智慧城市网

　　【中国安防展览网 企业关注】上周五，万豪酒店宣布，旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵，可能有多达5亿人次预订喜达屋酒店客人的详细个人信息遭到泄露。泄露的5亿人次信息中，约有3.27亿人的信息包括：
 

　　姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。更严重的是，对某些客人而言，信息还包括支付卡号和支付卡有效期，虽然已经加密，但无法排除该第三方已经掌握密钥。
 

　　此次事件令人震惊的是，信息泄露早始于2014年，但直到2018年9月8日，万豪集团才收到内部安全工具发出的警报。这导致2018年9月10日及之前喜达屋酒店预订数据库中的宾客信息可能遭泄露。

 

　　个人信息在“裸奔”，安全风险日益凸显
 

　　近年来，随着用户数据的价值越来越大，恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。
 

　　2014和2015年：希尔顿酒店集团，泄露数据涉及超过36万条支付卡数据;

　　2017年4月：洲际酒店集团，泄露数据涉及超过1000家酒店;

　　2017年10月：凯悦酒店集团，泄露数据涉及的41家凯悦酒店;

　　2018年8月：华住酒店集团，泄露数据5亿条，并在暗网售卖;

　　2018年10月：丽笙(Radisson)酒店，具体泄露数据量未公布······
 

　　据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示，21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露，并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧，并会对需要填写个人信息的互联网游戏，注册等保留一定的戒心，而仍有43.2%的用户认为互联网信息泄露与个人无关，不太关注。

 

　　信息泄露的罪魁祸首是谁?
 

　　中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为，在线旅游网站平台上的用户数据泄露主要有以下几种方式：1)黑客利用平台存在的安全漏洞入侵网站，盗取用户数据库;网站内部工作人员倒卖用户信息;2)通过撞库攻击，窃取用户数据;3)利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
 

　　腾讯守护者计划安全专家马瑞凯指出，人们在网络上的一举一动都能被数据化。“个人信息可用于诈骗，提高*成功率，不法分子采取五花八门的手段非法获取个人信息，只要‘有心’，就可能成功。”
 

　　网络安全工程师游浩源认为，个人信息被泄露的途径主要有两个：黑客主动攻击度较高的企业网站，获取用户数据，或要挟企业支付赎金，或到黑市上交易;企业内部员工和不法分子里应外合，比如快递单是不法分子的“香饽饽”，快递公司员工成为黑色产业链中的重点突破对象。
 

　　国内数据安全现状远不能满足需求
 

　　主要原因在于两方面：其一，从国内外安全投入规模现状对比来看，国内企业安全投入在IT的占比约为1%到3%，而美日欧这些发达国家的安全投入占比已经达到10%到13%。其二，从技术能力上看，安全思路要彻底革新，从边界筑墙向以数据为中心、构建纵深化体系转化。数据安全的市场正在打开，天花板高，潜力空间巨大。
 

　　这些新一代数据安全理念包括：新的中心与边界，一切安全活动都围绕数据，防火墙不再是边界，身份权限是新边界;体系化而非单点防御，基于整体来考虑和设计，从上至下形成体系，数据在哪儿，机制就到哪儿;行为控制而非基线补丁策略，擅用数据进行分析。
 

　　结束语：
 

　　随着企业数字化转型加速、业务上云，物联网、区块链等新技术的落地，数据还将呈指数级增长，并越来越重要，成为企业具价值的资产之一。可以预见，企业会不断地加大对于数据保护的安全投入，数据安全的市场会是安全行业价值高、规模大的细分市场之一。而大数据业务风险防范，更是已经延展至‘大安全’的概念，足以支撑未来千亿甚至万亿级的市场想象空间。