【聚焦】阿里云再曝用户信息泄露“丑闻” 如何走好网络安全保护壁垒路?
近日,网络流传一份浙江省通信管理局就此前阿里云计算有限公司未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司的投诉事件的答复函,其中显示,经调查核实,阿里云计算有限公司的行为违反了《网络安全法》第四十二条规定,根据《网络安全法》第六十四条规定,已责令阿里云计算有限公司改正。
图1《网络安全法》具体条例
制图| 卢秉辉
8月23日,针对该事件,阿里云给出回应称,根据自查,该投诉事件应为2019年“双11”前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,从而引发一名客户投诉。阿里云表示,已根据公司制度对该事件进行严肃处理,并遵照浙江省通信管理局要求积极整改,对人员管理层面上的不足进行强化改进。
阿里云频现数据安全“丑闻” 背后漏洞引人深思
作为国内公有云市场的龙头,阿里云常年居于市场第一的位置。根据中国信通院发布的《云计算发展白皮书(2020年)》显示,目前40%的中国500强企业在使用阿里云;约有一半的中国上市公司使用阿里云(图1)。可以说,阿里云成为许多国内大型企业云端的数据中心,但也正是这样一家企业,却对客户信息的安全管理存在较大的漏洞,仅在2019年,阿里云被公开的数据安全“丑闻”就多达三起。
图1 2020Q4国内公有云IaaS市场服务商份额比
制图| 卢秉辉
2019年二季度,根据《电信条例》《电信业务经营许可管理办法》等相关规定,电信管理机构公布了一批电信业务经营不良名单,其中包括阿里云在内的18家公司,存在不配合监督检查、违规提供互联网接入服务、未经同意收集用户信息等行为。
2019年2月份,阿里云因隐私权限设置错误而导致的大规模用户资料泄露事件,涉及40余家企业、200余项目,许多用户的手机号、手持身份证照片、销售报表等重要信息均有泄露。对此,阿里云当时回应称,公司提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项,目前正在评估、改进相关产品设计。
相比于普通企业自身的信息安全管理漏洞,作为国内最大的云计算技术服务商阿里云频发信息安全“丑闻”为市场、用户带来的负面影响则更为深远。阿里云链接着诸多外部大型企业,是众多数据汇聚的中心,但这样一个中心却并未执行高合规、严要求执行数据管理标准,为终端的用户、中端的合作企业造成巨大的信息安全风险,也进一步加深广大用户的信任顾虑,这无疑不利于国内云计算,甚至是移动互联网市场的良性发展。
网络安全监管加码市场规模高速发展
今年下半年以来,国内网络安全相关的政策相继发布(表1),严监管的加码促使数据安全正在成为互联网监管新内核,《个人信息保护法》《数据安全法》《反垄断法》或将构成未来中国互联网监管的三大法律支柱。
表1 2021年下半年网络安全文件不完全统计
制图| 卢秉辉
监管的多维出击之下,多家公司App被依法下架、暂停新用户注册,部分互联网厂商被认定为垄断、数据安全保护缺位。一时间,网络安全产业关注度空前高涨。
IDC中国网络安全分析师王一汀认为,2017年以来,中国网络安全市场发生了许多变化,变化集中体现在政策和需求两方面。法律法规的不断健全让最终用户进一步意识到了网络安全的重要性。除合规之外,在攻击事件、攻击形势的推动下,最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升。需求之下,网络安全市场未来5年将继续维持高增速发展。
在守护网络安全方面,中国银联始终站在市场前沿,一方面,每年参加国家网络安全宣传周活动,向市场展示银联在网络安全新探索、自主安全可控、支付安全等领域的最新研究成果,以实实在在的技术实力守护网络安全底线(图3)。另一方面,持续不断向用户宣传网络安全的实践措施、向合作机构强调网络安全的合作底线,携手多方机构共同扎紧网络安全的篱笆。
去年12月,中国银联正式发布金融级云服务“银联云”。“银联云”,具有四大特点,其中稳定可靠、金融级安全两点位列前二,为了保证向合作机构输出高规格的安全性,“银联云”采用多地多中心智网互联方案,提供七层安全防护体系确保金融客户应用和数据的完整性。此外通过AI风险防控、隐私保护、加密存储等手段,满足个人金融信息保护需求。对于网络安全的重视,是“银联云”在推动产业合作伙伴数字化转型和升级的关键体现,也是其积极开展合作,服务产业上下游的最好证明。
图3 中国银联在去年网络安全宣传周上的技术展示
制图| 卢秉辉
来源: 《金卡生活》杂志
页:
[1]