發(fā)布時間:2022-06-28 作者:admin
技術(shù)在改變著人們的生活:移動支付����、共享經(jīng)濟�����、電子商務(wù)��、在線醫(yī)療…讓人們的生活更加便捷�����,生活質(zhì)量進一步提升�����。但同時���,數(shù)據(jù)泄漏事件似乎在不斷的發(fā)生����,銀行卡賬號����、個人身份信息、醫(yī)療記錄��、出行記錄在隨著數(shù)字化生活給人們帶去便利的同時���,也被大量的企業(yè)��、服務(wù)機構(gòu)獲取��,使用����。
隨著意識的提高�����,人們越來越重視個人隱私保護?����!昂诳汀?�、“網(wǎng)絡(luò)攻擊”��、“違規(guī)”�����、“泄漏”�,這些詞不斷挑動著人們的神經(jīng)。其中���,有一種較為特殊的“泄漏”�����,一旦發(fā)生可能會涉及到大量的數(shù)據(jù)�����,給相關(guān)用戶和企業(yè)造成巨大的損失�����,我們稱之為云泄露�����。
云泄漏是指存儲在云服務(wù)器中的敏感數(shù)據(jù)毫無防備的暴露在互聯(lián)網(wǎng)上�����。云服務(wù)商在互聯(lián)網(wǎng)上為企業(yè)提供了私有空間來部署系統(tǒng)��、存儲數(shù)據(jù)�����。大多數(shù)云服務(wù)商會提供選項允許企業(yè)將自己的存儲空間面向互聯(lián)網(wǎng)開放�����。若管理員在處理數(shù)據(jù)時修改了權(quán)限���,云服務(wù)器和互聯(lián)網(wǎng)之間的邊界就消失了�,意味著所有人都可以訪問這些數(shù)據(jù)��。2017年版《OWASP Top 10 》顯示“安全配置錯誤”在10項最嚴(yán)重的web應(yīng)用程序安全風(fēng)險中排在第五位�,無論是錯誤的配置還是云中脆弱的服務(wù)器,都會將隱私數(shù)據(jù)至于危險的境地�����。而專門有一類人��,出于獲取利益的目的��,在持續(xù)的搜尋著云泄漏�����,將會擴大云泄露的影響�����。
2017年5月����,因AWS S3存儲桶權(quán)限設(shè)置失當(dāng)導(dǎo)致至少?220萬道瓊斯公司客戶信息半公開,讓免費AWS賬戶都可以訪問里面內(nèi)容。同年7月��,Verizon公司超過1400萬用戶個人資料因第三方供應(yīng)商云服務(wù)器安全配置不當(dāng)遭到外泄���,數(shù)據(jù)所屬的云儲備被配置為允許公開訪問并可完全下載����。9月���,因承包商問題導(dǎo)致美國陸軍及NSA情報平臺絕密文件暴露在Amazon服務(wù)器上,這些都是典型的云泄漏事件��。云泄漏是企業(yè)及組織面臨的獨特風(fēng)險��,出現(xiàn)錯誤的簡單性與它可能導(dǎo)致后果的嚴(yán)重程度形成巨大的反差��。
云泄露中最常見的數(shù)據(jù)分為兩類:
1. 個人信息
身份信息(姓名�����、性別��、年齡���、地址����、電話號碼…)活動信息(訂單、生活軌跡��、瀏覽習(xí)慣…)�����、銀行卡信息��、醫(yī)療記錄…這一類信息極具價值����,買賣公民信息的黑市在互聯(lián)網(wǎng)平臺并不鮮見。當(dāng)下��,政府及監(jiān)管機構(gòu)非常關(guān)注公民個人信息的保護�,在今年5月1日實施的《信息安全技術(shù)個人信息安全規(guī)范》,從國家標(biāo)準(zhǔn)層面��,明確了企業(yè)收集���、使用���、分享個人信息的合規(guī)要求�����,為企業(yè)制定隱私政策及個人信息管理規(guī)范指明了方向���。在同月生效的《通用數(shù)據(jù)保護條例》中,也將對個人信息的保護提升到了新的高度�����,影響行業(yè)廣泛��,對涉事企業(yè)處罰力度大�����。
2. 企業(yè)信息
企業(yè)內(nèi)部的文件/郵件/備忘����;合作伙伴/供應(yīng)商信息��;項目信息�;財務(wù)信息��;設(shè)計/知識產(chǎn)權(quán)信息����;代碼等�����。一旦這些信息暴露��,被競爭對手或有不良企圖的人獲得���,將會給企業(yè)帶來致命的傷害��。
數(shù)據(jù)泄露��,可能會讓公民面臨詐騙����、騷擾�����、甚至人身安全威脅�����,可能讓企業(yè)面臨來自競爭對手的致命打擊、來自監(jiān)管機構(gòu)的高額處罰����,及無法估量的名譽損失?����?梢哉f��,云泄露可給相關(guān)各方帶來巨大的傷害����。
如何防止云泄露?
云泄漏并非由外部攻擊造成�,而是由日常工作中的操作導(dǎo)致的���。企業(yè)在使用云服務(wù)時�����,應(yīng)意識到其風(fēng)險的存在��。企業(yè)在對云服務(wù)配置時����,應(yīng)該持續(xù)驗證每一步操作以保證風(fēng)險的可見。
企業(yè)除了規(guī)范流程�����,降低由操作錯誤導(dǎo)致數(shù)據(jù)外泄的同時����,也應(yīng)當(dāng)關(guān)注到為企業(yè)處理數(shù)據(jù)的第三方合作伙伴,企業(yè)作為數(shù)據(jù)的責(zé)任人�����,一旦出現(xiàn)泄漏���,與第三方需要承擔(dān)同樣的責(zé)任�����。這使得評估和優(yōu)化第三方合作伙伴網(wǎng)絡(luò)風(fēng)險與企業(yè)內(nèi)部的風(fēng)險控制同樣重要����。 第三方是組織的擴展,其行為可以直接影響到合規(guī)性和品牌聲譽 �����。這就要求企業(yè)對幾十個���,幾百個甚至數(shù)千個第三方進行調(diào)查���,評估和后續(xù)跟進,并對風(fēng)險采取行動�����。第三方風(fēng)險管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期�����,并且在數(shù)字化環(huán)境下��,風(fēng)險控制需要得到領(lǐng)導(dǎo)充分的重視和支持��,經(jīng)多個業(yè)務(wù)和職能部門的協(xié)同來完成����。”
僅僅關(guān)注企業(yè)自身的內(nèi)部風(fēng)險���,卻把同樣的數(shù)據(jù)毫無措施的交由第三方合作伙伴�����,這是毫無意義的�����。合作伙伴的選擇和評估應(yīng)該與企業(yè)在保護其內(nèi)部資產(chǎn)和信息時一樣謹(jǐn)慎����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
