國家電網(wǎng)個人信息被泄露 警示大數(shù)據(jù)時代企業(yè)管理
發(fā)布時間:2016-12-20 來源:中國企業(yè)報(北京)
?
近日�����,關(guān)于國家電網(wǎng)被爆泄露千萬用戶信息的消息傳來�,令人震驚。無獨有偶����,爆發(fā)在“雙十二”之前的京東“泄密門”使得數(shù)據(jù)安全問題再一次進入大眾視線。盡管事后兩家公司都發(fā)出聲明����,澄清了事件的原委,但是信息安全帶來的隱患不容忽視����。
數(shù)據(jù)泄露為何發(fā)生
隨著國家電網(wǎng)本身對電e寶推廣力度的加強,地方供電所在推廣和普及APP的過程中可能“兵行險招”��。
電e寶上線后���,確實經(jīng)歷了一波強勢推廣����。11月28日����,在新沂市南京路金三角商業(yè)街,有當?shù)毓╇娝ㄟ^開展專項宣傳桌、條幅��、展板等來吸引人群�。西平縣供電所開展以點到面、向外輻射的推廣策略����,首先推動自有員工接受,再推薦給好友或者分享朋友圈��。
當?shù)胤焦╇娋趾凸╇娝茝V電e寶如火如荼的時候��,也就不難理解淘寶上代辦服務(wù)的出現(xiàn)����。通過對地方供電所提供的信息��,對電e寶進行注冊辦理��,一邊掙著錢�,一邊就把信息給收集了。而信息監(jiān)管的缺乏�,沒有人可以知道數(shù)據(jù)的流出和使用,這使得電網(wǎng)用戶的信息安全受到了極大的危害����。
北京交通大學(xué)絲路中心大數(shù)據(jù)產(chǎn)業(yè)院院長梅一多在接受采訪時表示:“這是一個典型的第三方導(dǎo)致的數(shù)據(jù)泄露事件��。是和大型企業(yè)有合作關(guān)系的中小微企業(yè)導(dǎo)致的數(shù)據(jù)泄露���。因為無法明確在信息記錄的后臺,有誰記錄了信息���,下載了數(shù)據(jù)��。從收集到生產(chǎn)�����、分析��、發(fā)布等各個環(huán)節(jié)都沒有數(shù)據(jù)隱私保護����?���!?/p>
設(shè)立安全標準
記者多次聯(lián)系國電網(wǎng),國電網(wǎng)表示:在多次查證后�����,并不存在推廣掌上電力和電e寶APP過程中存在泄露客戶信息的情況,并且已經(jīng)向淘寶進行舉報�����。記者通過查詢淘寶之后發(fā)現(xiàn)��,一些提供掌上電力登錄��、綁定服務(wù)的商家已經(jīng)全部下架���。
我們發(fā)現(xiàn)����,大數(shù)據(jù)時代下的信息安全����,有些并非是“剛性”泄露���,恰恰是企業(yè)在推行戰(zhàn)略過程中��,好心辦了壞事���。
易觀大數(shù)據(jù)高級分析師林仕榮在接受《中國企業(yè)報》記者采訪時表示了幾點意見:“一���、國家需要通過對企業(yè)的云計算服務(wù)和大數(shù)據(jù)安全設(shè)立標準,這樣才能從根源上促進企業(yè)的重視����。二、相關(guān)部門可以考慮提升數(shù)據(jù)審計以及監(jiān)管力度����,對企業(yè)進行包括安全漏洞和數(shù)據(jù)泄露風(fēng)險的合規(guī)性檢查,不符合規(guī)定的可以下令責(zé)改���。三�����、企業(yè)作為大數(shù)據(jù)信息的所有方��,有保障數(shù)據(jù)安全不可推卸的責(zé)任��。通過云服務(wù)廠商提供的安全保障措施�,企業(yè)通過透明加密技術(shù)對數(shù)據(jù)進行加密���,這樣的做法使數(shù)據(jù)以密文的形式存儲在云端����,防止網(wǎng)絡(luò)攻擊的危害?�!?/p>
需求推動利益的產(chǎn)生����,利益往往衍生出行業(yè)的不規(guī)范。特別是對于大數(shù)據(jù)安全來說����,良性需求的創(chuàng)造和推動卻延伸出了信息安全的漏洞,著實令人遺憾��。首席數(shù)據(jù)官聯(lián)盟發(fā)起人劉冬冬表示:“制定企業(yè)�����、行業(yè)法則��,技術(shù)上不是問題����,但需要用規(guī)則管理技術(shù)及運維的人,在事情可能發(fā)生之前就應(yīng)該先制定規(guī)則技術(shù)��?����!?/p>
觀韜中茂律師事務(wù)所合伙人王渝偉在接受采訪時表示:“對于像淘寶����、京東這類的線上平臺,應(yīng)當從對個人數(shù)據(jù)信息的收集�����、使用���、處理���、轉(zhuǎn)移等方面來管理約束平臺的行為,同時完善個人用戶對于數(shù)據(jù)信息的刪除���、更正權(quán)來保障個人權(quán)益���?!毒W(wǎng)絡(luò)安全法》對于以上行為以及權(quán)利實際上都已經(jīng)有比較明確的規(guī)定�,加強這方面的執(zhí)法力度應(yīng)該能夠有效地減少大數(shù)據(jù)環(huán)境下數(shù)據(jù)信息的泄露?!?/p>
加強立法和監(jiān)管
大數(shù)據(jù)資深分析師任偉巍在接受《中國企業(yè)報》記者采訪時從技術(shù)層面表示:“加強數(shù)據(jù)安全,一方面要加強立法���、監(jiān)管以及對大數(shù)據(jù)犯罪的處罰力度�����,要對大數(shù)據(jù)犯罪形成強有力的威懾���。另一方面,要推動大數(shù)據(jù)的市場運作機制��,因為用戶數(shù)據(jù)不但決定市場化企業(yè)的收益���、市場地位�,更決定其潛在的經(jīng)營風(fēng)險�����。加強數(shù)據(jù)安全還要依靠技術(shù)手段��,應(yīng)盡早制定我國自主的數(shù)據(jù)傳輸標準����、接口、物聯(lián)網(wǎng)操作系統(tǒng)�����,避免數(shù)據(jù)安全受制于國外機構(gòu)���。例如�,需要明確業(yè)務(wù)分析是否需要訪問真實數(shù)據(jù)�,或 脫敏 數(shù)據(jù)能否使用,選擇合適的敏感信息遮擋和加密等矯正技術(shù)(masking or encryption)����。遮擋技術(shù)能提供最好的安全性能,而加密則更具靈活性�����,可視將來的需要而定�����。同時,確保選擇的加密方案與企業(yè)的訪問控制技術(shù)能夠互操作����,這樣,特定級別和身份的用戶只能訪問Hadoop集群中特定的數(shù)據(jù)范圍��?����!?/p>
大數(shù)據(jù)時代下的信息安全���,“一言不合”就出漏���。對公有云不放心,私有云也隨時可能出現(xiàn)安全問題�����,大數(shù)據(jù)信息安全在制定企業(yè)���、行業(yè)和法律規(guī)則之外��,必須要對數(shù)據(jù)的處理另辟蹊徑����。
微眾稅銀COO曾源對記者表示:“大數(shù)據(jù)時代�����,技術(shù)問題往往都不是太大的問題�,可以及時補救。真正存在的問題是管理數(shù)據(jù)人員的主觀倒賣和素質(zhì)操守問題���,一些黑產(chǎn)數(shù)據(jù)往往給工作人員形成一種觀念��,拿數(shù)據(jù)就能賣錢��。所以�����,絕大多數(shù)的黑產(chǎn)數(shù)據(jù)都不是因為技術(shù)問題而被攻克泄露�,而是買通內(nèi)部人員整體倒賣�����。” 那么����,對于數(shù)據(jù)從業(yè)人員的備案和信用檢查就顯得尤為重要,企業(yè)需自檢����,再由相關(guān)部門二次審核。企業(yè)內(nèi)部需要成立數(shù)據(jù)風(fēng)控部����,通過監(jiān)控數(shù)據(jù)和操作降低數(shù)據(jù)外露的風(fēng)險。
Oracle大數(shù)據(jù)資深顧問魏函輝就這個問題表示��,數(shù)據(jù)并非洪水猛獸�,一點不能觸碰。同樣數(shù)據(jù)也并非不能買賣�����,而是要分為怎么賣����,如何賣。他還認為����,原始數(shù)據(jù)是堅決不可以觸碰的�,但是基于原始數(shù)據(jù)上產(chǎn)生的衍生數(shù)據(jù)����、分析數(shù)據(jù),比如購物偏好��、消費模式或者健康指數(shù)這些都是可以進行互通的����。只有正規(guī)的數(shù)據(jù)交易市場和平臺的出現(xiàn)�����,讓數(shù)據(jù)交易變得有法可依�、有章可循,這樣才能從根本上杜絕數(shù)據(jù)黑色鏈條的產(chǎn)生�����。
