8 月20 日,浙江紹興警方偵破“史上最大數據竊取案”,涉案公司涉嫌非法竊取用戶個人信息30 億條,涉及百度、騰訊、阿里、京東等全國96 家互聯網公司產品。
8月28日,華住旗下所有酒店1.3億個人信息洩露遭確認……
近段時間,數據洩露事件頻繁曝光,意味著雖然信息網絡、大數據、雲計算等技術在社會各領域的發展與滲透為大眾的生活帶來了便利,但是同時也增加了信息安全問題發生的隱患,這不僅威脅到了企業與民眾的信息安全,甚至影響到了相關技術的進一步普及。因此在當前形勢下,吸取已有教訓,主動探求數據洩露原因並規避風險,越發值得深究。
(一)數據洩漏的原因
縱觀八月發生的兩起事件,其中浙江失竊案為嫌疑公司在與運營商合作過程中利用獲得的運營商服務器的遠程登錄權限,將自主編寫的惡意程序放在運營商的服務器上進行清洗、採集用戶cookie、訪問記錄等關鍵數據,歸屬“不規範的權限與使用”;華住洩露案則更大程度上可以歸於程序員的低級失誤,事後有資料顯示,華住數據庫IP 允許外網訪問,數據庫的用戶名是“root”、密碼是“123456”,如此簡單不負責任的設置,無疑是開門揖盜。在信息安全形勢變得逐漸嚴峻的當下,眾誠智庫認為目前數據系洩漏丟失的原因從根源上看大致有三個層面:
技術層面, 雲計算等新技術的發展意味著硬件資源共享成為大趨勢,存儲、主機、網絡等外圍保護的效果逐漸下降。在網絡通信傳輸過程中,無論是簡單的漏洞或者電磁洩露,都有可能被網絡攻擊者利用來訪問或破壞系統。
人員層面,作為危害數據安全的關鍵主體,無論是使用人員觀念不強、業務不熟,還是利用工作職能進行信息的非法獲取都會極大影響數據的安全。
管理層面,信息的安全管理可以有效提高數據安全係數,管理的不健全也會導致數據安全問題的產生:首先,缺乏完整的安全管理制度。其次,監督機制不完善,體現為技術人員有章不循。最後,教育培訓不到位,使用者缺乏安全意識與必要的技術。以上均會導致嚴重的洩露事件發生。
(二)如何保障信息安全
- 完善法律法規建設。去年6月1日《中華人民共和國網絡安全法》已正式施行,作為數據領域的“底線”,《網絡安全法》十分重要,但是在相關落實機制和實施細則方面仍有待完善。具體來講,應當進一步明確具體的數據項和敏感分類登記,具體細化標準,這樣才能將實施落到實處。
- 技術與管理兩手抓。企業應當一方面運用技術手段對數據採集、數據儲存、數據維護、數據使用各個環節通過部署防火牆、IDS/IPS、防病毒系統進行安全加固,並及時地進行系統補丁檢測。另一方面更應該對公司業務流程中的風險控制進行梳理,落實事後操作審計,最小化使用權限。並嚴格管理第三方數據接口,定期開展獨立性的安全評估。最後,部署數據預警與恢復機制,把數據洩露的損失降到最小。
當然,最重要的還是個人要提高自我的安全防範意識,充分利用自己的知情權與控制權,如此才能推動整個行業的自律規範與發展。
閱讀更多 眾誠智庫 的文章
