網(wǎng)友解答: 在當(dāng)今社會(huì)、尤其在城市叢林里面生存，必然要跟網(wǎng)絡(luò)打交道，衣食住行、購(gòu)物、娛樂(lè)、消費(fèi)都離不開網(wǎng)絡(luò)，更不用說(shuō)幾乎無(wú)處不在的攝像頭。這些方便我們、一定程度上也保護(hù)了我們，但我們的隱

在當(dāng)今社會(huì)、尤其在城市叢林里面生存，必然要跟網(wǎng)絡(luò)打交道，衣食住行、購(gòu)物、娛樂(lè)、消費(fèi)都離不開網(wǎng)絡(luò)，更不用說(shuō)幾乎無(wú)處不在的攝像頭。這些方便我們、一定程度上也保護(hù)了我們，但我們的隱私在大數(shù)據(jù)下基本上沒(méi)有處于裸露狀態(tài)。如果這些被別有用心的人利用的話，對(duì)我們的安全將會(huì)照成極大的傷害。但對(duì)于掌握大數(shù)據(jù)資源、且能有效利用都是互聯(lián)網(wǎng)行業(yè)巨頭、或者政府，通常不會(huì)做惡、因?yàn)榛ヂ?lián)網(wǎng)的作用是雙向，任何行為都會(huì)暴露在網(wǎng)絡(luò)上、甚至還沒(méi)有來(lái)得及處理就已經(jīng)散播出去。

另外，隨著國(guó)人隱私的意識(shí)覺(jué)醒，國(guó)家也開始立法來(lái)保護(hù)公眾的隱私安全，公安機(jī)關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中，發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，應(yīng)當(dāng)依照網(wǎng)絡(luò)安全法予以處罰。

即便這樣，我們通常來(lái)說(shuō)只需要注意一些事情就會(huì)讓自己的隱私泄露的概率大大降低，減少無(wú)謂傷害，如：在社交平臺(tái)上要盡可能避免透露或標(biāo)注自己的真實(shí)身份，在朋友圈曬圖片的時(shí)候，也須格外謹(jǐn)慎；不要在不正規(guī)的網(wǎng)站、APP上注冊(cè)真實(shí)姓名等信息；在網(wǎng)上交易收到產(chǎn)品后的快遞單一定要撕掉或涂黑等，隱匿個(gè)人信息等等。

網(wǎng)絡(luò)攻擊就像流感病毒，一旦防不住，擴(kuò)散是必然的，最壞的結(jié)果之一就是造成數(shù)據(jù)泄露。但這并不意味著，數(shù)據(jù)泄露的罪魁禍?zhǔn)拙褪侨f(wàn)惡的攻擊者。很多時(shí)候，“中招”也和企業(yè)沒(méi)有做好預(yù)防工作有關(guān)。今天，我們用六個(gè)問(wèn)題，來(lái)試試你的企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)有多大？

1、你足夠了解自己的數(shù)據(jù)嗎？

談數(shù)據(jù)泄露，首先談數(shù)據(jù)。

很多企業(yè)對(duì)自己數(shù)據(jù)的分級(jí)不清晰，不了解哪些數(shù)據(jù)已經(jīng)對(duì)外泄露，甚至不知道自己的敏感數(shù)據(jù)主要存在哪些地方（服務(wù)器、終端、網(wǎng)盤等）。

建議：企業(yè)在部署安全防護(hù)之前，應(yīng)對(duì)數(shù)據(jù)的存放位置、存儲(chǔ)地安全性、和數(shù)據(jù)的敏感程度做一個(gè)梳理。例如，哪些是最敏感、最容易被攻擊者“瞄上”的（用戶賬號(hào)密碼、信用卡信息等），哪些是風(fēng)險(xiǎn)相對(duì)較小的數(shù)據(jù)。了解自己的數(shù)據(jù)，可以讓之后的權(quán)限管理、防護(hù)部署、漏洞修復(fù)少費(fèi)很多功夫。

同時(shí)，企業(yè)員工可以定期給數(shù)據(jù)存放點(diǎn)做“保修”，例如服務(wù)器升級(jí)、終端系統(tǒng)升級(jí)等。

2、數(shù)據(jù)沒(méi)有“裸奔”吧？

數(shù)據(jù)在產(chǎn)生、通信、傳輸、存儲(chǔ)的過(guò)程中，都有可能被篡改、劫持、釣魚攻擊盯上。如果這個(gè)時(shí)候，數(shù)據(jù)沒(méi)有加密，那么攻擊者就會(huì)直接看到明文數(shù)據(jù)。目前，很多企業(yè)在數(shù)據(jù)保護(hù)上面還做得遠(yuǎn)遠(yuǎn)不夠。例如，全球還有半數(shù)的企業(yè)沒(méi)有將網(wǎng)站從HTTP轉(zhuǎn)為HTTPS，讓數(shù)據(jù)在網(wǎng)路上“裸奔”。

HTTPS化，已經(jīng)成為了全球大企業(yè)的必然選擇。蘋果就宣布2017年1月1日起，所有提交到App Store 的App必須強(qiáng)制開啟ATS安全標(biāo)準(zhǔn)(AppTransport Security)，所有連接必須使用HTTPS加密。包括Android也提出了對(duì)HTTPS的要求。

建議：企業(yè)需要對(duì)關(guān)鍵、敏感的數(shù)據(jù)進(jìn)行全鏈路的保護(hù)，也就是從數(shù)據(jù)的產(chǎn)生、通信、存儲(chǔ)到銷毀，都需要呆在加密的環(huán)境中。另外，建議企業(yè)跟上全球步伐，利用云上證書服務(wù)實(shí)現(xiàn)一鍵HTTPS化。

從上圖看，數(shù)據(jù)從客戶端出來(lái)就已經(jīng)是密文數(shù)據(jù)了。那么企業(yè)的用戶在任何網(wǎng)絡(luò)鏈路上接入，即使被監(jiān)聽，黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù)，無(wú)法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。

3、知道自己所在行業(yè)的最大威脅，和高危路徑嗎？

知己知彼，百戰(zhàn)百勝。企業(yè)需要知道所處行業(yè)的主要攻擊類型。例如，在直播、游戲行業(yè)，因?yàn)镈DoS攻擊所導(dǎo)致的數(shù)據(jù)泄露事件就特別頻繁。

但無(wú)論哪個(gè)行業(yè)，Web攻擊都是第一大要害。阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)，85%以上的企業(yè)數(shù)據(jù)泄露都是因Web攻擊引起，包括SQL注入、釣魚、社工、撞庫(kù)等。

建議：在部署安全防護(hù)產(chǎn)品時(shí)，不能“跟風(fēng)”。企業(yè)應(yīng)去了解針對(duì)所處行業(yè)的安全解決方案。一般來(lái)說(shuō)，安全專家們?cè)谂c各行各業(yè)打交道的過(guò)程中，對(duì)每個(gè)行業(yè)的高發(fā)事件，及其所對(duì)應(yīng)的攻擊類型，都了如指掌，能為每個(gè)行業(yè)定制“配套”的產(chǎn)品、架構(gòu)和防護(hù)流程。

而針對(duì)最需要警惕的Web攻擊，建議每一家企業(yè)都能部署Web應(yīng)用防火墻WAF。據(jù)阿里云安全團(tuán)隊(duì)的經(jīng)驗(yàn)，如果企業(yè)能按時(shí)做好風(fēng)險(xiǎn)掃描、系統(tǒng)升級(jí)、再部署Web應(yīng)用防火墻WAF，能有效抵御90%以上的Web入侵。

4、修復(fù)漏洞的時(shí)候，能不犯拖延癥嗎？

阿里云安全研究發(fā)現(xiàn)，大約有20%的企業(yè)，超過(guò)一個(gè)月或者長(zhǎng)期不修復(fù)自己的高危漏洞，讓系統(tǒng)在危險(xiǎn)狀態(tài)下運(yùn)作。

建議：企業(yè)需要定期進(jìn)行漏洞掃描和系統(tǒng)升級(jí)；另外，對(duì)漏洞的修復(fù)要“有重點(diǎn)”。企業(yè)在精力、時(shí)間有限的情況下，可以優(yōu)先那些最容易被攻擊者瞄上的熱門漏洞。

尤其是像Struts2 這樣的大規(guī)模漏洞爆發(fā)之后，企業(yè)需要在幾個(gè)小時(shí)內(nèi)馬上修復(fù)，還要有臨時(shí)補(bǔ)救措施，否則很容易發(fā)生數(shù)據(jù)泄露事件。

科普:Struts2是Apache項(xiàng)目下的一個(gè)Web 框架，普遍應(yīng)用于各大企業(yè)和門戶網(wǎng)站。在2013年6月底發(fā)布的Struts2.3.15版本被曝出存在重要的安全漏洞，攻擊者可遠(yuǎn)程執(zhí)行服務(wù)器腳本代碼等。

在此基礎(chǔ)上，漏洞不僅要靠修，還要靠預(yù)防。建議企業(yè)定期進(jìn)行安全測(cè)試，或發(fā)起眾測(cè)項(xiàng)目，讓專業(yè)的安全公司和測(cè)試人員為企業(yè)漏洞情況做診斷，達(dá)到更好的查漏補(bǔ)缺效果。

5、把正確的權(quán)限給正確的人了嗎？

權(quán)限管理和訪問(wèn)控制，對(duì)于保護(hù)敏感數(shù)據(jù)、防范商業(yè)間諜是必不可少的。潛伏在企業(yè)中的“內(nèi)鬼”，會(huì)將機(jī)密數(shù)據(jù)偷偷泄露出去。這時(shí)候，做好分權(quán)、分區(qū)，就決定了你讓什么人，看到和處理哪些數(shù)據(jù)。

建議：云上針對(duì)租戶賬號(hào)提供賬號(hào)登錄雙因素驗(yàn)證機(jī)制(MFA)、密碼安全策略、和審計(jì)功能，企業(yè)可以方便的在自己的云上界面中啟用和關(guān)閉，以確保云服務(wù)賬號(hào)的安全性。

而在訪問(wèn)控制上，企業(yè)可以限制SSH、RDP業(yè)務(wù)管理源地址、對(duì)數(shù)據(jù)庫(kù)連接源IP進(jìn)行訪問(wèn)控制，實(shí)現(xiàn)最小化訪問(wèn)范圍，僅允許授信人員訪問(wèn)，并對(duì)出口網(wǎng)絡(luò)行為實(shí)時(shí)分析和審計(jì)。

6、員工的安全意識(shí)培訓(xùn)做了嗎？

很多大事故都起源于小錯(cuò)誤。千萬(wàn)不要忽視員工在聊天時(shí)隨便截圖、隨便點(diǎn)郵件中的鏈接等習(xí)慣，也特別要重視代碼安全。員工基本安全能力和意識(shí)的缺失，是很多數(shù)據(jù)泄露事件背后的真正原因。

弱密碼就是一個(gè)特別常犯的“低級(jí)錯(cuò)誤”。Verizon的2016年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，63%的數(shù)據(jù)泄露事件，都跟企業(yè)使用弱密碼，初始密碼和被竊后的密碼有關(guān)?？纯聪聢D就知道，全球最常被使用的500個(gè)密碼，有多么“弱智”了。