普华永道冼嘉乐:哪些是黑客要全力窃取的重要数据?

2016年6月24-25日，由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。自2012年以来，WOT品牌大会秉承专注技术、服务技术人员的理念已经成功举办九届，不仅积累了大量的专家资源，更获得了广大IT从业者和技术爱好者的认可和好评，并成为业界重要的技术分享及人脉拓展平台。

会后，记者专访了普华永道网络安全咨询服务合伙人冼嘉乐，他在本次大会分享的内容是 新形势下企业安全管理面临的挑战与应对，帮助企业在日趋严格的监管要求和新技术应用等新形势下，从监管合规、数据保护和新技术应用安全最佳实践等方面提供应对建议，解决企业面临的安全管理问题。

嘉宾介绍

冼嘉乐，普华永道风险及控制服务部网络安全咨询服务合伙人。从业24年，为中国大陆、香港和美国众多知名企业提供信息系统管理相关服务，工作涉及信息安全、IT风险管理和国有企业、上市公司以及外企在华的IT审计服务等方面。他在金融业、通信行业、高科技行业及制造业的信息技术风险管理咨询方面经验丰富。

在安全圈里，大家经常说安全是相对的，不安全是绝对的，永恒不变的是变化。随着现在科技的发展，云计算，大数据，人工智能，移动网络和各种APP应用为我们的生活带来便利的同时，也带来很多的网络安全风险。黑客群体会攻击企业的网络，企业要加强安全防御。这里黑客要窃取或者企业最终要保护的是什么?最重要的数据是企业里面的商业数据，再往细里说就是用户的个人隐私信息。

个人隐私保护为什么如此重要?

全世界很多国家都出台有个人隐私法律，最近欧盟特别出具了一个新版的《一般数据保护条例》GDPR。这个条例的发布，不仅要求欧盟国家要符合这个条例的规定，其他国家的企业，只要使用你所在公司业务的客户或者使用你们公司产品的用户涉及到欧盟国家的公民，就需要满足此欧盟数据保护条例的要求。

具体来说，你的业务操作可能获取到欧盟国家公民的个人信息，就要满足这个欧盟的条例要求。比如航空公司卖飞机票，如果有欧盟国家的公民来买飞机票并提交了个人信息，该航空企业就要满足欧盟的这个条例。对于电商企业，有一个欧盟的用户做网站注册操作，成为你的会员，在购买产品的过程中，涉及到提交个人信息，你的企业就需要满足欧盟的标准，所以这个条例的应用无国界限制。

不过，这个法律是2015年12月份新出台，将在2018年年初生效。在过渡阶段，业务操作上涉及到获取欧盟国家公民个人信息的企业就要提前准备应对的预案和启动相关工作了，比如了解法律条例的要求，做好公司数据的个人隐私保护等。

在客户信息和企业内部数据中，哪些是需要特别加以保护的数据?

冼老师表示我们要特别注意两类数据。一个是用户的个人敏感信息，包括你的用户名、生日、银行卡的账号和密码等。另一个在智能时代，我们生活中会使用很多智能设备并连接物联网，在这个过程中，有些工具的使用中会收集个人的其他信息，比如健康方面的心率信息、血糖指数等敏感数据。那么，黑客一般是怎样获取到这些信息的呢?他们通过网站中的一些工具，使用钓鱼网站或者一些恶意软件，在网站中收集个人的信息。或者通过工具在网络里先开一个后门，方便进入目标系统获取数据。在移动的网络世界，黑客也可以利用手机程序的权限漏洞，窃取你在APP中输入的个人信息。

特别需要注意的是当你在外面吃饭或者游玩时，有很多免费的WiFi网络可以使用，但是这些免费的WiFi不一定安全，它可能是黑客设置来做钓鱼使用。当你使用这个WiFi网络在手机上输入银行卡账号和密码时，因为存储的数据没有加密。黑客就可以实施拦截，看到你的明码信息。

冼老师建议大家免费的WiFi最好不要使用，使用自己手机的3G、4G的网络相对来说比较安全。即便你使用免费的WiFi，有一些敏感的操作也千万不要做，比如登录银行的账号，这就要求你在各个方面提高自己的安全意识。

企业需要建立事件响应机制

对于企业来说，他们提前要建立事件的响应机制，一旦有安全事件发生了，企业可以按照一个标准的程序来运作。首先，要进行业务的操作恢复。然后，比照事前制定的预案，判断这个事件属于哪级安全事件。后续由谁来代表公司发言，向相关的监管部门上报情况和联系媒体进行事件报道等。这里涉及到的一系列问题都要提前做好预案，当具体的情况发生时，按照响应机制的清单列表来逐项进行处理。

企业在日常的安全管理中，有哪些国外的成功经验可以借鉴?

在云计算和大数据发展的移动互联网时代，国内企业需要参考一些国际标准来完善或者改善自己的网络安全管理体系，甚至可以拿来做认证的标准，比如网络安全的体系ISO27000和IT部门操作的体系ISO20000。这两个标准，企业都可以作为标杆来进行内部流程完善，建立企业的安全管理体系，如果是云计算方面的企业，也可以参考市场上不同的云安全标准。另外，企业在技术层面要加强管控，和第三方合作，加强和完善自己的管控体系。

欧盟新数据保护规则：欧盟的数据隐私标准法规GDPR将在2018年年初生效。该法规旨在取代1995年发布的欧盟数据保护指令(Directive 95/46/EC)，为保护欧盟公民个人数据的隐私性数据保护规则进行了改革和更新。新法规的要点包括个人管理自己个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”。

【责任编辑：火凤凰TEL：（010）68476606】