發(fā)布時(shí)間:2022-06-28 作者:admin
技術(shù)在改變著人們的生活:移動(dòng)支付�����、共享經(jīng)濟(jì)�����、電子商務(wù)���、在線醫(yī)療…讓人們的生活更加便捷�����,生活質(zhì)量進(jìn)一步提升���。但同時(shí),數(shù)據(jù)泄漏事件似乎在不斷的發(fā)生,銀行卡賬號(hào)����、個(gè)人身份信息��、醫(yī)療記錄�����、出行記錄在隨著數(shù)字化生活給人們帶去便利的同時(shí)��,也被大量的企業(yè)�����、服務(wù)機(jī)構(gòu)獲取���,使用���。
隨著意識(shí)的提高,人們?cè)絹?lái)越重視個(gè)人隱私保護(hù)���?��!昂诳汀?、“網(wǎng)絡(luò)攻擊”��、“違規(guī)”�����、“泄漏”����,這些詞不斷挑動(dòng)著人們的神經(jīng)。其中����,有一種較為特殊的“泄漏”,一旦發(fā)生可能會(huì)涉及到大量的數(shù)據(jù)�,給相關(guān)用戶和企業(yè)造成巨大的損失,我們稱之為云泄露�����。
云泄漏是指存儲(chǔ)在云服務(wù)器中的敏感數(shù)據(jù)毫無(wú)防備的暴露在互聯(lián)網(wǎng)上��。云服務(wù)商在互聯(lián)網(wǎng)上為企業(yè)提供了私有空間來(lái)部署系統(tǒng)��、存儲(chǔ)數(shù)據(jù)。大多數(shù)云服務(wù)商會(huì)提供選項(xiàng)允許企業(yè)將自己的存儲(chǔ)空間面向互聯(lián)網(wǎng)開(kāi)放���。若管理員在處理數(shù)據(jù)時(shí)修改了權(quán)限��,云服務(wù)器和互聯(lián)網(wǎng)之間的邊界就消失了��,意味著所有人都可以訪問(wèn)這些數(shù)據(jù)。2017年版《OWASP Top 10 》顯示“安全配置錯(cuò)誤”在10項(xiàng)最嚴(yán)重的web應(yīng)用程序安全風(fēng)險(xiǎn)中排在第五位�����,無(wú)論是錯(cuò)誤的配置還是云中脆弱的服務(wù)器�,都會(huì)將隱私數(shù)據(jù)至于危險(xiǎn)的境地。而專門有一類人���,出于獲取利益的目的�,在持續(xù)的搜尋著云泄漏�����,將會(huì)擴(kuò)大云泄露的影響���。
2017年5月����,因AWS S3存儲(chǔ)桶權(quán)限設(shè)置失當(dāng)導(dǎo)致至少?220萬(wàn)道瓊斯公司客戶信息半公開(kāi),讓免費(fèi)AWS賬戶都可以訪問(wèn)里面內(nèi)容�����。同年7月���,Verizon公司超過(guò)1400萬(wàn)用戶個(gè)人資料因第三方供應(yīng)商云服務(wù)器安全配置不當(dāng)遭到外泄���,數(shù)據(jù)所屬的云儲(chǔ)備被配置為允許公開(kāi)訪問(wèn)并可完全下載。9月�����,因承包商問(wèn)題導(dǎo)致美國(guó)陸軍及NSA情報(bào)平臺(tái)絕密文件暴露在Amazon服務(wù)器上�,這些都是典型的云泄漏事件。云泄漏是企業(yè)及組織面臨的獨(dú)特風(fēng)險(xiǎn)���,出現(xiàn)錯(cuò)誤的簡(jiǎn)單性與它可能導(dǎo)致后果的嚴(yán)重程度形成巨大的反差�。
云泄露中最常見(jiàn)的數(shù)據(jù)分為兩類:
1. 個(gè)人信息
身份信息(姓名���、性別�、年齡、地址�、電話號(hào)碼…)活動(dòng)信息(訂單、生活軌跡���、瀏覽習(xí)慣…)�����、銀行卡信息�����、醫(yī)療記錄…這一類信息極具價(jià)值,買賣公民信息的黑市在互聯(lián)網(wǎng)平臺(tái)并不鮮見(jiàn)���。當(dāng)下����,政府及監(jiān)管機(jī)構(gòu)非常關(guān)注公民個(gè)人信息的保護(hù)�����,在今年5月1日實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》�����,從國(guó)家標(biāo)準(zhǔn)層面,明確了企業(yè)收集�����、使用�����、分享個(gè)人信息的合規(guī)要求���,為企業(yè)制定隱私政策及個(gè)人信息管理規(guī)范指明了方向��。在同月生效的《通用數(shù)據(jù)保護(hù)條例》中�����,也將對(duì)個(gè)人信息的保護(hù)提升到了新的高度�,影響行業(yè)廣泛�����,對(duì)涉事企業(yè)處罰力度大���。
2. 企業(yè)信息
企業(yè)內(nèi)部的文件/郵件/備忘��;合作伙伴/供應(yīng)商信息����;項(xiàng)目信息;財(cái)務(wù)信息�����;設(shè)計(jì)/知識(shí)產(chǎn)權(quán)信息����;代碼等。一旦這些信息暴露�,被競(jìng)爭(zhēng)對(duì)手或有不良企圖的人獲得�����,將會(huì)給企業(yè)帶來(lái)致命的傷害�����。
數(shù)據(jù)泄露�,可能會(huì)讓公民面臨詐騙�����、騷擾��、甚至人身安全威脅����,可能讓企業(yè)面臨來(lái)自競(jìng)爭(zhēng)對(duì)手的致命打擊�、來(lái)自監(jiān)管機(jī)構(gòu)的高額處罰,及無(wú)法估量的名譽(yù)損失��??梢哉f(shuō),云泄露可給相關(guān)各方帶來(lái)巨大的傷害���。
如何防止云泄露�����?
云泄漏并非由外部攻擊造成����,而是由日常工作中的操作導(dǎo)致的���。企業(yè)在使用云服務(wù)時(shí)��,應(yīng)意識(shí)到其風(fēng)險(xiǎn)的存在�。企業(yè)在對(duì)云服務(wù)配置時(shí),應(yīng)該持續(xù)驗(yàn)證每一步操作以保證風(fēng)險(xiǎn)的可見(jiàn)�。
企業(yè)除了規(guī)范流程,降低由操作錯(cuò)誤導(dǎo)致數(shù)據(jù)外泄的同時(shí)��,也應(yīng)當(dāng)關(guān)注到為企業(yè)處理數(shù)據(jù)的第三方合作伙伴����,企業(yè)作為數(shù)據(jù)的責(zé)任人,一旦出現(xiàn)泄漏�,與第三方需要承擔(dān)同樣的責(zé)任。這使得評(píng)估和優(yōu)化第三方合作伙伴網(wǎng)絡(luò)風(fēng)險(xiǎn)與企業(yè)內(nèi)部的風(fēng)險(xiǎn)控制同樣重要���。 第三方是組織的擴(kuò)展�,其行為可以直接影響到合規(guī)性和品牌聲譽(yù) ����。這就要求企業(yè)對(duì)幾十個(gè)���,幾百個(gè)甚至數(shù)千個(gè)第三方進(jìn)行調(diào)查����,評(píng)估和后續(xù)跟進(jìn),并對(duì)風(fēng)險(xiǎn)采取行動(dòng)�����。第三方風(fēng)險(xiǎn)管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過(guò)程中一直到合同完成之后整個(gè)生命周期����,并且在數(shù)字化環(huán)境下,風(fēng)險(xiǎn)控制需要得到領(lǐng)導(dǎo)充分的重視和支持�����,經(jīng)多個(gè)業(yè)務(wù)和職能部門的協(xié)同來(lái)完成���?�!?/p>
僅僅關(guān)注企業(yè)自身的內(nèi)部風(fēng)險(xiǎn)�����,卻把同樣的數(shù)據(jù)毫無(wú)措施的交由第三方合作伙伴�,這是毫無(wú)意義的。合作伙伴的選擇和評(píng)估應(yīng)該與企業(yè)在保護(hù)其內(nèi)部資產(chǎn)和信息時(shí)一樣謹(jǐn)慎����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
