A. 記者調查:網路平台暗藏隱私數據交易 信息安全領域亟待「掃黑」
「盡量打語音,不要發文字!」
「可以放心,咱們是長期合作,數據都是真實的。」
「**寶付款,到時發你郵箱。」
被公開售賣的隱私數據
灰色交易藏匿於貼吧、淘寶等網路平台
聯系中介賣房,隔天就有貸款公司問你需不需要借貸;每年車險快到期,就莫名其妙接到各種保險公司的推銷電話……是哪個環節出現了問題?
在網路貼吧上,一些個人隱私數據、行業數據被公開叫買叫賣。
「全國企業內部員工通訊錄,真實可測」「大眾點評商鋪數據,量大3000萬」「收影視手機數據,支持測試的來」「收微博原始數據」……
灰色數據交易藏匿於網路貼吧、淘寶、閑魚等平台。
賣家說,車險數據來自不同的平台,當天下單要第二天才能發,需要進行數據篩選,「如果單一個保險公司,搞不了那麼多,一個公司沒那麼強大。」
交談過程中,賣家提醒「盡量打語音,不要發文字」。
爬蟲是一種快速自動抓取網路公開信息的輔助工具,例如我們使用的搜索引擎都用到了爬蟲技術。
北京某 科技 公司技術總監劉剛指出,爬蟲能獲取的信息其實是有限的,且多數是公開的。但通過撞庫、誘導、群發、釣魚手段獲取大數據信息行為,已非單純的通過爬蟲技術獲取信息,應歸納到黑客、木馬程序竊取的范疇。
行業互換成監管難點
越來越多的數據泄漏發生在企業內部
事實上,隨著公民對個人信息保護意識的不斷增強,以及監管體系的不斷完善,一些灰色交易正在浮出水面。
據媒體報道,浙江省通信管理局在7月5日對投訴人的答復函中核實,2019年11月11日,阿里雲計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司,該行為違反了《中華人民共和國網路安全法》第四十二條規定。
當前對於大型企業,特別是互聯網大廠,數據安全被視為「生命線」,一旦出現數據安全事故,其後果將是難以承受的。《網路安全法》第21條明確規定了「國家實行網路安全等級保護(「等保」)制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務。」業內人士表示,一般大中型企業都會通過「等保」全面提升數據安全防護能力。
但是,「防止數據泄漏和數據合規運營是當前大多數企業面臨的難點。」360集團大數據協同安全技術國蘆閉家工程實驗室咨詢總監童磊坦言,中大型企業在完成數字化轉型過程中基本具備網路安全基礎防護能力,成熟度較高企業普遍實施傳統數據安全方案,但對於隱私數據企業則普遍沒有專門實施單獨的安全管控,部分出海企業會針對出海業務實施GDPR隱私合規方案。
「越來越多的數據陪前裂泄漏發生在企業內部。」童磊說,一方面,隨著數據價值的提升,數據全生命周期流轉往往涉及多個部門和多個系統,而相應的訪問控制與許可權管理很難兼顧安全與業務兩方面訴求,訴求差異以及統一安全運營控制的缺失往往導致數據泄漏事件的發生。
另一方面,在數據成為新型生產要素的背景下,數據載體分布廣,海量數據匯聚、流通、分析和共享,導致很多企業都不了解自己的數據,不能夠清楚地知道敏感數據的具體分布,數據資產不清晰也為數據安全管控和保護策略的實施帶來了困難。
「數據安全是相對的,很難做到絕對安全。」在劉剛看來,在一些面向C端服務的行業,如房產中介、保險金融等,基層網點多,人員流動大,而且能夠直接觸及到客戶信息。這些特點使得數據「行業互換」等違法行為更加分散、隱蔽,一些企業在監管方面的「鞭長莫及」「默不作聲」一定程度上助長了這種灰色交易。
劉剛認悔雹為,平台方應主動加強自身監管,落實內外風險管控、提升信息保護等級。另一方面,建議加大對個人泄露隱私的處罰力度。
目前,一些機構、企業也 探索 通過技術手段實現數據「可用不可見、可用不可取」。例如通過隱私計算技術,在不共享明文數據、保障數據安全和用戶隱私的前提下,實現多方數據協同,聯通數據孤島,可以有效打擊數據黑產。
數據安全頂層設計逐步到位
扎緊「數據灰產」牢籠仍需各方合力
在保護數據安全方面,即將實施的《數據安全法》規定了關鍵信息基礎設施的運營者、從事數據交易中介服務的機構、國家機關等數據處理者均負有數據安全保護的義務。第四十四條至第五十二條還詳細規定了違反相應義務時各主體應當承擔的責任。肖颯表示,這有利於在發生違規違法事件後釐清各主體的法律責任。
「作為重要生產要素,數據對經濟發展的價值需要被進一步重視。」中國電子技術標准化研究院網路安全研究中心數據安全部主任胡影認為,《數據安全法》的一大特點在於兼顧統籌數據安全與發展:一方面釐清隱私保護、數據安全鏈條中各主體的法律責任;另一方面也鼓勵數據的合法開發利用,保障數據依法自由有序流動。
隨著《網路安全法》《數據安全法》《個人信息保護法》的逐步到位,數據安全和隱私保護的監管力度正在不斷加大。業內人士認為,頂層設計正在逐步到位,但要扎緊「數據灰產」牢籠,仍需行政監管、市場約束、行業自律、 社會 監督等各方合力。
「從監管動向來看,電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業,獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國家安全。」劉剛認為,大公司所獲取的數據,往往更具有價值,加強企業對個人信息規范管理的同時,應推動建立統一的管理系統,以保證數據使用安全、合法、可追溯。
據中國信通院雲計算與大數據研究所副所長魏凱介紹,信通院已牽頭制定《數據安全治理能力評估方法》,編制發布《數據安全治理實踐指南》,推出國內首個數據安全治理能力評估(DSG評估)服務,為企業建設、度量、改進自身數據安全治理體系提供方法論和操作指南,引導企業從戰略、技術和制度等角度全面提升安全能力和合規水平。截止目前,已有20多家頭部企業積極開展貫標工作。
「對於信息安全行業而言,應該積極 探索 如何平衡地利用數據,既要保護個人隱私、保護單點數據,又要進一步放大數據價值,真正實現數據全流程安全,確保數據可用不可見、可用不可取,進而發揮更大的政企數據賦能作用。」安恆信息董事長范淵說。
(文中林峰、劉剛均為化名。實習生許願對此文亦有貢獻。)
B. 國家信息技術安全研究中心的簡介
國家信息技術安全研究中心成立於2005年,主要承擔信息技術產品/系統的安全性分析與研究;承擔國家基礎信息網路和重要信息系統的信息安全保障任務;研發具有自主知識產權的信息安全技術。中心履行國家信息安全保障和科研攻關雙重職能。
中心是國家確定的信息安全風險評估專控隊伍,是公安部指定的信息安全等級保護測評單位,是《國家網路與信息安全事件應急預案》列入的應急響應技術支撐團隊,是國家發改委、公安部和國家保密局聯合發文明確的國家電子政務工程建設項目非涉密系統信息安全專業測評機構。中心設有總體技術研究、系統安全檢測、網路滲透檢測、產品安全檢測、在線監測、可控技術研究、產品研發、信息安全發展研究、上海基地等業務實體和密碼安全分析、硬體解剖分析聯合實驗室。中心擁有一支涉及多學科、多領域實力雄厚的技術隊伍,形成了較強的科研攻關和技術服務能力。
在國家主管部門的關懷指導下,中心圓滿完成了國家下達的每年「兩會」、黨的「十七大」、北京奧運會、建國60周年慶典、上海世博會、溫總理在線訪談、廣州亞運會和深圳大運會等國家重大活動的信息安全保障任務,為國家基礎信息網路和重要信息系統及社會各界提供了數千次、多種形式的信息安全技術服務。
C. 中國網路安全中心是一家什麼性質和職能的單位
計算機安全專業委員會
專委會介紹
一、職能定位
中國計算機學會計算機安全專業委員會是根據我國信息安全領域管理決策、學術研究、技術研發和應用推廣的需要建立的群眾性學術組織,是中國計算機學會的分支機構,接受中國計算機學會的業務指導。
計算機安全專業委員會的宗旨是:遵循國家有關規定,接受國家信息安全主管部門的領導,積極參與國家信息安全的戰略政策、法律法規、標准規范的研究與制定;緊密聯系黨政軍以及重要信息網路使用單位的信息安全部門,積極推進計算機安全各項國策和制度的落實;廣泛聯系國內信息安全領域從事科研、教學、開發、生產的企事業單位,積極開展信息安全領域的學術交流、技術研究、人才培訓等活動,努力促進我國信息網路安全技術及相關產業的發展,促進我國信息安全人才的培養和提高,促進我國信息安全技術向產業化的轉化,為提高我國信息安全科學的學術技術水平做出貢獻。
二、發展歷史
計算機安全專業委員會已有二十四年的發展歷史。專委會的前身是中國電子學會計算機工程與應用分會計算機安全保密學組。1985年由公安部計算機安全監察司發起、黨、政、軍等負責信息技術的部門及其主要技術支持單位組織成立。1989年該學組正式加入中國計算機學會,更名為計算機安全專業委員會。目前,專業委員會成員已經擴展到中國信息安全領域的黨、政、軍相關機構和科研、教育、企業等的各個領域。包括單位會員57個,常務委員65人,委員近150人。目前專委會已經成為我國信息安全領域中管理、科研、應用和產業之間進行經常性交流的重要平台,在我國信息安全學術領域有著極強的凝聚力和感召力。
三、領導構成
專業委員會的歷屆領導、成員和老專家都為專業委員會的建設與發展做出了積極的貢獻。專業委員會第一任和第二任主任由原公安部計算機安全監察司總工程師繆道期和公安部網路安全保衛局局長顧建國擔任。本屆主任是中國工程院院士、北京郵電大學校長方濱興。副主任由嚴明(常務副主任、公安部第一研究所原所長、研究員)、蔣協助(中國科學院辦公廳主任)、崔書昆(解放軍保密辦公室研究員)、程琳(中國人民公安大學書記兼校長)擔任。中國工程院院士沈昌祥、戴浩為專委會特聘副主任。顧建國、繆道期擔任榮譽主任。秘書長唐前臨(公安部網路技術研發中心副主任),副秘書長樊錦華(中國科學院辦公廳處長)、宋偉航(公安部第一研究所信息安全事業部主任)、沈寒輝(公安部第三研究所信息安全研發中心主任)。
四、日常工作
專委會針對我國計算機安全的特點和難點及計算機安全技術發展的需求,開展理論研討和應用研究;組織參加國際學術交流;徵集和推薦優秀論文;探討解決技術難關的途徑和方向。
計算機安全專業委員會每年舉辦一次全國性的信息安全學術交流會。期間,邀請國內權威的信息安全專家演講,安排國內相關測評機構發表當年測評認證情況和年度業界情況的報告。每屆交流會從徵集的論文中評選出的優秀論文並進行獎勵。會後入選的論文匯集成冊,並正式出版發行。論文集收錄的論文還將收錄到中國知網資料庫。截至2009年,交流會已經召開了24次,出版論文集24卷。專委會每年還舉辦多次專題高級論壇,組織專家就當前的信息安全界的熱點問題進行研討。
計算機安全專業委員會秘書處的辦公室設在公安部第一研究所。專委會主辦的雜志《信息網路安全》,正式創刊於2001年1月,作為專委會對外宣傳的窗口全面報道專委會的各項活動。
專委會每年提出當年的行業技術發展報告,提交給我國信息安全界和政府有關部門作為決策參考。
專委會團結和凝聚了我國一大批熱心計算機安全的高層專家、管理幹部和應用領域的人士,專委會的活動努力為促進了我國計算機安全事業的發展起到積極作用。在我國緊跟以互聯網為代表的全球信息化高速發展的背景中,為了應對日益突出的各種安全問題。確保我國信息安全,中國計算機學會計算機安全專業委員會的工作任務也同樣任重而道遠。
我們將不斷拓展專委會的活動領域,繼續打開大門熱忱歡迎國內信息安全領域從事科研、教學、研發、生產的企事業單位以及投身於信息安全事業的專家學者、技術人員、管理幹部,加入計算機安全專業委員會。我們願與全國各界人士一道共同努力,繼續為促進我國信息化建設,推動我國信息安全事業的發展做出貢獻。
工作細則
第一章 總則
第一條 中國計算機學會計算機安全專業委員會(以下簡稱專委會)是根據我國信息安全領域管理決策、學術研究、技術研發和應用推廣等相關學術工作的需要而建立的信息安全專業領域的學術組織,是中國計算機學會的分支機構。
第二條 本工作細則根據《中國計算機學會章程》和《中國計算機學會專業委員會條例》的有關規定,結合專委會的具體情況制定。
第三條 專委會的中文名稱為:中國計算機學會計算機安全專業委員會;英文名稱為:Information Security Committee of China Computer Federation,其英文縮寫為ISC of CCF。專委會的辦公地點設在北京。
第四條 專委會的宗旨是:遵守國家相關法律法規,接受國家信息安全主管部門的指導,緊密聯系黨政軍機關以及國家重要信息網路使用單位的信息安全監督管理部門,廣泛聯絡和組織國內從事信息安全領域的科研、教學、開發、生產、服務等事業企業單位及院校,積極開展信息安全專業的學術交流、技術研究、人才培訓等活動;促進我國信息網路安全技術及相關產業的發展;促進我國信息安全人才的培養;推進我國信息安全科學技術的產業化進程;為提高我國信息安全科學技術做出貢獻。
第二章 工作范圍
第五條 專委會的工作范圍包括:
(一) 組織開展有關本專業的學術活動,活躍學術思想,跟蹤世界先進技術的動態,推動我國信息安全界交流合作並積極開展與國外同行的學術交流。同時,注重與其他相關學科的學術交流。
(二) 定期主辦我國信息安全的學術大會,適時舉辦各種形式和規模的信息安全學術技術、相關政策等的交流研討會議,不斷促進信息安全學科的學術技術和理論發展。
(三) 致力於提高我國信息安全技術水平,趕超國際技術發展步伐。遵循有關規定積極參與和支持包括計算機學會、專委會成員單位及我國信息安全的界的多種形式的活動,宣傳信息安全的有關科技知識和國家法律法規,推廣信息安全新技術新成果,推進本專業科技成果的產品化和產業化。
(四) 接受國家信息安全政府主管部門的指導,應邀撰寫和提交我國有關信息安全科學技術發展的專業性報告,向我國信息網路使用單位提供信息安全政策、安全法規、安全檢測、技術規范等各方面的咨詢服務。
(五) 接受國家、政府和企事業單位委託,組織本專業專家對信息安全保護技術、方法、產品進行評估,提供咨詢意見。開展信息安全培訓。
(六) 與國外相關的學術組織和社會團體建立聯系、組織學術交流,學習跟蹤國際信息安全新成果。
第三章 組織機構
第六條 專委會由加入本專委會的中國計算機學會會員組成。專委會的決策機構是常務委員會,常務委員會設主任一名、副主任若干名,根據工作需要,可以設常務副主任一名。副主任人數原則上按專委會委員人數的10%設定,常務委員人數根據委員人數和專委會單位常務委員的申請情況,由秘書處提出建議,經主任辦公會議研究後確定。個人常委由專委會全體委員大會按照《中國計算機學會專業委員會條例》規定的程序選舉產生。主任、副主任由委員大會選舉產生,聘書由中國計算機學會頒發,任期按計算機學會規定執行。
根據專委會的專業特點和信息安全工作的特殊情況,可以在專委會成員中特聘本專業院士或者資深專家學者擔任特聘副主任,其聘書由專委會頒發,任期與該屆專委會同期。
往屆曾擔任專委會領導職務的資深專家和領導卸任後,可由主任辦公會議提出建議,經常務委員會討論通過,授予專委會的榮譽主任等榮譽稱號,繼續邀請其參加專委會的各項活動。其期限與該屆專委會同期。
第七條 專委會常務委員會議的職責是:
(一) 審議頒布專委會工作細則與各項規定;
(二) 研究確定專委會的工作方針和計劃;
(三) 審議專委會各項工作報告;
(四) 討論專委會的其他重要事項並做出決議;
(五) 審查、批准增補專委會常務委員事宜。
第八條 常務委員會議一般由秘書處提出,經主任辦公會議研究決定召開。常委也可以通過秘書處或直接向主任辦公會議建議召開常委會直至提請臨時召開常委會。
第九條 常務委員會換屆選舉與專委會領導換屆選舉同期舉行。屆內可根據情況由主任辦公會決定增補。相關細則另行制定。
第十條 主任、副主任、常務委員的職責是:
(一) 主任主持主任辦公會議和常務委員會議,審定批准重大決定和代表專委會出面協調處理各項對外工作。根據換屆大會醞釀意見,提名一名副主任擔任常務副主任協助其工作;
(二) 副主任參加主任辦公會議和常務委員會議,參與提出與研究決定主任委員會議和常務委員會議的各項決議;
(三) 常務副主任協助主任召集主任辦公會議和常務委員會議,主持專業委員會的日常工作;
(四) 常務委員參加常務委員會議,參與提出與研究決定常務委員會議的各項決議;貫徹、執行學會及專委會的決議;提出需要專委會討論的議案和工作計劃;向主任辦公會提出調整、增補常務委員及副主任委員的建議;提出召開常務委員會的建議。
第十一條 專委會秘書處是專委會的日常辦事機構。秘書處設秘書長一名、副秘書長和秘書若干名,秘書長由主任提名,專委會全體會議選舉產生,主持秘書處工作。副秘書長由主任提名,主任辦公會議討論通過後聘任,協助秘書長工作。
第十二條 專委會秘書處的主要職責是:
(一) 組織完成專委會內各項工作;
(二) 代表專委會與政府業務主管部門、上級學會和其他相關社會團體進行業務聯系; (三) 根據常務委員會或主任委員的決定,組織專委會成員完成學術交流、調研、評審評選、咨詢等工作任務; (四) 根據國家和專委會有關規定負責專委會的財務收支和協調管理工作,向專委會全體委員會議報告專委會年度財務狀況。具體管理辦法另定。
第十三條 根據學科的發展需要,經常務委員會研究決定,專委會可在限定時間段內組織針對特定課題的學術專業學組。有關管理辦法另行制定。
第十四條 根據專委會的特點和工作需要確定專委會的掛靠單位。掛靠單位應向專委會提供必要的人力、物力和財力的支持,專委會也根據有關規定尊重和支持掛靠單位的有關工作。
第四章 委員及單位委員的權利義務
第十五條 符合以下條件的個人,均可以申請成為專委會的委員:
(一) 具有中國國籍、享有公民政治權利;
(二) 在信息安全的專業領域從事管理、科研、教學、開發、生產、工程和技術服務等工作;
(三) 具有計算機專業教育培訓經歷或相關專業的職務、技術職稱;
(四) 同意並遵守中國計算機學會章程以及專委會工作細則;
(五) 書面申請加入中國計算機學會及本專業委員會,積極參加學會活動,支持學會工作。
第十六條 委員享有下列權利:
(一) 應邀參加專委會的各項活動;
(二) 有選舉權、被選舉權和表決權;
(三) 有對專委會工作的批評建議權和監督權;
(四) 優先享受專委會提供的各種信息資料;
(五) 有退出專委會的權利。
第十七條 委員須履行下列義務:
(一) 積極參加專委會組織的活動,完成專委會委託的工作;
(二) 遵守專委會工作條例,執行專委會決議,維護專委會的聲譽和權益;
(三) 按規定交納中國計算機學會會費和專委會有關費用;
(四) 一年不參加專委會任何活動或一年未按規定交納計算機學會會費視為自動退出。
第十八條 在中國境內注冊,在我國信息安全領域從事管理、教學、研發、生產、應用或服務的非外資企業事業單位,書面提出加入專委會的申請並承諾履行以下義務,可提名其單位一名同志作為該單位的常務委員候選人:
(一) 在其單位內部發展5名以上專委會委員;
(二) 每年交納專委會單位常務委員規定費用。
第十九條 符合第十六條所述條件的單位享有以下權益:
(一) 擁有專委會年會或高級論壇的項目建議和申辦權;
(二) 單位常務委員參加專委會年會時,免交年會會議費;
(三) 專委會為單位常務委員繳納中國計算機學會會費;
(四) 單位常務委員所在單位,可以根據工作需要和人員變動情況向專委會提出申請,更換其推薦的單位常務委員。
第二十條 所有委員可以以個人名義推薦(包括自薦)個人常務委員提名人選。由一定比例委員附議(包括同時提名),被提名人納入候選人名單,經全體委員大會選舉通過成為常務委員。專委會正副主任、正副秘書長為當然的常務委員,計入常務委員會人數。
第二十一條 在信息安全領域具有較高學術造詣、擔任專委會職務超過8年、且身體健康的委員,由本人申請和兩名以上常務委員推薦,經主任辦公會議批准,可授予專委會資深委員榮譽稱號。無論其是否繼續參加中國計算機學會,都可以繼續邀請其參加專委會活動。
第五章 會費、經費及管理
第二十二條 為保證專委會開展學術活動的經費支持,設立專委會活動基金。專委會遵循國家有關非營利性組織管理規定管理專委會活動基金等財政收支。其來源和管理規定按照本細則規定執行。
第二十三條 除常委單位推薦的常務委員以外,其他委員每年應按《中國計算機學會章程》的規定繳納學會會費(200元)。常務委員的會費由專委會繳納。秘書處負責催繳和協助辦理。
第二十四條 專委會活動基金等經費來源主要是:
(一) 單位常務委員所在單位繳納的活動基金;
(二) 政府部門的資助和企業、團體、個人的贊助;
(三) 從事相關技術服務所得;
(四) 其他收入。
第二十五條 專委會的經費主要用於專委會主辦的各項學術活動,內部資料的印刷、發放,專委會日常對外聯絡支出等。秘書處日常辦公費用主要由掛靠單位承擔。秘書長、副秘書長及其他工作人員工資福利等費用由各自所在單位承擔。
第二十六條 專委會經費由秘書處管理,常務副主任負責審批監管。秘書處負責起草制定專委會財務管理細則,經常務委員會討論通過後執行。經費使用的審批,記錄及審核管理等須符合國家有關管理規定,並按照專委會財務管理細則執行,並接受審計部門的審計監督。秘書處每年向常務委員會報告專委會活動基金等各項經費的使用和結余等情況。
第六章 附則
第二十七條 本工作條例經秘書處廣泛徵求委員意見進行修改後提交專委會常務委員會議討論,獲三分之二以上常委通過後生效。
第二十八條 本工作條例由專委會秘書處負責解釋。
D. 國家計算機網路安全中心
國家計算機網路與信息安全管理中心,是中央編辦批準的國家事業單位。只能透露這么多了
E. 國家信息安全工程技術研究中心工程中心-概況
國家信息安全工程技術研究中心,其歷史可追溯至2001年10月,起源於上海信息安全工程技術研究中心。此研究中心是由中國科技部直接領導,其設立得到了國家密碼管理局、國家保密局、公安部、國家安全局、工業和信息化部以及上海市科委的聯合指導。其主要職能集中在信息安全工程技術的研究與系統集成上,致力於為國家的信息安全提供先進的技術支持和解決方案。
該研究中心自成立以來,始終專注於信息安全領域的核心技術和應用研究,通過不斷的技術創新和集成,為保障國家網路空間的安全穩定發揮著重要作用。它的存在旨在提升國家在信息安全領域的技術實力,防範和應對日益嚴峻的網路安全威脅,為社會的數字化進程提供堅實的保障。
作為國家層面的重要科研機構,國家信息安全工程技術研究中心在國家信息安全戰略中佔有重要地位,其研究成果和技術能力對於維護國家信息安全具有不可替代的價值。它的工作成果和努力,對於提升我國在全球信息安全競爭中的地位具有深遠影響。