網(wǎng)友解答: 在當今社會、尤其在城市叢林里面生存，必然要跟網(wǎng)絡打交道，衣食住行、購物、娛樂、消費都離不開網(wǎng)絡，更不用說幾乎無處不在的攝像頭。這些方便我們、一定程度上也保護了我們，但我們的隱

在當今社會、尤其在城市叢林里面生存，必然要跟網(wǎng)絡打交道，衣食住行、購物、娛樂、消費都離不開網(wǎng)絡，更不用說幾乎無處不在的攝像頭。這些方便我們、一定程度上也保護了我們，但我們的隱私在大數(shù)據(jù)下基本上沒有處于裸露狀態(tài)。如果這些被別有用心的人利用的話，對我們的安全將會照成極大的傷害。但對于掌握大數(shù)據(jù)資源、且能有效利用都是互聯(lián)網(wǎng)行業(yè)巨頭、或者政府，通常不會做惡、因為互聯(lián)網(wǎng)的作用是雙向，任何行為都會暴露在網(wǎng)絡上、甚至還沒有來得及處理就已經(jīng)散播出去。

另外，隨著國人隱私的意識覺醒，國家也開始立法來保護公眾的隱私安全，公安機關在互聯(lián)網(wǎng)安全監(jiān)督檢查中，發(fā)現(xiàn)互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構(gòu)成犯罪的，應當依照網(wǎng)絡安全法予以處罰。

即便這樣，我們通常來說只需要注意一些事情就會讓自己的隱私泄露的概率大大降低，減少無謂傷害，如：在社交平臺上要盡可能避免透露或標注自己的真實身份，在朋友圈曬圖片的時候，也須格外謹慎；不要在不正規(guī)的網(wǎng)站、APP上注冊真實姓名等信息；在網(wǎng)上交易收到產(chǎn)品后的快遞單一定要撕掉或涂黑等，隱匿個人信息等等。

網(wǎng)絡攻擊就像流感病毒，一旦防不住，擴散是必然的，最壞的結(jié)果之一就是造成數(shù)據(jù)泄露。但這并不意味著，數(shù)據(jù)泄露的罪魁禍首就是萬惡的攻擊者。很多時候，“中招”也和企業(yè)沒有做好預防工作有關。今天，我們用六個問題，來試試你的企業(yè)數(shù)據(jù)泄露的風險有多大？

1、你足夠了解自己的數(shù)據(jù)嗎？

談數(shù)據(jù)泄露，首先談數(shù)據(jù)。

很多企業(yè)對自己數(shù)據(jù)的分級不清晰，不了解哪些數(shù)據(jù)已經(jīng)對外泄露，甚至不知道自己的敏感數(shù)據(jù)主要存在哪些地方（服務器、終端、網(wǎng)盤等）。

建議：企業(yè)在部署安全防護之前，應對數(shù)據(jù)的存放位置、存儲地安全性、和數(shù)據(jù)的敏感程度做一個梳理。例如，哪些是最敏感、最容易被攻擊者“瞄上”的（用戶賬號密碼、信用卡信息等），哪些是風險相對較小的數(shù)據(jù)。了解自己的數(shù)據(jù)，可以讓之后的權限管理、防護部署、漏洞修復少費很多功夫。

同時，企業(yè)員工可以定期給數(shù)據(jù)存放點做“保修”，例如服務器升級、終端系統(tǒng)升級等。

2、數(shù)據(jù)沒有“裸奔”吧？

數(shù)據(jù)在產(chǎn)生、通信、傳輸、存儲的過程中，都有可能被篡改、劫持、釣魚攻擊盯上。如果這個時候，數(shù)據(jù)沒有加密，那么攻擊者就會直接看到明文數(shù)據(jù)。目前，很多企業(yè)在數(shù)據(jù)保護上面還做得遠遠不夠。例如，全球還有半數(shù)的企業(yè)沒有將網(wǎng)站從HTTP轉(zhuǎn)為HTTPS，讓數(shù)據(jù)在網(wǎng)路上“裸奔”。

HTTPS化，已經(jīng)成為了全球大企業(yè)的必然選擇。蘋果就宣布2017年1月1日起，所有提交到App Store 的App必須強制開啟ATS安全標準(AppTransport Security)，所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

建議：企業(yè)需要對關鍵、敏感的數(shù)據(jù)進行全鏈路的保護，也就是從數(shù)據(jù)的產(chǎn)生、通信、存儲到銷毀，都需要呆在加密的環(huán)境中。另外，建議企業(yè)跟上全球步伐，利用云上證書服務實現(xiàn)一鍵HTTPS化。

從上圖看，數(shù)據(jù)從客戶端出來就已經(jīng)是密文數(shù)據(jù)了。那么企業(yè)的用戶在任何網(wǎng)絡鏈路上接入，即使被監(jiān)聽，黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù)，無法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。

3、知道自己所在行業(yè)的最大威脅，和高危路徑嗎？

知己知彼，百戰(zhàn)百勝。企業(yè)需要知道所處行業(yè)的主要攻擊類型。例如，在直播、游戲行業(yè)，因為DDoS攻擊所導致的數(shù)據(jù)泄露事件就特別頻繁。

但無論哪個行業(yè)，Web攻擊都是第一大要害。阿里云安全團隊發(fā)現(xiàn)，85%以上的企業(yè)數(shù)據(jù)泄露都是因Web攻擊引起，包括SQL注入、釣魚、社工、撞庫等。

建議：在部署安全防護產(chǎn)品時，不能“跟風”。企業(yè)應去了解針對所處行業(yè)的安全解決方案。一般來說，安全專家們在與各行各業(yè)打交道的過程中，對每個行業(yè)的高發(fā)事件，及其所對應的攻擊類型，都了如指掌，能為每個行業(yè)定制“配套”的產(chǎn)品、架構(gòu)和防護流程。

而針對最需要警惕的Web攻擊，建議每一家企業(yè)都能部署Web應用防火墻WAF。據(jù)阿里云安全團隊的經(jīng)驗，如果企業(yè)能按時做好風險掃描、系統(tǒng)升級、再部署Web應用防火墻WAF，能有效抵御90%以上的Web入侵。

4、修復漏洞的時候，能不犯拖延癥嗎？

阿里云安全研究發(fā)現(xiàn)，大約有20%的企業(yè)，超過一個月或者長期不修復自己的高危漏洞，讓系統(tǒng)在危險狀態(tài)下運作。

建議：企業(yè)需要定期進行漏洞掃描和系統(tǒng)升級；另外，對漏洞的修復要“有重點”。企業(yè)在精力、時間有限的情況下，可以優(yōu)先那些最容易被攻擊者瞄上的熱門漏洞。

尤其是像Struts2 這樣的大規(guī)模漏洞爆發(fā)之后，企業(yè)需要在幾個小時內(nèi)馬上修復，還要有臨時補救措施，否則很容易發(fā)生數(shù)據(jù)泄露事件。

科普:Struts2是Apache項目下的一個Web 框架，普遍應用于各大企業(yè)和門戶網(wǎng)站。在2013年6月底發(fā)布的Struts2.3.15版本被曝出存在重要的安全漏洞，攻擊者可遠程執(zhí)行服務器腳本代碼等。

在此基礎上，漏洞不僅要靠修，還要靠預防。建議企業(yè)定期進行安全測試，或發(fā)起眾測項目，讓專業(yè)的安全公司和測試人員為企業(yè)漏洞情況做診斷，達到更好的查漏補缺效果。

5、把正確的權限給正確的人了嗎？

權限管理和訪問控制，對于保護敏感數(shù)據(jù)、防范商業(yè)間諜是必不可少的。潛伏在企業(yè)中的“內(nèi)鬼”，會將機密數(shù)據(jù)偷偷泄露出去。這時候，做好分權、分區(qū)，就決定了你讓什么人，看到和處理哪些數(shù)據(jù)。

建議：云上針對租戶賬號提供賬號登錄雙因素驗證機制(MFA)、密碼安全策略、和審計功能，企業(yè)可以方便的在自己的云上界面中啟用和關閉，以確保云服務賬號的安全性。

而在訪問控制上，企業(yè)可以限制SSH、RDP業(yè)務管理源地址、對數(shù)據(jù)庫連接源IP進行訪問控制，實現(xiàn)最小化訪問范圍，僅允許授信人員訪問，并對出口網(wǎng)絡行為實時分析和審計。

6、員工的安全意識培訓做了嗎？

很多大事故都起源于小錯誤。千萬不要忽視員工在聊天時隨便截圖、隨便點郵件中的鏈接等習慣，也特別要重視代碼安全。員工基本安全能力和意識的缺失，是很多數(shù)據(jù)泄露事件背后的真正原因。

弱密碼就是一個特別常犯的“低級錯誤”。Verizon的2016年數(shù)據(jù)泄露調(diào)查報告顯示，63%的數(shù)據(jù)泄露事件，都跟企業(yè)使用弱密碼，初始密碼和被竊后的密碼有關?？纯聪聢D就知道，全球最常被使用的500個密碼，有多么“弱智”了。