1、數(shù)據(jù)泄露泛濫成災(zāi) 企業(yè)客戶數(shù)據(jù)安全該如何保障?

　　2、大規(guī)模數(shù)據(jù)泄露愈演愈烈誰來保障企業(yè)客戶的數(shù)據(jù)安全?

　　3、數(shù)據(jù)泄露泛濫成災(zāi) 金山云為企業(yè)數(shù)據(jù)安全保駕護航

　　最近關(guān)于數(shù)據(jù)泄露的事件可謂“一波未平一波又起”。上月末，F(xiàn)acebook 5000萬用戶數(shù)據(jù)泄露的事件還沒有解決，4月23日曝出的外賣平臺數(shù)據(jù)泄露又一次刺激著大眾的神經(jīng)，數(shù)據(jù)精確到訂餐人的姓名、地址、訂餐平臺、訂餐次數(shù)等詳細信息，若被別有用心的人加以利用，后果極為嚴重。

　　其實，近年來各界對于信息安全工作已經(jīng)越來越重視了，《網(wǎng)絡(luò)安全法》的發(fā)布，媒體對于信息安全的宣貫等。但伴隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)與生活幾乎融為一體，數(shù)據(jù)的搜集無時無刻不在發(fā)生，但數(shù)據(jù)的保護只要有一點疏漏，就有可能造成極大的影響，特別是企業(yè)而言，平臺數(shù)據(jù)一旦泄露往往規(guī)模極大，需要進行重點防范。

　　找準數(shù)據(jù)泄露途徑，有的放矢

　　據(jù)中國國家信息安全測評認證中心調(diào)查顯示，信息安全的現(xiàn)實威脅主要是內(nèi)部信息泄露和內(nèi)部人員犯罪，由病毒和外來黑客引起占比較小。具體而言，包括公司內(nèi)部人員倒賣、黑客入侵以及數(shù)據(jù)最底端傳遞環(huán)節(jié)如快遞員賣單等。

　　對于公司內(nèi)部人員倒賣信息，這是最難杜和防范的。由于各種利益的誘惑，管理者或者有機會接觸數(shù)據(jù)的員工私下把客戶的數(shù)據(jù)賣給第三方(各種廣告商和黑產(chǎn))，這些數(shù)據(jù)大多按照真實和豐富程度，按條計費出售。比如此次外賣平臺數(shù)據(jù)泄露事件，雖然每條個人信息售價不到一毛錢，但龐大的數(shù)據(jù)量會帶來可觀的經(jīng)濟利益。

　　對于黑客入侵類型，此類主要是因為網(wǎng)站或者系統(tǒng)存在漏洞，黑客有機可乘，入侵到系統(tǒng)后臺，接觸到客戶數(shù)據(jù)。此類數(shù)據(jù)在市場上流通的特征是便宜，基本上數(shù)據(jù)里面會包含密碼或者哈希。比如，在暗網(wǎng)里面出售的非常著名的雅虎的數(shù)據(jù)庫，雅虎幾乎是被扒了一層又一層，其用戶完全沒有信息安全可言。

　　在數(shù)據(jù)最底端傳遞環(huán)節(jié)，如快遞員賣快遞單，外賣小哥賣外賣單，這些單據(jù)上的個人信息，與前面兩種相比，價值雖然低，但是傷害卻不小，可以做到極其精準的打擊。如果想獲取某人的住址或者電話，只要找對應(yīng)的服務(wù)人員(該區(qū)域的快遞員或者外賣員)幾乎都能買得到。

　　加強系統(tǒng)安全結(jié)構(gòu)設(shè)計，有效隔離

　　信息泄露隨時可能發(fā)生，對于企業(yè)而言，應(yīng)該做到在整個業(yè)務(wù)流程的開始環(huán)節(jié)，就把安全因素考慮進去。具體而言，在總體架構(gòu)設(shè)計階段，有明確的授權(quán)管理要求、用戶認證要求、日志審計要求等。對于互聯(lián)網(wǎng)應(yīng)用，應(yīng)當明確網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全相關(guān)的安全防護手段。

　　常見的安全設(shè)計有以下三點：在技術(shù)架構(gòu)上，應(yīng)采用分層的架構(gòu)，實現(xiàn)對底層業(yè)務(wù)邏輯進行有效隔離，避免將底層實現(xiàn)細節(jié)暴露給最終用戶;在部署架構(gòu)上，應(yīng)采用應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器分離的部署模式，即我們經(jīng)常說的站庫分離的思想，優(yōu)點是在應(yīng)用服務(wù)器被攻擊時，不會導(dǎo)致核心應(yīng)用數(shù)據(jù)的丟失。在外部接口設(shè)計方面，應(yīng)采用最小接口暴露的原則，避免因開發(fā)不必要的服務(wù)而帶來的安全隱患。

　　除設(shè)計架構(gòu)時考慮安全之外，還需要在編寫代碼時引入安全概念。開發(fā)人員在日常編碼中應(yīng)該要注意不要出現(xiàn)SQL注入、XSS跨站腳本、文件包含、命令執(zhí)行等OWASP常見Web漏洞。隨時關(guān)注重大漏洞，特別是Apache Struts2這類帶有RCE(遠程命令執(zhí)行)的漏洞，及Discuz、WordPress等第三方應(yīng)用的漏洞。項目上線前，有條件的客戶最好做一下黑白盒安全審計。

　　整個系統(tǒng)的運營，也起到了非常關(guān)鍵的作用。運維安全是企業(yè)安全保障的基石，不同于Web安全、移動安全或者業(yè)務(wù)安全，運維安全環(huán)節(jié)出現(xiàn)問題往往會比較嚴重。運維服務(wù)位于底層，涉及到服務(wù)器，網(wǎng)絡(luò)設(shè)備，基礎(chǔ)應(yīng)用等，一旦出現(xiàn)安全問題，直接對最底層的服務(wù)造成影響，而現(xiàn)在的自動化運維經(jīng)常會因為一臺機器出問題，導(dǎo)致一批機器出現(xiàn)問題。一個運維漏洞的出現(xiàn)，通常反映了一個企業(yè)的安全規(guī)范、流程或者是這些規(guī)范、流程的執(zhí)行出現(xiàn)了問題。

　　此外，安全管理的重要性也需要引起注意。通常情況下，造成安全問題并非是安全技術(shù)的缺陷，更多的是安全規(guī)范、標準流程覆蓋不全的情況，如新業(yè)務(wù)、第三方業(yè)務(wù)、收購的業(yè)務(wù)，運維體系還未統(tǒng)一，運維安全建設(shè)沒有及時跟上;即使在安全規(guī)范和流程覆蓋完全的情況下，在具體的執(zhí)行上也會出現(xiàn)一系列問題。

　　金山云完備安全保障機制 守護數(shù)據(jù)安全

　　當前，數(shù)據(jù)安全形勢日益嚴峻，對于很多企業(yè)來講，它們的業(yè)務(wù)核心就是數(shù)據(jù)，一旦信息泄露，往往面臨的就是巨額的賠償、業(yè)務(wù)受損、被低價收購，甚至現(xiàn)實生活中的人身安全等問題。因此，除了系統(tǒng)安全建設(shè)及運營外，尋求專業(yè)的合作伙伴來提高自身的安全防范能力，也是眾多企業(yè)的重要選擇。對此，金山云提供了一整套完善的安全保護機制，來有效保障企業(yè)客戶數(shù)據(jù)安全，降低數(shù)據(jù)泄露風險。

　　在數(shù)據(jù)安全層面，金山云從數(shù)據(jù)訪問規(guī)范、數(shù)據(jù)使用審計、數(shù)據(jù)流轉(zhuǎn)監(jiān)控、數(shù)據(jù)加密存儲、數(shù)據(jù)傳輸安全和數(shù)據(jù)安全培訓(xùn)教育等方面，對用戶數(shù)據(jù)進行嚴格管理。基于多年的安全服務(wù)經(jīng)驗，讓用戶可以把一部分的安全服務(wù)托付給金山云，自己專注于核心業(yè)務(wù)能力的提升。

　　對于數(shù)據(jù)的存儲，金山云提供包括對象存儲、關(guān)系型數(shù)據(jù)庫、Redis數(shù)據(jù)庫等多種存儲方式，每一種存儲方式都具有完備的數(shù)據(jù)安全方案，通過安全隔離、加密存儲、訪問控制、隱私保護、數(shù)據(jù)監(jiān)控等技術(shù)手段，有效保證數(shù)據(jù)的安全可靠。

　　在業(yè)務(wù)安全方面，金山云通過防攻擊中心、Web應(yīng)用防火墻、服務(wù)器安全、漏洞掃描、高級安全服務(wù)、證書管理等多項產(chǎn)品多層級全方位為用戶保駕護航。對于開放的服務(wù)，及時做好服務(wù)器的安全配置，修復(fù)底層架構(gòu)存在的漏洞。

　　此外，通過建立主動防御體系，充分利用現(xiàn)有的公有云提供的安全屬性(VPC和安全組)減少業(yè)務(wù)系統(tǒng)的攻擊面，幫助云上用戶降低數(shù)據(jù)泄露風險。包括對外Web服務(wù)對接云WAF防止黑客通過應(yīng)用漏洞入侵云主機;安裝云端服務(wù)器安全軟件降低來自主機的安全威脅;對于網(wǎng)絡(luò)游戲、SaaS、直播等云應(yīng)用使用公有云廠商提供的高防業(yè)務(wù)服務(wù)等。對企業(yè)自身數(shù)據(jù)庫的安全，金山云提供容災(zāi)、備份等高可用方案，防止黑客刪除用戶云上數(shù)據(jù)庫，極大提高數(shù)據(jù)的高可靠性。

　　互聯(lián)網(wǎng)帶來的信息化浪潮日新月異，數(shù)據(jù)的呈現(xiàn)方式也愈發(fā)多樣化，作為21世紀的石油，數(shù)據(jù)已經(jīng)成為數(shù)字化時代最大的資產(chǎn)，當前，數(shù)據(jù)的非法獲取、網(wǎng)上兜售、甚至違規(guī)利用所組成的利益鏈條正在悄然形成，對于企業(yè)來說，必須盡快提高數(shù)據(jù)安全的警覺性，通過安全的體系架構(gòu)設(shè)計、專業(yè)的合作伙伴來幫助自身完善安全防范能力，提前設(shè)置好邊界、做好規(guī)則，將是企業(yè)發(fā)展中最重要的一步。