首页 > 新闻和通知
信息安全持续爆发,百万年薪请“黑客”?

坊间一直传言,互联网巨头阿里之所以不会被黑客攻击,是因为凡是有高技术的“黑客”攻击完阿里系统之后都会被收入麾下。以至于留下了广为流传的段子:


一位15岁就考入西安交大少年班的天才少年,在2005年其20岁时参加了阿里巴巴的实习面试。在展示个人能力环节,其略显腼腆地在电脑上敲了几行代码,就在面试官不以为然的时候,整个阿里巴巴内部网络同时瘫痪!瞬间惊呆了面试官,最终马云下了死命令,怎么也得留住他。于是阿里用500万的年薪将这个天才少年留了下来。而这位腼腆的天才少年就是当年号称中国最顶尖“黑客”之一。


近期,当事人出面辟谣并表示,网络流传的段子是假的,阿里不会高新聘请黑阿里网站的人,反而会交给警察。


1


难以逃脱的信息安全漏洞


“生活在一个透明的世界”

“经常被电话骚扰、推销产品”

“个人信息基本不存在隐私”

对于个人而言,这就是我们所能感受到的信息安全威胁;

而对于企业、组织、国家来说,信息安全意味着信誉降级、经济损失甚至是系统瘫痪退出市场。


2019年出现的部分重大的信息安全事件:

01


2019年1月20日凌晨,国内一家电商平台被曝出现重大BUG,用户可领100元无门槛券。官方表示,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利

02


2019年2月16日,一网友在微博发布视频称,某APP疑似会获取用户的截图和照片并上传。经排查,发现安卓系统上的APP5.0.5以后版本存在该问题,并已定位问题且下线修复,该功能属于需求错误开发

03


2019年3月22日一份报告指出,Facebook在没有加密的情况下存储了数亿用户的密码,并且以明文的方式展示给数万名公司职员。据调查,此事件直接影响可能多达6亿用户。

04


2019年6月15日,《纽约时报》发表报道称,美国政府官员承认,早在2012年就在俄罗斯电网中植入病毒程序,可随时发起网络攻击

05


2019年7月,美国银行第一资本金融公司披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日

06


2019年7月,南非约翰内斯堡的City Power电力公司遭受勒索病毒攻击,该公司的应用程序、数据库都被黑客进行了恶意加密,导致对外服务基本陷入瘫痪


从以上案例可以看出,无论是互联网企业,还是政府都难以逃脱高度信息网络化带来的信息安全问题。而信息安全问题一方面来自外部的恶意攻击,还有一部分原因是系统本身出现漏洞。


2


网络信息安全态势紧张,成本增加


广义的信息安全是指保护资源免受各种类型威胁、干扰和破坏,即保证信息的机密性、完整性与可用性。据公开数据,2019年上半年,国家互联网应急中心(CNCERT)自主监测发现约4.6万个针对我国境内网站的仿冒页面,境内外约1.4万个IP地址对我国境内约2.6万个网站植入后门,同比增长约1.2倍。


网络信息安全态势紧张,如何防止信息外泄成为全民互联网时期重要议题。


面对严峻的信息安全现状,一度出现文章开头的传言,大型互联网企业不惜重金将所谓的“黑客”收入麾下,以增强自身的技术防御能力,识别出每天上亿次的恶意攻击。


但是,此方法仅仅是“段子”,对国家、企业系统进行破坏等于犯罪行为,聘请更高层级的技术人员在多数时候治标不治本。


一个会被轻易攻击的系统,是一个有严重漏洞的系统,至少其系统管理是不规范的,而全世界的公司在整个管理系统中正花费着更多的成本。根据IBM最新的数据泄露年度成本研究,平均数据泄露成本现在高达392万美元,这些费用在过去五年里增加了12%。


3


市场上涨,防范未然


网络信息安全频繁出现的同时也促进信息安全产业的发展。“十三五”以来,我国网络安全产业保持高速增长,2019年产业规模超过600亿元,年增长率超过20%,明显高于国际8%的平均增数,保持健康的发展态势。


4


另外,随着一系列法律法规的实施,信息安全管理的规范性将日益凸显。

1.第十三届全国人大常委会第十四次会议正式通过《密码法》;


2.《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布;


3. 工信部、教育部、生态环境部等十部门联合发布《加强工业互联网安全工作的指导意见》;


4.《数据安全管理办法(征求意见稿)》已经由国家互联网信息办公室发布;


5


多数时候,信息泄露所呈现的不仅仅是经济纠纷,更多的是大众对企业信用的怀疑。对企业、政府而言,面对信息安全管理,需要的不仅是高端的技术人才,也需要规范管理,及时更新发现漏洞。在信息安全管理方面,英国标准ISO27000已经成为世界上应用最广泛与典型的信息安全管理标准之一。


据了解,ISO27000管理体系认证是以信息安全方针、信息安全组织、人力资源安全、资产管理、访问控制、加密、物理和环境安全、操作安全、通信安全、系统的获取、开发和维护、供应关系、信息安全事件管理、信息安全方面的业务持续管理等为内容对企业信息安全管理进行评估和持续改进。


根据 ESI Thoughtlab 发布的研究报告显示,公司在网络安全中持续增加的投入可以产生 179% 的超高投资回报(ROI)。因此,企业、组织通过第三方认证建立起标准规范的信息安全管理体系,对风险评估结果建立具有针对性的规范管理,通过认证向政府及行业主管部门证明组织对相关法律法规的符合性,能够最大程度减弱发生信息安全问题时的负面影响,减小损失。