xiàn)集聚和極化效應，一旦發(fā)生數(shù)據(jù)泄露等其影響都將超越技術范疇和組織邊界，對經(jīng)濟、政治和社會等領域產(chǎn)生影響，包括產(chǎn)生重大財產(chǎn)損失、威脅生命安全和改變政治進程。

隨著數(shù)據(jù)經(jīng)濟時代的來臨，全面提升網(wǎng)絡空間數(shù)據(jù)資源的安全是國家經(jīng)濟社會發(fā)展的核心任務，如同環(huán)境生態(tài)的治理，數(shù)據(jù)生態(tài)治理面臨一場艱巨的戰(zhàn)役，這場戰(zhàn)役的成敗將決定新時期公民的權利、企業(yè)的利益、社會的信任，也將決定數(shù)據(jù)經(jīng)濟的發(fā)展乃至國家的命運和前途。為此，我們建議重點從政府和企業(yè)兩個維度入手，全面提升我國大數(shù)據(jù)安全

從政府角度，報告建議持續(xù)提升數(shù)據(jù)保護立法水平，構筑網(wǎng)絡空間信任基石；加強網(wǎng)絡安全執(zhí)法能力，開展網(wǎng)絡黑產(chǎn)長效治理；加強重點領域安全治理，維護國家數(shù)據(jù)經(jīng)濟生態(tài)；規(guī)范發(fā)展數(shù)據(jù)流通市場，引導合法數(shù)據(jù)交易需求；科學開展跨境數(shù)據(jù)監(jiān)管，切實保障國家數(shù)據(jù)主權。

從企業(yè)角度，報告建議網(wǎng)絡運營者需要規(guī)范數(shù)據(jù)開發(fā)利用規(guī)則，明確數(shù)據(jù)權屬關系，重點加強個人數(shù)據(jù)和重點數(shù)據(jù)的安全管理，針對采集、存儲、傳輸、處理、交換和銷毀等各個環(huán)節(jié)開展全生命周期的保護，從制度流程、人員能力、組織建設和技術工具等方面加強數(shù)據(jù)安全能力建設。

附十大典型事件（時間順序）：

1. 全球范圍遭受勒索軟件攻擊

關鍵詞：網(wǎng)絡武器泄漏，勒索軟件，數(shù)據(jù)加密，比特幣

2017年5月12日，全球范圍爆發(fā)針對Windows操作系統(tǒng)的勒索軟件（WannaCry）感染事件。該勒索軟件利用此前美國國家安全局網(wǎng)絡武器庫泄露的WindowsSMB服務漏洞進行攻擊，受攻擊文件被加密，用戶需支付比特幣才能取回文件，否則贖金翻倍或是文件被徹底刪除。全球100多個國家數(shù)十萬用戶中招，國內(nèi)的企業(yè)、學校、醫(yī)療、電力、能源、銀行、交通等多個行業(yè)均遭受不同程度的影響。

安全漏洞的發(fā)掘和利用已經(jīng)形成了大規(guī)模的全球性黑色產(chǎn)業(yè)鏈。美國政府網(wǎng)絡武器庫的泄漏更是加劇了黑客利用眾多未知零日漏洞發(fā)起攻擊的威脅。2017年3月，微軟就已經(jīng)發(fā)布此次黑客攻擊所利用的漏洞的修復補丁，但全球有太多用戶沒有及時修復更新，再加上眾多教育系統(tǒng)、醫(yī)院等還在使用微軟早已停止安全更新的Windows XP系統(tǒng)，網(wǎng)絡安全意識的缺乏擊潰了網(wǎng)絡安全的第一道防線。

類似事件：2016年11月舊金山市政地鐵系統(tǒng)感染勒索軟件，自動售票機被迫關閉，旅客被允許在周六免費乘坐輕軌。

2.京東內(nèi)部員工涉嫌竊取50億條用戶數(shù)據(jù)

關鍵詞：企業(yè)內(nèi)鬼，數(shù)據(jù)販賣，數(shù)據(jù)內(nèi)部權限

2017年3月，京東與騰訊的安全團隊聯(lián)手協(xié)助公安部破獲的一起特大竊取販賣公民個人信息案，其主要犯罪嫌疑人乃京東內(nèi)部員工。該員工2016年6月底才入職，尚處于試用期，即盜取涉及交通、物流、醫(yī)療、社交、銀行等個人信息50億條，通過各種方式在網(wǎng)絡黑市販賣。

為防止數(shù)據(jù)盜竊，企業(yè)每年花費巨額資金保護信息系統(tǒng)不受黑客攻擊，然而因內(nèi)部人員盜竊數(shù)據(jù)而導致?lián)p失的風險也不容小覷。地下數(shù)據(jù)交易的暴利以及企業(yè)內(nèi)部管理的失序誘使企業(yè)內(nèi)部人員鋌而走險、監(jiān)守自盜，盜取販賣用戶數(shù)據(jù)的案例屢見不鮮。管理咨詢公司埃森哲等研究機構2016年發(fā)布的一項調查研究結果顯示，其調查的208家企業(yè)中，69％的企業(yè)曾在過去一年內(nèi)“遭公司內(nèi)部人員竊取數(shù)據(jù)或試圖盜取”。未采取有效的數(shù)據(jù)訪問權限管理，身份認證管理、數(shù)據(jù)利用控制等措施是大多數(shù)企業(yè)數(shù)據(jù)內(nèi)部人員數(shù)據(jù)盜竊的主要原因。

類似事件：2016年4月，美國兒童撫養(yǎng)執(zhí)行辦公室500萬個人信息遭前員工盜竊。

3. 雅虎遭黑客攻擊10億級用戶賬戶信息泄露

關鍵詞：漏洞攻擊，用戶密碼，俄羅斯黑客

2016年9月22日，全球互聯(lián)網(wǎng)巨頭雅虎證實至少5億用戶賬戶信息在2014年遭人竊取，內(nèi)容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。2016年12月14日，雅虎再次發(fā)布聲明，宣布在2013年8月，未經(jīng)授權的第三方盜取了超過10億用戶的賬戶信息。2013年和2014年這兩起黑客襲擊事件有著相似之處，即黑客攻破了雅虎用戶賬戶保密算法，竊得用戶密碼。2017年3 月，美國檢方以參與雅虎用戶受到影響的網(wǎng)絡攻擊活動為由，對俄羅斯情報官員提起刑事訴訟。

雅虎信息泄露事件是有史以來規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄漏事件，當前，重要商業(yè)網(wǎng)站的海量用戶數(shù)據(jù)是企業(yè)的核心資產(chǎn)，也是民間黑客甚至國家級攻擊的重要對象，重點企業(yè)數(shù)據(jù)安全管理面臨更高的要求，必須建立嚴格的安全能力體系，不僅需要確保對用戶數(shù)據(jù)進行加密處理，對數(shù)據(jù)的訪問權限進行精準控制，并為網(wǎng)絡破壞事件、應急響應建立彈性設計方案，與監(jiān)管部門建立應急溝通機制。

類似事件：2015年2月，美國第二大健康醫(yī)療保險公司Anthem公司信息系統(tǒng)被攻破，將近8000萬客戶和員工的記錄遭遇泄露。

4. 順豐內(nèi)部人員泄漏用戶數(shù)據(jù)

關鍵詞：轉賣內(nèi)部數(shù)據(jù)權限，惡意程序

2016年8月26日，順豐速遞湖南分公司宋某被控“侵犯公民個人信息罪”在深圳南山區(qū)人民法院受審。此前，順豐作為快遞行業(yè)領頭羊，出現(xiàn)過多次內(nèi)部人員泄漏客戶信息事件，作案手法包括將個人掌握的公司網(wǎng)站賬號及密碼出售他人；編寫惡意程序批量下載客戶信息；利用多個賬號大批量查詢客戶信息；通過購買內(nèi)部辦公系統(tǒng)地址、賬號及密碼，侵入系統(tǒng)盜取信息；研發(fā)人員從數(shù)據(jù)庫直接導出客戶信息等。

順豐發(fā)生的系列數(shù)據(jù)泄漏事件暴露出針對內(nèi)部人員數(shù)據(jù)安全管理的缺陷，由于數(shù)據(jù)黑產(chǎn)的發(fā)展，內(nèi)外勾結盜竊用戶數(shù)據(jù)謀取暴利的行為正在迅速蔓延。雖然順豐的IT系統(tǒng)具備事件發(fā)生后的追查能力，但是無法對員工批量下載數(shù)據(jù)的異常行為發(fā)出警告和風險預防，針對內(nèi)部人員數(shù)據(jù)訪問需要設置嚴格的數(shù)據(jù)管控，并對數(shù)據(jù)進行脫敏處理，才能有效確保企業(yè)數(shù)據(jù)的安全。

類似事件：2012年1號店內(nèi)部員工與離職、外部人員內(nèi)外勾結，泄露90萬用戶數(shù)據(jù)。

5. 徐玉玉遭電信詐騙致死

關鍵詞：安全漏洞，拖庫，個人數(shù)據(jù)，精準詐騙，黑產(chǎn)

2016年8月，高考生徐玉玉被電信詐騙者騙取學費9900元，發(fā)現(xiàn)被騙后突然心臟驟停，不幸離世。據(jù)警方調查，騙取徐玉玉學費的電信詐騙者的信息來自網(wǎng)上非法出售的個高考個人信息，而其源頭則是黑客利用安全漏洞侵入了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”網(wǎng)站，下載了60多萬條山東省高考考生數(shù)據(jù)，高考結束后開始在網(wǎng)上非法出售給電信詐騙者。

近年來，針對我國公民個人信息的竊取和交易已經(jīng)形成了龐大黑色產(chǎn)業(yè)鏈，遭遇泄露的個人數(shù)據(jù)推動電信詐騙、金融盜竊等一系列犯罪活動日益“精準化”、“智能化”，對社會公眾的財產(chǎn)和人身安全構成嚴峻威脅。造成這一現(xiàn)狀的直接原因在于我國企事業(yè)單位全方位收集用戶數(shù)據(jù)，但企業(yè)網(wǎng)絡安全防護水平低下和數(shù)據(jù)安全管理能力不足，使黑客和內(nèi)鬼有機可乘，而個人信息泄漏后缺乏用戶告知機制，加大了犯罪活動的危害性和持續(xù)性。

類似事件：2016年8月23日，山東省臨沭縣的大二學生宋振寧遭遇電信詐騙心臟驟停，不幸離世。

6. 希拉里遭遇“郵件門”導致競選失敗

鍵詞：私人郵箱，公務郵件,維基解密，黑客

希拉里“郵件門”是指民主黨總統(tǒng)競選人希拉里·克林頓任職美國國務卿期間，在沒有事先通知國務院相關部門的情況下使用私人郵箱和服務器處理公務，并且希拉里處理的未加密郵件中有上千封包含國家機密。同時，希拉里沒有在離任前上交所有涉及公務的郵件記錄，違反了國務院關于聯(lián)邦信息記錄保存的相關規(guī)定。2016年7月22日，在美國司法部宣布不指控希拉里之后，維基解密開始對外公布黑客攻破希拉里及其親信的郵箱系統(tǒng)后獲得的郵件，最終導致美國聯(lián)邦調查局重啟調查，希拉里總統(tǒng)競選支持率暴跌。

作為政府要員，希拉里缺乏必要的數(shù)據(jù)安全意識，在擔任美國國務卿期間私自架設服務器處理公務郵件違反聯(lián)邦信息安全管理要求，觸犯了美國國務院有關“使用私人郵箱收發(fā)或者存儲機密信息為違法行為”的規(guī)定。私自架設的郵件服務器缺乏必要的安全保護，無法應對高水平黑客的攻擊，造成重要數(shù)據(jù)遭遇泄露并被國內(nèi)外政治對手充分利用，最終導致大選落敗。

類似事件：2016年3月，五角大樓公布美國防部長阿什頓·卡特數(shù)百份郵件是經(jīng)由私人電子郵箱發(fā)送，卡特再次承認自己存在過失，但相關郵件均不涉密。

7. 法國數(shù)據(jù)保護機構警告微軟Windows10過度搜集用戶數(shù)據(jù)

關鍵詞：過度收集數(shù)據(jù)，知情同意，合規(guī)，隱私保護

2016年7月，法國數(shù)據(jù)保護監(jiān)管機構CNIL向微軟發(fā)出警告函，指責微軟利用Windows 10系統(tǒng)搜集了過多的用戶數(shù)據(jù)，并且在未獲得用戶同意的情況下跟蹤了用戶的瀏覽行為。同時，微軟并沒有采取令人滿意的措施來保證用戶數(shù)據(jù)的安全性和保密性，沒有遵守歐盟“安全港”法規(guī)，因為它在未經(jīng)用戶允許的情況下就將用戶數(shù)據(jù)保存到了用戶所在國家之外的服務器上，并且在未經(jīng)用戶允許的情況下默認開啟了很多數(shù)據(jù)追蹤功能。CNIL限定微軟必須在3個月內(nèi)解決這些問題，否則將面臨委員會的制裁。

大數(shù)據(jù)時代，各類企業(yè)都在充分挖掘用戶數(shù)據(jù)價值，不可避免的導致用戶數(shù)據(jù)被過度采集和開發(fā)。隨著全球個人數(shù)據(jù)保護日趨嚴苛，企業(yè)在收集數(shù)據(jù)中必須加強法律遵從和合規(guī)管理，尤其要注重用戶隱私保護，獲取用戶個人數(shù)據(jù)需滿足“知情同意”、“數(shù)據(jù)安全性”等原則，以保證組織業(yè)務的發(fā)展不會面臨數(shù)據(jù)安全合規(guī)的風險。例如歐盟2018年即將實施新的《一般數(shù)據(jù)保護條例》就規(guī)定企業(yè)違反《條例》的最高處罰額將達全球營收的4%，全面提升了企業(yè)數(shù)據(jù)保護的合規(guī)風險。

類似事件：2017年2月，樂視旗下Vizio因違規(guī)收集用戶數(shù)據(jù)被罰220萬美元。

8. 黑客攻擊SWIFT系統(tǒng)盜竊孟加拉國央行8100萬美元

關鍵詞：網(wǎng)絡攻擊，系統(tǒng)控制權限，虛假指令數(shù)據(jù)，網(wǎng)絡金融盜竊

2016年2月5日，孟加拉國央行被黑客攻擊導致8100萬美元被竊取，攻擊者通過網(wǎng)絡攻擊或者其他方式獲得了孟加拉國央行SWIFT系統(tǒng)的操作權限，攻擊者進一步向紐約聯(lián)邦儲備銀行發(fā)送虛假的SWIFT轉賬指令。紐約聯(lián)邦儲備銀行總共收到35筆，總價值9.51億美元的轉賬要求，其中8100萬美元被成功轉走盜取，成為迄今為止規(guī)模最大的網(wǎng)絡金融盜竊案。

SWIFT是全球重要的金融支付結算系統(tǒng)，并以安全、可靠、高效著稱。黑客成功攻擊該系統(tǒng)，表明網(wǎng)絡犯罪技術水平正在不斷提高，客觀上要求金融機構等關鍵性基礎設施的網(wǎng)絡安全和數(shù)據(jù)保護能力持續(xù)提升，金融系統(tǒng)網(wǎng)絡安全防護必須加強政府和企業(yè)的協(xié)同聯(lián)動，并開展必要的國際合作。2017年3月1日生效的美國紐約州新金融條例，要求所有金融服務機構部署網(wǎng)絡安全計劃，任命首席信息安全官，并監(jiān)控商業(yè)伙伴的網(wǎng)絡安全政策。美國紐約州的金融監(jiān)管要求為全球金融業(yè)網(wǎng)絡安全監(jiān)管樹立了標桿，我國的金融機構也需進一步明確自身應當履行的網(wǎng)絡安全責任和義務，在組織架構、安全管理、安全技術等多個方面進行落實網(wǎng)絡安全責任。

類似事件：2016年12月2日,俄羅斯央行代理賬戶遭黑客襲擊,被盜取了20億俄羅斯盧布。

9．海康威視安防監(jiān)控設備存在漏洞被境外IP控制

關鍵詞：物聯(lián)網(wǎng)安全，弱口令，漏洞，遠程挾持

2015年2月27日，江蘇省公安廳特急通知稱：江蘇省各級公安機關使用的海康威視監(jiān)控設備存在嚴安全隱患，其中部分設備被境外IP地址控制。海康威視于2月27日連夜發(fā)表聲明稱：江蘇省互聯(lián)網(wǎng)應急中心通過網(wǎng)絡流量監(jiān)控，發(fā)現(xiàn)部分海康威視設備因弱口令問題（包括使用產(chǎn)品初始密碼和其他簡單密碼）被黑客攻擊，導致視頻數(shù)據(jù)泄露等。

以視頻監(jiān)控等為代表的物聯(lián)網(wǎng)設備正成為新的網(wǎng)絡攻擊目標。物聯(lián)網(wǎng)設備廣泛存在弱口令，未修復已知漏洞、產(chǎn)品安全加固不足等風險，設備接入互聯(lián)網(wǎng)后應對網(wǎng)絡攻擊能力十分薄弱，為黑客遠程獲取控制權限、監(jiān)控實時數(shù)據(jù)并實施各類攻擊提供了便利。

類似事件：2016年10月，黑客通過控制物聯(lián)網(wǎng)設備對域名服務區(qū)發(fā)動僵尸攻擊，導致美國西海岸大面積斷網(wǎng)。

10. 國內(nèi)酒店2000萬入住信息遭泄露

關鍵詞：個人隱私泄露，第三方存儲，外包服務數(shù)據(jù)權限，供應鏈安全

2013年10月，國內(nèi)安全漏洞監(jiān)測平臺披露，為全國4500多家酒店提供數(shù)字客房服務商的浙江慧達驛站公司，因為安全漏洞問題，使與其有合作關系的酒店的入住數(shù)據(jù)在網(wǎng)上泄露。數(shù)天后，一個名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上，其中包含2000萬條在酒店開房的個人信息，開房數(shù)據(jù)中，開房時間介于2010年下半年至2013年上半年，包含姓名、身份證號、地址、手機等14個字段，其中涉及大量用戶隱私，引起全社會廣泛關注。

酒店內(nèi)的Wi-Fi覆蓋是隨著酒店業(yè)發(fā)展而興起的一項常規(guī)服務，很多酒店選擇和第三方網(wǎng)絡服務商合作，但在實際數(shù)據(jù)交互中存在嚴重的數(shù)據(jù)泄露風險。從慧達驛站事件中，一方面，涉事酒店缺乏個人信息保護的管理措施，未能制定嚴格的數(shù)據(jù)管理權限，使得第三方服務商可以掌握大量客戶數(shù)據(jù)。另一方面，第三方服務商慧達驛站公司網(wǎng)絡安全加密等級低，在密碼驗證過程中未對傳輸數(shù)據(jù)加密，存在嚴重的系統(tǒng)設計缺陷。

類似事件：2015年7月，加拿大婚外戀網(wǎng)站Ashley Madison遭遇數(shù)據(jù)泄露。（完）

[責任編輯：楊凡、劉向陽]

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網(wǎng)官方微博（@齊魯網(wǎng)）提供新聞線索。齊魯網(wǎng)廣告熱線0531-81695052，誠邀合作伙伴。