记者/朱成祥
编辑/梁枭程鹏
你能想象吗?未来你可以生活在一个数字化的虚拟世界里社交、娱乐、创作、交易等等。这是8月上映的电影《失控玩家》结尾所展示的景象,也是近期火热的概念“元宇宙”理想的状态。
元宇宙(Metaverse)一词来源于作家Neal Stephenson的科幻小说《雪崩》,描述了一个人们以虚拟形象在三维空间中与各种软件进行交互的世界。简而言之,元宇宙是一个平行于现实世界运行的人造虚拟空间。在这个空间里,用户拥有自己的虚拟身份和数字资产,可以在虚拟世界里尽情互动,从事生产经营活动并创造价值。
可是,元宇宙也面临一项重大挑战,即数据的安全性。假如你的元宇宙账户被盗了,是否等于你的“数字分身”在虚拟世界消失了呢?或者,被他人占据?
据了解,要建设数据安全治理体系,就是要形成以数据全生命周期为核心的全方位治理,包括数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁。
元宇宙的数据安全难题:账户被盗怎么办?
元宇宙的雏形是网络游戏,但目前市场上并没有一款游戏能完全达到理想的元宇宙状态。Roblox是目前市面上元宇宙成熟度最高的游戏,被视为元宇宙的雏形。而Roblox公司,也被视为元宇宙第一股。
“我在网吧玩《穿越火线》忘记下线了,结果发现账号里面的装备就被(他人)清空了。”游戏玩家小黄告诉《每日经济新闻》记者。另一位游戏玩家小嘉也表示经历了被盗号,其表示:“我主要在Steam平台玩‘吃鸡’(即《绝地求生》),但不知道什么原因账号就被盗走,至今也没有找回,‘吃鸡’也玩不成,幸亏没有特别值钱的装备。”
普通网络游戏面临盗号风险,被视为元宇宙雏形的Roblox同样如此。多位B站UP主就发视频表示自己的Roblox账号被盗了,在一位UP主的视频下面就有评论称“UP主绑定邮箱了吗?如果没有,你这个号就废了”。
要知道,元宇宙的理想状态要比游戏复杂得多。根据头豹研究院研报,元宇宙与现实世界相互关联,用户在元宇宙拥有虚拟身份,用以建造虚拟世界的社会关系。值得注意的是,元宇宙还通过数字创造、数字资产、数字市场和数字货币支撑起整个经济体系,由此满足元宇宙用户的数字消费需求。
在元宇宙中,人们进行“数字创造”,产出数字化产品,并作为可供交易的商品。以短视频APP为例,用户拍摄短视频进行素材创造,拍摄好的短视频也视为用户的资产,也可作为数字化商品卖给平台或其他用户。一旦账号被盗,人们在元宇宙的“数字分身”就被他人替代,账户里的数字资产也也面临被盗风险。可以看出,数据安全是元宇宙发展与繁荣的重要前提。现实中亦是如此,如果比特币的秘钥被人盗走,可能就意味着倾家荡产。
企业数据安全要不要自己做?专家解读
事实上,随着5G、大数据、云计算的蓬勃发展,数据安全的重要性逐渐被政府、企业所认知。近年来,政府、企业加速数字化转型,越来越多的企业选择居家远程办公,越来越多地使用基于云上的技术。
然而,数字化进程的加速,也令企业面临更加复杂多样的网络安全、数据安全风险。同时,网络安全、数据安全建设落后于企业技术转型,有企业也付出了沉重的代价。很多企业由于疏漏或行动紧迫性而未将网络安全、数字安全纳入决策流程,导致新的漏洞进入了快速变化的环境,并持续威胁当下的企业。
2021年,《数据安全法》《个人信息保护法》适时而出,信息安全从“互联网大蛮荒时代”、“网安法时代”走向“大合规时代”。咨询机构安永认为,“互联网大蛮荒时代”缺乏个人信息保护机制,个人信息保护工作基本等同于写一份隐私协议;而“网安法时代”为打补丁式合规;而“大合规时代”是将个人信息保护与数据安全融入企业文化、业务,视数据合规为企业竞争力,全面进行自上而下的治理。
信息安全立法和执法趋势加速也给组织带来了诸多挑战。安永认为,政府、企业、金融机构将面临更密集的监管、更高的举证责任、更高的违法成本等难题。
而在安恒信息首席科学家刘博看来,两部法律的出台更是机会,其认为:“正是有了这些法律,才给政府、企业划清了法律边界,即哪些数据是可以对外开放,可以共享、使用的。比如大数据交易中心,没有这两部法律的支持,大数据交易中心的业务是很难开展的。”
另外,在数据安全领域,有些公司依靠公司内部的数据安全团队,有些公司依靠专业的数据安全公司。对此,刘博举例称:“我一位朋友之前在某头部互联网公司做数据安全、网络安全,推行各个项目都比较顺,但来到另一家规模较小的企业后,在进行数据安全建设时,就会受制于公司业务方向,安全会给业务让路,推行各项改革就比较吃力。因此建议一些大型企业、管理组织架构比较完善的企业,可以选择与专业的数据安全公司合作,共同建设数据安全能力;而对于一些中小公司,以及数据安全组织不完善的大型公司,可以依靠像安恒信息这样的专业第三方公司,提升自身的数据安全防护水平。”
“对于政府而言,肯定是通过第三方数据安全公司去做,然后由政府来把控。以大数据局为例,他们需要考虑清楚要在哪些方面需要做数据安全,但具体落地层面还需要第三方数据安全公司来服务。”刘博补充表示。
数据全生命周期安全:隐私计算或成千亿蓝海
数据安全的重要性越来越强,那么,如何来保护政府、企业的数据安全呢?据了解,建设数据安全治理体系,就是要形成以数据全生命周期为核心的全方位治理,包括数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁。
这六个环节中,哪些环节较为重要呢?刘博表示:“针对数据全生命周期防护,很难讲哪个环节最重要,首先要区分数据是企业、单位自己使用,还是供外部使用。以数据交换为例,大数据局跟各个政府单位之间进行数据共享方面,更多考虑的是数据全生命周期安全防护。而当大数据局把数据开放给企业,则在数据安全防护的基础上,需要进一步增强隐私保护,谨防企业获取隐私、敏感数据。”
对于政企的数据全生命周期安全能力建设,刘博表示,传统“烟囱式、围栏式”安全防护方式已经无法适应新时代数据安全需要,面临安全的新态势、新要求。“一定要体系化、平台化、智能化”,通过智能化管理平台,在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力四大核心能力的建设,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。建议企业着眼于数据管理的整个生命周期,将关注点从数据安全本身扩展到企业整体信息安全框架。
刘博强调了数据安全中的隐私保护。开源证券也高度看好隐私计算市场,其认为伴随着数据要素市场改革加速,隐私计算技术成为数据价值安全释放的关键突破口,有望在金融、政务、医疗等行业实现快速应用,其千亿蓝海市场有望开启。
根据Gartner数据,到2023年,隐私驱动的数据保护和合规技术支出将在全球突破150亿美元以上,即达到千亿人民币以上。
安恒信息引入“数据安全岛”,帮助客户激活数据价值,实现原始数据不出本地,交换计算结果,从而让流动的数据成为驱动数字经济发展的新动能。据了解,“数据安全岛”提供安全计算沙箱、安全多方计算、区块链、联邦学习等技术,解决数据共享过程中的安全、信任和隐私保护难题。
开源证券认为,考虑到近期数据安全领域政策密集发布,相关需求有望快速增长,“数据安全岛”产品的未来表现值得期待。
安恒信息数据安全岛产品总监陶立峰则讲述了“数据安全岛”的具体应用:“某市教育局需要使用公安局提供的关于学生户籍、学区等个人资料,尤其是流动人口的资料,用于判定学生是否具备入学资格。该项目由大数据局协同,数据安全岛提供模型算法和分析。涵盖约600万的人口数据,瞬时并发量达到6万/s。”
关于数据采集,安永大中华区网络安全与隐私保护咨询服务合伙人兰瑜对《每日经济新闻》记者表示:“两部法律特别对个人信息的数据采集有了一定的限制,它提出一些原则性的要求,比如最小化采集。因此,很多企业需要在这方面进行调整。”
另外,关于数据删除,兰瑜表示:“《个人信息保护法》特别提出,消费者有权限要求相关企业提供渠道删除其在该企业内部的个人信息,这块是据说所知各个企业面临的最大调整。因为这个权利是今年刚刚提出的新概念,很多企业需要提供相应的技术手段,能够在适当的范围内满足个人对个人信息删除权的使用。”
关于数据删除,刘博又以杭州野生动物世界一案举例。据钱江晚报等多家媒体此前报道,2019年4月27日,法学博士郭兵购买了一张杭州野生动物世界年卡,费用是1360元,需验证年卡及指纹入园,可在该年度不限次数畅游,后来杭州野生动物世界又要求通过人脸识别入园。由于郭兵对人脸识别无法接受,因为提起诉讼,最后法院判决,杭州野生动物世界删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。
我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化,提升社会数据资源价值,相信随着《数据安全法》《个人信息保护法》等法律的出台、落地实施,数据资源将会迸发出更强的活力。数据安全在未来仍将是一个重大挑战,人工智能、机器学习和零信任等技术的创造性应用将帮助政企保护数据,以及确保组织和个人数据合规,助力国家数据安全战略落地实施。
行业数据概览
据统计,8月境内计算机恶意程序传播次数达到2.5亿次之多,较7月2.2亿次增长15.37%,而境内感染计算机恶意程序主机数量,第3周49.7万较第2周26.4万上涨88.26%,涨幅巨大,在第4周达到高峰53.4万。8月,境内计算机恶意程序传播次数上涨,我们需要提高警惕,加强安全防护,恶意程序会损坏文件、造成系统异常、窃取数据等对计算机伤害较大。
从境内被篡改网站总数来看,第3周达到高峰(4964个),总计12636个。虽然被篡改网站总数较7月上涨27.87%,但是其中政府类网站数量较7月反而有所减少,可见政府类网站的防护做得很好。
从仿冒网站数量看,第3周达到高峰,第4周骤然下降,与全国开展反诈工作息息相关。从新增漏洞数量看出,8月第2周和第3周微涨,总体处于平稳态势。针对安全漏洞问题,用户一定要在正规途径下载应用,并即时更新。
8月Android部分勒索病毒监测显示,大部分勒索病毒为工具类APP,包括游戏外挂类、红包点赞类等,安装工具类APP一定要在正规下载渠道下载。
安全漏洞对A股上市公司影响分析:22.75%的上市公司受到数据库漏洞影响
本次安恒信息对4115家A股上市公司进行了CVE安全漏洞影响分析,其中167家A股上市公司受到共175个CVE安全漏洞影响,面临着网络安全风险,占比3.78%。
截至2021年8月~9月的统计结果显示,A股上市公司累计受到CVE安全漏洞影响的行业分布中,占比最高的5个行业分别是工业(25.15%)、信息技术(19.16%)、可选消费(16.77%)、材料(14.37%)、医疗保健(9.00%)。据2021年8月~9月统计,如下20个CVE安全漏洞对企业影响最大:
其中15个漏洞为2016年到2019年提交的,并且较多为2017年提交的漏洞,其中涉及数据库的漏洞较多,表明相关上市公司安全意识与对漏洞的重视有待提高。
据2021年8月~9月统计,受CVE影响的167家上市公司,分布集中在华东、华北、华南及大部分省域中心城市,可见CVE的分布与我国的信息化发展水平联系较为紧密。其中CVE影响数量最多的5个省份(自治区、直辖市)为北京、浙江、广东、上海、四川,这也是数字化转型较为典型的地区。
在受到CVE影响的167家上市公司中,有38家受到数据库相关的漏洞共影响1531次,占比22.75%。其中99.5%的数据库漏洞均来自MySql和Oracle.其中数据库漏洞CVE影响数量最多的5个行业分别为工业(30.43%),信息技术(21.74%),可选消费(15.22%),医疗保健(10.87%),材料及房地产行业(8.70%)。工业行业已经连续3个月以上成为我国CVE漏洞影响的重灾区,无论是应用漏洞还是数据库漏洞影响,均排在第一。
分析结果显示,上市公司仍是数据安全的“重灾区”,且存在大量早在2017年就提交的漏洞。随着《数据安全法》施行,相信数据安全漏洞的影响将会持续降低。
在此背景下,每日经济新闻联合网络信息安全领域上市公司安恒信息(688023,SH),采用国家互联网应急中心权威数据,结合最新的安全形势,收集剖析国内外网络安全信息数据,每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告,旨在借助专业解析,让企业、民众进一步认识网络攻击行为,更好地保护自身隐私和数据资产。
此份网络信息安全月报主要包括行业重点资讯、行业安全数据概览以及上市公司安全动态。重点关注勒索病毒等对企业、个人的安全威胁,并提供应对之法。