在大数据时代,对各类主体的数据安全素养要求越来越高。然而,在现实环境中,普通公民因缺乏信息安全意识和数据技术的应用能力,容易出现使用中的误操作,导致数据风险事故发生。同时,一些专业的系统设计人员和信息管理人员因对信息安全的重视度不够,在系统设计和实际管理应用中疏忽大意,也带来了一些潜在的安全威胁。因此,要提高数据安全防范能力,应着重培养以下几点大数据安全意识。
(一)增强对大数据安全系统防御的认识
大数据产业链覆盖采集、传输、存储、处理、共享、销毁的数据全生命周期,不仅要增强对每个环节的风险防范意识,还要从全局、系统视野去认识大数据全生命周期的安全防御。同时,防御的理念要转换,逐步树立起从被动防御到主动检测的意识,实现自动识别安全威胁、风险阻断和攻击溯源,提升大数据安全防御水平。
知识拓展:美国SANS研究院设计的安全防御体系
美国SANS研究院将企业安全防御体系划分为安全架构、被动防御、积极防御、情报和反制这5个阶段。安全架构是指在系统设计和建设时,规划、建立、维护系统安全,使系统本身具备一定的系统安全防御能力;被动防御是指部署不依赖人的安全防御措施,消耗攻击力量,迟滞攻击,一般是通过部署杀毒软件、防火墙和入侵检测系统来实现;积极防御是指分析、监控、响应、学习并应用知识,以对抗网络攻击者,这要求防御系统具备自动分析和学习的能力,动态提升其防御能力;情报是指收集数据、挖掘信息、产生情报,利用从别处获得的情报来更新自己的防御系统,能够根据全网的安全态势进行积极响应;反制是指在合法框架下对抗攻击者,进行自我防卫,这一般由具备反制能力的机构来执行。
图27 安全防御体系的5个阶段
一方面,用户需要不断提升自身的安全意识,对网络安全攻击有基本认知;另一方面,要增强对安全漏洞的防控意识,加强对计算机软件的合理维护和升级,尤其是对于一些安全防护软件要及时地维护升级,若是发现漏洞就需要及时修复,特别是一些高危漏洞。
案例70:索尼公司未及时修补系统漏洞,导致客户资料被窃(www.xing528.com)
2011年4月,索尼公司的PlayStation游戏网络遭黑客入侵。黑客盗取了索尼PS3、音乐和动画云服务网络Qriocity用户的个人信息,约7700万用户因此受到影响。攻击者闯入三个不同的数据库,数据库包括客户姓名、出生日期以及信用卡账号等敏感信息。为此,索尼长期遭到用户控告和索赔,损失巨大。
分析原因,据知情人士证实,索尼在使用一台过时的Apache服务器,该服务器既没有打补丁,也没有装防火墙。就在事件发生的前几个月,索尼其实已经知道该漏洞,但是,并未采取措施,并未重置密码系统,才导致严重的后果。
显然,在这个案例中,索尼公司管理不善,维护人员疏忽大意,没有及时修复系统漏洞,是遭受巨大损失的关键原因。
(三)增强对数据加密的处理意识,提高数据安全性
在对数据传输和储存过程中,要强化对数据加密的处理意识,面对数据安全威胁,能够及时做到对数据传输环境的安全检测,对数据存储及时进行动态加密,以避免数据丢失和损坏等安全事故。
案例71:埃森哲将私密数据存放至未加密云服务器,导致密码和解密密钥泄露
埃森哲公司是全球管理咨询的世界500强企业。2017年10月,美国网络安全公司UpGuard的网络安全研究主任克里斯·维克里发现,埃森哲公司将大量的私密数据存放在4台未加密的云服务器上,导致其高度敏感的密码和解密密钥泄露。据分析,4台云服务器包含了埃森哲企业云平台的数百GB数据,而该企业云平台为《财富》100强中的大多数企业提供支持服务。这些数据中有各种类型的登录信息,如私密的签名密钥(可用来冒充这家公司)和密码。也就是说,谁要是知道这些服务器的Web地址,不用密码就可以随意下载这些数据。同时,维克里还发现埃森哲用于其亚马逊网络服务的密钥管理系统(KMS)的主密钥,而主密钥一旦失窃,攻击者就有可能全面掌控埃森哲存储在亚马逊服务器上的已加密数据。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
