怎么规避数据风险？

如果企业认为自己的数据存储已经非常安全了，那就大错特错了。目前，企业数据泄露的问题非常突出，这里我们介绍五种常见的数据安全风险，并给出规避风险的建议。

让我们一起来思考一个问题： 企业数据所面临的更大安全威胁是什么？如果你的回答是黑客攻击或者说是IT人员的违规行为的话，那并不完全正确。的确，黑客的恶意攻击总能引起人们的高度重视，IT人员的恶意违规行为更是不能容忍，但事实上，最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工，换句话说，内部员工使用 *** 文件共享或者乱用笔记本电脑造成数据泄露的可能性更大。

据Ponemon Institute最新的调查报告显示，内部员工的粗心大意是到目前为止企业数据安全的更大威胁，由此造成的数据安全事故高达78%。在这份报告中还指出，在企业不断尝试和应用最新企业内部数据保护技术的同时，却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。

存储 *** 工业协会（SNIA）曾发布过企业存储安全性自我评估 *** ，用来测试企业对数据的保护程度。结果显示，目前大多数企业受到数据泄露问题的困扰。ITRC（Identity Theft Resource Center）的资料也显示，在美国，2008年出现的数据泄露事件比上一年增长了47%。“况且这些还只是有记载的数字，我的电子邮箱里就经常收到一些促销信息，显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。

事实上，现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示，在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次，而8%的人则表示收到过四次以上这样的通知。但是，到目前为止，企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示，在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。

目前，解决问题惟一的 *** 就是借鉴其他企业的前车之鉴，以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题，每种情况我们都给出了规避安全风险的建议。

内部窃取

2007年11月，Certegy Check Services（Fidelity National Information Services的一家子公司）的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后，他将数据卖给了一家中间商，价格是50万美元，之后这家中间商又将数据卖给了其他商家。事情败露后，这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决，客户的个人信息并没有被泄露，不过，其客户还是收到了其他厂商发来的促销信息，而这些厂商恰恰购买了被窃数据。

还有一个案例，一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密，然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录，他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件，这些文件记录了DuPont的主要产品线，其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久，并最终达成了“协议”。依据这些犯罪记录，法院宣判其服刑18个月。

代价：在DuPont的案例中，虽然最终美国 *** 为其损失补偿了18万美元，但其被泄露的商业机密估计价值超过4亿美元。而且，没有任何证据可以证明，DuPont泄露的数据已经被竞争对手，也就是上述那位技术专家的“同谋”得到，这就使得DuPont无法通过更有效的法律途径解决问题。

据Semple的研究显示，客户信息失窃比知识产权失窃带来的损失更大。在2008年，Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。

分析：ITRC的报告中显示，在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的，是2007年的两倍。原因是，现在很多企业在“猎头”的同时，还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组（CERT）的研究，1996年到2007年企业内部犯罪有一半是窃取商业机密。

CERT指出，内部人员窃取商业机密有两大诱因：一是能够获得金钱；二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的，但这类情况大都是在员工离开以后才被发现，因为其留下了秘密访问数据的记录。可见，内部威胁是数据安全管理的难题之一，尤其是对那些有特许权限的员工的管理更是如此。

建议：首先，建议企业做好对数据库非正常访问的监督，为不同用户的当前可用访问权设定限制，这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如，Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外，一旦检测到了数据泄露，最重要的就是快速行动以减小信息扩散的可能性，并提交法律机关迅速展开取证调查。

其次，企业应当使用个人访问控制工具，保证系统记录下每一个曾经访问过重要信息的人。此外，保存客户和员工信息的数据库更应当对访问加以严格限制。事实上，就日常工作而言，能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢！因此，个人信息应该与商业机密有着相同的保密级别。

再次，建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告，并做记录。但是目前，很多企业都没有应用类似的审查记录工具。

此外，加强内部控制和审计也非常重要。举个例子，企业可以通过设立 *** 审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够，企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然，单独依靠技术手段是不行的，企业还需要确保你所信任的数据使用者是真正值得信任的。

设备失窃

2006年5月，由于美国退伍军人事务部的一名工作人员丢失了自己的笔记本电脑，致使2650万退伍军人的个人资料丢失。万幸的是，最后小偷被捕，并没有酿成更严重的后果。虽然事后FBI（美国联邦调查局）宣称数据没有被泄露，但这个事件的发生还是给退伍军人事务部带来了巨大的影响。无独有偶，2007年1月，退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件，致使53.5万退伍军人和超过130万内科医生的个人数据被泄露。

代价：在事件发生后的一个多月的时间里，退伍军人事务部为了支撑回答人们关于数据被窃问题的 *** 应答中心，每天就要花费20万美元，此外，他们还要支付100万美元用来打印和邮寄通知信。

退伍军人事务部因此还遭到了联名起诉，起诉中包括要求其对每个人造成的损失赔偿1000美元。在2007年第二次数据泄露事件之后，退伍军人事务部为现役和已经退伍的军人总共赔偿了2000多万美元，才结束了这场联名诉讼。为此，美国 *** 还为其拨款2500万美元用来补偿损失。

分析：设备失窃成为了数据泄露的最主要原因—在2008年，大约占到了20%。据芝加哥法律事务所Seyfarth Shaw的合伙人Bart Lazar介绍，在他所处理的数据泄露案件中，由于笔记本电脑丢失而造成的数据泄露占绝大部分。

建议：首先要对存储在笔记本电脑上的个人身份信息加以限定。比如说，不要将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息放在一起保存。可以将这些数字“截断”存储，或者考虑建立个人特殊信息，比如说将每个人的姓氏与社会保险号码的后四位连在一起保存。

其次，对笔记本电脑上存储的个人信息进行加密，尽管这会产生一些潜在成本（大约每台笔记本电脑50到100美元），同时还会损失一些性能，但这是必须的。美国存储 *** 工业协会负责存储安全的副主席Blair Semple曾表示，对数据进行加密，需要企业和员工都形成这种强烈的意识才行，在很多情况下，对数据进行加密并不困难，但人们却没有这么做，不难看出，管理层面上的问题才是更大的。

最后，建议在数据载体上设置保护性更强的口令密码。

外部入侵

2007年1月，零售商TJX Companies 发现其客户交易系统被黑客入侵，令人不解的是，此入侵从2003年就已经开始了，一直延续到2006年12月，黑客从中获取了9400万客户的账户信息，而数据被盗事件在4年后才因一次伪造信用卡事件被发现。2008年夏天，11人因与此事相关而被起诉，这是美国法律部门有史以来受理的更大规模的黑客盗窃案件。

代价：据估计，TJX在此次数据泄露事件中的损失大约在2.56亿美元，包括恢复计算机系统、法律诉讼费、调查研究以及其他支持费用，损失中还包括对VISA和MasterCard的赔偿。此外，美国联邦商务委员会还要求TJX必须每隔一年委托独立的第三方机构进行安全检查，并持续20年。

甚至有人预测，TJX因此受到的损失会达到10亿美元以上，因为还要将法律和解费用以及因此失去很多客户的代价计算在内。据Ponemon在2008年4月进行的一项研究表明，通常发生数据泄露事故的企业将会失去31%的客户基础和收入来源。在Ponemon最近发布的年度数据泄露损失统计报告中显示，每泄露一份客户信息，公司就将损失202美元，而在1997年，这个数字是197美元，其中因数据泄露失去的商业机会所带来的损失是损失增长中最重要的部分。

分析：据Ponemon的研究，黑客入侵造成的数据泄露在安全威胁中名列第五。据ITRC的调查，在2008年有记载的数据泄露事件中有14%是由黑客攻击所造成的。但这并不意味着企业对此就应该束手无策，甚至放任不管。

在TJX的案例中，黑客是利用War-Driving渗透到系统内并入侵企业 *** 的。而这主要是因为TJX使用的 *** 编码低于标准规格，且在 *** 上的计算机并没有安装防火墙，传输数据也没有进行加密，这才使得黑客可以在 *** 上安装软件并访问系统上的客户信息，甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。

建议：如果对数据库的访问非常容易的话，那么建议企业使用高级别的数据安全措施和数据编码。

员工大意

Pfizer公司的一名员工一直是通过 *** 和笔记本电脑进行远程办公的，没想到，他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件，致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息，其中包括姓名、社保账号、地址和奖金信息等。统计显示，大约有1.57万人通过P2P软件下载了这些数据，另外有1250人转发了这些数据。

代价：为了将数据泄露事件的危害降至更低，并避免类似事件的发生，Pfizer与一家信用报告 *** 商签署了一项“支持与保护”合同，合同包括对与泄露数据相关的信息进行为期一年的信用监控服务，以及一份因数据泄露对个人损失进行赔偿的保险单。

分析：据Ponemon的最新研究表明，粗心的员工（虽然不是故意的）是数据安全的更大威胁。有数据显示，88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识，数据泄露的数量将会大幅下降。在Pfizer的案例中，就是因为员工的妻子在其笔记本电脑上安装了文件共享软件，这才使得其他人能够通过P2P软件获得笔记本电脑上的数据，包括Pfizer公司的内部数据信息。

大意的员工再加上文件共享软件，这绝对是个危险的组合。Dartmouth College在2007年的研究表明，虽然大部分企业不允许在企业 *** 上安装P2P软件，但是很多员工却在远程计算机和家用PC上安装了这种软件。研究发现，有三十家美国银行的员工在使用P2P软件分享音乐和其他文件，并在不经意间向潜在的 *** 犯罪分子泄露了银行账户数据。一旦业务数据发生泄露，将会通过P2P软件扩散到全世界的很多计算机上。

建议：企业的IT部门应该全面禁止员工使用P2P软件，或者制定规章限制P2P的使用，并安装工具来强化这一规章。并且，应该对员工的计算机系统进行审核，阻止员工进行软件下载。比如，可以将员工的管理员资格取消，这样他们就不能安装任何程序了。同时，最重要的就是教育和培训，因为这样能够让员工了解P2P的危险性。

合作伙伴泄露

2008年11月，亚利桑那州经济安全部给大约4万名儿童的家长发出了通知——这些孩子的个人信息可能已经因为 *** 商将几个磁盘丢失而被泄露。磁盘虽然有密码保护，但却没有进行加密。

代价：统计数据显示，对企业来说，合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的调查统计，合作伙伴泄露一份数据记录企业要损失231美元，而企业内部泄露一份数据记录造成的损失约为171美元。

分析：Ponemon的年度损失报告表明，外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长，去年大约占到所有数据泄露事件的44%，比2007年增长了40%。ITRC的研究也指出，2008年10%的数据泄露与 *** 商有关。

建议：企业需要签订更高服务级别的详细合同，确保 *** 商遵守协议，一旦其违反了合同就能够对其进行处罚。此外，在使用备份磁带或者磁盘时，一定要进行加密和密码保护。

如何进行数据安全防护，避免黑客攻击呢？

避免黑客攻击可以使用安华金和数据库安全防护系统，因为产品可以提供数据库漏洞攻击防护能力和虚拟补丁，捕获和阻断漏洞攻击行为，避免利用应用系统漏洞的注入攻击和以Web应用服务器为媒介的数据库自身漏洞攻击和入侵。有效拦截黑客攻击。

如何应对黑客

黑客攻击的类型及拦截方式：

黑客可以采取多种不同的攻击方式部分或全部控制一个网站。一般来说，最常见和最危险的是SQL植入（injection）和跨站点脚本（XSS，cross-site scripting ） 。

SQL植入是一种在 *** 应用程序中植入恶意代码的技术，它利用数据库层面的安全漏洞以达到非法控制数据库目的。这种技术非常强大，它可以操纵网址（查询字符串）或其他任何形式（搜索，登录，电子邮件注册）以植入恶意代码。您可以在 *** 应用安全联盟（英文）中找到一些关于SQL植入的例子。

为避免此类黑客攻击的发生的确有法可循。举例来说，在前端界面和后端数据库之间增加一个“中间层”就是一种很好的做法。在PHP中，PDO（PHP Data Objects）扩展通常与参数（有时被称作placeholder或绑定变量）共同发生作用，而不是直接将用户输入做为命令语句。另一种极为简单的技术 是字符转义，通过这种方式，所有可以直接影响数据库结构的危险字符都可以被转义。例如，参数中每出现一个单引号〔 ‘ 〕必须代之以两个单引号〔 ’ ‘ 〕来形成一个有效的SQL字符串。这只是两种您可以采取的、最常见的用以改进网站安全并避免SQL植入的有效方式。您还可以在网上找到许多其他符合您需求的资源（编程语言，具体的Web应用程序等）。

下面我们要介绍的是跨站点脚本（ XSS ）技术 。跨站点脚本是一种通过利用 *** 应用程序层面的安全漏洞，在网页中植入恶意代码的技术。当 *** 应用程序处理通过用户输入获得的数据，并且在返回给最终用户前没有任何进一步的检查或验证时，这种攻击就可能发生。您可以在 *** 应用安全联盟（英文）中找到一些跨站点脚本的例子。

有许多办法可以确保 *** 应用程序不被这种技术侵犯。一些简便易行的 *** 包括：

剔除可以 *** 入到表单中的数据输入（例如，PHP中的strip tags功能）;

利用数据编码，避免潜在恶意字符的直接植入（例如，PHP中的htmlspecialchars功能）；

在数据输入和数据库端之间创建一个“层”，以避免应用程序代码被直接植入恶意字符。

一些有关CMSs安全的资源：

SQL植入和跨站点脚本只不过是黑客用来攻击和利用无辜网站的多种技术中的其中两种。作为一般的安全准则，在 *** 安全问题上特别是在使用第三方软件时，一直保持更新以确保您安装了最新版本的软件是非常重要的。许多围绕大型建站社区建设的 *** 应用程序都提供持续的支持和软件升级。

怎样防范黑客攻击？

可以通过隐藏IP地址来防止黑客攻击。

隐藏IP *** ：

使用 *** 服务器相对于直接连接到Internet可以保护IP地址，从而确保上网的安全。 *** 服务器其实就是在电脑和要连的服务器之间架设的一个“中转站”，向 *** 服务器等发出请求数据之后， *** 服务器首先会先截取这个请求，然后将请求转交给远程服务器，从而实现和 *** 的连接。很明显使用 *** 服务器后，只能检测到 *** 服务器的IP地址而不是用户所在地IP地址，这就实现了隐藏IP地址的目的，有效的保护了上网的安全。

黑客攻击手段：

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。

黑客攻击和数据泄露怎么办

如果是企业用户的话，建议还是提早部署安全防护软件，例如红线防泄密系统，不仅可以对文件目录进行保护，阻止 *** 攻击，非法篡改数据或盗取文件，也可以防止内部的人员进行内部泄密，不管是 *** 攻击还是内部“内鬼”都不能造成数据泄露，因为数据离开授权环境，即是密文显示，获取不到真实内容。

而且拥有拥有高度的集中管理、集中策略控制、灵活的分组（部门）管理机制。企业可以根据实际的需求对不同的部门设置不同的加密策略及相应的控制策略。

大数据时代:如何守护我们的数据安全

大数据时代:如何守护我们的数据安全

不管你承认不承认，我们已经全面进入了大数据时代。无时无刻，我们的很多信息都被通过各种途径传播出去，这就必然导致安全问题的产生。

大数据的安全问题有多严重？在此前举办的“2016中国大数据产业峰会”上发生的一个实例，就可见一斑。

在360展区，市民严女士随手将钱包、手机放到安检筐里，空手走过安检门。她通过安检门，突然发现大屏幕上显示出自己银行卡的姓名拼音、身份证号、银行卡号、卡片有效期、最近10次的消费时间、消费地点、取现记录、转账记录等等。严女士惊呼：“遇到了魔术师”。

360安全专家刘洋解释，实际上，存放手机钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器，旁边还有配套的信号接收器和电脑等设备，就像公交车刷卡器，只要银行卡靠近读卡器，卡片的信息就显示出来，安检门其实就是“安全魔术师”手中的障眼法。就在严女士将钱包放进安检筐的那一刻，严女士的个人信息就已经泄露了。

那么，我们靠什么来保障我们的数据安全呢？难道我们只能看着个人的数据和隐私到处泄露吗？

数据安全事件日益高发

近来，大数据安全事件呈高发之势。日前，广东警方破获一起高科技经济犯罪案件，17岁的“黑客”叶世广，攻破了多个商业银行网站，窃取了储户的身份证号、银行卡号、支付密码等数据，带领一批人在网上大肆盗刷别人的信用卡，涉案金额近15亿元，涉及银行49家。

今年2月，发生了世界上有史以来规模更大的 *** 盗窃案。黑客入侵了孟加拉国央行在纽约联邦储备银行的账户，盗走了8100万美元，后来孟加拉国官方表示，黑客出现了一个拼写错误，否则随后还将进行一笔近10亿美元的转账。

今年3月，与叙利亚有关联的激进黑客组织对一个自来水厂发起 *** 攻击。黑客操纵系统改变了进入到自来水中的化学物含量，阻碍净水过程。

类似的案例不胜枚举。

360公司总裁齐向东向《中国科学报》记者表示，接入互联网的设备越多， *** 攻击的发生几率就越高， *** 攻击首先瞄准大数据，攻击造成大数据丢失、情报泄密和破坏 *** 安全运行。大数据技术是一把双刃剑，既可以造福社会、造福人民，又可以被一些人用来损害社会公共利益和民众利益。

大数据安全体系构建势在必行

“在互联网乃至物联网时代，如果我们不能很好地解决安全问题，就会影响社会各方面的发展。因此，各级 *** 在鼓励发展大数据的同时，要同步考虑构建大数据安全体系。”齐向东表示。

值得注意的是，传统的 *** 安全思路已经无法保障大数据时代的安全。刘洋向记者介绍，传统 *** 安全的防护思路是划分边界，将内网、外网分开，业务网和公众网分离，用终端设备将潜在风险隔离。通过在每个边界设立网关设备和 *** 流量设备，来守住“边界”，以期解决安全问题。但随着移动互联网、云服务的出现，移动终端在4G信号、Wi-Fi信号、电缆之间穿梭， *** 边界实际上已经消亡。

“很多传统的大企业认为，只要自己购买服务器并搭建独立的机房，安排专门的技术人员就能够保护企业的数据不被泄露，能够保护企业的信息安全。但实际上，在如今的互联网时代，这种传统的 *** 更加容易被不法分子所攻破。”阿里云安全资深总监肖力向《中国科学报》记者介绍，这是因为从技术实力来看，绝大部分企业并不是专门做 *** 安全、数据安全，其设置的技术壁垒难以阻挡专业的黑客。

齐向东介绍，360安全中心每天发现木马样本近千万个，每天发现的各种软硬件漏洞、网站漏洞超过120个，“每一个木马每一个漏洞，都可能攻破预先部署的安全设备和安全软件”。这种情况下，企业的传统防护的确难以奏效。

云平台和大数据需“双剑合璧”

在采访中，有专家认为，对付大数据时代的数据安全问题，防止信息泄露，除了完善相关法制法规，更加需要云平台的防护技术，结合大数据技术来应对数据安全。

“在云计算不断深入发展的当下，将数据存储在云平台上，或许比传统的企业信息防护更加安全。”肖力介绍，以阿里云为例，阿里云在架构设计之初就同步考虑了安全架构，不仅将安全的基因植入到整个云平台和各个云产品中，也将数据安全要求嵌入产品开发生命周期的各个环节。依靠专业的云计算平台，强大的技术团队能够更好地应付来自黑客的攻击。

不同用户之间，无论是CPU、内存，还是存储和 *** ，都默认相互隔离，既看不到对方的数据，也不会相互影响。“就像一间五星级酒店被分割成多个房间，他们之间是相互独立和封闭的，从而确保不同租户互不干扰和数据隔离。”肖力表示。

据介绍，目前全国35%的网站的数据安全防护都依托于阿里云平台的防护。阿里云的云盾，涵盖 *** 安全、服务器安全、数据安全、业务安全和移动安全这五个安全领域，来保护数据安全。

360也有自己的云安全管理平台。刘洋介绍，该平台将360独有的云安全漏洞挖掘能力输出给广大用户，通过统一管理、安全可见以及 *** 、主机、应用、数据的分层纵深防御，为用户全面解决云安全问题。

“用大数据技术来解决大数据时代的安全问题十分必要。”齐向东进一步指出，必须建立“数据驱动安全”的思维，搭建全新的互联网安全体系—“传统安全+互联网+大数据”。也就是说，要利用漏洞挖掘技术、 *** 攻击技术、软件样行为分析技术以及由 *** 地址解析数据库、 *** 访问日志数据库、文件黑白名单数据库等组成大数据系统与分析技术，构建全天候全方位感知 *** 安全态势。“要基于强大的大数据库、利用先进的大数据技术和广泛的用户覆盖率，提前感知 *** 威胁态势，为大众提供未知威胁的发现与回溯功能并进行有效防护。”齐向东说。

“未来还应当联合各方力量，共建互联网安全产业链生态，来应对大数据时代的安全风险。”肖力表示。