信息泄露“傷人”于無形，數據安全防范分秒必爭

近日，美國電商巨頭因違反歐盟數據保護條例，泄露用戶隱私被監管局重罰近9億，這是歐盟有史以來最大的數據隱私泄露罰款。剛剛結束的日本東京奧運會也出現了購票者與志愿者的數據被泄露情況，相關負責人表示已在積極補救。此外，2012年倫敦奧運會、2016年里約奧運會、2018年的平昌冬奧會均出現過不同程度的信息泄露，不僅導致賽事運行受阻，更為信息被泄露者埋下了安全隱患。

眾所周知，歐盟數據保護法GDPR堪稱“史上最嚴”，其“長臂管轄”模式有效保障了用戶數據安全；作為亞洲最早頒布隱私保護相關法律的國家之一，日本對于違法泄露信息者將按照情節追究法律責任。在國內，個人信息保護意識也在逐步強化，我國公民個人信息遭受侵害時可以直接向公安機關進行報案。同時國家法律層面針對個人信息的保護也在加速完善，最高人民法院、最高人民檢察院與公安部發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》規定與《個人信息保護法(草案)》都在明確保護公民個人信息……近期發生的事件再次為我們敲響了警鐘。

公民個人信息保護方面需要多措并舉：

1、行業監管自律保護：健全安全管理制度，加強內部人員法制教育，落實崗位個人管理責任。加強存儲介質管理，明確信息查詢下載權限，從源頭杜絕“內外勾結”販賣用戶個人信息問題出現；

2、政策法規驅動保護：追究侵犯個人信息犯罪刑事責任，司法機關追究刑事責任到個人、單位；

3、個人防范意識提升：普及個人信息的重要性，提升公民安全防范意識。

因“拖庫”、“撞庫”導致數據泄漏的事件屢見不鮮，攻擊者利用數據庫自身防護漏洞進行攻擊，企業稍有“不慎”便會造成大量的數據泄漏。因此，無論是重大活動賽事活動，還是企業日常運營不僅需要做好數據安全防護，更需要將防護措施落實到部署上。

具體防護策略如下：

1. 設置可訪問數據庫的IP;

2. 限制數據庫單位時間內的訪問頻次;

3. 限制數據庫的訪問行數，防止大批量數據的抽取。

對此，天融信數據安全專家建議可采取限制數據批量導出、數據庫密碼猜測登錄、數據庫漏洞防御規則庫、SQL注入防御規則等安全防護策略，為數據庫中的數據提供實時安全防護。天融信數據庫安全網關系統專門針對數據庫提供主動、實時的防護能力，內置“拖庫”、“撞庫”防御規則，并具備事后操作行為審計能力、數據庫狀態監控、數據庫訪問控制等功能，可及時發現并有效阻止“拖庫”、“撞庫”行為。

從早期酒店客戶信息泄露到美國某電商被罰9億，數據安全問題將成為數字經濟發展首要解決的問題之一。為此我國自2015年以來，各地區、各行業陸續發布數據安全相關政策、法規、標準，隨著《數據安全法》的出臺，相關合規要求也在加速發布。在網絡安全防護體系建設中，除了部署安全設備保障數據安全外，企業應建立起以數據為中心的全生命周期安全防護體系，將數據安全分類分級、數據標簽、數據加密、數據訪問控制、數據防泄漏、數據脫敏、容災備份等多種數據安全技術措施與現有安全防護手段相結合，同時結合領先的大數據分析技術，建立數據安全管控平臺，實現數據安全態勢感知，提供從業務到安全的全方位挖掘分析能力，“重塑數據安全、保障業務價值”。

天融信作為國內網絡安全領軍企業，在數據安全領域不斷突破，陸續推出數據防泄漏、數據脫敏、數據庫安全網關、數據存儲容災備份、大數據安全防護等系列數據安全產品。未來，天融信將繼續在數據安全技術和產品領域深耕，構建更加完善的數據安全體系，為客戶提供全方位數據安全保障能力、為數據安全的發展及實踐提供可靠保障。