2017年6月1日，不仅仅是一年一度的儿童节，还是《中华人民共和国网络安全法》正式生效的日子。

▲图片来源：视觉中国

这是我国网络领域的基础性法律明确规定要加强对个人信息保护，比如：网络运营者不得毁损其收集的个人信息、微博等新媒体纳入互联网新闻信息服务许可管理范畴、重要网络产品须经安全审查……该法的实施也意味着，从今日起，中国信息安全行业进入新的时代。

个人信息、网络诈骗成网络安全重灾区

昨天（5月31日），“互联网女皇”玛丽·梅克（Mary Meeker）公布的2017年度互联网趋势（Internet Trends）报告指出，全球互联网用户数已超34亿，同比增长10%，互联网全球渗透率达到46%。

▲2009年-2016年，全球互联网用户增长情况及增长率（来源：Internet Trends）

▲来源：Internet Trends

随着互联网用户数量的剧增，网络安全问题也越来越受到重视。就国内的网络安全市场而言，两年前，每日经济新闻（微信号：nbdnews）记者了解到的发展趋势是：虽然网安市场在起步阶段，但国内网络安全市场规模将呈爆发式增长，未来可能催生万亿级别市场。现在看来，黑灰产业跑得更快一些。

网络黑灰产业已经形成巨大的产业链。中国互联网协会发布的《2016年中国网民权益保护与调查报告》统计，仅从2015年下半年到2016年上半年，我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失就高达915亿元。

“中国现在一年网络黑灰产业的产值已达千亿，我们做网络安全的全部产值不到300亿，其中黑灰产业造成的损失至少乘以20倍。”阿里巴巴集团安全部副总裁杜跃进说道，“他们（黑灰产业从业者）很多利用大数据比我们还好，能够非常精准地获取数据，进行精确诈骗。”

针对个人信息泄露的问题，《网络安全法》明确规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

同于今天实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步明确了侵犯公民个人信息罪的定罪量刑标准。根据刑法规定，侵犯公民个人信息罪的入罪要件为“情节严重”。解释中明确对于行踪轨迹信息、通信内容、征信信息、财产信息，非法获取、出售或者提供50条以上即算“情节严重”。

“金矿”大数据更易成为攻击目标

刚刚过去的5月，电脑勒索病毒Wannacry“所向披靡”，波及150多个国家和地区，攻陷30万台电脑。

就在病毒蔓延之际，5月16日，勒索病毒幕后组织“影子经纪人”提出了新的“商业模式”，计划直接将恶意代码和数据进行出售，具体细节将在6月公布。据称，这些待价而沽的数据包括环球银行金融电讯协会（SWIFT）国际转账网络的银行数据等。中国工程院院士沈昌祥在数博会上明确指出，这场大规模的网络攻击最终目标不再是以往的计算机系统、设备，而是数据。

▲图片来源：视觉中国

一位数据安全专家告诉每日经济新闻（微信号：nbdnews）记者，有人将大数据比喻为“垃圾”，也有人比喻为“金矿”，大数据有很高的价值，但是价值的含金量很低。“大数据时代的安全需要覆盖数据的全生命周期。有些看似混乱、无价值的数据可能无需安全保护，但是处理之后就有了价值，变得敏感，价值越高风险越大。”

另一方面，还有数据真实性的问题。数据是资产，正在进行交易，上述数据安全专家提到，“交易过程中，可能伪造一些假数据，当数据资源池中掺入故意为之的假数据，再进行挖掘、分析，导致的后果可能是可怕的”。

《网络安全法》对数据安全和数据保护也给予了关注。第二十一条对数据安全作出明确说明：网络运营者应当按照网络安全等级保护制度的要求，防止网络数据泄露或者被窃取、篡改。采取数据分类、重要数据备份和加密等措施。

这一次，《网络安全法》将责任主体点明落实到了公安、企业、个人等各层面主体身上。网络安全专家表示，《网络安全法》看重的，不是某个数据的安全、某个系统的安全，而是整个组织的安全。主体需要负起责任，“比如平台上信息泄露，作为运营者，也许昨天你的不作为，没有任何关系。但从今天起，你不作为就将承担责任。”

以单位为主体负责的安全，不仅仅能够抵抗外部的攻击，事实上，数据安全威胁更多时候还来自内部，这个比例往往高于来自外部的有意攻击。内部的威胁，不仅仅是窃取，还有滥用和误用。

建立主动防御体系

▲图片来源：视觉中国

网络安全说到底是一场博弈，魔高一尺，还需道高一丈。

有人将攻防两端比喻为矛和盾的关系，做信息安全就是在做盾，做盾不能闭门造车，要看外面的矛怎么样，相对开放的体系才知道到底能不能抵挡别人的攻击。

沈昌祥表示，由于人们对IT的认知逻辑的局限性，不能穷尽所有组合，只能局限于完成计算任务去设计IT系统，必定存在逻辑不全的缺陷，从而难以应对人为利用缺陷进行的攻击。“人体也有非常多的缺陷，但为什么能够健康生活，就是免疫系统。”沈昌祥表示，这就需要变被动防御为主动免疫防护。

2005年以前，安全行业固守着‘入侵检测、防火墙、防病毒’老三样，进行传统防御，追求的是静态的“绝对安全”，依靠的是发现威胁、分析威胁、处理威胁的滞后性防御思路。而动态防御追求动态的“相对安全”，动态防御在暗处，动态变化，攻击者每次侦查、分析的结果均不系统。

北京卫达科技有限公司CEO张长河提到，现在我国很多安全产品还是10年前的产品，防御技术没有跟随攻击进行提升。攻击者找到一个漏洞就有可能打开整个网络的漏洞，防御方要防御所有的安全，非常困难。

“目前的防御我把它定义为固定靶，等着别人来攻击。如果是移动靶，有出牌套路，也可以打到。但如果是随机靶，就非常难。”针对于动态防御的思路，张长河给记者做了个形象的解释：

如果登上山顶是攻击者要达到的目的，传统防御是让他一天爬10米，动态防御怎么做这个安全呢？给攻击者5分钟的时间，5分钟他没有办法爬到山顶，5分钟之后山没有了，这个山不存在了，或者出现另外一座山。

也就是说，在原有防御理念中加了时间概念，防御思想跟防御策略随着时间的变化而变化，攻击者对网络的探知和信息获取，在这个时间内是真实的，超出这个时间就会变得不真实。

所幸的是，一些地方政府已经开始转变被动防御的思路，变事中应急、事后处置的“亡羊补牢”为事前预警、动态防护的“未雨绸缪”。

每经编辑 王晓波 陈俊杰

本文为｜每日经济新闻  nbdnews  原创文章｜

未经许可禁止转载、摘编、复制及镜像等使用

欢迎转发、群发给你的朋友，欢迎分享到朋友圈

如需转载请向本公众号后台申请并获得授权