數(shù)據(jù)泄露事件頻發(fā)，企業(yè)該如何保護(hù)數(shù)據(jù)安全

（文章來源：環(huán)球網(wǎng)）

近幾年，隨著信息技術(shù)與眾多產(chǎn)業(yè)的融合以及全球資產(chǎn)數(shù)字化的發(fā)展趨勢，個人與企業(yè)數(shù)據(jù)的價值劇增，掌握海量用戶信息的行業(yè)和企業(yè)頻繁面臨數(shù)據(jù)泄露的安全風(fēng)險。尤其金融、保險、教育、醫(yī)療、科技、政府等行業(yè)作為數(shù)據(jù)的“洼地”，已成為黑客和黑產(chǎn)的主要攻擊目標(biāo)?？v觀歷年數(shù)據(jù)泄露事故，不僅數(shù)據(jù)規(guī)模驚人，動輒千萬級甚至上億，同時泄露數(shù)據(jù)的顆粒度愈發(fā)精細(xì)、全面，對于企業(yè)和用戶都造成了直接或間接的巨大損失。

隨著互聯(lián)網(wǎng)技術(shù)在社會各方面的滲透，個人生活工作的便利與企業(yè)效率的提升常常是通過個人讓渡一部分隱私權(quán)實現(xiàn)的。這其中有用戶對個人隱私保護(hù)的輕視，但更多來源于部分企業(yè)對于用戶信息的過度索取，導(dǎo)致大量個人用戶的信息以數(shù)據(jù)方式存儲于企業(yè)的數(shù)據(jù)庫中，形成了數(shù)據(jù)聚合的“洼地”。

而數(shù)據(jù)本身也存在一定的安全風(fēng)險。產(chǎn)業(yè)互聯(lián)網(wǎng)時代，企業(yè)在生產(chǎn)、運(yùn)營中都高度依賴數(shù)據(jù)，數(shù)據(jù)從生產(chǎn)之初就會進(jìn)入傳輸、存儲、處理、分析、訪問與服務(wù)應(yīng)用等各環(huán)節(jié)且循環(huán)往復(fù)，并在流動的過程中產(chǎn)生大量的接觸和交互——內(nèi)部的研發(fā)和運(yùn)營管理人員的經(jīng)手，服務(wù)器、云平臺、大數(shù)據(jù)處理與分析系統(tǒng)中的流動，與眾多伙伴、客戶的共享，這些都使得數(shù)據(jù)面臨安全風(fēng)險。

結(jié)合近幾年新聞曝光的事故統(tǒng)計和研究資料表明，黑客、公開數(shù)據(jù)庫、數(shù)據(jù)庫配置錯誤、“內(nèi)鬼”是數(shù)據(jù)泄露的四大“罪魁禍?zhǔn)住薄：诳停豪锰囟ǖ穆┒磥砀`取信息，通過暗網(wǎng)或黑市交易獲取利益；公開數(shù)據(jù)庫：因選型不當(dāng)或技術(shù)疏忽而對數(shù)據(jù)庫未加保護(hù)，使其暴露于互聯(lián)網(wǎng)上；數(shù)據(jù)庫配置錯誤：錯誤地關(guān)閉云提供商標(biāo)準(zhǔn)化的默認(rèn)安全設(shè)置，或?qū)δ承┓?wù)允許不受限制的訪問設(shè)置；內(nèi)鬼：員工數(shù)據(jù)盜竊、員工賄賂和售賣信息、運(yùn)維人員報復(fù)性操作等。

此外，非授權(quán)訪問、系統(tǒng)或者網(wǎng)站漏洞等也會引發(fā)數(shù)據(jù)泄露風(fēng)險，隨著AI、大數(shù)據(jù)、云計算等新技術(shù)被黑客應(yīng)用，原有的數(shù)據(jù)安全防護(hù)體系不得不面臨更大的壓力。

風(fēng)險背后，是企業(yè)數(shù)據(jù)防護(hù)思維和體系的缺位。在傳統(tǒng)的安全構(gòu)架中，企業(yè)依賴于特征匹配的防御模式，即把已出現(xiàn)的攻擊事件寫入特征庫再進(jìn)行同類型防御操作；由于已有特征的局限性，往往會使企業(yè)在面對新攻擊時應(yīng)對滯后或束手無策，造成嚴(yán)重的經(jīng)濟(jì)損失。那么，對于數(shù)據(jù)存量高、信息流動性強(qiáng)的企業(yè)，到底應(yīng)如何構(gòu)建數(shù)據(jù)安全的防護(hù)體系呢？如何轉(zhuǎn)后手為先手，讓安全防護(hù)更具主動性和前瞻性呢？

騰訊安全數(shù)據(jù)安全負(fù)責(zé)人彭思翔表示，數(shù)據(jù)泄露事件折射出的是僅僅依靠單點防護(hù)難以達(dá)到真正的安全防護(hù)效果。企業(yè)保護(hù)數(shù)據(jù)安全應(yīng)該轉(zhuǎn)向以數(shù)據(jù)為中心構(gòu)建防護(hù)策略，并遵循數(shù)據(jù)流動的方向，構(gòu)建基于全生命周期的安全防護(hù)。具體來說，構(gòu)建全生命周期的防護(hù)體系分為四大階段。

數(shù)據(jù)安全的梳理。企業(yè)對應(yīng)在數(shù)據(jù)生產(chǎn)之初就加強(qiáng)數(shù)據(jù)管理的分類和治理，包括對數(shù)據(jù)進(jìn)行感知、風(fēng)險識別和分級，明確定位哪些是機(jī)密數(shù)據(jù)、敏感數(shù)據(jù)、普通數(shù)據(jù)，進(jìn)而根據(jù)數(shù)據(jù)的不同等級，設(shè)置不同的安全策略，做到加強(qiáng)感知、聯(lián)防聯(lián)控。

管理制度的建設(shè)。數(shù)據(jù)安全不僅是技術(shù)問題，更是管理問題。由于目前數(shù)據(jù)的流動速度快、流動體量大，僅靠企業(yè)的安全運(yùn)維人員和基礎(chǔ)的安全防護(hù)設(shè)備已經(jīng)難以滿足數(shù)字資產(chǎn)的風(fēng)險響應(yīng)、運(yùn)營維護(hù)、防越權(quán)治理等需求，而是需要通過數(shù)據(jù)安全的相關(guān)產(chǎn)品把制度落地。通過自動化的工具來清點數(shù)據(jù)資產(chǎn)，快速明確核心數(shù)據(jù)分級和資源分配，實時監(jiān)控訪問權(quán)限和訪問行為軌跡；同時需要重視運(yùn)維審計和數(shù)據(jù)庫審計，一方面為企業(yè)提供運(yùn)維人員操作審計，對異常行為進(jìn)行告警，防止內(nèi)部數(shù)據(jù)泄密，一方面對數(shù)據(jù)庫運(yùn)行進(jìn)行智能化審計，對數(shù)據(jù)庫運(yùn)行過程中的潛在風(fēng)險進(jìn)行挖掘。

解決方案的落地。在數(shù)據(jù)存儲、傳輸、使用過程中，應(yīng)充分應(yīng)用先進(jìn)的數(shù)據(jù)保護(hù)技術(shù)，如加密和脫敏技術(shù)，針對機(jī)密數(shù)據(jù)則需要持續(xù)性的保護(hù)。企業(yè)必須確保其數(shù)據(jù)庫、文檔管理系統(tǒng)、文件服務(wù)器在整個生命周期內(nèi)正確分類和保護(hù)機(jī)密數(shù)據(jù)；通過密鑰管理對數(shù)據(jù)訪問權(quán)限進(jìn)行限定，集中管控以及安全存儲數(shù)據(jù)庫憑證、API密鑰和其他密鑰、配置信息等敏感憑據(jù)以避免越權(quán)操作行為。善用數(shù)據(jù)安全產(chǎn)品和工具，即使出現(xiàn)了不可逆的黑客攻擊導(dǎo)致數(shù)據(jù)泄露的情況，也可以通過水印追溯和數(shù)據(jù)加密保護(hù)等技術(shù)盡可能地降低企業(yè)和個人損失。

強(qiáng)化安全運(yùn)營，企業(yè)應(yīng)當(dāng)加強(qiáng)事前-事中-事后的全流程安全保障，打造覆蓋全生命周期的預(yù)防、檢測、響應(yīng)和可視的安全運(yùn)營體系。企業(yè)用戶可以參考或直接使用騰訊安全公有云安全運(yùn)營中心的產(chǎn)品，它主要包括：事前：通過攻擊面測繪可以發(fā)現(xiàn)有不應(yīng)暴露的運(yùn)維端口在公網(wǎng)；通過云產(chǎn)品安全配置管理，可以檢查服務(wù)器、數(shù)據(jù)庫有沒有部署訪問控制，有沒有開啟數(shù)據(jù)備份，做到防患于未然。

事中：可以通過Cloud UBA（用戶行為分析）分析發(fā)現(xiàn)一些過度授權(quán)的子賬號與協(xié)作者賬號以及相關(guān)用戶的異常操作行為，例如用戶權(quán)限提升、高危操作等，有效識別云控制臺只能夠用戶操作的異常行為。同時通過流量威脅感知功能，可識別云上資產(chǎn)互聯(lián)網(wǎng)流量中的異常外連等內(nèi)到外數(shù)據(jù)泄漏威脅。此外，通過泄漏監(jiān)測，可幫助用戶實現(xiàn)對Github及暗網(wǎng)上的數(shù)據(jù)泄漏事件進(jìn)行監(jiān)測。

事后：通過接入的云操作行為日志、云產(chǎn)品配置變更日志及各類安全產(chǎn)品日志，可以實現(xiàn)事后的全面分析和調(diào)查溯源，及時分析定位安全事件。此外需要重點關(guān)注的的是上云企業(yè)應(yīng)偏重考慮完整、場景化的解決方案，以確保企業(yè)數(shù)據(jù)防線穩(wěn)固可靠。
? ? ? （責(zé)任編輯：fqj）