據(jù)統(tǒng)計(jì)，2018 年共 10 余家公司發(fā)生數(shù)據(jù)泄露，超 10 億人受到影響，企業(yè)應(yīng)該如何避免此類(lèi)事件發(fā)生?

回顧 2018 年，全球數(shù)據(jù)泄露事件不斷，當(dāng)事公司不乏技術(shù)實(shí)力雄厚、人才充足的大型互聯(lián)網(wǎng)企業(yè)，但都沒(méi)有逃脫數(shù)據(jù)泄露的命運(yùn)，個(gè)別企業(yè)的安全漏洞甚至被黑客利用數(shù)年之久，泄露的總體數(shù)據(jù)量超過(guò) 10 億。
 

2018 數(shù)據(jù)泄露事件回顧

最大的數(shù)據(jù)泄露事件應(yīng)該是萬(wàn)豪酒店數(shù)據(jù)泄露門(mén)，目前此事件已被百度百科詞條收錄。根據(jù)萬(wàn)豪國(guó)際集團(tuán)官方微博聲明，喜達(dá)屋旗下酒店客戶(hù)預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵，在 2018 年 9 月 10 日或之前曾在該酒店預(yù)定的最多 5 億條客戶(hù)數(shù)據(jù)或被泄露。喜達(dá)屋旗下酒店包括瑞吉酒店、威斯汀酒店、喜來(lái)登酒店、雅樂(lè)軒酒店，福朋酒店以及 W 酒店等品牌。消息公布后，萬(wàn)豪國(guó)際美股盤(pán)前跌逾 5%。

萬(wàn)豪方面表示，黑客在過(guò)去四年一直可以訪(fǎng)問(wèn)預(yù)訂系統(tǒng)和客戶(hù)數(shù)據(jù)。被盜數(shù)據(jù)包括客戶(hù)姓名、地址、電話(huà)、卡號(hào)和護(hù)照信息等，甚至有關(guān)旅行的地點(diǎn)和人員信息。

但是，此次如此大規(guī)模的信息泄露事件卻并未被貨幣化，不少專(zhuān)家懷疑可能不是黑客的個(gè)人行為，或許是有組織和有規(guī)劃的竊取。

除此之外，Twitter 的密碼散列出現(xiàn)問(wèn)題，導(dǎo)致無(wú)法對(duì)密碼進(jìn)行加密并以純文本格式保存，此次事件影響了 3.3 億用戶(hù);華住集團(tuán)被爆數(shù)據(jù)泄露，用戶(hù)信息在暗網(wǎng)公開(kāi)出售，標(biāo)價(jià) 8 個(gè)比特幣(當(dāng)時(shí)的市值大約等價(jià) 37 萬(wàn)人民幣)，被泄露用戶(hù)信息近 5 億;Under Armour 旗下軟件 My Fitness Pal 泄漏 1.5 億用戶(hù)數(shù)據(jù);谷歌旗下開(kāi)發(fā)平臺(tái) Firebase 泄露超過(guò) 1 億用戶(hù)敏感信息; Quora 被第三方軟件惡意攻擊，1 億用戶(hù)數(shù)據(jù)遭遇泄露風(fēng)險(xiǎn);Facebook 大約有 1.47 億帳戶(hù)暴露在漏洞之下;Uber、Ticket Fly、英國(guó)航空、新加坡航空等公司均未能幸免。

企業(yè)和個(gè)人安全措施

這些數(shù)據(jù)泄露事件的發(fā)生讓用戶(hù)對(duì)企業(yè)的信任大打折扣，用戶(hù)很難放心將數(shù)據(jù)暴露給這些組織。對(duì)這些事件進(jìn)行復(fù)盤(pán)，企業(yè)和個(gè)人應(yīng)該如何盡可能避免這類(lèi)事件帶來(lái)的影響呢?

對(duì)企業(yè)而言，數(shù)據(jù)泄露的方式大致分為黑客攻擊、內(nèi)部泄漏和軟件漏洞等，企業(yè)在整個(gè)業(yè)務(wù)流程開(kāi)始時(shí)就應(yīng)該認(rèn)真考慮安全因素。在架構(gòu)設(shè)計(jì)層面有明確的授權(quán)管理、用戶(hù)認(rèn)證和日志審計(jì)要求，必要的漏洞修復(fù)和架構(gòu)升級(jí)需要有專(zhuān)業(yè)技術(shù)人員負(fù)責(zé)。

目前常見(jiàn)的系統(tǒng)安全設(shè)計(jì)分為三部分：在技術(shù)架構(gòu)層面，采用分層架構(gòu)，實(shí)現(xiàn)底層業(yè)務(wù)邏輯有效隔離，避免將底層實(shí)現(xiàn)細(xì)節(jié)暴露給最終用戶(hù); 在部署架構(gòu)層面，采用應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器分離的部署模式，即站庫(kù)分離思想，避免核心應(yīng)用數(shù)據(jù)泄露;在外部接口設(shè)計(jì)層面，采用最小接口暴露原則，避免因開(kāi)發(fā)不必要的服務(wù)而帶來(lái)的安全隱患。

對(duì)于數(shù)據(jù)存儲(chǔ)，比如對(duì)象存儲(chǔ)、Redis 數(shù)據(jù)庫(kù)等，每種存儲(chǔ)方式都具有完備的數(shù)據(jù)安全方案， 通過(guò)安全隔離、加密存儲(chǔ)、訪(fǎng)問(wèn)控制、隱私保護(hù)、數(shù)據(jù)監(jiān)控等技術(shù)手段保證數(shù)據(jù)安全。此外，對(duì)于擁有大量隱私數(shù)據(jù)的企業(yè)而言，加強(qiáng)內(nèi)部員工管理也很關(guān)鍵，內(nèi)因往往是造成此類(lèi)事件發(fā)生的最大原因之一。

如果用戶(hù)想要避免自身利益受損，也可以采取一些安全措施，比如使用復(fù)雜而獨(dú)特的密碼;在社交平臺(tái)發(fā)布內(nèi)容前多次調(diào)整;使用信用卡進(jìn)行網(wǎng)上購(gòu)物，如果財(cái)務(wù)信息泄露，欺詐性收費(fèi)的責(zé)任就會(huì)減少;僅對(duì)外提供必要信息，信息提供越少，泄漏的就可能越少;在終端設(shè)備上選擇一些安全防護(hù)軟件;如果數(shù)據(jù)已被通知泄露，請(qǐng)立即更改密碼并采取相應(yīng)公司建議。

作者：趙鈺瑩

參考鏈接：

https://www.computerweekly.com/news/252455311/Data-breaches-affected-more-than-a-billion-people-in-2018

標(biāo)簽： 安全 服務(wù)器 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)企業(yè) 漏洞 數(shù)據(jù)庫(kù) 應(yīng)用服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。