亮相全球数字经济大会 华顺信安揭秘黑客新军火

日前，由北京市人民政府、国家发展和改革委员会、工业和信息化部、商务部、国家互联网信息办公室、中国科学技术协会共同主办的2022全球数字经济大会在北京国家会议中心举行。随后，进行了为期三天的2022全球数字经济大会数字安全峰会暨ISC2022第十届互联网安全大会。8月2日，华顺信安技术代表王宇受邀参与数字安全技术创新论坛，并发表了题为《网络空间测绘与数据安全的碰撞》的主题演讲。

大会开幕式上，工业和信息化部网络安全管理局局长隋静在致辞中从安全产业协同发展的角度，提出要夯实安全底座，完善制度规则，强化行业数据安全治理能力。

中央网信办信息化发展局副局长、一级巡视员张望在致辞中表示，要注重强化安全意识，加强制度建设和管理，最大化保障网络安全和数据安全。各界要加强技术协作，推动网络安全和数据安全相关理论和技术的研究向纵深发展。同时还要及时制定针对各类问题的应急预案并适时开展实战演练，提升重大安全事件的应急处置能力。

近几年，由于数据安全意识不够、安全防护不足等问题导致数据泄露事件仍然频频发生。例如：美国VoIP服务商Broadvoice就曾因配置错误导致该公司10个数据库完全开放，泄露超过3.5亿条客户信息；2022年5月，印度eHospital 2.59亿医疗数据泄漏，泄漏影响483万患者个人信息，影响印度631家医院，其中包含印度的州和中央政府医院等。

据IBM发布的“2021年数据泄露成本报告”显示，2020-2021年平均数据泄露总成本将增长10%，这是过去七年来最大的增幅。我国相继出台的《网络安全法》、《网络安全等保制度2.0》、《数据安全法》、《个人信息保护法》等法律法规，构成了我国数据安全的法律保障体系，为企业数据安全“保驾护航”。特别是日前发生的，国家对于某数据安全相关事件亿元级的巨额处罚，更是让人们看到了国家对于数据安全治理的决心。

华顺信安技术代表王宇通过多年来攻防实战经验及近几年演练工作得出结论：“未来，网络武器库里很可能会增加一个新的‘家伙’——数据资产。有组织的攻击者，可以通过网络武器库里所储备的丰富数据资产对攻击目标实施精准画像，策划针对目标人员的精准社工攻击。防御者们也需要加大此类库存资源的累积和不断更新，挖掘数据资产背后隐藏的真相，结合漏洞情报、威胁情报，在网络空间攻防对抗中抢占先机。”

而数据库作为承载最多数据的地方，是企业存储数据资产的核心基地，一旦被攻破，这对存储于其中的数据来说无疑是致命的。对此，王宇表示：纵观当前安全产业来看，现在企业以及行业内对于数据安全治理的视角，更多的还是在遵从传统数据安全建设、数据防泄漏建设的思路。“没有绝对的安全”，这是网络安全领域里的公理。所以，我们除了要尽量避免数据被窃取外，还需要考虑好数据外泄初始阶段的安全感知和安全建设，在数据外泄事件刚刚显露苗头时就采取敏捷的安全防护动作，封堵数据安全治理短板，增强数据安全防护体系的强度。

在此背景下，华顺信安提出了新的安全建设思路——用空间测绘能力感知数据安全，并由此开发出一套数据安全感知模型，可实现对数据库变化的实时监控，并做到监测、预警。可通过数据的IP Whois、资产、证书等情报进行归属分析，从而将IP与企业进行匹配。同时通过该模型还可进行概况分析，通过对数据库的版本号、条目数等进行分析，从而将归属分析及概况分析进行数据关联整合。这样企业就可在数据泄露爆发的第一时间厘清数据泄漏风险点在哪？我的数据是否泄漏？泄漏内容是什么？泄漏数量是多少等，并据此为企业安全研究、企业内/外网暴露面评估等方面提供支撑。

发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择，数字安全如同万丈高楼之“地基”，在数字经济发展中起到基础的保障作用。而以攻击者角度，全面感知威胁，又是安全防御的基础。

华顺信安从创立以来，始终葆有坚定的信念和理想，坚定走研发创新之路，用严谨专业的态度和持续的技术创新，打磨满足市场需求的安全产品。未来，华顺信安将应用网络空间资产测绘技术及实践经验，为各行各业解决数字化安全难题持续寻找、提供新的思路，为数字经济和数字中国建设保驾护航。