即时新闻:
新闻
智慧警务频道  >  即时新闻  > 正文

阿里首推数据安全认证机制强化行业自律共治

2019年09月23日 16:51     来源: 中国警察网    作者: 辛闻   


  图说:9月20日,阿里巴巴集团数据安全团队在SAEE数据安全峰会,率先推出引领行业的数据安全认证机制,推动平台ISV、物流公司等主体,主动提高自身数据安全能力。

  近年,公安机关在工作中发现,许多房地产、金融、保险和酒店等行业领域工作人员,会在社交群叫卖涉及公民个人隐私的信息,其中包括这些行业领域的负责人,会利用职务权限盗取数据用来交易,也有员工在离职前将相关数据偷出再倒卖,给社会各行各业都带来了严重的风险危害。

  9月20日,包括平台、商家、ISV(独立软件开发商)和物流以及公安等在内的百余家企业、政府机构代表,在杭州参加2019年度电商生态安全联盟(SAEE)大会暨数据安全峰会,共议数据安全生态共治新机制,以期解决这一行业性难点问题。

  会上,阿里巴巴基于多年数据保护实践经验,以生态共治为核心理念,率先推出引领行业的数据安全认证机制,强化生态安全意识,提升全行业数据安全水平。该机制主要依托阿里巴巴御城河产品,结合阿里云安全解决方案,从事前、事中和事后预警、响应与防控,对数据进行全链路安全保护,同时利用平台权益调控,推动平台ISV、商家等主体,主动提高自身安全能力。

  据悉,这也是业内首个数据安全认证机制。

  男子串通女友盗卖数据被批捕

  周海(化名)原本是广州某科技公司的软件销售人员,他长期从事软件售后服务,利用在ISV工作职务之便,他会悄悄记下客户提供的账号密码,在修复处理软件漏洞等问题时,将数据批量导出,再通过QQ等社交软件贩卖给数据黑灰产人员,用于刷单和诈骗。

  今年5月份,周海为获取更多数据,他通过QQ联系上一位昵称为“菠萝”的数据黑产人员。“菠萝”自称研发出了一套可操控他人电脑的远程控制软件。“只要有人接收并点开这个软件,他就可以控制别人的电脑。”周海说,这款软件名叫“皮卡丘”(又称“扛把子)。

  两人商议五五分成合作,随后“菠萝”许诺2元每条价格向周海收数据做测试,要走千余条数据也一直未付款。周海这才意识到,自己被人“黑吃黑”。

  之后,又有名为“奋斗”的QQ网友向周海买数据。几次交易后,周海发现对方对数据有特殊需求,为弄清对方购买数据的用途,他将自己和女友的电话号码,也都放进数据包一起卖出。不久,他俩都收到了诈骗电话。

  周海的女友丁琪(化名)原本是某商家招聘的运营人员,掌握工作网店的账密等数据信息,得知男友周海盗卖数据能赚钱,丁琪并没有制止,反倒默认配合,还不时会帮助周海拉取用户的数据信息用于交易。丁琪解释称,自己发现男友在网上赌博欠了不少钱,害怕他铤而走险干其他非法的事,想帮他一把。

  5月22日,周海和女友丁琪在出租屋相继落网,被公安机关当场抓获,目前两人已被检察院正式批捕,仍在接受调查。

  阿里推新机制强化生态数据保护权责

  阿里巴巴集团数据安全团队总监徐骏在会上指出,率先发布数据安全认证机制,就是为了有效规范上述行业共同面临的数据安全问题,希望生态内的各个角色和伙伴,能够担负起自身的安全责任,自主运营数据安全风险,一起协同提高整个生态的安全水位。

  图说:生态数据安全防护就像木桶原理,安全水位高低由最低的短板决定。

  “我们有产品优势和技术能力,也有成熟的数据安全保护经验与标准,都可以贡献出来给整个互联网行业共享,虽然领域不同,但解决的思路相通。”徐骏表示,保护数据安全就像一个木桶原理,整个行业的数据安全水位往往是由最短的那块木板决定,“用我们自己的实践经验赋能,是为了拉高行业中其他主体的数据安全短板。”

  阿里数据开放生态安全负责人曦暮介绍,阿里巴巴该认证机制在事前,会基于数据安全能力成熟度模型(简称DSMM)国家标准,对ISV等主体进行安全认证评估;事中会对风险事件进行24小时全天候监测;事后会对异常行为和漏洞等问题,进行快速即时处置。

  这套机制也尝试向数据使用方透出数据安全心智,让使用者在挑选数据产品及服务时,将数据安全能力作为参考指标,优先接受数据安全能力更好的产品。通过市场机制来实现优胜劣汰,让ISV、商家等主体自觉提高数据安全能力和意识。

  曦暮称,推出以“数据安全认证”为核心手段的生态共治方案,目的就是为了让ISV、商家等生态内伙伴共同参与其中,实现生态内的数据安全治理。