对此《规定》,11月1日北京九州云腾董事长尚红林在接受21世纪经济报道记者采访时表示,这更多是对互联网的提供者和使用者的一种规范和约束。 “这些规定某种程度和欧盟在大力推广的GDPR异曲同工,都是在立法层面对身份隐私等数据进行保护,因此身份认证的一些衍生技术会得到更多的重视。”
在尚红林看来,数字化转型带来机遇的同时,也让网络安全面临挑战,就像企业资产数字化后,其信息安全风险也会越来越虚拟化。安全狗 CEO陈奋则指出,网络安全不仅影响个人生活,也会影响企业、城市、国家的关键信息基础设施的稳定运行等。
除了在监督检查方面趋严外,身份认证也是一项基础的网络安全手段。尚红林指出,随着云计算和互联网的发展,公有云+移动成为行业趋势,这种情况下,通过防火墙构建的网络边界越来越模糊,原先针对封闭IDC系统的防护手段逐渐失效,业内开始需要基于“零信任”的全新解决方案,即利用强身份认证来代替信任网络。
安全需求日益迫切
2018年1月24日,江西省妇幼保健院遭遇勒索病毒;2月6日,上海某公立医院信息系统被拉黑,黑客勒索价值2亿元以太币;2月24日,湖南省儿童医院服务器疑似中了某种勒索病毒,所有数据文件被强行加密,导致系统瘫痪,患者一度无法正常就医。10月29日,一位做医院信息化的负责人向21世纪经济报道表示,他们近日也遭遇疑似病毒攻击。
医疗数据在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。早在2017年5月,就有新闻爆出“黑客倒卖医院数据落网,广州医药圈震荡”。
陈奋向21世纪经济报道记者分析称,现在黑客的攻击目标不再只是个人电脑,而是通过“黑掉”后端基础设施,来影响前端的信息安全,因此,网络安全已成各行业重点关注的问题。
尚红林表示,随着万物互联时代的到来,云计算和移动互联网快速发展并普及,安全问题也不再仅存于网络和PC端,而是辐射到云端和移动终端设备,网络安全、云计算安全及移动终端安全将成为企业甚至是国家安全的重点。
为此,我国网络和信息安全领域的法规也在不断演进,如2017年正式发布的《中华人民共和国网络安全法》的第二十一条明确指出,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,防止网络数据泄露或者被窃取、篡改。
此次《规定》则加大了监督检查的力度。根据规定,公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对互联网服务提供者和联网使用单位开展监督检查,包括进入营业场所、机房、工作场所;要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;查阅、复制与互联网安全监督检查事项相关的信息;查看网络与信息安全保护技术措施运行情况等。
“这个《规定》是网络安全法的一个配套法律,使得检查的目标、处罚琐事更清晰,让公安在执法检查时更好地有法可依。像容易受到互联网攻击的服务场所、国家重要基础设施等,这些都是检查的重点目标,其中还特别强调了重大活动期间的网络安全等。”陈奋指出。
身份认证或成关键
事实上,有交易的地方几乎都需要身份认证,如银行转账、电商交易等。由于身份认证是电子支付的基础,银行、证券、保险等在身份认证领域无不投入重金,但仍不断爆出短信验证码劫持、账户被盗等事件,进而造成数十万,甚至上百万的资产损失。
对于金融行业产生信息劫持的原因,尚红林认为,云计算、大数据、物联网、移动互联网(下称云大物移)的发展推动产业变革,金融业也在朝着电子化、移动化、互联网化方向快速发展。随着企业内外部业务的关联度逐渐提高,资产规模不断扩张,信息资产的管理风险也会不断上升。“信息化需要进行持续建设与实践,易造成各业务系统冗杂和用户体系混乱,同时移动化的发展,也会在账户安全和用户体验之间催生出新的挑战。”
据了解,传统的身份认证主要依靠账户和密码,但随着黑客攻击手段以及电信诈骗的升级, 撞库、拖库等攻击手段层出不穷,网络中的危险因素越来越多。在云计算和互联网中,业界需要有新的技术手段来保障身份安全,而身份认证是在边界模糊的“云大物移”体系下的一个重要防护手段。
据了解,九州云腾的身份认证采用多种方法,包括用传统的户名+密码、短信验证码、第三方认证、指纹识别、人脸识别等,在确认了用户身份的基础上,又采用了OIDC、 SAML等联邦身份认证标准协议,实现更多应用的用户认证和授权。目前九州云腾已经有十多万在线活跃用户。
据IDC统计,2020年,50%的在线交易将受指纹等生物认证技术的保护,近年来兴起的FIDO认证,更被腾讯,阿里、京东等互联网巨头普遍采用。另据尚红林介绍,网络安全市场已达到数百亿,身份认证占其20%左右,在中国,腾讯是典型的2C互联网企业,但是不久前还成立了2B的事业部来顺应此市场变化。
“美国身份认证企业OKTA市值已达数十亿美元,年复合增长率超过70%,2018年一个季度就新增400多家付费用户,这也证明IDaaS作为新一代身份认证服务,可以有效助力IT的云化、移动化、智能化发展。” 尚红林指出。
数字化要一盘棋更要各自为战
