专家详解,你就是你

作者:巴黎人-网上法院

  被泄露之外,被利用更使身份信息安全问题“雪上加霜”。陆光明说,韩国2011年就爆发过一次非常严重的身份数据泄露事件,当时有3500万用户数据泄露,占当时韩国网民的95%左右。此事使得韩国政府开始限制网络身份收集,也宣告了其网络实名制的结束。

出台信息保护法完善数据流动制度

在万物互联的场景下,安全威胁因素更加多样,特别是要确保低功耗、低成本、大规模、多样化的物联网设备具有可信的身份。针对物联网时代新问题,亚信安全再次踏出了关键的一步,联合更广泛的合作伙伴解决身份安全架构的一致性问题,为用户提供从咨询、产品、交付到运营的端到端服务。同时,亚信安全将会继续引领国内身份安全的技术发展,确保身份安全管理能够支持多样化、碎片化的物联网系统,携手用户在物联网身份安全、身份信用与防欺诈、用户与实体行为智能分析等领域不断创新和探索。

  “基于庞大的互联网用户数据基础,亚信安全之前就曾做过类似的平台构建。”陆光明说,随着国家互联网+政务战略部署的提出,亚信安全希望构建一个能够打通政务体系的、拥有法律效力的认证平台。

公安部第一研究所副所长于锐认为,个人信息及隐私保护进入新时代,进入互联网、大数据、人工智能时代,发掘利用数据的价值、个人信息和隐私保护“鱼和熊掌”难以兼得,如何兼顾和平衡成为世界性难题。

数据泄密事件的导火索:身份漏洞

  “一些互联网公司开发的APP,注册时需要身份证、姓名、电话等信息。我相信很多人都不愿意透露、被捆绑。”陆光明说,用户很难确定企业是否会将这些信息挪作他用。

陈建民以勒索病毒软件、网络欺诈为例进行分析,调查结果显示,86.17%的人群遭受过勒索软件的威胁。遇见勒索软件,69.67%的人选择了重置系统,12%的人选择交纳赎金。

【亚信安全业务安全产品部的总监张辉】

  陆光明表示,一个保有用户信息的第三方认证平台,可以帮助互联网企业认证用户、也确保用户的信息只用于约定的用途。“对于新型互联网企业来说,平台把认证结果反馈给企业,企业获得的是平台处理过的可信的用户认证。而用户(消费者)需要面对的则是一个有公信力的平台,而不是多个信息不对等的企业。”

“通观欧美诸国现行立法,不难发现,欧盟通过高标准的个人数据保护规范抢占了全球数据保护规则的制定权,进而影响着全球个人数据保护立法,同时也对欧盟之外的国家的数据产业产生了巨大的制约效应。”公安部第三研究所副所长李建瓴指出,美国通过反对数据本地化,推进合法使用境外数据明确法,以期在全球领域获取更多的数据利益。他建议,尽快出台专门的个人信息保护法,完善跨境数据流动制度,着力加强监管力度。

作为身份安全领域的垂直子集,亚信安全的企业内部身份安全管理(4A)产品不仅多年保持着国内市场占有率第一的位置,在公安,金融,教育,政府等关键行业都具有较大影响力,更在运营商行业,已享有22个移动省份,23个电信省份,8个联通省份的部署。而从横向的整体实力来看,亚信安全是目前国内耕耘时间最长、规模最大的身份安全厂商。亚信安全通过二十年的产品创新和技术积累,不仅技术能力已实现1000余种设备和应用的身份安全管控,其产品功能也覆盖到了身份管理、访问管理、高级认证、身份威胁分析、特权账号管理、堡垒机、互联网接入认证、网站统一认证等方方面面。

  搭建有公信力的第三方验证平台

随着数据的商业价值和社会价值的快速提升以及信息技术的快速发展,数据安全问题成为各国立法者的关注重点。大数据时代,数据不仅成为重要的商业资源,更是国家基础性战略资源。大数据安全已然成为超越个体,关涉国家安全的核心环节。为保障大数据安全,各国正加紧推进个人数据保护、数据本地化与跨境传输、执法数据的跨境调取等多方面的立法工作。

吴冬表示:“在陆续推出拨号认证、SIM卡盾、令牌卡、手机盾、声纹认证等多因素认证产品的同时,亚信安全还在生物认证、机器学习等人工智能领域持续创新。亚信安全最新一代的身份认证安全体系由生物识别管理平台、认证策略管理平台、认证服务监控构成,将你所知(静态密码、手势密码),你所有(指纹识别、人脸识别),你所持(短信验证码、矩阵卡、数字证书、动态令牌)全面集成,让看似繁琐难控的身份管理更安全、更易用。”

  居民身份证作为电子法定证件,本身兼有“线下”和“线上”法律作证的地位。沈昌祥表示,2代身份证识别体系建设时,预留了指纹识别的端口,当时由于种种原因暂时未被整合的认证手段,最近可能再被启用。

关于个人信息标准化的未来,洪延青认为,下一步的标准重点是个人信息安全影响评估指南、组织应具备的能力、个人对其个人信息有选择性的、增强式的控制权,不断提升个人信息保护水平基线。

【编辑推荐】

  新技术让网上身份识别更可靠

巴黎人app397997 1巴黎人app397997 2

如今,身份安全已经走入物联网时代,一场更大的变革正在发生。到2020年,全世界将有260亿的物联网设备相互连接,且平均每天还有550万设备连接到整个网络中来,新增的商业设备和系统中将会有超过一半会包含IoT组件。然而,数以万计的漏洞风险和持续演进的攻击手段也会接踵而至,攻击者对于IoT设备的攻击首当其冲。

  “既然防不胜防,能不能让这些偷窃泄露来的信息分文不值呢?现实生活中身份证的使用对此提供了很好的借鉴。”陆光明说。

京东法律研究院院长丁道勤指出,大数据安全主要是保障数据不被窃取、破坏和滥用,以及确保大数据系统的安全可靠运行。要构建包括基础系统层面、中间数据层面和上层应用层面的大数据安全框架,从技术保障、管理保障、过程保障和运行保障,多纬度保障大数据应用和数据安全。为此,他建议重视大数据安全体系建设,健全大数据安全的法律法规体系建设,加强重要领域敏感数据监管,加大大数据安全核心技术的研发,加大大数据安全应用标准的研究。

从1999年推出全国首个宽带认证应用,到2007年国内第一个4A产品发布、2009年首次完成三网融合统一认证,再到近几年完成针对大数据和云计算平台特性的4A产品升级,推出基于大数据和机器学习的智能审计产品,亚信安全的身份认证已经形成了全功能化、全行业化的多维度覆盖。

  在系统底层建设中,陆光明介绍,目前平台的主流技术仍是基于强密码实现安全保障,并会适时利用安全大数据,进行态势感知的风险预测和控制。对于新兴的区块链技术、时间戳等安全保障方式,平台将做到端口预留。

信息泄露后果严重

所谓身份安全,就是要确保正确的人能够在正确的时间和正确的原因下正确访问正确的资源。而其实现的最佳途径非“4A”莫属,通过对IT系统的账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)进行统一集中管理,4A解决了“When”、“Where”、“What”、“Who”、 “How”这样的问题,也就是说谁能够在什么时候获得怎样的授权来使用某一个应用或设备,如何去使用这样的应用或设备, 以及知道谁在什么时候访问了某些应用或设备等,确保合法用户安全方便使用特定资源。

  这意味着,在网络世界中,别人可以通过证明“他是我”,借由“我”的身份“招摇撞骗”,掳走“我”的财产。在安全专家的语系里,这样的产业链条被称为黑产。亚信安全副总裁陆光明表示,“从产业规模看,2016年底我国网络电子认证市场还不到200亿元,但是黑产的规模已经高达千亿元左右。”

□ 本报记者 杨傲多

在身份安全应用场景和成功案例的分享环节,吴冬详细介绍了亚信安全新一代身份安全产品的创新特性,同时详细讲解了亚信安全账号全生命周期管理、“金库”模式强化授权管控、身份威胁分析有效发现“内鬼”、基于4A构建安全封闭工作环境的具体应用。

  “易获得”是个人电子信息难以规避的“软肋”。安全领域内,八成以上的信息泄露由内部人员所为。“很少有黑客愿意花那么大的代价从外攻破系统获取信息,从内攻破是更便利、更容易的。”陆光明说。

正在举行的2018年国家网络安全宣传周“大数据安全和个人信息保护”分论坛上,针对近年来公安机关侦破侵犯个人信息犯罪案件呈上升趋势且违法分子手段不断升级的现状,中国工程院院士、与会的大数据安全和个人信息保护方面的专家学者、行业精英从增强相关部门主体责任、提高公众参与意识两方面,对信息保护问题进行了深刻的剖析并共商对策,最终达成多项共识。

另外,亚信安全网站统一认证平台作为中国电信互联网应用层统一账号认证平台,提供了静态密码、短信验证码、UIM卡硬件认证等多种身份识别能力,面向电信自有应用和合作应用提供身份识别及单点互信功能,服务5亿多用户,高峰支持1300次/秒请求。

  巨大的用户量是对该平台的另一个严峻考验。据统计,2016年支付宝实名用户达到4.5亿人。与之相比,要构建覆盖中国全体居民以及法人单位的统一身份认证平台,数据处理量可想而知。

“目前计算机病毒造成的危害主要为网络下载和浏览网页,计算机病毒危害正在大量的向移动终端转移”,国家计算机病毒应急处理中心常务副主任陈建民指出,移动终端病毒危害主要是来自社交软件、金融服务、浏览网页等方面。

支撑全球最大规模用户部署:持续创新

  “850块钱,就能买到开房记录、列车记录、航班记录等11项个人隐私数据,在身份黑市上,隐私的买卖是被明码标价的,能够用于制作假通缉令等的身份证户籍信息,一条只需要10—40元。”中国科学院信息工程研究所副所长荆继武展示了一张明晰的价码账单,仿造一个企业身份信息的“五证”仅需要千元左右。无论对于自然人还是法人来说,我国网络信息保护的形势都非常严峻。

有数据显示,近年来公安机关侦破侵犯个人信息犯罪案件涉及银行、工商、电信等诸多行业,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。

  身份信息在黑市上被明码标价

“个人信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等。”四川大学网络空间安全研究院特聘副研究员洪延青指出,网络安全法的第四十一条、第四十二条和第四十三条的规定,赋予个人对其个人信息非常强的控制权。

【亚信安全网络安全事业部副总经理,兼安全产品中心总经理吴冬】

  来源:新华网

信息保护应尽快立法

这是一个残酷的事实,数据泄露已经成为全球最常见的网络安全事件之一。据Verizon安全研究部门调查发现,在2260起已证实数据泄露事件的分析过程中,可以确定,63%都涉及到弱口令、默认口令或被盗口令。其中,95%的安全事件均可以追溯到身份访问凭据被盗,另外则有10%是由可信人员滥用身份访问凭据所导致的,并且因为身份安全漏洞造成的数据窃取事件往往较为“迟钝”,有10%的数据泄露事件甚至超过1年才被发现。

  陆光明对此持相同观点,他表示,在国外以企业公信力作为社会公信力的商业行为居多,例如谷歌的互联网账号可用作其他跨行业的社会认证。但是,Facebook的身份数据泄露,严重到甚至可能会对美国高层政策施以影响,这一事件令人对这种模式的安全性产生顾虑。

网络认证势在必行

巴黎人app397997 3

  为了担负起庞大的信息处理量,平台将构建分布式的数据存储,并推动数据共享,打破数据孤岛,推进电子签名应用等,以期形成跨行业的身份信息认证的传递和互认。通过推动单纬度、单系统、特定场景的可信身份,向多维度、综合性、可交叉的可信身份体系,助力网络安全身份体系发展。

中消协本月发布的《App个人信息泄露情况调查报告》显示,手机App已成个人信息泄露重灾区,推销电话和短信泄露个人信息达87%,85.2%的个人信息是通过手机App所泄露。而个人信息泄露的主要途径中,62.2%是未经本人同意收集,61%是故意泄露和出售。

随着移动互联网、大数据、物联网和云计算等新兴技术的崛起以及互联网+、中国制造2025等政策的落地实施,越来越多的企业开始争先恐后地加入数字化转型浪潮中。据IDC数据显示,截止2017年年底,全球2000强企业中三分之二的首席执行官都会把数字化转型放在其企业战略的核心位置。毫无疑问,数字化生产运营过程中所产生的数据信息已经成为重要的核心资产,这为身份管理赋予了更多内涵。

  “公民网络电子身份标识基础设施将融合各种新技术。”陆光明说,企业将持续创新可交互、易操作、高可信的新型认证技术,例如声纹识别、指纹识别、相貌识别等。

中国工程院院士沈昌祥指出,网络空间的极大威胁是有利可图、全方位攻击。杀病毒、防火墙、入侵检测的传统“封堵查杀”不仅不起作用并且还会起反作用,难以应对新型的网络威胁。现下的人脸识别等高科技智能验证手段存在缺陷,只能解决真实身份信息确定问题,欠公平性且缺乏法律效力,同时造成大量的个人信息泄露。

巴黎人app397997 4

  通过搭建第三方平台的方法,或能解决这个“隐患”。

本报成都9月19日电

在数字化转型已成大势的今天,人作为IT管理中重要的一环也是最薄弱一环,身份安全管理的重要性愈加凸显。在近日召开的亚信安全身份安全研讨会上,亚信安全全面展示了支撑全球最大规模用户身份安全管理的实施方案和服务能力,分享了“企业内部身份安全管理”、“互联网接入认证管理”、“网站统一认证漫游管理”和“公共安全可信认证服务平台”所构建的身份安全管理系统的进阶成果。亚信安全将依托生物识别、机器学习和云计算等新兴技术推出新一代身份安全系统,助力行业客户轻松应对数字化转型、万物互联所产生的海量身份识别数据,有效规避云计算、物联网等全新环境下的风险威胁。

奥门巴黎人手机app,  “黑户”的存在,不仅侵害了可能并不知情的个人的利益,也使得真正需要准确掌握身份信息数据的电商深感困扰。“一家电商的责任人表示,他每天有几十万新注册用户,其中有很多黑产用户,电商企业需要花费很多精力、成本去校验新用户,将‘黑户’挑拣出来,确保系统安全。”陆光明说。

“这样不改变现有身份认证的流程,不影响国家网络系统的安全,对我国现有的二代身份证信息平台进行扩充延伸,进行认证即可。”沈昌祥说。

在ICT领域,亚信安全通过自主研发掌握的核心技术,支持着数亿用户的认证与身份管理,通过对多个重要生产环节强身份认证保护,确保三大运营商实现业务创新和合规操作,有力地推动了通信行业上下游链条的可信链接。此外,亚信安全还通过为企业内提供堡垒机、身份威胁分析能力,为互联网接入提供符合国际化规范标准的认证管理能力、为网站提供统一认证漫游管理能力,以及协助政府部门推进网络实名制,建设面向公共安全服务可信体系(认证/信用)等诸多方面的齐头并进,支撑超过10亿人的全球最大规模的身份安全应用部署。

  荆继武总结道:“现有的身份信息管理技术手段单一、难奏效,需要完备的身份信息数据管理体系。”

网络安全法第二十四条规定,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。沈昌祥认为,离开个人隐私信息,来保护个人信息安全,需要做好网络可信身份认证工作。他指出,与公民二代实体身份证绑定产生网络证件,形成网络认证的唯一依据,既具有法律追踪的依据,也减轻了企业和个人的负担。

据他介绍,某企业采用基于机器学习的身份威胁分析系统,大幅减少误报。2016年发现疑似违规的行为130,000多起,疑似“内鬼”260人。通过发现违规、流程驱动、闭环审计,2017年该企业违规事件大幅降低,对“内鬼”的震慑作用显著。

  相关链接

如何兼顾大数据安全和个人信息保护专家呼吁

亚信安全业务安全产品部的总监张辉表示:“随着5G的来临物联网将得到急速的发展,边缘计算等技术在安全防护中将得到广泛的应用。目前,物联网设备厂商和运营商都在大力构建自身的安全防护体系,当市场上出现杀手级应用及产品的大规模商用之后,身份安全将强化体系与体系之间联动防护的能力。”

巴黎人app397997,  先前已经聚集了大量客户信息的淘宝、微信等已经开始担负起这样的角色,目前,已经有“授权认证”等模式,让用户无需再次注册新应用的账号。荆继武表示,背后基于多模式多安全等级的电子认证技术,也保证了“不同等级的数据库使用者,能够接触到的信息是不同的。”

数字时代安全的DNA:身份安全

  陆光明介绍,由国家不同部委授权建设,亚信安全参与搭建统一的身份信息认证平台,不仅仅要完成个人身份认证业务,还提供涉及到法人、营业执照等证照信息的认证服务。纵向来看,整个平台包括国家中心平台的建设,也包括中心平台与各个部委、各省市的对接建设。

巴黎人app397997 5

  网络可信身份认证该出手了。“《中华人民共和国居民身份证法》确定居民身份证是公民身份管理的可信依据,网络身份验证也需要可信度、权威级相当的可信平台。”中国工程院院士沈昌祥在日前召开的C3安全峰会上表示,网络身份可信验证工作刻不容缓。

身份认证安全的下一站:万物皆有身份

  网络身份验证难有“防骗”功效

在研讨会上,亚信安全网络安全事业部副总经理,兼安全产品中心总经理吴冬表示:“在围绕数据为核心的安全管理架构中,人的因素是其中最薄弱的一环。在2017年上半年,全球就有19亿条记录被泄或被盗,比2016年全年总量(14亿)还多,而这一趋势伴随着人类的本性弱点的存在,将会愈演愈烈。在企业数字化转型的过程中,攻击者将利用这块短板,窃取和冒用合法用户的身份,盗取机密数据。同时,由于缺少严密的身份安全管理手段,不法分子控制的物联网设备会引发更大规模的攻击,甚至会直接造成用户群体的生命危险。”

  当下使用的网络身份验证难有“防骗”功效,沈昌祥将问题归纳为3类:方法不安全、难保真实性;欠公平公正、难防篡改;缺乏法律效力、难以执法。沈昌祥解释:“例如大量汇集在微信、支付宝上的个人信息,虽然是实名认证,但隶属于第三方企业,难以保障它们的不可更改性、不可复制性。”

“万物皆有身份”,这是万物互联基础条件。首先,物联网使虚拟世界与物理世界逐渐融为一体,物与人之间不仅相互联系,更要形成虚拟社会和现实社会之间形成安全可信的交融,这让身份安全所辖范围更加广泛。其次,身份管理必须要延伸到很多低功耗、低成本的IOT产品上,不仅身份认证技术上需要实现员工、合作伙伴、移动应用、消费者、微服务、API,以及云与云之间的贯通,更离不开从软件、硬件到芯片全产业链的众志成城。

  之前的身份可信判断,通过“我所拥有+我所知道”,未来将转向“我的特征+我所知道”。也就是说,之前“我拥有”的u盾、短信验证码+口令等方式,将被替换“我”特有的指纹、声纹、面相+口令等方式。通过新技术的加入最大限度做到只有“我”才能证明“我自己”。

  为此,亚信安全咨询战略总监吴大明表示,平台在建设和使用的过程中将会不断有新的应用加入,因此平台具备可扩展。一个公民出生、入托再到上学,需要跑到各个地方去办各种手续的体验,未来可能变成可跨省、随时办。

  5月16日,有报道显示中国银联通过大数据统计分析,得出个人网络财产安全的“蚁溃之堤”——个人信息泄露是90%电信诈骗案件成因。

  目前国家层面正在构建具有法律效力的权威性公民网络电子身份标识基础设施,并加快与电子身份应用相关的技术和标准的研制推广工作,未来将会加速构建和网络电子身份基础设施配套的基础服务能力,基于网络电子身份标识基础设施将会出现更多的行业化、跨领域的高可信、互信任的认证平台系统。

  “身份非法买卖严重影响网络实名制的实施效果。”荆继武说,身份黑市交易可以将个人的网络身份绑定到一个完全不属于本人的现实身份上。

  如何让网络身份认证与现实身份认证一样“强有力”“无漏洞”,成为一个系统工程,关系到新技术应用、新体系构建、以及与已有法律体系的共享共建。国际上,欧盟2006年出台了开展网络可信身份体系建设的法规。美国2011年公布网络空间可信身份国家战略,提出10年时间建设美国网络身份体系。

本文由奥门巴黎人手机app发布,转载请注明来源

关键词: