公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

不要泄露！疑似45億條國內(nèi)個人信息泄露背后的數(shù)據(jù)安全賬

閱讀量：次 文章來源：安恒信息

2月12日晚，Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機器人鏈接。網(wǎng)傳消息稱該機器人泄露了國內(nèi)45億條個人信息,疑似電商或快遞物流行業(yè)數(shù)據(jù)。用戶只需輸入手機號,就可以查詢到姓名、手機號和詳細的收貨地址等隱私信息。

近年來，數(shù)據(jù)泄露事件頻出，每一次數(shù)據(jù)泄露背后，都是一次、甚至多次不可估算的損失，這些損失不僅來自于被泄露信息的個人，也包括泄露數(shù)據(jù)的機構(gòu)，甚至整個國家、社會。

根據(jù)IdentifyTheft Research Center中心的數(shù)據(jù)顯示，2022年世界范圍的數(shù)據(jù)泄露事件比2021年增長了14%，其中熱門的醫(yī)療機構(gòu)、金融服務(wù)公司、制造企業(yè)和公用事業(yè)企業(yè)成為黑客的首要攻擊目標。

從表面看來，數(shù)據(jù)泄露伴隨著巨大的經(jīng)濟損失，2022年7月，美國電信巨頭T-Mobile 在一份公告中披露，該公司就2021年一起盜取部分客戶數(shù)據(jù)的網(wǎng)絡(luò)攻擊的集體訴訟達成和解協(xié)議。T-Mobile 同意支付3.5億美元來處理集體訴訟原告的索賠。

IBM在2022年底發(fā)布的發(fā)布的一項企業(yè)數(shù)據(jù)泄漏成本報告顯示，近兩年來，數(shù)據(jù)泄漏導致企業(yè)每年的平均成本支出超過400萬美元。

進入數(shù)字時代，作為關(guān)鍵的生產(chǎn)要素，數(shù)據(jù)的重要性大幅提升，同時因數(shù)據(jù)安全風險造成的損失也同比例，甚至更大比例的提升。忽視數(shù)據(jù)安全治理的背后，不僅僅是千百萬甚至上億的經(jīng)濟損失，事故背后為社會、企業(yè)帶來的無形損失，更是一筆無法評估的“安全賬”。這種風險直接成為阻礙數(shù)據(jù)要素價值充分釋放的攔路虎、絆腳石，如何解決這一問題？

安恒信息在實踐中發(fā)現(xiàn)，數(shù)據(jù)泄露往往有三種情況：

一、網(wǎng)絡(luò)攻擊

據(jù)統(tǒng)計，60%以上的數(shù)據(jù)泄露是由網(wǎng)絡(luò)攻擊導致的，正因為數(shù)據(jù)要素的重要性，使得黑客組織熱衷于攻擊關(guān)鍵部門、大型企業(yè)，以達到其經(jīng)濟訴求，或者破壞目的。

二、來自內(nèi)部

現(xiàn)在各行各業(yè)都推進數(shù)字化轉(zhuǎn)型，大量員工、開源人員、合作伙伴都可以接觸到數(shù)據(jù)，過程中的管理不當就可能造成數(shù)據(jù)泄露。

三、在組織之間的流通

數(shù)據(jù)只要給出去就沒有辦法拿回來了。雖然這種情況發(fā)生比較少，卻是阻礙數(shù)據(jù)要素發(fā)展最重要的一個因素。

當前火爆一時的AI，其實也存在著數(shù)據(jù)泄露風險。微軟、亞馬遜等科技巨頭就紛紛提醒員工不要與ChatGPT分享敏感數(shù)據(jù)。

近年來，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《個人信息保護法》等法律的相繼落地施行，以及市場監(jiān)管總局、國家網(wǎng)信辦印發(fā)的《數(shù)據(jù)安全管理認證實施規(guī)則》《個人信息保護認證實施規(guī)則》，為數(shù)據(jù)保護提供了政策支持，護航數(shù)據(jù)安全，從而最大化發(fā)揮數(shù)據(jù)價值。

制定安全規(guī)劃

首先，需要制定安全規(guī)劃，確定數(shù)據(jù)安全的邊界范圍、目標、基本原則以及工作重心；設(shè)立專門的組織機構(gòu)，并細化數(shù)據(jù)安全管理職責和職能，明確各部門的協(xié)同配合和職責劃分；建立完整的制度體系。

在數(shù)據(jù)安全框架體系的基礎(chǔ)上，制定綱領(lǐng)、指南與安全實現(xiàn)設(shè)計規(guī)范以及管理辦法。建立完整的數(shù)據(jù)安全體系，確定面對不同的數(shù)據(jù)安全風險采用何種技術(shù)方式應(yīng)對，并進行落實。建立數(shù)據(jù)安全運營體系，使得數(shù)據(jù)安全工作能夠持續(xù)的改進優(yōu)化，保證安全工作長久有效。

梳理評估數(shù)據(jù)資產(chǎn)

第二步，在數(shù)據(jù)安全防護工作開展之前，需要進行梳理評估數(shù)據(jù)資產(chǎn)。包括數(shù)據(jù)資產(chǎn)運行環(huán)境安全評估、數(shù)據(jù)分類分級以及權(quán)限梳理，以便清楚數(shù)據(jù)資產(chǎn)狀況，如數(shù)據(jù)資產(chǎn)的分類情況，敏感數(shù)據(jù)的分布情況，訪問者來源，訪問者本身擁有的權(quán)限是否滿足最小夠用原則。《數(shù)據(jù)安全法》的第二十一條明確指出“各地區(qū)、各部門應(yīng)當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護”。對數(shù)據(jù)及相關(guān)信息進行梳理，對數(shù)據(jù)進行分類分級，是數(shù)據(jù)安全重要的第一步。

在對數(shù)據(jù)進行梳理及分類分級后，需要針對數(shù)據(jù)不同的安全級別以及不同的應(yīng)用場景采取不同的防護。

1、對數(shù)據(jù)的訪問登錄采取多因子身份驗證，按照“零信任”策略進行持續(xù)認證，動態(tài)訪問控制，防止非法訪問登錄；

2、對開發(fā)測試庫的數(shù)據(jù)進行靜態(tài)脫敏處理，防止敏感數(shù)據(jù)在開發(fā)測試環(huán)節(jié)的數(shù)據(jù)泄露；

3、對數(shù)據(jù)庫運維操作，按照敏感數(shù)據(jù)級別精確到字段級配置精細化訪問控制策略、命令審批機制以及動態(tài)脫敏處理，防止運維人員對敏感數(shù)據(jù)的越權(quán)訪問、惡意操作等；

4、對高度敏感數(shù)據(jù)進行加密存儲處理，保證即使被盜黑客也無法看懂真實數(shù)據(jù)；

5、對外發(fā)的數(shù)據(jù)植入水印種子保護，確保數(shù)據(jù)泄露后可有效溯源；

6、對所有的數(shù)據(jù)庫和API訪問進行審計留痕，對敏感數(shù)據(jù)的訪問采取更嚴格的審計策略，做到全流程的完整操作審計；

7、覆蓋數(shù)據(jù)全生命周期，以統(tǒng)一的數(shù)據(jù)安全管控平臺對各探針進行統(tǒng)一納管、策略打通和態(tài)勢感知，實時威脅檢測，第一時間洞察異常和風險。

建立持續(xù)運營機制

最后，數(shù)據(jù)安全防護是一個長期的工作，應(yīng)當在做好防護的基礎(chǔ)上建立好安全工作的常態(tài)化持續(xù)運營機制。通過風險識別、安全防護、持續(xù)檢測、響應(yīng)處置，IPDR進行可持續(xù)改進、閉環(huán)管理的常態(tài)化安全運營，不斷迭代優(yōu)化數(shù)據(jù)安全整體防護能力和效果。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>