信息化觀(guān)察網(wǎng)

近日發(fā)生一起數(shù)據(jù)泄露事件，大約1億美國(guó)人和600萬(wàn)加拿大人的個(gè)人信息被一名黑客竊取。而在此之前，包括伊奎法克斯、英國(guó)航空以及萬(wàn)豪等企業(yè)都曾發(fā)生大規(guī)模數(shù)據(jù)泄露事件。盡管相關(guān)企業(yè)為此付出了罰款等代價(jià)，但如何更好地保護(hù)數(shù)據(jù)安全仍是一個(gè)現(xiàn)實(shí)問(wèn)題。

美國(guó)第七大商業(yè)銀行“第一資本金融公司”7月29日稱(chēng)，該公司7月19日發(fā)現(xiàn)系統(tǒng)基礎(chǔ)架構(gòu)的“配置漏洞”，確認(rèn)數(shù)據(jù)遭竊。大部分失竊數(shù)據(jù)是個(gè)人和小企業(yè)用戶(hù)2005年至今年初申請(qǐng)信用卡時(shí)所提供的信息，包括姓名、地址、電話(huà)號(hào)碼和出生日期等身份信息，以及個(gè)人收入、信用評(píng)分和部分轉(zhuǎn)賬記錄等金融數(shù)據(jù)。

也是在7月29日，美國(guó)聯(lián)邦調(diào)查局在西雅圖市逮捕了此次事件的嫌疑人、33歲的佩奇·湯普森。湯普森曾在西雅圖一家技術(shù)企業(yè)擔(dān)任軟件工程師，多次在社交網(wǎng)絡(luò)中吹噓自己的黑客經(jīng)歷。目前湯普森受到“計(jì)算機(jī)欺詐和濫用”的罪名指控，可能面臨最高5年監(jiān)禁和25萬(wàn)美元罰款。

值得注意的是，類(lèi)似“第一資本金融公司”數(shù)據(jù)泄露的事件并不罕見(jiàn)。

7月22日，美國(guó)三大征信機(jī)構(gòu)之一的伊奎法克斯（Equifax）與美國(guó)聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解，同意支付7億美元了結(jié)該公司一起數(shù)據(jù)泄露事件，其中超過(guò)4億美元將被賠付給消費(fèi)者。這起事件發(fā)生于2017年5月至7月之間，大約1.45億美國(guó)人的社會(huì)安全號(hào)碼、社保賬號(hào)和信用卡號(hào)碼等個(gè)人信息因遭黑客攻擊而泄露。

7月9日，英國(guó)信息監(jiān)管局對(duì)萬(wàn)豪國(guó)際集團(tuán)開(kāi)出約9900萬(wàn)英鎊的罰單。2014年喜達(dá)屋酒店數(shù)據(jù)系統(tǒng)遭入侵，約3.3億游客的個(gè)人數(shù)據(jù)信息外泄。萬(wàn)豪于2016年收購(gòu)喜達(dá)屋，但直到2018年才發(fā)現(xiàn)客戶(hù)信息被盜事件。

7月8日，英國(guó)信息監(jiān)管局依據(jù)《一般數(shù)據(jù)保護(hù)條例》，對(duì)英國(guó)航空公司發(fā)生數(shù)據(jù)泄露事件罰款1.83億英鎊。2018年9月，英國(guó)航空公司網(wǎng)站遭到黑客攻擊，大約38萬(wàn)筆交易受影響，約50萬(wàn)客戶(hù)的信息泄露。

除此之外，臉書(shū)、雅虎、優(yōu)步等公司也曾發(fā)生大規(guī)模數(shù)據(jù)泄露事件。

在信息社會(huì)、大數(shù)據(jù)時(shí)代，個(gè)人信息安全對(duì)每一個(gè)人來(lái)說(shuō)都至關(guān)重要，關(guān)乎其人身、財(cái)產(chǎn)和信用評(píng)價(jià)等多個(gè)方面。企業(yè)作為個(gè)人信息的使用者，也是個(gè)人信息保護(hù)的“第一關(guān)”。任何儲(chǔ)存有個(gè)人信息的企業(yè)都應(yīng)該加大對(duì)信息保護(hù)的投入，從技術(shù)層面彌補(bǔ)漏洞、防止黑客攻擊。有數(shù)據(jù)顯示，2018年全球信息安全產(chǎn)品及服務(wù)支出超過(guò)1140億美元，較2017年增長(zhǎng)12.4%，今年有望繼續(xù)增長(zhǎng)8.7%。

企業(yè)該如何去保護(hù)用戶(hù)信息不泄露？

1、嚴(yán)格控制信息的出入

針對(duì)網(wǎng)絡(luò)攻擊和未授權(quán)的訪(fǎng)問(wèn)，我們建議企業(yè)嚴(yán)格控制信息的出入，通過(guò)安全審計(jì)來(lái)檢測(cè)和監(jiān)督可疑用戶(hù)，取消可疑用戶(hù)的權(quán)限，調(diào)用更強(qiáng)的保護(hù)機(jī)制，去掉或修復(fù)故障網(wǎng)絡(luò)以及系統(tǒng)的某些失效部件。

2、從標(biāo)準(zhǔn)的HTTP切換到HTTPS

使用加密功能，保持網(wǎng)站安全的最佳方式之一是從標(biāo)準(zhǔn)的HTTP切換到HTTPS；目前，對(duì)企業(yè)官網(wǎng)進(jìn)行HTTPS加密部署SSL證書(shū)是目前最有效的網(wǎng)絡(luò)安全保護(hù)！

3、選擇知名品牌的SSL證書(shū)。

市面上SSL證書(shū)繁多，但是很多證書(shū)存在通用性不佳，不受瀏覽器兼容等問(wèn)題，國(guó)際知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的瀏覽器，還可以進(jìn)行惡意代碼掃描，大大的減少了黑客劫持的風(fēng)險(xiǎn)，為網(wǎng)站健康多加了一把鎖。

4、選擇具有公信力的CA機(jī)構(gòu)！

申請(qǐng)SSL證書(shū)時(shí)，CA機(jī)構(gòu)通常會(huì)要求提交身份資質(zhì)文件（如企業(yè)營(yíng)業(yè)執(zhí)照等），經(jīng)過(guò)CA機(jī)構(gòu)人工審核后才能頒發(fā)。而CA機(jī)構(gòu)的選擇至關(guān)重要的一點(diǎn)是CA機(jī)構(gòu)的實(shí)力與服務(wù)品質(zhì)，市場(chǎng)信譽(yù)度和口碑是選擇CA機(jī)構(gòu)的必備條件。

從社會(huì)層面來(lái)說(shuō)，加強(qiáng)網(wǎng)絡(luò)監(jiān)管、完善有關(guān)數(shù)據(jù)和信息保護(hù)的立法很有必要。只有使信息竊取者和失責(zé)企業(yè)付出相應(yīng)的代價(jià)，才能震懾網(wǎng)絡(luò)攻擊行為，激勵(lì)企業(yè)加強(qiáng)個(gè)人信息保護(hù)。