天幕危机 新一代企业安全的挑战与应对

标签:云服务技术技术商业热点数据社会中国技术商业论坛及领袖峰会

访客:23199  发表于:2013-11-08 16:41:51

关于更多精彩内容,详见:中国技术商业论坛暨领袖峰会

 天幕危机 新一代企业安全的挑战与应对

         360公司副总裁 谭晓生


谭晓生:原来打算讲网络安全,后来看是数据,我就讲讲数据安全和数据的隐私问题。讲到大数据,首先想到云计算。最近不断有泄密的事情,我们有更大的担心就是如果我们的服务器使用公有云的服务器,这个数据都在云里,他会不会偷看我,我们网络都要经过公有云,这个数据有没有可能被恶意的使用。还有云服务商,万一哪天它亏欠倒闭了怎么办?我这些数据转移起来是不是非常困难。如果现在玩大数据,这些数据通过网络传输很困难,甚至这个数据是半年产生的,你可能还要花很长时间把它传走,这种情况下都是问题。还有通过大数据分析几乎可以知道我们的一切信息。

天幕危机 新一代企业安全的挑战与应对

   其实,对云服务商的职业的问题的解决是几个,第一、宁可看两个魔鬼跳双人舞,也不要看一个天使跳单人舞。还有共同制定云服务的规范,第三、有第三方的监督审计的产品,以及推动产业的法规出台。我们依然要呼吁相应的法律的出台。对于云安全要有相互防护软件的开发,这个还是处于初级阶段,和过去企业的防御,以及个人终端的防御来说,云的安全防御目前还是处于相当初级的阶段。今年开始,有基于云服务的位置威胁的法律有出台,比如我们做的天眼,这种东西其实都是说要主动的发现我过去还不知道的东西,这种攻击手段是新的,但是通过技术手段也能够检测到,知道被攻击了,再分析被用什么方式供给。以及今年提的一个概念,就是由大数据的方法对抗这个领域。对于云服务商的服务延续性的问题,其实亚马逊在美国有先例,比如美国的亚马逊有一个大客户是一个非常著名的网上视频的,它是买亚马逊的,如果说亚马逊哪天不给它提供服务怎么办?实际它们之间会签署一些特殊的协议,如果哪天出于什么什么样的原因,它可以怎么处理这些资产。还有其实这里面也是一个新的对保险业的机会,将来可能大家用云服务还捎带的买保险。

   说到个人隐私问题来说,中国差不多有40部法律都涉及到关于个人信息泄露的问题,但是法律里面就一两句话,非常难以真正的保护用户隐私,执法方面的操作余地很大。刑法修整案(七)确定出售非法提供公民个人信息贵,以及非法获取公民个人信息罪,首次将公民个人信息纳入刑法保护范围,就是要追究泄密、泄露和出售隐私信息的责任。去年年底全国人大常委会出台了《关于加强网络信息保护的决定》,但是没有规定的很细。这是今年开始生效的一个指导的国家标准,这个是GB/Z,这是一个指导性的文件,它第一个是界定了个人信息是什么,个人信息是可为信息系统所处理,与特定自然人相关,能够单独或者通过与其他信息结合识别该特定自然人的计算机数据。这里面有八大原则,其实这个指导性的国家标准是一个非常好的标准,只是目前它的指导性不够强。但是,真正在比如云服务的厂商,或者互联网服务的厂商是可以好好的看一看,它的八大原则,第一条目的明确,就是这个信息干什么用?必须要有非常清晰的目的,就是你收集这些信息,使用这些信息要和你的业务相关。第二、最少够用原则,就是你需要什么信息,不要更多的。比如在互联网网站上面,有没有房子,有没有车子,年龄多大,这些问题都是合理的,如果到一个购物网站,非比如到京东,非要问你有没有房子和车子,年龄多大,其实这些是不行的。第三、公开告知原则,你要收集公开用户的信息,用户要明确的知道。第四、个人同意原则,你告诉用户了,用户必须明显的告诉你,我同意,你才可以收集信息。第五、质量保证原则,就是你收集的信息很多有错误,用户是否可以修改,如果你把用户的信息收集错了,我是不是投诉无门。第六、安全保障原则,就是你收了这些信息,你就得保证这些信息的安全。其实在中国的大的互联网网站也是屡屡出现脱库的事件,出现这种事情其实就没有履行好它的数据保护。这种情况其实就应该承担相应的责任。第七、诚信履行原则,就是你收集的时候是怎么说的,后面就怎么做。而不是收集的时候说自己用,回头又卖了。第八、责任明确原则,在整个的信息处理过程中间的责任要采取相关的措施。

   如果回过头,我们把这八大原则理一理,其实是什么?收集信息必须和你的业务相关,你是干什么业务的,你要什么信息,这个你有需要,还得经过用户的同意,用户如果不同意,你可以拒绝给他提供服务,这是你作为服务提供商的权利,但是你必须要明确告诉用户,并且是经过用户的同意。把信息收集到之后,原来说干什么用就干什么用,哪怕说你把信息专卖,如果经过用户同意了,专卖它也是合法,但是如果你没有经过用户同意,把信息交给第三方去用,这就出现问题了。还有信息你拿过来,就要妥善的保护,用户如果要改,他能够改,这种规定如果说严格执行,它会让信息本身变成一个烫手山芋,你是不是有足够的安全保护措施,你的网站是不是做到别人无法入侵等等,这是非常好的一个原则。

   今年工信部又在做电信和互联网用户个人信息保护的规定,从最近可以看到各个主管部门对用户隐私信息保护有非常大的重视。什么是隐私?隐私是什么东西?是不是涉及到我的姓名、身份证号,我的生日、收入、房子、车子等等这些都是属于隐私信息呢?其实在中国的老百姓,一般来说,你的信息,说你的隐私被偷了,其实什么东西是你的隐私?真正知道的人并不是很多。这是美国白宫今年2月份有一个消费数据在网络世界中用户的数据保护这样一个东西,其实这里边来说,隐私权一是种权利,这种权利是我要独立的生活,我要孤独的生活,我有这种权利,假如不希望别人知道我是谁,也不希望别人知道我是谁,我要能做到。如果他无法做到这一点,他想行使这个权利的时候就侵犯了隐私权,但是不是强迫所有人都孤独1生活。但是,现在的网络社会里面对过去的隐私权有了更大的拓展,还包括商务信息、政治信息、健康信息,财经信息等等这些东西,这些信息你要进行保护,是为了他受到一个公平的待遇。比如说我的健康信息,比如有人有乙肝,咱们国家说你不能因为乙肝歧视一个员工,但是如果你在面试之前就能查到这个人有乙肝,我可能就筛选掉了,这个人就受到不公平的对待。隐私是一种权利,咱们一提到个人信息,往往和隐私统一为一体。

   再有就是隐私权,这是美国的《隐私权法》,它1974年就有了《隐私权法》,这个《隐私权法》其实是要把政府的权利关在笼子里,就是政府也不能通过这些信息对公民实现怎么样的一种东西,就是你多想一点,你会知道它背后很多的背景,为什么《隐私权法》在中国真正出台实施还会遇到不少的困难,还会有很长的路要走。隐私保护的框架是什么样子,是不是有一部《隐私权法》,中国的隐私保护问题就解决了?不是的,因为不同的业务领域,用户的隐私不一样,其实它正常的框架应该是有一个隐私保护的原则,然后在不同的领域里面会有不同的隐私保护的规定。比如电信,对电信业务来说,主叫号码,被叫号码什么时候给别人,我的家庭地址这都属于隐私,比如呼叫记录,这在别的公司是没有的。那么,对于医疗信息来说,我各种各样的检查结果,我的身体的健康状况等等这些东西是需要作出保护的。将来其实一个正常的框架,应该有一个通行的隐私保护框架,再有各个具体不同的业务中会有针对它的隐私权的一些规定。

   我们给的性的建议,第一、要制定法规或者国家标准,要界定各个业务领域的隐私信息。这样大家提出来,不是说身分证号码泄露了,这就叫隐私泄露。第二、将隐私权条款作为互联网服务的必备法律,隐私权条款必须要有。第三、对各种互联网服务的隐私权条款合理性进行监督审查。对各互联网服务的隐私权条款执行情况进行监督审查等。这个立法保护不说了,中国估计还有很长的路要走,虽然有各种各样的法律,但是还是比较茫然。

   作为360来说,我们其实一直是在隐私方面站在风口浪尖上,遇到的职责也比较多,我们在这个方面做的工作最多,2011年10月份就发布了用户隐私保护的白皮书,2012年3月15号,任命我为中国互联网第一个首席隐私官,其实2000年开始美国旧已经有了首席隐私官了,美国基本上是以律师为主,但是中国比较有意思,我这个首席隐私官是搞技术的。最终是让我学一些法律的知识,回过头用技术手段在公司中做隐私方面的管理。这是过去所做的各种各样的措施,不多说了。过去干了很多事情,怎么样的防御是一个袭击,怎么样对自己的漏洞进行检测,包括我们也是花钱买漏洞,我们的漏洞也是谁发现了,报告,给奖励,还有怎么防内鬼,怎么监督内部的各个应用程序,提取用户隐私,或者提取用户信息的时候是不是有问题,都有一套非常繁杂的技术手段。我们网络服务对外出口100G的流量提供流量侦听,从这个侦听里面判断我们的程序提取的信息有没有涉及到侵犯隐私的事情,这些事情都是超乎大家想象的。本身360在我们自己的主网上铺了一张天罗地网,在他写的程序里面有没有泄露隐私的问题,谢谢大家!

关于更多精彩内容,详见:中国技术商业论坛暨领袖峰会

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");