每經(jīng)記者 朱成祥 每經(jīng)編輯 梁梟 程鵬
你能想象嗎���?未來你可以生活在一個數(shù)字化的虛擬世界里社交、娛樂�、創(chuàng)作、交易等等�����。這是8月上映的電影《失控玩家》結(jié)尾所展示的景象��,也是近期火熱的概念“元宇宙”理想的狀態(tài)�����。
元宇宙(Metaverse)一詞來源于作家Neal Stephenson的科幻小說《雪崩》,描述了一個人們以虛擬形象在三維空間中與各種軟件進行交互的世界�。簡而言之,元宇宙是一個平行于現(xiàn)實世界運行的人造虛擬空間��。在這個空間里���,用戶擁有自己的虛擬身份和數(shù)字資產(chǎn)�,可以在虛擬世界里盡情互動�����,從事生產(chǎn)經(jīng)營活動并創(chuàng)造價值��。
可是�����,元宇宙也面臨一項重大挑戰(zhàn)�����,即數(shù)據(jù)的安全性��。假如你的元宇宙賬戶被盜了���,是否等于你的“數(shù)字分身”在虛擬世界消失了呢���?或者,被他人占據(jù)�����?
據(jù)了解��,要建設(shè)數(shù)據(jù)安全治理體系��,就是要形成以數(shù)據(jù)全生命周期為核心的全方位治理��,包括數(shù)據(jù)采集��、數(shù)據(jù)傳輸����、數(shù)據(jù)存儲、數(shù)據(jù)處理�����、數(shù)據(jù)交換和數(shù)據(jù)銷毀����。
元宇宙的數(shù)據(jù) 安全難題:賬戶被盜怎么辦����?
元宇宙的雛形是網(wǎng)絡(luò)游戲��,但目前市場上并沒有一款游戲能完全達到理想的元宇宙狀態(tài)���。Roblox是目前市面上元宇宙成熟度最高的游戲��,被視為元宇宙的雛形���。而Roblox公司,也被視為元宇宙第一股�����。
?
“我在網(wǎng)吧玩《穿越火線》忘記下線了�,結(jié)果發(fā)現(xiàn)賬號里面的裝備就被(他人)清空了?!庇螒蛲婕倚↑S告訴《每日經(jīng)濟新聞》記者。另一位游戲玩家小嘉也表示經(jīng)歷了被盜號�,其表示:“我主要在Steam平臺玩‘吃雞’(即《絕地求生》),但不知道什么原因賬號就被盜走����,至今也沒有找回,‘吃雞’也玩不成���,幸虧沒有特別值錢的裝備�?���!?/span>
?
普通網(wǎng)絡(luò)游戲面臨盜號風(fēng)險,被視為元宇宙雛形的Roblox同樣如此��。多位B站UP主就發(fā)視頻表示自己的Roblox賬號被盜了����,在一位UP主的視頻下面就有評論稱“UP主綁定郵箱了嗎?如果沒有����,你這個號就廢了”。
?
要知道��,元宇宙的理想狀態(tài)要比游戲復(fù)雜得多�。根據(jù)頭豹研究院研報,元宇宙與現(xiàn)實世界相互關(guān)聯(lián)�,用戶在元宇宙擁有虛擬身份����,用以建造虛擬世界的社會關(guān)系����。值得注意的是,元宇宙還通過數(shù)字創(chuàng)造����、數(shù)字資產(chǎn)、數(shù)字市場和數(shù)字貨幣支撐起整個經(jīng)濟體系���,由此滿足元宇宙用戶的數(shù)字消費需求����。
?
在元宇宙中���,人們進行“數(shù)字創(chuàng)造”�,產(chǎn)出數(shù)字化產(chǎn)品����,并作為可供交易的商品。以短視頻APP為例�����,用戶拍攝短視頻進行素材創(chuàng)造,拍攝好的短視頻也視為用戶的資產(chǎn)�,也可作為數(shù)字化商品賣給平臺或其他用戶。 一旦賬號被盜�,人們在元宇宙的“數(shù)字分身”就被他人替代 ����,賬戶里的數(shù)字資產(chǎn)也也面臨被盜風(fēng)險。 可以看出���,數(shù)據(jù)安全是元宇宙發(fā)展與繁榮的重要前提����。 現(xiàn)實 中 亦是如此 �, 如果 比特幣的 秘鑰 被人 盜走,可能 就 意味著 傾家蕩 產(chǎn) �����。
企業(yè)數(shù)據(jù)安全要不要自己做����?專家解讀
事實上���,隨著5G、大數(shù)據(jù)����、云計算的蓬勃發(fā)展,數(shù)據(jù)安全的重要性逐漸被政府�����、企業(yè)所認(rèn)知���。近年來���,政府、企業(yè)加速數(shù)字化轉(zhuǎn)型�����,越來越多的企業(yè)選擇居家遠程辦公�����,越來越多地使用基于云上的技術(shù)。
然而�����,數(shù)字化進程的加速����,也令企業(yè)面臨更加復(fù)雜多樣的網(wǎng)絡(luò)安全、數(shù)據(jù)安全風(fēng)險�。同時,網(wǎng)絡(luò)安全�、數(shù)據(jù)安全建設(shè)落后于企業(yè)技術(shù)轉(zhuǎn)型�,有企業(yè)也付出了沉重的代價。很多企業(yè)由于疏漏或行動緊迫性而未將網(wǎng)絡(luò)安全�����、數(shù)字安全納入決策流程���,導(dǎo)致新的漏洞進入了快速變化的環(huán)境��,并持續(xù)威脅當(dāng)下的企業(yè)��。
2021年����,《數(shù)據(jù)安全法》《個人信息保護法》適時而出,信息安全從“互聯(lián)網(wǎng)大蠻荒時代”��、“網(wǎng)安法時代”走向“大合規(guī)時代”����。咨詢機構(gòu)安永認(rèn)為,“互聯(lián)網(wǎng)大蠻荒時代”缺乏個人信息保護機制�����,個人信息保護工作基本等同于寫一份隱私協(xié)議�;而“網(wǎng)安法時代”為打補丁式合規(guī);而“大合規(guī)時代”是將個人信息保護與數(shù)據(jù)安全融入企業(yè)文化���、業(yè)務(wù)���,視數(shù)據(jù)合規(guī)為企業(yè)競爭力,全面進行自上而下的治理�。
信息安全立法和執(zhí)法趨勢加速也給組織帶來了諸多挑戰(zhàn)。安永認(rèn)為�,政府、企業(yè)���、金融機構(gòu)將面臨更密集的監(jiān)管�����、更高的舉證責(zé)任����、更高的違法成本等難題。
而在安恒信息首席科學(xué)家劉博看來��,兩部法律的出臺更是機會����,其認(rèn)為:“ 正是有了這些法律,才給政府�����、企業(yè)劃清了法律邊界��,即哪些數(shù)據(jù)是可以對外開放�,可以共享�、使用的。比如大數(shù)據(jù)交易中心����,沒有這兩部法律的支持��,大數(shù)據(jù)交易中心的業(yè)務(wù)是很難開展的�����。 ”
另外���,在數(shù)據(jù)安全領(lǐng)域,有些公司依靠公司內(nèi)部的數(shù)據(jù)安全團隊��,有些公司依靠專業(yè)的數(shù)據(jù)安全公司���。對此���,劉博舉例稱:“ 我一位朋友之前在 某 頭部 互聯(lián)網(wǎng) 公司 做數(shù)據(jù)安全、網(wǎng)絡(luò)安全����,推行各個項目都比較順,但來到另一家規(guī)模較小的企業(yè)后��, 在 進行 數(shù)據(jù)安全 建設(shè) 時�����, 就 會 受制于 公司 業(yè)務(wù) 方向, 安全 會 給 業(yè)務(wù) 讓路 �����, 推行各項改革就比較吃力��。 因此建議一些大型企 業(yè)���、管理組織架構(gòu)比較完善的企業(yè)��,可以 選擇與 專業(yè) 的 數(shù)據(jù)安全 公司 合作�����, 共同 建設(shè)數(shù)據(jù) 安全能力 �����; 而對于一些中小公司,以及數(shù)據(jù)安全組織 不完善 的大型公司����,可以依靠像安恒信息這樣的專業(yè)第三方公司���,提升自身的數(shù)據(jù)安全防護水平。 ”
“對于政府而言�,肯定是通過第三方數(shù)據(jù)安全公司去做,然后由政府來把控�����。以大數(shù)據(jù)局為例����,他們需要考慮清楚要在哪些方面需要做數(shù)據(jù)安全,但具體落地層面還需要第三方數(shù)據(jù)安全公司來服務(wù)�����?�!眲⒉┭a充表示��。
數(shù)據(jù)全生命周期安全:隱私計算或成千億藍海
數(shù)據(jù)安全的重要性越來越強��,那么����,如何來保護政府���、企業(yè)的數(shù)據(jù)安全呢?據(jù)了解���,建設(shè)數(shù)據(jù)安全治理體系�����,就是要形成以數(shù)據(jù)全生命周期為核心的全方位治理�,包括數(shù)據(jù)采集����、數(shù)據(jù)傳輸、數(shù)據(jù)存儲�、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀��。
?
這六個環(huán)節(jié)中�����,哪些環(huán)節(jié)較為重要呢����?劉博表示:“針對數(shù)據(jù)全生命周期防護,很難講哪個環(huán)節(jié)最重要��,首先要區(qū)分?jǐn)?shù)據(jù)是企業(yè)���、單位自己使用�����,還是供外部使用�����。 以數(shù)據(jù)交換為例�,大數(shù)據(jù)局跟各個政府單位之間進行數(shù)據(jù)共享方面�����, 更多 考慮 的 是 數(shù)據(jù) 全生命周期 安全 防護 �����。 而 當(dāng) 大數(shù)據(jù)局把數(shù)據(jù)開放給企業(yè)�����,則 在 數(shù)據(jù)安全 防護的 基礎(chǔ) 上, 需要 進一步 增強隱私保護�����,謹(jǐn)防企業(yè) 獲取 隱私���、 敏感 數(shù)據(jù) ����。 ”
對于政企的數(shù)據(jù)全生命周期安全能力建設(shè)����,劉博表示,傳統(tǒng)“煙囪式���、圍欄式”安全防護方式已經(jīng)無法適應(yīng)新時代數(shù)據(jù)安全需要�����,面臨安全的新態(tài)勢����、新要求?��!耙欢ㄒw系化��、平臺化、智能化”�����,通過智能化管理平臺���,在技術(shù)層面實現(xiàn)對風(fēng)險核查(Check)能力�、數(shù)據(jù)梳理(Assort)能力���、數(shù)據(jù)保護(Protect)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警(Examine)能力四大核心能力的建設(shè)����,在業(yè)務(wù)層面���,實現(xiàn)對數(shù)據(jù)采集���、傳輸、存儲、處理�����、交換��、銷毀全生命周期的管理��。建議企業(yè)著眼于數(shù)據(jù)管理的整個生命周期���,將關(guān)注點從數(shù)據(jù)安全本身擴展到企業(yè)整體信息安全框架��。
劉博強調(diào)了數(shù)據(jù)安全中的隱私保護�。開源證券也高度看好隱私計算市場�����,其認(rèn)為伴隨著數(shù)據(jù)要素市場改革加速���,隱私計算技術(shù)成為數(shù)據(jù)價值安全釋放的關(guān)鍵突破口�,有望在金融�����、政務(wù)、醫(yī)療等行業(yè)實現(xiàn)快速應(yīng)用�,其千億藍海市場有望開啟。
?
根據(jù)Gartner數(shù)據(jù)����,到2023年,隱私驅(qū)動的數(shù)據(jù)保護和合規(guī)技術(shù)支出將在全球突破150億美元以上�����,即達到千億人民幣以上����。
?
安恒信息引入“數(shù)據(jù)安全島”�,幫助客戶激活數(shù)據(jù)價值,實現(xiàn)原始數(shù)據(jù)不出本地�,交換計算結(jié)果,從而讓流動的數(shù)據(jù)成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的新動能���。據(jù)了解�, “數(shù)據(jù)安全島”提供安全計算沙箱���、安全多方計算����、區(qū)塊鏈、聯(lián)邦學(xué)習(xí)等技術(shù)��,解決數(shù)據(jù)共享過程中的安全��、信任和隱私保護難題����。
開源證券認(rèn)為,考慮到近期數(shù)據(jù)安全領(lǐng)域政策密集發(fā)布�,相關(guān)需求有望快速增長,“數(shù)據(jù)安全島”產(chǎn)品的未來表現(xiàn)值得期待�����。
?
安恒信息數(shù)據(jù)安全島產(chǎn)品總監(jiān)陶立峰則講述了“數(shù)據(jù)安全島”的具體應(yīng)用:“某市教育局需 要使用公安局提供的關(guān)于學(xué)生戶籍���、學(xué)區(qū)等個人資料����,尤其是流動人口的資料����,用于判定學(xué)生是否具備入學(xué)資格����。該項目由大數(shù)據(jù)局協(xié)同���,數(shù)據(jù)安全島提供模型算法和分析��。涵蓋約600萬的人口數(shù)據(jù)���,瞬時并發(fā)量達到6萬/s?��!?/span>
關(guān)于數(shù)據(jù)采集,安永大中華區(qū)網(wǎng)絡(luò)安全與隱私保護咨詢服務(wù)合伙人蘭瑜對《每日經(jīng)濟新聞》記者表示:“兩部法律特別對個人信息的數(shù)據(jù)采集有了一定的限制���,它提出一些原則性的要求��,比如最小化采集���。因此,很多企業(yè)需要在這方面進行調(diào)整����?�!?/span>
?
另外�,關(guān)于數(shù)據(jù)刪除����,蘭瑜表示:“《個人信息保護法》特別提出,消費者有權(quán)限要求相關(guān)企業(yè)提供渠道刪除其在該企業(yè)內(nèi)部的個人信息���,這塊是據(jù)說所知各個企業(yè)面臨的最大調(diào)整�。因為這個權(quán)利是今年剛剛提出的新概念�����,很多企業(yè)需要提供相應(yīng)的技術(shù)手段�����,能夠在適當(dāng)?shù)姆秶鷥?nèi)滿足個人對個人信息刪除權(quán)的使用��?���!?/span>
?
關(guān)于數(shù)據(jù)刪除,劉博又以杭州野生動物世界一案舉例����。據(jù)錢江晚報等多家媒體此前報道���,2019年4月27日,法學(xué)博士郭兵購買了一張杭州野生動物世界年卡�,費用是1360元,需驗證年卡及指紋入園��,可在該年度不限次數(shù)暢游��,后來杭州野生動物世界又要求通過人臉識別入園����。由于郭兵對人臉識別無法接受,因為提起訴訟��,最后法院判決��,杭州野生動物世界刪除郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息�����。
?
我國“十四五”規(guī)劃�����、“新基建”等政策將持續(xù)深入推進數(shù)據(jù)要素安全管控和市場化����,提升社會數(shù)據(jù)資源價值,相信隨著《數(shù)據(jù)安全法》《個人信息保護法》等法律的出臺�、落地實施,數(shù)據(jù)資源將會迸發(fā)出更強的活力����。數(shù)據(jù)安全在未來仍將是一個重大挑戰(zhàn),人工智能�����、機器學(xué)習(xí)和零信任等技術(shù)的創(chuàng)造性應(yīng)用將幫助政企保護數(shù)據(jù)��,以及確保組織和個人數(shù)據(jù)合規(guī)����,助力國家數(shù)據(jù)安全戰(zhàn)略落地實施。
行業(yè)數(shù)據(jù)概覽
據(jù)統(tǒng)計�,8月境內(nèi)計算機惡意程序傳播次數(shù)達到2.5億次之多,較7月2.2億次增長15.37%�,而境內(nèi)感染計算機惡意程序主機數(shù)量,第3周49.7萬較第2周26.4萬上漲88.26%����,漲幅巨大�����,在第4周達到高峰53.4萬���。8月,境內(nèi)計算機惡意程序傳播次數(shù)上漲,我們需要提高警惕��,加強安全防護��,惡意程序會損壞文件����、造成系統(tǒng)異常、竊取數(shù)據(jù)等對計算機傷害較大�。
?
從境內(nèi)被篡改網(wǎng)站總數(shù)來看,第3周達到高峰(4964個)���,總計12636個。雖然被篡改網(wǎng)站總數(shù)較7月上漲27.87%����,但是其中政府類網(wǎng)站數(shù)量較7月反而有所減少�,可見政府類網(wǎng)站的防護做得很好�。
?
從仿冒網(wǎng)站數(shù)量看,第3周達到高峰�����,第4周驟然下降��,與全國開展反詐工作息息相關(guān)��。從新增漏洞數(shù)量看出��,8月第2周和第3周微漲����,總體處于平穩(wěn)態(tài)勢。針對安全漏洞問題����,用戶一定要在正規(guī)途徑下載應(yīng)用,并即時更新�。
?
8月Android部分勒索病毒監(jiān)測顯示,大部分勒索病毒為工具類APP�����,包括游戲外掛類、紅包點贊類等�����,安裝工具類APP一定要在正規(guī)下載渠道下載��。
安全漏洞對A股上市公司影響分析:
22.75%的上市公司受到數(shù)據(jù)庫漏洞影響
本次安恒信息對4115家A股上市公司進行了CVE安全漏洞影響分析���,其中167家A股上市公司受到共175個CVE安全漏洞影響��,面臨著網(wǎng)絡(luò)安全風(fēng)險���,占比3.78%。
截至2021年8月~9月的統(tǒng)計結(jié)果顯示��,A股上市公司累計受到CVE安全漏洞影響的行業(yè)分布中�����,占比最高的5個行業(yè)分別是工業(yè)(25.15%)�、信息技術(shù)(19.16%)、可選消費(16.77%)��、材料(14.37%)��、醫(yī)療保?。?.00%)。據(jù)2021年8月~9月統(tǒng)計����,如下20個CVE安全漏洞對企業(yè)影響最大:
其中15個漏洞為2016年到2019年提交的,并且較多為2017年提交的漏洞�,其中涉及數(shù)據(jù)庫的漏洞較多,表明相關(guān)上市公司安全意識與對漏洞的重視有待提高��。
據(jù) 2021年 8 月~ 9 月統(tǒng)計����,受 CVE影響的 167 家上市公司,分布集中在華東�����、華北���、華南及大部分省域中心城市���,可見 CVE的分布與我國的信息化發(fā)展水平聯(lián)系較為緊密���。 其中CVE影響數(shù)量最多的5個省份(自治區(qū)、直轄市)為北京���、浙江����、廣東�����、上海���、四川���,這也是數(shù)字化轉(zhuǎn)型較為典型的地區(qū)。
在受到CVE影響的167家上市公司中��,有38家受到數(shù)據(jù)庫相關(guān)的漏洞共影響1531次�,占比22.75%。其中99.5%的數(shù)據(jù)庫漏洞均來自MySql和Oracle.其中數(shù)據(jù)庫漏洞CVE影響數(shù)量最多的5個行業(yè)分別為工業(yè)(30.43%),信息技術(shù)(21.74%)����,可選消費(15.22%)�����,醫(yī)療保?��。?0.87%)�,材料及房地產(chǎn)行業(yè)(8.70%)。工業(yè)行業(yè)已經(jīng)連續(xù)3個月以上成為我國CVE漏洞影響的重災(zāi)區(qū)�,無論是應(yīng)用漏洞還是數(shù)據(jù)庫漏洞影響,均排在第一��。
分析結(jié)果顯示���,上市公司仍是數(shù)據(jù)安全的“重災(zāi)區(qū)”�����,且存在大量早在2017年就提交的漏洞���。隨著《數(shù)據(jù)安全法》施行,相信數(shù)據(jù)安全漏洞的影響將會持續(xù)降低����。
在此背景下�����,每日經(jīng)濟新聞聯(lián)合網(wǎng)絡(luò)信息安全領(lǐng)域上市公司安恒信息(688023����,SH)���,采用國家互聯(lián)網(wǎng)應(yīng)急中心權(quán)威數(shù)據(jù)����,結(jié)合最新的安全形勢�,收集剖析國內(nèi)外網(wǎng)絡(luò)安全信息數(shù)據(jù),每月發(fā)布網(wǎng)絡(luò)信息安全月報�����。這是業(yè)內(nèi)第一份涵蓋所有A股上市公司的網(wǎng)絡(luò)信息安全報告�����,旨在借助專業(yè)解析�,讓企業(yè)、民眾進一步認(rèn)識網(wǎng)絡(luò)攻擊行為����,更好地保護自身隱私和數(shù)據(jù)資產(chǎn)���。
此份網(wǎng)絡(luò)信息安全月報主要包括行業(yè)重點資訊、行業(yè)安全數(shù)據(jù)概覽以及上市公司安全動態(tài)��。重點關(guān)注勒索病毒等對企業(yè)��、個人的安全威脅�,并提供應(yīng)對之法��。
掃描二維碼或點擊「閱讀原文」檢測您的企業(yè)數(shù)據(jù)安全風(fēng)險系數(shù) :
記者| 朱成祥
?編輯|梁梟?程鵬?王嘉琦
視頻編輯|鄭得銳
校對| 孫志成
每日經(jīng)濟新聞綜合裁判文書網(wǎng)��、中國證券報���、公開資料等
