大数据时代如何保障个人信息安全？

网友解答: 在当今社会、尤其在城市丛林里面生存，必然要跟网络打交道，衣食住行、购物、娱乐、消费都离不开网络，更不用说几乎无处不在的摄像头。这些方便我们、一定程度上也保护了我们，但我们的隐

在当今社会、尤其在城市丛林里面生存，必然要跟网络打交道，衣食住行、购物、娱乐、消费都离不开网络，更不用说几乎无处不在的摄像头。这些方便我们、一定程度上也保护了我们，但我们的隐私在大数据下基本上没有处于裸露状态。如果这些被别有用心的人利用的话，对我们的安全将会照成极大的伤害。但对于掌握大数据资源、且能有效利用都是互联网行业巨头、或者政府，通常不会做恶、因为互联网的作用是双向，任何行为都会暴露在网络上、甚至还没有来得及处理就已经散播出去。

另外，随着国人隐私的意识觉醒，国家也开始立法来保护公众的隐私安全，公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，应当依照网络安全法予以处罚。

即便这样，我们通常来说只需要注意一些事情就会让自己的隐私泄露的概率大大降低，减少无谓伤害，如：在社交平台上要尽可能避免透露或标注自己的真实身份，在朋友圈晒图片的时候，也须格外谨慎；不要在不正规的网站、APP上注册真实姓名等信息；在网上交易收到产品后的快递单一定要撕掉或涂黑等，隐匿个人信息等等。

网络攻击就像流感病毒，一旦防不住，扩散是必然的，最坏的结果之一就是造成数据泄露。但这并不意味着，数据泄露的罪魁祸首就是万恶的攻击者。很多时候，“中招”也和企业没有做好预防工作有关。今天，我们用六个问题，来试试你的企业数据泄露的风险有多大？

1、你足够了解自己的数据吗？

谈数据泄露，首先谈数据。

很多企业对自己数据的分级不清晰，不了解哪些数据已经对外泄露，甚至不知道自己的敏感数据主要存在哪些地方（服务器、终端、网盘等）。

建议：企业在部署安全防护之前，应对数据的存放位置、存储地安全性、和数据的敏感程度做一个梳理。例如，哪些是最敏感、最容易被攻击者“瞄上”的（用户账号密码、信用卡信息等），哪些是风险相对较小的数据。了解自己的数据，可以让之后的权限管理、防护部署、漏洞修复少费很多功夫。

同时，企业员工可以定期给数据存放点做“保修”，例如服务器升级、终端系统升级等。

2、数据没有“裸奔”吧？

数据在产生、通信、传输、存储的过程中，都有可能被篡改、劫持、钓鱼攻击盯上。如果这个时候，数据没有加密，那么攻击者就会直接看到明文数据。目前，很多企业在数据保护上面还做得远远不够。例如，全球还有半数的企业没有将网站从HTTP转为HTTPS，让数据在网路上“裸奔”。

HTTPS化，已经成为了全球大企业的必然选择。苹果就宣布2017年1月1日起，所有提交到App Store 的App必须强制开启ATS安全标准(AppTransport Security)，所有连接必须使用HTTPS加密。包括Android也提出了对HTTPS的要求。

建议：企业需要对关键、敏感的数据进行全链路的保护，也就是从数据的产生、通信、存储到销毁，都需要呆在加密的环境中。另外，建议企业跟上全球步伐，利用云上证书服务实现一键HTTPS化。

从上图看，数据从客户端出来就已经是密文数据了。那么企业的用户在任何网络链路上接入，即使被监听，黑客截获的数据都是密文数据，无法在现有条件下还原出原始数据信息。

3、知道自己所在行业的最大威胁，和高危路径吗？

知己知彼，百战百胜。企业需要知道所处行业的主要攻击类型。例如，在直播、游戏行业，因为DDoS攻击所导致的数据泄露事件就特别频繁。

但无论哪个行业，Web攻击都是第一大要害。阿里云安全团队发现，85%以上的企业数据泄露都是因Web攻击引起，包括SQL注入、钓鱼、社工、撞库等。

建议：在部署安全防护产品时，不能“跟风”。企业应去了解针对所处行业的安全解决方案。一般来说，安全专家们在与各行各业打交道的过程中，对每个行业的高发事件，及其所对应的攻击类型，都了如指掌，能为每个行业定制“配套”的产品、架构和防护流程。

而针对最需要警惕的Web攻击，建议每一家企业都能部署Web应用防火墙WAF。据阿里云安全团队的经验，如果企业能按时做好风险扫描、系统升级、再部署Web应用防火墙WAF，能有效抵御90%以上的Web入侵。

4、修复漏洞的时候，能不犯拖延症吗？

阿里云安全研究发现，大约有20%的企业，超过一个月或者长期不修复自己的高危漏洞，让系统在危险状态下运作。

建议：企业需要定期进行漏洞扫描和系统升级；另外，对漏洞的修复要“有重点”。企业在精力、时间有限的情况下，可以优先那些最容易被攻击者瞄上的热门漏洞。

尤其是像Struts2 这样的大规模漏洞爆发之后，企业需要在几个小时内马上修复，还要有临时补救措施，否则很容易发生数据泄露事件。

科普:Struts2是Apache项目下的一个Web 框架，普遍应用于各大企业和门户网站。在2013年6月底发布的Struts2.3.15版本被曝出存在重要的安全漏洞，攻击者可远程执行服务器脚本代码等。

在此基础上，漏洞不仅要靠修，还要靠预防。建议企业定期进行安全测试，或发起众测项目，让专业的安全公司和测试人员为企业漏洞情况做诊断，达到更好的查漏补缺效果。

5、把正确的权限给正确的人了吗？

权限管理和访问控制，对于保护敏感数据、防范商业间谍是必不可少的。潜伏在企业中的“内鬼”，会将机密数据偷偷泄露出去。这时候，做好分权、分区，就决定了你让什么人，看到和处理哪些数据。

建议：云上针对租户账号提供账号登录双因素验证机制(MFA)、密码安全策略、和审计功能，企业可以方便的在自己的云上界面中启用和关闭，以确保云服务账号的安全性。

而在访问控制上，企业可以限制SSH、RDP业务管理源地址、对数据库连接源IP进行访问控制，实现最小化访问范围，仅允许授信人员访问，并对出口网络行为实时分析和审计。

6、员工的安全意识培训做了吗？

很多大事故都起源于小错误。千万不要忽视员工在聊天时随便截图、随便点邮件中的链接等习惯，也特别要重视代码安全。员工基本安全能力和意识的缺失，是很多数据泄露事件背后的真正原因。

弱密码就是一个特别常犯的“低级错误”。Verizon的2016年数据泄露调查报告显示，63%的数据泄露事件，都跟企业使用弱密码，初始密码和被窃后的密码有关。看看下图就知道，全球最常被使用的500个密码，有多么“弱智”了。