?運(yùn)營(yíng)商30億條用戶數(shù)據(jù)被盜取,如何加強(qiáng)數(shù)據(jù)安全體系建設(shè)

信息化觀察網(wǎng)
丁歷
近日,一則涉及用戶個(gè)人信息泄露的新聞被刷屏:新三板上市公司瑞智華勝涉嫌從運(yùn)營(yíng)商處竊取30億條個(gè)人信息流量遭劫持,接連導(dǎo)致百度、騰訊、阿里、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取。 總體來(lái)說(shuō),&ldquo...

近日,一則涉及用戶個(gè)人信息泄露的新聞被刷屏:新三板上市公司瑞智華勝涉嫌從運(yùn)營(yíng)商處竊取30億條個(gè)人信息流量遭劫持,接連導(dǎo)致百度、騰訊、阿里、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取。

總體來(lái)說(shuō),“30億用戶信息遭竊”對(duì)運(yùn)營(yíng)商敲醒了警鐘,如此多的用戶遭受損失,如此多的互聯(lián)網(wǎng)平臺(tái)被波及,實(shí)在是觸目驚心,這暴露出運(yùn)營(yíng)商對(duì)于數(shù)據(jù)安全的松懈,也暴露出如下安全問(wèn)題:

1、服務(wù)器訪問(wèn)缺乏統(tǒng)一的身份授權(quán)管理;

2、對(duì)數(shù)據(jù)全生命周期流程缺乏統(tǒng)一管理;

3、傳統(tǒng)以安全硬件為主的單點(diǎn)防御的安全體系已經(jīng)不能滿足云化和大數(shù)據(jù)化的安全需求。

運(yùn)營(yíng)商應(yīng)當(dāng)如何加強(qiáng)數(shù)據(jù)安全體系建設(shè)?

一、建立統(tǒng)一的身份鑒權(quán)及訪問(wèn)控制體系

隨著云計(jì)算和大數(shù)據(jù)的蓬勃發(fā)展,傳統(tǒng)信息安全的分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化已不再適合新一代應(yīng)用的需求了,信息安全與應(yīng)用的跨界融合是主流方向,而這種安全和應(yīng)用的跨界融合,催生了由應(yīng)用與信息安全二者融合驅(qū)動(dòng)的軟件定義信息安全。以多種安全服務(wù)能力進(jìn)行聯(lián)動(dòng)協(xié)作的安全運(yùn)營(yíng)體系建設(shè)勢(shì)在必行,建立統(tǒng)一的身份鑒權(quán)及訪問(wèn)控制體系,將外部應(yīng)用或其它業(yè)務(wù)訪問(wèn)業(yè)務(wù)中心服務(wù)的安全控制機(jī)制進(jìn)行匯總,包括應(yīng)用訪問(wèn)的認(rèn)證、授權(quán)、鑒權(quán)、數(shù)據(jù)傳輸安全和訪問(wèn)敏感數(shù)據(jù)用戶授權(quán)等,解決應(yīng)用服務(wù)器訪問(wèn)缺乏管理授權(quán)問(wèn)題。

二、保障數(shù)據(jù)在整個(gè)生命周期各個(gè)環(huán)節(jié)安全

從數(shù)據(jù)采集、傳輸、存儲(chǔ)、訪問(wèn)、使用等各個(gè)環(huán)節(jié)入手,發(fā)現(xiàn)、識(shí)別敏感數(shù)據(jù)并對(duì)其進(jìn)行分類分級(jí),生成多個(gè)維度的敏感信息地圖。實(shí)時(shí)監(jiān)測(cè)平臺(tái)中敏感數(shù)據(jù)的分布、流向及使用情況,并對(duì)其操作行為進(jìn)行合規(guī)審計(jì),違規(guī)行為進(jìn)行阻斷。

●在采集環(huán)節(jié)建立敏感數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)及識(shí)別與檢測(cè)模型,自動(dòng)識(shí)別生成環(huán)節(jié)中的敏感數(shù)據(jù)。

●在傳輸環(huán)節(jié)通過(guò)采用SM2、AES、SHA等加密及摘要算法對(duì)不同安全級(jí)別的數(shù)據(jù)的傳輸進(jìn)行加密保護(hù)。

●在存儲(chǔ)環(huán)節(jié)使用對(duì)稱加密、非對(duì)稱加密算法實(shí)現(xiàn)敏感數(shù)據(jù)加密,除加密措施外,針對(duì)極為重要的敏感信息還應(yīng)采取有效的存儲(chǔ)備份恢復(fù)措施來(lái)保障其可用性。

●在訪問(wèn)環(huán)節(jié)通過(guò)訪問(wèn)控制實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)訪問(wèn)角色權(quán)限的細(xì)粒度控制;

●在使用環(huán)節(jié)統(tǒng)一管控業(yè)務(wù)系統(tǒng)數(shù)據(jù)對(duì)外流通入口、出口,敏感數(shù)據(jù)完成靜態(tài)脫敏與動(dòng)態(tài)脫敏;透明解密不保存密鑰,使用數(shù)據(jù)簽名摘要方法。

三、打造全局業(yè)務(wù)風(fēng)控安全防御體系

將原來(lái)的煙囪式防護(hù)措施全部打通,結(jié)合安全算法、機(jī)器學(xué)習(xí)算法、規(guī)則引擎等安全基礎(chǔ)技術(shù),以基礎(chǔ)安全技術(shù)和安全運(yùn)營(yíng)管理為支撐,打造以數(shù)據(jù)安全為中心的縱深防御體系,建立事前、事中、事后防御能力,為運(yùn)營(yíng)商業(yè)務(wù)安全態(tài)勢(shì)感知賦能。

THEEND

本月熱門