從雅虎數(shù)據(jù)泄露門看數(shù)據(jù)安全治理

來源：學(xué)習(xí)時報 時間：2024-04-03 13:24:16 作者：王新鵬

　　2016年9月，美國著名互聯(lián)網(wǎng)門戶網(wǎng)站雅虎公司宣布，雅虎網(wǎng)絡(luò)系統(tǒng)中的5億用戶數(shù)據(jù)遭到泄露。2017年10月，雅虎公司再次宣布所有30億用戶的個人數(shù)據(jù)被盜取，涉及用戶姓名、電子郵件、電話號碼、出生日期、登錄密碼、安全問題及答案等諸多數(shù)據(jù)內(nèi)容。事件發(fā)生后，雅虎公司成立了安全團隊對本次數(shù)據(jù)泄露事件展開調(diào)查，結(jié)果證實本次用戶數(shù)據(jù)泄露與黑客入侵有關(guān)。迄今為止，雅虎數(shù)據(jù)泄露門稱得上是史上規(guī)模最大、最具有代表性的數(shù)據(jù)安全事件。深入剖析雅虎數(shù)據(jù)泄露事件能夠?qū)ξ覈鴶?shù)據(jù)安全防護工作起到警示作用，也可以為世界數(shù)據(jù)安全事件的處置提供啟示。

　　構(gòu)建系統(tǒng)規(guī)范的數(shù)據(jù)安全監(jiān)測預(yù)警制度

　　雅虎數(shù)據(jù)泄露門發(fā)生的一個重要原因是疏于防范數(shù)據(jù)泄露風(fēng)險。早在2013年，雅虎公司就因黑客攻擊導(dǎo)致10億用戶數(shù)據(jù)遭到泄露。一年之后，雅虎公司又因類似的黑客攻擊導(dǎo)致5億用戶數(shù)據(jù)被泄露，直至2017年披露的數(shù)據(jù)顯示，高達30億用戶的數(shù)據(jù)均遭泄露。在本次事件中有超過15萬美國政府和軍方雇員的信息被泄露，被泄露賬戶的主人包括美國國會議員、白宮工作人員、國家安全局官員等多個重要機構(gòu)的工作人員。英特爾負責(zé)安全的首席技術(shù)官史蒂夫·格羅勃曼表示，“對于將數(shù)據(jù)當(dāng)作武器使用的人來說，數(shù)據(jù)價值連城”。黑客可以利用這些數(shù)據(jù)創(chuàng)建可搜索數(shù)據(jù)庫（如生日和電話號碼），從而實現(xiàn)盈利并參與商業(yè)或國家間諜活動的目的。

　　接二連三的數(shù)據(jù)泄露說明雅虎公司始終沒有重視數(shù)據(jù)安全風(fēng)險防范工作，安全漏洞一直沒有被徹底發(fā)現(xiàn)與填補，最終導(dǎo)致大規(guī)模數(shù)據(jù)泄露事件的發(fā)生。如果雅虎公司有著高度的數(shù)據(jù)安全風(fēng)險預(yù)防意識以及完善的數(shù)據(jù)安全風(fēng)險預(yù)防制度，那么可能就不會發(fā)生如此大規(guī)模、連續(xù)性的數(shù)據(jù)安全事件?？梢钥闯觯瑪?shù)據(jù)安全風(fēng)險預(yù)防環(huán)節(jié)對于提升數(shù)據(jù)安全應(yīng)急能力至關(guān)重要。

　　加強數(shù)據(jù)安全風(fēng)險預(yù)防環(huán)節(jié)建設(shè)的重點，在于建立包含客觀深入的數(shù)據(jù)安全風(fēng)險評估制度、高效權(quán)威的數(shù)據(jù)安全風(fēng)險報告制度、集中統(tǒng)一的數(shù)據(jù)安全信息共享制度、系統(tǒng)規(guī)范的數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警制度等在內(nèi)的數(shù)據(jù)安全風(fēng)險預(yù)防制度體系，積極實現(xiàn)從靜態(tài)防護到動態(tài)防護、從被動防護到主動防護的形式轉(zhuǎn)變，從而真正做到從源頭上發(fā)現(xiàn)、緩解、消除數(shù)據(jù)安全風(fēng)險。同時，通過多層次、多方面、多角度的數(shù)據(jù)安全預(yù)防制度體系，掌握數(shù)據(jù)安全狀況，感知數(shù)據(jù)安全發(fā)展態(tài)勢，總結(jié)數(shù)據(jù)安全變化規(guī)律，預(yù)測數(shù)據(jù)安全未來動向，對數(shù)據(jù)安全風(fēng)險作出正確戰(zhàn)略研判。

　　具體而言，一方面，通過數(shù)據(jù)安全風(fēng)險報告制度，及時傳遞上報數(shù)據(jù)安全風(fēng)險信息，以便于盡早作出決策。同時，通過數(shù)據(jù)安全信息共享制度，實現(xiàn)數(shù)據(jù)安全信息的串聯(lián)共通，有效促進多方共同預(yù)防數(shù)據(jù)安全風(fēng)險。另一方面，通過數(shù)據(jù)安全監(jiān)測預(yù)警機制，實時掌握數(shù)據(jù)安全狀況并依據(jù)數(shù)據(jù)安全風(fēng)險等級正確發(fā)出數(shù)據(jù)安全預(yù)警。

　　完善高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機制

　　雅虎公司處置本次數(shù)據(jù)泄露事件的過程較為混亂，沒有章法，充分反映出了其在數(shù)據(jù)安全應(yīng)急處置機制方面的短板。根據(jù)報道，在黑客攻擊發(fā)生后，雅虎公司并未采取有效的應(yīng)急處置措施。在技術(shù)層面，黑客攻擊發(fā)生后，雅虎公司沒有及時采取技術(shù)措施，制止黑客攻擊并防止數(shù)據(jù)的進一步泄露。在補救措施上，數(shù)據(jù)泄露事件發(fā)生后，雅虎公司僅僅是提醒用戶更改密碼等信息，并未采取強有力的補救措施來制止危害后果的擴大。最后，數(shù)據(jù)泄露后，雅虎公司并未及時上報和對外公示，甚至直到2016年才正式披露這一事件，體現(xiàn)出其應(yīng)急反應(yīng)的片面與滯后。

　　過于疏松的安全措施與相對遲緩的應(yīng)急響應(yīng)是造成雅虎數(shù)據(jù)泄露愈演愈烈的重要原因。因此，提升數(shù)據(jù)安全應(yīng)急能力必須重視數(shù)據(jù)安全應(yīng)急處突能力建設(shè)，著力完善高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機制。

　　一方面，提升數(shù)據(jù)安全應(yīng)急處突能力首先要設(shè)計科學(xué)合理、貼近實際、切實可行的數(shù)據(jù)安全應(yīng)急處置預(yù)案，界定數(shù)據(jù)安全應(yīng)急處置對象、厘清數(shù)據(jù)安全應(yīng)急處置流程、確定數(shù)據(jù)安全應(yīng)急處置方法、明晰數(shù)據(jù)安全責(zé)任主體權(quán)責(zé)、統(tǒng)籌數(shù)據(jù)安全應(yīng)急處置機制脈絡(luò)，確保數(shù)據(jù)安全應(yīng)急處置機制的運行做到有章可循、有據(jù)可查。

　　另一方面，數(shù)據(jù)安全應(yīng)急處置機制的確立與運行還需要得到法律保障，要在數(shù)據(jù)安全法、個人信息保護法、網(wǎng)絡(luò)安全法等上位法律框架之下，不斷細化數(shù)據(jù)安全應(yīng)急立法，積極出臺相關(guān)配套規(guī)章制度，為數(shù)據(jù)安全應(yīng)急處置活動提供明確的法律依據(jù)。各數(shù)據(jù)安全責(zé)任主體要根據(jù)相關(guān)立法內(nèi)容，結(jié)合自身狀況，建立高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機制、制定切合實際的數(shù)據(jù)安全應(yīng)急處置預(yù)案、設(shè)計運轉(zhuǎn)流暢的數(shù)據(jù)安全應(yīng)急處置流程，不斷提升面對數(shù)據(jù)安全事件時的應(yīng)急處突能力。

　　打造科學(xué)合理的數(shù)據(jù)安全綜合治理體系

　　雅虎公司在數(shù)據(jù)泄露事件結(jié)束后并未采取明顯、有效的恢復(fù)手段，也并未對提升自身數(shù)據(jù)安全綜合治理水平作出顯著努力。從這一角度來說，雅虎數(shù)據(jù)泄露事件警示我們必須重視數(shù)據(jù)安全恢復(fù)環(huán)節(jié)建設(shè)。因此，提升數(shù)據(jù)安全應(yīng)急能力還需要注意總結(jié)經(jīng)驗教訓(xùn)，不斷提升數(shù)據(jù)安全綜合治理能力。

　　數(shù)據(jù)安全事后恢復(fù)環(huán)節(jié)的主要內(nèi)容是通過善后恢復(fù)與整改提升等方式使數(shù)據(jù)安全狀況恢復(fù)甚至超越數(shù)據(jù)安全事件發(fā)生前的狀態(tài)。

　　一方面，數(shù)據(jù)安全責(zé)任主體要采取綜合措施消除數(shù)據(jù)安全事件為個人、組織、社會、國家等不同主體帶來的不利影響，通過升級數(shù)據(jù)安全防護技術(shù)、彌補數(shù)據(jù)安全漏洞、通報事件處理進展、更新數(shù)據(jù)安全基礎(chǔ)設(shè)施等措施對數(shù)據(jù)安全治理工作進行整改提升。

　　另一方面，在積極消解數(shù)據(jù)安全事件所帶來的危害后果的同時，相關(guān)數(shù)據(jù)安全責(zé)任主體有必要結(jié)合經(jīng)驗教訓(xùn)，從以下五個方面著手，不斷完善數(shù)據(jù)安全綜合治理體系。一是著力推進數(shù)據(jù)安全合規(guī)進程，促使自身數(shù)據(jù)安全應(yīng)急體系與國家立法內(nèi)容相協(xié)調(diào)。二是總結(jié)經(jīng)驗教訓(xùn)，不斷提升數(shù)據(jù)安全應(yīng)急技術(shù)標(biāo)準(zhǔn)。三是宣傳典型數(shù)據(jù)安全應(yīng)急案例，推進數(shù)據(jù)安全風(fēng)險意識入腦入心。四是加大數(shù)據(jù)安全應(yīng)急投入，努力創(chuàng)新數(shù)據(jù)安全防護技術(shù)手段。五是積極培養(yǎng)數(shù)據(jù)安全專業(yè)技術(shù)人才，及時推動數(shù)據(jù)安全防護基礎(chǔ)設(shè)施更新?lián)Q代。

責(zé)任編輯：張薇