11月1日,《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》(下稱《規(guī)定》)開始施行,該規(guī)定于2018年9月5日由公安部部長辦公會議通過。在業(yè)內(nèi)人士看來,新的規(guī)定讓忽視、破壞網(wǎng)絡(luò)與信息安全的行為被查出和處置的可能性大大提高了,在此基礎(chǔ)上,如何更好地建好第一道“防線”備受關(guān)注。
對此《規(guī)定》,11月1日北京九州云騰董事長尚紅林在接受21世紀經(jīng)濟報道記者采訪時表示,這更多是對互聯(lián)網(wǎng)的提供者和使用者的一種規(guī)范和約束。 “這些規(guī)定某種程度和歐盟在大力推廣的GDPR異曲同工,都是在立法層面對身份隱私等數(shù)據(jù)進行保護,因此身份認證的一些衍生技術(shù)會得到更多的重視。”
在尚紅林看來,數(shù)字化轉(zhuǎn)型帶來機遇的同時,也讓網(wǎng)絡(luò)安全面臨挑戰(zhàn),就像企業(yè)資產(chǎn)數(shù)字化后,其信息安全風險也會越來越虛擬化。安全狗 CEO陳奮則指出,網(wǎng)絡(luò)安全不僅影響個人生活,也會影響企業(yè)、城市、國家的關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定運行等。
除了在監(jiān)督檢查方面趨嚴外,身份認證也是一項基礎(chǔ)的網(wǎng)絡(luò)安全手段。尚紅林指出,隨著云計算和互聯(lián)網(wǎng)的發(fā)展,公有云+移動成為行業(yè)趨勢,這種情況下,通過防火墻構(gòu)建的網(wǎng)絡(luò)邊界越來越模糊,原先針對封閉IDC系統(tǒng)的防護手段逐漸失效,業(yè)內(nèi)開始需要基于“零信任”的全新解決方案,即利用強身份認證來代替信任網(wǎng)絡(luò)。
安全需求日益迫切
2018年1月24日,江西省婦幼保健院遭遇勒索病毒;2月6日,上海某公立醫(yī)院信息系統(tǒng)被拉黑,黑客勒索價值2億元以太幣;2月24日,湖南省兒童醫(yī)院服務(wù)器疑似中了某種勒索病毒,所有數(shù)據(jù)文件被強行加密,導致系統(tǒng)癱瘓,患者一度無法正常就醫(yī)。10月29日,一位做醫(yī)院信息化的負責人向21世紀經(jīng)濟報道表示,他們近日也遭遇疑似病毒攻擊。
醫(yī)療數(shù)據(jù)在黑客眼中簡直就是個大金庫,內(nèi)有個人姓名、住址、聯(lián)系方式、社會保險號碼、銀行賬號信息、索賠數(shù)據(jù)和臨床資料等海量信息。早在2017年5月,就有新聞爆出“黑客倒賣醫(yī)院數(shù)據(jù)落網(wǎng),廣州醫(yī)藥圈震蕩”。
陳奮向21世紀經(jīng)濟報道記者分析稱,現(xiàn)在黑客的攻擊目標不再只是個人電腦,而是通過“黑掉”后端基礎(chǔ)設(shè)施,來影響前端的信息安全,因此,網(wǎng)絡(luò)安全已成各行業(yè)重點關(guān)注的問題。
尚紅林表示,隨著萬物互聯(lián)時代的到來,云計算和移動互聯(lián)網(wǎng)快速發(fā)展并普及,安全問題也不再僅存于網(wǎng)絡(luò)和PC端,而是輻射到云端和移動終端設(shè)備,網(wǎng)絡(luò)安全、云計算安全及移動終端安全將成為企業(yè)甚至是國家安全的重點。
為此,我國網(wǎng)絡(luò)和信息安全領(lǐng)域的法規(guī)也在不斷演進,如2017年正式發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》的第二十一條明確指出,國家實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行安全保護義務(wù),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
此次《規(guī)定》則加大了監(jiān)督檢查的力度。根據(jù)規(guī)定,公安機關(guān)應當根據(jù)網(wǎng)絡(luò)安全防范需要和網(wǎng)絡(luò)安全風險隱患的具體情況,對互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位開展監(jiān)督檢查,包括進入營業(yè)場所、機房、工作場所;要求監(jiān)督檢查對象的負責人或者網(wǎng)絡(luò)安全管理人員對監(jiān)督檢查事項作出說明;查閱、復制與互聯(lián)網(wǎng)安全監(jiān)督檢查事項相關(guān)的信息;查看網(wǎng)絡(luò)與信息安全保護技術(shù)措施運行情況等。
“這個《規(guī)定》是網(wǎng)絡(luò)安全法的一個配套法律,使得檢查的目標、處罰瑣事更清晰,讓公安在執(zhí)法檢查時更好地有法可依。像容易受到互聯(lián)網(wǎng)攻擊的服務(wù)場所、國家重要基礎(chǔ)設(shè)施等,這些都是檢查的重點目標,其中還特別強調(diào)了重大活動期間的網(wǎng)絡(luò)安全等。”陳奮指出。
身份認證或成關(guān)鍵
事實上,有交易的地方幾乎都需要身份認證,如銀行轉(zhuǎn)賬、電商交易等。由于身份認證是電子支付的基礎(chǔ),銀行、證券、保險等在身份認證領(lǐng)域無不投入重金,但仍不斷爆出短信驗證碼劫持、賬戶被盜等事件,進而造成數(shù)十萬,甚至上百萬的資產(chǎn)損失。
對于金融行業(yè)產(chǎn)生信息劫持的原因,尚紅林認為,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)(下稱云大物移)的發(fā)展推動產(chǎn)業(yè)變革,金融業(yè)也在朝著電子化、移動化、互聯(lián)網(wǎng)化方向快速發(fā)展。隨著企業(yè)內(nèi)外部業(yè)務(wù)的關(guān)聯(lián)度逐漸提高,資產(chǎn)規(guī)模不斷擴張,信息資產(chǎn)的管理風險也會不斷上升。“信息化需要進行持續(xù)建設(shè)與實踐,易造成各業(yè)務(wù)系統(tǒng)冗雜和用戶體系混亂,同時移動化的發(fā)展,也會在賬戶安全和用戶體驗之間催生出新的挑戰(zhàn)。”
據(jù)了解,傳統(tǒng)的身份認證主要依靠賬戶和密碼,但隨著黑客攻擊手段以及電信詐騙的升級, 撞庫、拖庫等攻擊手段層出不窮,網(wǎng)絡(luò)中的危險因素越來越多。在云計算和互聯(lián)網(wǎng)中,業(yè)界需要有新的技術(shù)手段來保障身份安全,而身份認證是在邊界模糊的“云大物移”體系下的一個重要防護手段。
據(jù)了解,九州云騰的身份認證采用多種方法,包括用傳統(tǒng)的戶名+密碼、短信驗證碼、第三方認證、指紋識別、人臉識別等,在確認了用戶身份的基礎(chǔ)上,又采用了OIDC、 SAML等聯(lián)邦身份認證標準協(xié)議,實現(xiàn)更多應用的用戶認證和授權(quán)。目前九州云騰已經(jīng)有十多萬在線活躍用戶。
據(jù)IDC統(tǒng)計,2020年,50%的在線交易將受指紋等生物認證技術(shù)的保護,近年來興起的FIDO認證,更被騰訊,阿里、京東等互聯(lián)網(wǎng)巨頭普遍采用。另據(jù)尚紅林介紹,網(wǎng)絡(luò)安全市場已達到數(shù)百億,身份認證占其20%左右,在中國,騰訊是典型的2C互聯(lián)網(wǎng)企業(yè),但是不久前還成立了2B的事業(yè)部來順應此市場變化。
“美國身份認證企業(yè)OKTA市值已達數(shù)十億美元,年復合增長率超過70%,2018年一個季度就新增400多家付費用戶,這也證明IDaaS作為新一代身份認證服務(wù),可以有效助力IT的云化、移動化、智能化發(fā)展。” 尚紅林指出。