揭秘精准诈骗，骗子为何知道你妈是谁

你可能没有儿子，但你可能收到过这样的信息，对，这样肯定骗不到机智的你，我们来看下一条。

如果骗子操作细致，通过各路信息渠道知道老王有个儿子在外地上学，他的妻子一个星期前因为心脏病住院，他有个朋友姓贾，电话暂时联系不上。那么，老王有可能上当受骗。

电信诈骗似乎无处不在，

如果要为这些那些 精准 的电信诈骗、网络诈骗等各类诈骗找一个共同的凶手，想必你绝对不会反对这一个——信息泄露。

阿里巴巴集团安全副总裁杜跃进在2016中国国际大数据大会上干脆下了一个定论—— 信息泄露来自什么地方？来自今天的大数据环境，不一定是在拥有大量数据的地方，而是到处都在漏数据。

直观的是，各类电信诈骗、网络诈骗等带来钱财损失，有时甚至是生命的代价，还有一类损失看不见，却感受得到。但是之前，一直有一种声音—— 被骗是因为你蠢 。

作为安全行业的资深从业者，杜跃进要给大家辟个谣：

非常重要的数据的泄露，导致非常精准的诈骗，老百姓没有办法应对这些骗局 。大家不要觉得被诈骗的人自己不聪明，我在阿里巴巴客服部门专门听反诈骗的东西，发现对很多人而言，被诈骗之后，最大的打击来自心理，很多高级知识分子被骗后，打击更大。而类似徐玉玉的群体，他们收入很低，打击更大一些。

因此，数据安全迫在眉睫。

防盗防漏防猪队友

但是，一个需要强调的问题又来了，数据安全涉及到两个层面：数据存放系统的安全和流动数据本身的安全。

何谓数据流动的安全？

举个栗子。

老王在某通信运营商办理了一项需要详细身份信息的业务，刚好通信运营商自己在做数据统计和用户分析，这项研究他们和A机构一起开展，不久后他们又将这批数据作为资源和B银行一起合作。不过，B银行也不是单独开展业务，它还有C和D两个合作商……

杜跃进充分感受到了这一点。

数据安全是“以数据为中心的安全”，而当今以数据为中心的安全和过去非常不同。现在的数据是融在业务里的，数据在流动的过程中要保证它的安全。可是数据在哪里产生、存储、丢失？都和过去不一样，这涉及到数据是不是能防止被外面窃取，甚至包括自己的业务生态圈—— 你自己之外的数据流转时，安全能否得到保证？

“采集数据是罪恶之源，数据采集了后应该被遗忘，实际上我不认同这样的观点。”

第一个问题，下一个徐玉玉案出现时，你是不是数据泄露的地方，为此你需要担责？

第二个问题，当你想要和别人合作的时候需要数据，有10个竞争者，数据在你的手里比在别人手里更安全吗？

他介绍，电商生态圈有很多独立软件供应商，他们会处理实施交易数据，但是以前这些独立软件供应商的安全问题比较多，大量数据被黑产直接偷走。用户刚下一个订单，详细的数据就出来了，这样就可以诈骗了。

数据在你手里就安全？

来看一个让人惊讶的对比数据。

在中国大陆，数据黑产一年的产值在1000亿人民币左右，网络安全产业却只有300亿人民币的规模。

那么，数据是怎么被偷走的？

你手里不是有新数据吗？随便找一个员工，你给我一点数据，我给你钱，一条十块、五十块怎么样？在有些案例里，一个基层政府部门的员工卖了几千万数据，他可以挣到很多的钱。

杜跃进提了很多问题。

• 数据在你手里，这种滥用行为你能发现吗？

• 你的员工不合规使用了权限，比如，他的女朋友找他查一查某个人的数据，他给查了，你能发现吗？

• 如果你不能发现，你怎么样解决滥用问题？

• 如果你解决不了滥用问题，你怎么得到信任？怎么防止被贩卖？

• 就算贩卖被抓住，你连一个线索都找不到，证明不了你的内部贩卖数据。有没有人来审核他在做这个过程当中侵犯到隐私？

杜跃进借此机会，推销了一把“数据安全成熟度模型”，他强调： 也不算广告，因为也不拿它卖钱。

既然不“卖钱”，我们来看一下。

据杜跃进介绍，这个模型是基于自身的数据安全实践，借鉴国际上成熟的度量模型，聚焦组织在数据上的安全管理能力，围绕数据从生产、存储、使用、传输、共享到销毁的全生命周期，覆盖组织结构、制度流程、技术能力、人员能力四个能力维度，共计14个安全域，50个安全管理过程。

不过这个模型还有待完善，因为杜跃进说：

我不敢说现在一定可以，因为我们自己也在不断的打磨和完善它，与此同时，我们现在尽量选择和更多的企业和部门合作，让他们尝试这些东西，目的是让这个模型能够适应各种不同类型的企业或部门，看一看管不管用？从而摸索出不仅阿里巴巴能够使用，其他企业或部门也能使用的最佳实践。

阿里巴巴推出的这个模型已经在国际标准、国家标准和行业标准立项，正在制订细节的过程中。

结尾

威瑞森《2016数据泄露报告》在2015年调查的大量数据泄露事件中表示， 人的因素是其中最弱的一环。

看来，无论是有意的贩卖，还是无意的泄露，保证数据安全，对抗精准诈骗都任重道远。