2塊錢就能買千張人臉照，企業(yè)如何保障數(shù)據(jù)安全？

隨著互聯(lián)網(wǎng)技術(shù)在社會(huì)各方面的滲透，個(gè)人生活工作的便利與企業(yè)效率的提升常常是通過(guò)個(gè)人讓渡一部分隱私權(quán)實(shí)現(xiàn)的。這其中有用戶對(duì)個(gè)人隱私保護(hù)的輕視，但更多來(lái)源于部分企業(yè)對(duì)于用戶信息的過(guò)度索取，導(dǎo)致大量個(gè)人用戶的信息以數(shù)據(jù)方式存儲(chǔ)于企業(yè)的數(shù)據(jù)庫(kù)中，形成了數(shù)據(jù)聚合的“洼地”。
近日發(fā)布的一份報(bào)告顯示，有九成以上的受訪者都使用過(guò)人臉識(shí)別，不過(guò)有六成受訪者認(rèn)為人臉識(shí)別技術(shù)有濫用趨勢(shì)，還有三成受訪者表示，已經(jīng)因?yàn)槿四樞畔⑿孤丁E用而遭受到隱私或財(cái)產(chǎn)損失。那么“刷臉”時(shí)代，我們的人臉信息安全嗎？
記者調(diào)查發(fā)現(xiàn)，在某些網(wǎng)絡(luò)交易平臺(tái)上，花2元錢就能買到上千張人臉照片。這些照片若落入不法分子手中，照片主人除了有可能遭遇精準(zhǔn)詐騙，還有可能因人臉信息被用于洗錢、涉黑等而卷入刑事訴訟！
數(shù)據(jù)是怎么流失的？
那么，我們的人臉照片是怎么流失的呢？產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，企業(yè)在生產(chǎn)、運(yùn)營(yíng)中都高度依賴數(shù)據(jù)，數(shù)據(jù)從生產(chǎn)之初就會(huì)進(jìn)入傳輸、存儲(chǔ)、處理、分析、訪問(wèn)與服務(wù)應(yīng)用等各環(huán)節(jié)且循環(huán)往復(fù)，并在流動(dòng)的過(guò)程中產(chǎn)生大量的接觸和交互——內(nèi)部的研發(fā)和運(yùn)營(yíng)管理人員的經(jīng)手，服務(wù)器、云平臺(tái)、大數(shù)據(jù)處理與分析系統(tǒng)中的流動(dòng)，與眾多伙伴、客戶的共享，這些都使得數(shù)據(jù)面臨安全風(fēng)險(xiǎn)。
結(jié)合近幾年新聞曝光的事故統(tǒng)計(jì)和研究資料表明，黑客、公開(kāi)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)配置錯(cuò)誤、“內(nèi)鬼”是數(shù)據(jù)泄露的四大“罪魁禍?zhǔn)住薄?br /> 黑客：利用特定的漏洞來(lái)竊取信息，通過(guò)暗網(wǎng)或黑市交易獲取利益；
公開(kāi)數(shù)據(jù)庫(kù)：因選型不當(dāng)或技術(shù)疏忽而對(duì)數(shù)據(jù)庫(kù)未加保護(hù)，使其暴露于互聯(lián)網(wǎng)上；
數(shù)據(jù)庫(kù)配置錯(cuò)誤：錯(cuò)誤地關(guān)閉云提供商標(biāo)準(zhǔn)化的默認(rèn)安全設(shè)置，或?qū)δ承┓?wù)允許不受限制的訪問(wèn)設(shè)置；
“內(nèi)鬼”：?jiǎn)T工數(shù)據(jù)盜竊、員工賄賂和售賣信息、運(yùn)維人員報(bào)復(fù)性操作等。
此外，非授權(quán)訪問(wèn)、系統(tǒng)或者網(wǎng)站漏洞等也會(huì)引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)；隨著AI、大數(shù)據(jù)、云計(jì)算等新技術(shù)被黑客應(yīng)用，原有的數(shù)據(jù)安全防護(hù)體系不得不面臨更大的壓力。
企業(yè)應(yīng)如何防護(hù)數(shù)據(jù)安全？
那么，對(duì)于數(shù)據(jù)存量高、信息流動(dòng)性強(qiáng)的企業(yè)，到底應(yīng)如何構(gòu)建數(shù)據(jù)安全的防護(hù)體系呢？具體來(lái)說(shuō)，分為四大階段：
1、數(shù)據(jù)安全的梳理。
企業(yè)對(duì)應(yīng)在數(shù)據(jù)生產(chǎn)之初就加強(qiáng)數(shù)據(jù)管理的分類和治理，包括對(duì)數(shù)據(jù)進(jìn)行感知、風(fēng)險(xiǎn)識(shí)別和分級(jí)，明確定位哪些是機(jī)密數(shù)據(jù)、敏感數(shù)據(jù)、普通數(shù)據(jù)，進(jìn)而根據(jù)數(shù)據(jù)的不同等級(jí)，設(shè)置不同的安全策略，做到加強(qiáng)感知、聯(lián)防聯(lián)控。
2、管理制度的建設(shè)。
數(shù)據(jù)安全不僅是技術(shù)問(wèn)題，更是管理問(wèn)題，一方面需要通過(guò)數(shù)據(jù)安全的相關(guān)產(chǎn)品把制度落地。通過(guò)自動(dòng)化的工具來(lái)清點(diǎn)數(shù)據(jù)資產(chǎn)，快速明確核心數(shù)據(jù)分級(jí)和資源分配，實(shí)時(shí)監(jiān)控訪問(wèn)權(quán)限和訪問(wèn)行為軌跡；同時(shí)需要重視運(yùn)維審計(jì)和數(shù)據(jù)庫(kù)審計(jì)，對(duì)數(shù)據(jù)庫(kù)運(yùn)行過(guò)程中的潛在風(fēng)險(xiǎn)進(jìn)行挖掘。
3、解決方案的落地。
在數(shù)據(jù)存儲(chǔ)、傳輸、使用過(guò)程中，應(yīng)充分應(yīng)用先進(jìn)的數(shù)據(jù)保護(hù)技術(shù)，如加密和脫敏技術(shù)，針對(duì)機(jī)密數(shù)據(jù)則需要持續(xù)性的保護(hù)。企業(yè)必須確保其數(shù)據(jù)庫(kù)、文檔管理系統(tǒng)、文件服務(wù)器在整個(gè)生命周期內(nèi)正確分類和保護(hù)機(jī)密數(shù)據(jù)；通過(guò)密鑰管理對(duì)數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行限定，集中管控以及安全存儲(chǔ)數(shù)據(jù)庫(kù)憑證、API密鑰和其他密鑰、配置信息等敏感憑據(jù)以避免越權(quán)操作行為。
4、強(qiáng)化安全運(yùn)營(yíng)。
企業(yè)應(yīng)當(dāng)加強(qiáng)事前-事中-事后的全流程安全保障，打造覆蓋全生命周期的預(yù)防、檢測(cè)、響應(yīng)和可視的安全運(yùn)營(yíng)體系。
事前檢查服務(wù)器、數(shù)據(jù)庫(kù)有沒(méi)有部署訪問(wèn)控制，有沒(méi)有開(kāi)啟數(shù)據(jù)備份，做到防患于未然。
事中：識(shí)別云控制臺(tái)只能夠用戶操作的異常行為。
事后：通過(guò)接入的云操作行為日志、云產(chǎn)品配置變更日志及各類安全產(chǎn)品日志，可以實(shí)現(xiàn)事后的全面分析和調(diào)查溯源，及時(shí)分析定位安全事件。
新網(wǎng)云數(shù)據(jù)庫(kù)，通過(guò)IP白名單授權(quán)機(jī)制，嚴(yán)格管控訪問(wèn)源。支持通過(guò)VPC來(lái)獲取更高程度的網(wǎng)絡(luò)訪問(wèn)控制，為企業(yè)的業(yè)務(wù)數(shù)據(jù)提升安全性。多重安全防護(hù)措施，完善的性能監(jiān)控體系，可視化界面管理，讓企業(yè)更專注于業(yè)務(wù)發(fā)展；http://www.xinnet.com/cs/rds.html