公安部、工信部、网信办指导的2018网络安全生态峰会在北京国家会议中心开幕，国内外安全领域顶级专家云集、共议黑灰产治理等议题。会上，南都大数据研究院、南都新业态法治研究中心联合阿里巴巴集团安全部发布了《2018网络黑灰产治理研究报告》(以下简称《报告》)。南都报系党委副书记、总经理陈文定出席峰会并现场发布《报告》。

DSMM是企业数据安全重要抓手

据悉，全国信息安全标准化技术委员会推动的DSMM(大数据安全能力成熟度模型)已进入国家标准报批稿，ITU-T国际标准已于2017年12月发布，并在国际标准ISO/IEC?JTC1?SC27全会上获得通过，下一步将在各个成员国之间的投票中寻求最终的通过。

“数据安全管理应该是全球各个国家共同面临的挑战，我们应该把好的、最佳实践、好的业界标准贡献到国际上去，积极参与和影响国际规则的制订，并积极探索将国家标准贡献到国际标准，进而将国家数据安全框架标准的认证变为国际认证。”刘贤刚表示，在网络安全领域中国的标准和认证同时走出去贡献国际，历史上是没有的。

“DSMM从安全能力评估的角度出发，体现企业的成熟度有多高，而不是从资产、风险等三要素，弥补了保障不足的问题，对于中国企业来说，DSMM会是一个非常有利的抓手”，李京春指出，这是中国商业在国际上的话语权。

阮祺康表示，DSMM作为一个国家标准推出的话，能够有效提升企业的数据安全水位，“最起码有标准作为抓手，能让企业知道他们到底处于什么水平，将来怎么改进。”

据悉，DSMM已在10多个领域的50多家机构开展了落地实践，涵盖政府、银行、证券等行业。今年5月贵阳数博会，首批107名DSMM测评师持证上岗，也进一步推进DSMM的落地实践。

专家揭秘公民信息泄露案件频发：

黑灰产团伙和灰产被忽视是主因

以南方都市报近日报道的浙江绍兴警方在阿里巴巴的技术协助下破获的一起史上最大规模数据窃取案为例，北京一家新三板上市公司，竟然利用30亿条公民个人信息从事黑灰产，一年营收就超过3000万元。这家上市黑产公司利用向全国十余省市多家运营商提供正常软件服务的机会，在运营商服务器内放置恶意程序清洗流量，导致30亿条用户数据被窃取。

有互联网安全专家指出，从运营商的层面进行流量劫持和清洗，相当于从源头上数据就丢失了，位于下游的互联网公司的安全防护能力再强，也无法防范。

近年来，关于公民个人信息案件高发。去年3月，公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动，仅4个月时间就侦破相关案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500余亿条。

多名业内专家指出，从这些案件中可看出，黑灰产团伙、黑数据平台的存在是当前数据泄露的主要原因。这帮不法分子在窃取数据和使用数据上都是无底线的，并且在非法获取数据后，并没有保护数据的能力。

南都联合阿里发布的《2018网络黑灰产治理研究报告》指出，据不完全统计，从2015年开始，互联网黑灰产业从业人员就已经超过40万。

公开数据显示，2017年中国网络安全产业规模仅为450多亿元，而黑灰产早已达千亿元规模。2017年至今，阿里巴巴安全部配合全国各地执法机关破获各类涉黑灰产案件多达8022起，公安机关抓获千余黑灰产犯罪团伙，共6799名犯罪嫌疑人。

业内专家指出，黑产治理的严峻性已被公认，但灰产不被重视，或者视而不见，黑产和灰产的联合，才是整个社会需要关注的信息泄露的另一重要原因。

此外，也应当看到，受数据保护措施、能力、意识等多方面因素的影响，大量中小企业在数据保护问题上有所欠缺，而这些企业在经营过程中不断积累用户数据，一旦出现安全风险，很容易成为黑灰产团伙盯上的肥肉。

据安永的一份报告显示，大量企业管理层对现状表示非常担忧。在25个不同行业、1755名受访者中，87%的董事会成员和企业高管都表示对其公司层面的安全缺乏信心，57%的受访者都曾在受访近期遭遇过一次重大的网络安全事件，90%的受访者认为他们的信息安全并不完全满足企业需求。

安永大中华区信息安全主管合伙人阮祺康指出，从数据的产生到收集、分发、处理、储存、销毁，在数据生命周期的不同环节，很多中小企业都面临问题。

“比如，我个人工作中接触到的一些企业，数据积累了很多，但并不知道哪些数据重要，哪些不重要，能不能给第三方，给了第三方之后又如何管理，也不知道该如何解决这些问题。”阮祺康表示。