運(yùn)營(yíng)商30億條用戶數(shù)據(jù)被盜取，如何加強(qiáng)數(shù)據(jù)安全體系建設(shè)

來源：天源迪科 時(shí)間：2018-11-06 14:15:16 作者：

近日，一則涉及用戶個(gè)人信息泄露的新聞被刷屏：新三板上市公司瑞智華勝涉嫌從運(yùn)營(yíng)商處竊取30億條個(gè)人信息流量遭劫持，接連導(dǎo)致百度、騰訊、阿里、今日頭條等全國(guó)96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取。

總體來說，“30億用戶信息遭竊”對(duì)運(yùn)營(yíng)商敲醒了警鐘，如此多的用戶遭受損失，如此多的互聯(lián)網(wǎng)平臺(tái)被波及，實(shí)在是觸目驚心，這暴露出運(yùn)營(yíng)商對(duì)于數(shù)據(jù)安全的松懈，也暴露出如下安全問題：

1、服務(wù)器訪問缺乏統(tǒng)一的身份授權(quán)管理；

2、對(duì)數(shù)據(jù)全生命周期流程缺乏統(tǒng)一管理；

3、傳統(tǒng)以安全硬件為主的單點(diǎn)防御的安全體系已經(jīng)不能滿足云化和大數(shù)據(jù)化的安全需求。??

運(yùn)營(yíng)商應(yīng)當(dāng)如何加強(qiáng)數(shù)據(jù)安全體系建設(shè)？

一、建立統(tǒng)一的身份鑒權(quán)及訪問控制體系

隨著云計(jì)算和大數(shù)據(jù)的蓬勃發(fā)展，傳統(tǒng)信息安全的分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化已不再適合新一代應(yīng)用的需求了，信息安全與應(yīng)用的跨界融合是主流方向，而這種安全和應(yīng)用的跨界融合，催生了由應(yīng)用與信息安全二者融合驅(qū)動(dòng)的軟件定義信息安全。以多種安全服務(wù)能力進(jìn)行聯(lián)動(dòng)協(xié)作的安全運(yùn)營(yíng)體系建設(shè)勢(shì)在必行，建立統(tǒng)一的身份鑒權(quán)及訪問控制體系，將外部應(yīng)用或其它業(yè)務(wù)訪問業(yè)務(wù)中心服務(wù)的安全控制機(jī)制進(jìn)行匯總，包括應(yīng)用訪問的認(rèn)證、授權(quán)、鑒權(quán)、數(shù)據(jù)傳輸安全和訪問敏感數(shù)據(jù)用戶授權(quán)等，解決應(yīng)用服務(wù)器訪問缺乏管理授權(quán)問題。

二、保障數(shù)據(jù)在整個(gè)生命周期各個(gè)環(huán)節(jié)安全

?從數(shù)據(jù)采集、傳輸、存儲(chǔ)、訪問、使用等各個(gè)環(huán)節(jié)入手，發(fā)現(xiàn)、識(shí)別敏感數(shù)據(jù)并對(duì)其進(jìn)行分類分級(jí)，生成多個(gè)維度的敏感信息地圖。實(shí)時(shí)監(jiān)測(cè)平臺(tái)中敏感數(shù)據(jù)的分布、流向及使用情況，并對(duì)其操作行為進(jìn)行合規(guī)審計(jì)，違規(guī)行為進(jìn)行阻斷。

?在采集環(huán)節(jié)建立敏感數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)及識(shí)別與檢測(cè)模型，自動(dòng)識(shí)別生成環(huán)節(jié)中的敏感數(shù)據(jù)。

?在傳輸環(huán)節(jié)通過采用SM2、AES、SHA等加密及摘要算法對(duì)不同安全級(jí)別的數(shù)據(jù)的傳輸進(jìn)行加密保護(hù)。

?在存儲(chǔ)環(huán)節(jié)使用對(duì)稱加密、非對(duì)稱加密算法實(shí)現(xiàn)敏感數(shù)據(jù)加密，除加密措施外，針對(duì)極為重要的敏感信息還應(yīng)采取有效的存儲(chǔ)備份恢復(fù)措施來保障其可用性。

?在訪問環(huán)節(jié)通過訪問控制實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)訪問角色權(quán)限的細(xì)粒度控制；

?在使用環(huán)節(jié)統(tǒng)一管控業(yè)務(wù)系統(tǒng)數(shù)據(jù)對(duì)外流通入口、出口，敏感數(shù)據(jù)完成靜態(tài)脫敏與動(dòng)態(tài)脫敏；透明解密不保存密鑰，使用數(shù)據(jù)簽名摘要方法。 ? ?

三、打造全局業(yè)務(wù)風(fēng)控安全防御體系

將原來的煙囪式防護(hù)措施全部打通，結(jié)合安全算法、機(jī)器學(xué)習(xí)算法、規(guī)則引擎等安全基礎(chǔ)技術(shù)，以基礎(chǔ)安全技術(shù)和安全運(yùn)營(yíng)管理為支撐，打造以數(shù)據(jù)安全為中心的縱深防御體系，建立事前、事中、事后防御能力，為運(yùn)營(yíng)商業(yè)務(wù)安全態(tài)勢(shì)感知賦能。

責(zé)任編輯：陳近梅