信息安全持續(xù)爆發(fā)，百萬(wàn)年薪請(qǐng)“黑客”？

坊間一直傳言，互聯(lián)網(wǎng)巨頭阿里之所以不會(huì)被黑客攻擊，是因?yàn)榉彩怯懈呒夹g(shù)的“黑客”攻擊完阿里系統(tǒng)之后都會(huì)被收入麾下。以至于留下了廣為流傳的段子：

一位15歲就考入西安交大少年班的天才少年，在2005年其20歲時(shí)參加了阿里巴巴的實(shí)習(xí)面試。在展示個(gè)人能力環(huán)節(jié)，其略顯靦腆地在電腦上敲了幾行代碼，就在面試官不以為然的時(shí)候，整個(gè)阿里巴巴內(nèi)部網(wǎng)絡(luò)同時(shí)癱瘓！瞬間驚呆了面試官，最終馬云下了死命令，怎么也得留住他。于是阿里用500萬(wàn)的年薪將這個(gè)天才少年留了下來(lái)。而這位靦腆的天才少年就是當(dāng)年號(hào)稱中國(guó)最頂尖“黑客”之一。

近期，當(dāng)事人出面辟謠并表示，網(wǎng)絡(luò)流傳的段子是假的，阿里不會(huì)高新聘請(qǐng)黑阿里網(wǎng)站的人，反而會(huì)交給警察。

難以逃脫的信息安全漏洞

“生活在一個(gè)透明的世界”

“經(jīng)常被電話騷擾、推銷產(chǎn)品”

“個(gè)人信息基本不存在隱私”

對(duì)于個(gè)人而言，這就是我們所能感受到的信息安全威脅；

而對(duì)于企業(yè)、組織、國(guó)家來(lái)說(shuō)，信息安全意味著信譽(yù)降級(jí)、經(jīng)濟(jì)損失甚至是系統(tǒng)癱瘓退出市場(chǎng)。

2019年出現(xiàn)的部分重大的信息安全事件：

01

2019年1月20日凌晨，國(guó)內(nèi)一家電商平臺(tái)被曝出現(xiàn)重大BUG，用戶可領(lǐng)100元無(wú)門檻券。官方表示，有黑灰產(chǎn)團(tuán)伙通過(guò)一個(gè)過(guò)期的優(yōu)惠券漏洞盜取數(shù)千萬(wàn)元平臺(tái)優(yōu)惠券，進(jìn)行不正當(dāng)牟利

02

2019年2月16日，一網(wǎng)友在微博發(fā)布視頻稱，某APP疑似會(huì)獲取用戶的截圖和照片并上傳。經(jīng)排查，發(fā)現(xiàn)安卓系統(tǒng)上的APP5.0.5以后版本存在該問(wèn)題，并已定位問(wèn)題且下線修復(fù)，該功能屬于需求錯(cuò)誤開發(fā)

03

2019年3月22日一份報(bào)告指出，F(xiàn)acebook在沒(méi)有加密的情況下存儲(chǔ)了數(shù)億用戶的密碼，并且以明文的方式展示給數(shù)萬(wàn)名公司職員。據(jù)調(diào)查，此事件直接影響可能多達(dá)6億用戶。

04

2019年6月15日，《紐約時(shí)報(bào)》發(fā)表報(bào)道稱，美國(guó)政府官員承認(rèn)，早在2012年就在俄羅斯電網(wǎng)中植入病毒程序，可隨時(shí)發(fā)起網(wǎng)絡(luò)攻擊

05

2019年7月，美國(guó)銀行第一資本金融公司披露，一名黑客獲取了逾1億名顧客和潛在顧客的個(gè)人信息，包括姓名、地址、電話號(hào)碼和生日

06

2019年7月，南非約翰內(nèi)斯堡的City Power電力公司遭受勒索病毒攻擊，該公司的應(yīng)用程序、數(shù)據(jù)庫(kù)都被黑客進(jìn)行了惡意加密，導(dǎo)致對(duì)外服務(wù)基本陷入癱瘓

從以上案例可以看出，無(wú)論是互聯(lián)網(wǎng)企業(yè)，還是政府都難以逃脫高度信息網(wǎng)絡(luò)化帶來(lái)的信息安全問(wèn)題。而信息安全問(wèn)題一方面來(lái)自外部的惡意攻擊，還有一部分原因是系統(tǒng)本身出現(xiàn)漏洞。

網(wǎng)絡(luò)信息安全態(tài)勢(shì)緊張，成本增加

廣義的信息安全是指保護(hù)資源免受各種類型威脅、干擾和破壞，即保證信息的機(jī)密性、完整性與可用性。據(jù)公開數(shù)據(jù)，2019年上半年，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）自主監(jiān)測(cè)發(fā)現(xiàn)約4.6萬(wàn)個(gè)針對(duì)我國(guó)境內(nèi)網(wǎng)站的仿冒頁(yè)面，境內(nèi)外約1.4萬(wàn)個(gè)IP地址對(duì)我國(guó)境內(nèi)約2.6萬(wàn)個(gè)網(wǎng)站植入后門，同比增長(zhǎng)約1.2倍。

網(wǎng)絡(luò)信息安全態(tài)勢(shì)緊張，如何防止信息外泄成為全民互聯(lián)網(wǎng)時(shí)期重要議題。

面對(duì)嚴(yán)峻的信息安全現(xiàn)狀，一度出現(xiàn)文章開頭的傳言，大型互聯(lián)網(wǎng)企業(yè)不惜重金將所謂的“黑客”收入麾下，以增強(qiáng)自身的技術(shù)防御能力，識(shí)別出每天上億次的惡意攻擊。

但是，此方法僅僅是“段子”，對(duì)國(guó)家、企業(yè)系統(tǒng)進(jìn)行破壞等于犯罪行為，聘請(qǐng)更高層級(jí)的技術(shù)人員在多數(shù)時(shí)候治標(biāo)不治本。

一個(gè)會(huì)被輕易攻擊的系統(tǒng)，是一個(gè)有嚴(yán)重漏洞的系統(tǒng)，至少其系統(tǒng)管理是不規(guī)范的，而全世界的公司在整個(gè)管理系統(tǒng)中正花費(fèi)著更多的成本。根據(jù)IBM最新的數(shù)據(jù)泄露年度成本研究，平均數(shù)據(jù)泄露成本現(xiàn)在高達(dá)392萬(wàn)美元，這些費(fèi)用在過(guò)去五年里增加了12%。

市場(chǎng)上漲，防范未然

網(wǎng)絡(luò)信息安全頻繁出現(xiàn)的同時(shí)也促進(jìn)信息安全產(chǎn)業(yè)的發(fā)展?！笆濉币詠?lái)，我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)保持高速增長(zhǎng)，2019年產(chǎn)業(yè)規(guī)模超過(guò)600億元，年增長(zhǎng)率超過(guò)20%，明顯高于國(guó)際8%的平均增數(shù)，保持健康的發(fā)展態(tài)勢(shì)。

另外，隨著一系列法律法規(guī)的實(shí)施，信息安全管理的規(guī)范性將日益凸顯。

1.第十三屆全國(guó)人大常委會(huì)第十四次會(huì)議正式通過(guò)《密碼法》；

2.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》三項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布；

3. 工信部、教育部、生態(tài)環(huán)境部等十部門聯(lián)合發(fā)布《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》；

4.《數(shù)據(jù)安全管理辦法（征求意見稿）》已經(jīng)由國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布；

多數(shù)時(shí)候，信息泄露所呈現(xiàn)的不僅僅是經(jīng)濟(jì)糾紛，更多的是大眾對(duì)企業(yè)信用的懷疑。對(duì)企業(yè)、政府而言，面對(duì)信息安全管理，需要的不僅是高端的技術(shù)人才，也需要規(guī)范管理，及時(shí)更新發(fā)現(xiàn)漏洞。在信息安全管理方面，英國(guó)標(biāo)準(zhǔn)ISO27000已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)之一。

據(jù)了解，ISO27000管理體系認(rèn)證是以信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問(wèn)控制、加密、物理和環(huán)境安全、操作安全、通信安全、系統(tǒng)的獲取、開發(fā)和維護(hù)、供應(yīng)關(guān)系、信息安全事件管理、信息安全方面的業(yè)務(wù)持續(xù)管理等為內(nèi)容對(duì)企業(yè)信息安全管理進(jìn)行評(píng)估和持續(xù)改進(jìn)。

根據(jù) ESI Thoughtlab 發(fā)布的研究報(bào)告顯示，公司在網(wǎng)絡(luò)安全中持續(xù)增加的投入可以產(chǎn)生 179% 的超高投資回報(bào)（ROI）。因此，企業(yè)、組織通過(guò)第三方認(rèn)證建立起標(biāo)準(zhǔn)規(guī)范的信息安全管理體系，對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果建立具有針對(duì)性的規(guī)范管理，通過(guò)認(rèn)證向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性，能夠最大程度減弱發(fā)生信息安全問(wèn)題時(shí)的負(fù)面影響，減小損失。