近年来随着信息化技术的飞速发展,信息安全问题已经影响到我们的日常生活甚至国家安全。病毒、恶意代码导致的计算机和手机等设备瘫痪、个人信息的无故泄露、各种电信诈骗手段、窃取银行卡账号密码等事件屡见不鲜,以致于造成了严重的政治影响和经济损失。在网络信息技术高速发展的今天,信息安全变得至关重要,甚至已成为全球国际事务的重要话题。

打开网易新闻 查看精彩图片

不久前,某全球网络服务供应商发生的一起严重数据泄露事件,再次震惊了业界。

据了解,此次数据库泄露的信息高达57.46 GB,总共有3.85亿条敏感数据。该数据库不仅包含了大量服务器、错误和监控日志等日常细节,还包含了内部操作、员工、供应商及客户等海量数据,如个人姓名、电话号码、电子邮箱、客户活动以及敏感的财务数据等。

与传统勒索攻击不同,这次数据库泄露的主要原因是数据没有进行加密保护,导致该全球网络服务供应商的海量信息在“裸奔”。

打开网易新闻 查看精彩图片

而泄露的数据库敏感信息,则可能被用于有针对性的网络钓鱼攻击或欺诈活动,导致重要数据泄露和恶意软件安装,这种方式不仅让企业更加难以防范,还会增加二次泄露的风险。

这起泄露事件对个人、企业乃至整个社会构成的威胁不言而喻,给他们带去了无法估量的经济损失和精神损失。

然而这并非个例!近几年,从国外到国内的泄露事件频发,仅看数字都让人“触目惊心”!

01

某企业宣布,2023 年遭受 Akira 勒索软件的网络攻击,导致10万人的数据泄露,包括客户、经销商、员工的个人身份信息。
信息来源:郑州市网络安全协会

02

某国媒体公开一段长达38分钟的录音,记录了他国军方高层商讨军援另外一国的绝密内容。录音泄露之后,引发轩然大波。
信息来源:光明网

03

某品牌下一代游戏主机的详细规格在网络被频繁泄露,不仅包括GPU 技术规格,还有更多详细参数,此次泄密引发消费者的不信任和担忧。
信息来源:IT之家

01

信息安全泄露四个途径

网络化时代,每时每刻都会产生大量的信息,这些信息包含大量的敏感数据和内容。网络犯罪者可以利用这些数据获取巨大的利益,他们会通过技术攻击、网络钓鱼等各种非法手段来获取数据,导致泄露事件频频发生。究其泄密途径,大多是因为如下几点:

01

系统配置错误

错误的系统配置和不安全的默认配置是攻击者们最喜欢的载体,因为这些错误的配置信息使他们能够非常轻松地访问关键业务系统和数据。

02

勒索软件攻击

勒索软件攻击是指攻击者通过劫持用户的系统或数据资产,实施以资金敲诈为主要目标的违法活动。目前,勒索软件攻击已经成为最普遍、危害最严重的网络攻击形式。

03

内部威胁

由于内部人员往往是组织默认可信的人,通过合法访问组织的关键资产,内部人员可以在无人监管的情况下轻松窃取敏感数据或植入恶意木马病毒,也有一些安全意识薄弱的员工会在无意中泄露企业的机密数据。

04

第三方数据泄露

由于供应链中某个环节发生被黑客攻击或存在漏洞等问题,导致企业数据被泄露或者遭受破坏的情况。这不仅会导致企业的经济损失,还可能影响企业形象和客户信任度,甚至会对国家和社会造成不良影响。

02

如何防止企业数据泄露?

打开网易新闻 查看精彩图片

01

加强员工安全意识培训

通过加强员工的安全意识培训,可以提高员工对敏感数据保护的认识,增强防范意识。培训内容可以包括数据安全基础知识、常见的数据泄露风险以及应对方法等。

建立数据访问控制机制

02

企业应建立完善的数据访问控制机制,确保只有经过授权的人员才能访问敏感数据。例如,设定不同级别的数据访问权限,根据员工的职责和需要分配相应的权限;定期对数据进行审计和检查,确保数据的完整性和保密性。

03

加强内部设备管理

通过对内部设备的管理,防止敏感信息通过打印、复印等方式泄露。包括:对打印机、复印机等设备进行权限设置,限制非授权人员的使用;安装打印管理软件,实现打印内容监控、打印计数、打印审核等功能;定期检查设备的连接状态和使用情况,防止非法连接和恶意使用。

建立完善的数据备份机制

04

数据备份是预防数据泄露的重要手段之一。企业应定期对关键数据进行备份,并将备份数据存储在安全的地方。同时,需要确保备份数据的完整性和可用性,以便在需要时能够迅速恢复数据。

05

部署SSL证书

未部署安装SSL证书的网站,用户会通过HTTP连接传输网页内容,WIFI节点、运营商、路由器等任何传输节点都可能遭到黑客窃取、篡改、恶意注入软件和广告弹窗。

打开网易新闻 查看精彩图片

已经部署安装SSL证书的网站,企业网站升级到HTTPS加密服务,将建立SSL安全通道。用户与网站之间的信息传输受到加密保护,有效避免钓鱼网站、假冒网站的威胁。

SSL/TLS通过对网络通信进行加密,确保数据在传输过程中不会被窃取或篡改,只有接收方具备正确的解密密钥才能获取数据的原始内容。

SSL证书的主要作用就是激活SSL/TLS协议,实现HTTPS加密、保护数据传输安全,以及验证服务器真实身份。

打开网易新闻 查看精彩图片

在政策要求和业务需求的双重推动下,广大网站运营者应及早采用全站HTTPS方案推进网站安全加密整改,同时加强邮件传输、即时通讯等数据传输场景安全,确保网站运营与数据处理合法合规。