首页 资讯速递 正文

安恒信息:盘点个人信息泄露背后的数据安全账

2023-02-15 14:30 咸宁新闻网

2月12日,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。用户只需输入手机号,就可以查询到姓名、手机号和详细的收货地址等隐私信息。

近年来,数据泄露事件频出,每一次数据泄露背后,都是一次甚至多次不可估算的损失。这些损失不仅来自于被泄露信息的个人,也包括数据被泄露的机构,甚至威胁到国家安全。

根据IdentifyTheft Research Center中心的数据显示,2022年世界范围内的数据泄露事件比2021年增长了14%。其中,医疗机构、金融服务公司、制造企业和公用事业企业成为黑客的首要攻击目标。

2022年7月,美国电信巨头T-Mobile 就2021年一起盗取部分客户数据的网络攻击的集体诉讼达成和解协议,同意支付3.5亿美元来处理集体诉讼原告的索赔。

IBM在2022年底发布的一项企业数据泄漏成本报告显示,近两年来,数据泄漏导致企业每年的平均成本支出超过400万美元。

AI人工智能,其实也存在着数据泄露风险。微软、亚马逊等科技巨头就纷纷提醒员工不要与ChatGPT分享敏感数据。

安恒信息在实践中发现,数据泄露往往有3种原因。一是,网络攻击。据统计,60%以上的数据泄露是由网络攻击导致的。二是,内部泄漏。现在各行各业都推进数字化转型,大量员工、开源人员、合作伙伴都可以接触到数据,过程中的管理不当就可能造成数据泄露。三是,在各组织之间的流通受阻,数据给出后无法收回。

忽视数据安全治理的背后,不仅仅是千百万甚至上亿的经济损失,事故背后为社会、企业带来的无形损失,更是一笔无法评估的“安全账”。这种风险直接成为阻碍数据要素价值充分释放的拦路虎、绊脚石,如何解决这一问题?

首先,需要制定安全规划,确定数据安全的边界范围、目标、基本原则以及工作重心;设立专门的组织机构,并细化数据安全管理职责和职能,明确各部门的协同配合和职责划分;建立完整的制度体系。

在数据安全框架体系的基础上,制定纲领、指南与安全实现设计规范以及管理办法。建立完整的数据安全体系,确定面对不同的数据安全风险采用何种技术方式应对,并进行落实。建立数据安全运营体系,使得数据安全工作能够持续的改进优化,保证安全工作长久有效。

其次,在数据安全防护工作开展之前,需要进行梳理评估数据资产。包括数据资产运行环境安全评估、数据分类分级以及权限梳理,以便清楚数据资产状况,如数据资产的分类情况,敏感数据的分布情况,访问者来源,访问者本身拥有的权限是否满足最小够用原则。《数据安全法》的第二十一条明确指出“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。对数据及相关信息进行梳理,对数据进行分类分级,是数据安全重要的第一步。

在对数据进行梳理及分类分级后,需要针对数据不同的安全级别以及不同的应用场景采取不同的防护。

1、对数据的访问登录采取多因子身份验证,按照“零信任”策略进行持续认证,动态访问控制,防止非法访问登录;

2、对开发测试库的数据进行静态脱敏处理,防止敏感数据在开发测试环节的数据泄露;

3、对数据库运维操作,按照敏感数据级别精确到字段级配置精细化访问控制策略、命令审批机制以及动态脱敏处理,防止运维人员对敏感数据的越权访问、恶意操作等;

4、对高度敏感数据进行加密存储处理,保证即使被盗黑客也无法看懂真实数据;

5、对外发的数据植入水印种子保护,确保数据泄露后可有效溯源;

6、对所有的数据库和API访问进行审计留痕,对敏感数据的访问采取更严格的审计策略,做到全流程的完整操作审计;

7、覆盖数据全生命周期,以统一的数据安全管控平台对各探针进行统一纳管、策略打通和态势感知,实时威胁检测,第一时间洞察异常和风险。

最后,数据安全防护是一个长期的工作,应当在做好防护的基础上建立好安全工作的常态化持续运营机制。通过风险识别、安全防护、持续检测、响应处置,IPDR进行可持续改进、闭环管理的常态化安全运营,不断迭代优化数据安全整体防护能力和效果。

声明:本站作为信息内容发布平台,页面展示内容的目的在于传播更多信息,不代表本站立场;本站不提供金融投资服务,所提供的内容不构成投资建议。如您浏览本站或通过本站进入第三方网站进行金融投资行为,由此产生的财务损失,本站不承担任何经济和法律责任。 市场有风险,投资需谨慎。同时,如果您在中国发展网上发现归属您的文字、图片等创作作品被我们使用,表示我们在使用时未能联系到您获取授权,请与我们联系。

【本文资讯为广告信息,不代表本网立场】


返回首页
相关新闻
返回顶部