雅虎公司近日宣布,在2013年黑客入侵雅虎的事件中,30億個用戶賬號信息被盜,這一數(shù)字是此前公布被盜賬號數(shù)量的三倍。
有中國互聯(lián)網(wǎng)分析師表示,其中至少有幾千萬中國用戶。他提醒,所有用雅虎郵箱登錄微博的用戶,都存在信息泄露的風(fēng)險。
“半個世界”的用戶數(shù)據(jù)被盜
去年9月,雅虎公司宣布,黑客2013年8月盜走其至少5億用戶的賬戶信息。當(dāng)年12月,雅虎又表示,被盜賬戶數(shù)量約10億個。據(jù)今年10月3日發(fā)布的信息,雅虎公司證實(shí),其所有30億個用戶賬號應(yīng)該都受到了黑客攻擊的影響,目前公司已經(jīng)向更多用戶發(fā)送提示,請其更改登錄密碼以及相關(guān)登錄信息。
在本次被盜事件中,被盜信息內(nèi)容包括用戶名、郵箱地址、電話號碼、生日以及部分用戶加密或未加密安全識別的問題和答案。雖然在10月3日,雅虎再次強(qiáng)調(diào),黑客應(yīng)該沒有獲得存有不受保護(hù)的密碼、支付卡數(shù)據(jù)和銀行賬戶信息的計(jì)算機(jī)的訪問權(quán),就是說,用戶賬號信息被部分竊取,但是此次事件被披露后,各國媒體、用戶都高度重視,并且對該企業(yè)的信任感也產(chǎn)生了諸多質(zhì)疑。
如果中國企業(yè)發(fā)生類似事件
諸如此類大范圍、大量的用戶信息泄露事件如果發(fā)生在中國企業(yè)中,不管從名譽(yù)、品牌形象還是從用戶忠誠度等各方面,都會對企業(yè)造成嚴(yán)重?fù)p失。同時隨著我國各項(xiàng)網(wǎng)絡(luò)安全法律法規(guī)的完善,當(dāng)發(fā)生此類安全事件時,對應(yīng)的企業(yè)也將面臨國家法律法規(guī)的處罰。因此,企業(yè)應(yīng)該以此為鑒,不斷完善網(wǎng)絡(luò)安全建設(shè)工作,避免類似安全事件的發(fā)生。
企業(yè)需加強(qiáng)網(wǎng)絡(luò)安全建設(shè)
隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜和IT技術(shù)的發(fā)展,企業(yè)網(wǎng)絡(luò)安全建設(shè)需要不斷完善與升級,針對易發(fā)生安全隱患的網(wǎng)絡(luò)邊界、管理控制、數(shù)據(jù)安全、服務(wù)器安全等各方面進(jìn)行加強(qiáng)防護(hù)。
作為14年在企業(yè)網(wǎng)絡(luò)信息安全領(lǐng)域深耕的專業(yè)廠商,聯(lián)軟科技建議企業(yè)用戶,可以從服務(wù)器、網(wǎng)絡(luò)管控、數(shù)據(jù)交互三大方面進(jìn)行重點(diǎn)建設(shè),從根源杜絕安全隱患。
針對服務(wù)器的安全管控需建立安全基線
如今,不安全的配置導(dǎo)致系統(tǒng)被惡意攻擊的事件越來越多,究其原因是在大規(guī)模的網(wǎng)絡(luò)環(huán)境下,安全運(yùn)維人員需要面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的IT設(shè)備和服務(wù)器軟件,很難對所有的服務(wù)器和服務(wù)器軟件進(jìn)行全面、快速、有效的安全配置檢查,所以,一個能真正幫助用戶解決安全基線管理的解決方案,必須要定位于支撐用戶的安全運(yùn)維,必須要以信息資產(chǎn)基礎(chǔ)驅(qū)動企業(yè)的安全基線管理流程。
因此,聯(lián)軟科技認(rèn)為企業(yè)需要建立標(biāo)準(zhǔn)的安全基線,即該信息系統(tǒng)最基本需要滿足的安全要求。
安全基線是實(shí)現(xiàn)信息安全風(fēng)險評估和風(fēng)險管理的前提,其中包含諸如身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、系統(tǒng)安全的一些脆弱性檢查,堵塞已知漏洞,消除已知風(fēng)險,達(dá)到有效縮小被攻擊面。
安全基線管理必須綜合考慮易用性和安全性,嚴(yán)格設(shè)置用戶自定義的檢查內(nèi)容和檢查規(guī)范,所以一定要建立一整套的標(biāo)準(zhǔn)。
因此,聯(lián)軟科技的網(wǎng)絡(luò)安全產(chǎn)品讓企業(yè)用戶定義每個檢查項(xiàng)的檢查內(nèi)容和檢查邏輯,同時通過大量的面向用戶的接口讓用戶無需考慮各種邏輯檢查規(guī)則如何定義,只需要通過圖形界面來進(jìn)行相關(guān)參數(shù)設(shè)置和選項(xiàng)設(shè)定即可輕松的創(chuàng)建自定義的安全檢查項(xiàng),同時聯(lián)軟還允許企業(yè)用戶基于自身的業(yè)務(wù)需求精細(xì)化調(diào)整各類安全基線。
綜上所述,通過設(shè)備自動化發(fā)現(xiàn)、資產(chǎn)自動化發(fā)現(xiàn)采集支持安全基線自動化檢查,企業(yè)可以實(shí)現(xiàn)對設(shè)備、資產(chǎn)變化持續(xù)化跟蹤及對基線安全趨勢的持續(xù)化跟蹤,最終實(shí)現(xiàn)用PDCA循環(huán)管理思路實(shí)現(xiàn)基線真正落地。
針對網(wǎng)絡(luò)的管理控制的5項(xiàng)措施
要保證企業(yè)信息安全,首先要保證接入內(nèi)部網(wǎng)絡(luò)的設(shè)備是安全的、有明確使用者的,從而可確保從終端的接入到各項(xiàng)操作的整個過程都是可控的。
結(jié)合國家網(wǎng)絡(luò)安全法和等保要求,聯(lián)軟建議企業(yè)可以通過如下幾個方面加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全:
接入終端實(shí)名:接入企業(yè)內(nèi)網(wǎng)的設(shè)備,需要通過統(tǒng)一的用戶身份驗(yàn)證,保證使用設(shè)備的用戶具有合法身份;
執(zhí)行統(tǒng)一檢查:從設(shè)備接入網(wǎng)絡(luò)開始,評估設(shè)備的安全性。通過檢查防病毒軟件、更新最新的防病毒庫、更新系統(tǒng)安全補(bǔ)丁。保證接入網(wǎng)絡(luò)的設(shè)備沒有已知的安全隱患。
強(qiáng)訪問控制:根據(jù)用戶的角色分配網(wǎng)絡(luò)訪問權(quán)限(Role-Based Access Control)實(shí)現(xiàn)網(wǎng)絡(luò)資源訪問最小原則。
監(jiān)測網(wǎng)絡(luò)中異常行為:高級持續(xù)性威脅一般會長期潛伏在網(wǎng)絡(luò)中,短時間內(nèi)難以發(fā)現(xiàn)。通過長期監(jiān)測網(wǎng)絡(luò)中的異常行為,能夠感知網(wǎng)絡(luò)中存在的安全隱患。盡早清除,以免產(chǎn)生的信息泄漏事件。
及時清理“僵尸”帳號:在企業(yè)中常常存在一些長期不使用的帳號,往往帳號的管理不當(dāng)會導(dǎo)致信息泄漏。
機(jī)密數(shù)據(jù)交互實(shí)時監(jiān)控
針對敏感信息的特點(diǎn),結(jié)合國家相關(guān)法律法規(guī)和保護(hù)制度,聯(lián)軟建議從定義、識別、管控、審計(jì)四個方面來開展防護(hù)工作,首先明確哪些數(shù)據(jù)是企業(yè)需要保護(hù)的以及明確分類的數(shù)據(jù),然后需要知道這些數(shù)據(jù)在哪里,通過對數(shù)據(jù)分布的梳理,得出數(shù)據(jù)面臨哪些風(fēng)險,在哪個環(huán)節(jié)存在泄露的可能,才能制定保護(hù)措施,最后對違反保護(hù)措施的行為進(jìn)行告警,對數(shù)據(jù)進(jìn)行實(shí)時監(jiān)控和保護(hù)。
· 企業(yè)可以將業(yè)務(wù)系統(tǒng)、常見辦公文檔、常用文檔類型以及存在的已知的敏感信息進(jìn)行定義,制定敏感信息標(biāo)準(zhǔn);
· 根據(jù)敏感信息定義,通過自動聚類、文檔DNA等機(jī)器學(xué)習(xí)技術(shù)針對企業(yè)內(nèi)常見敏感文檔進(jìn)行主動學(xué)習(xí),通過關(guān)鍵字、正則、數(shù)據(jù)標(biāo)識符等技術(shù)對企業(yè)明確定義的敏感信息進(jìn)行精準(zhǔn)識別,并針對業(yè)務(wù)系統(tǒng)的訪問行為制定安全控制策略;
· 對敏感信息從業(yè)務(wù)數(shù)據(jù)導(dǎo)出行為進(jìn)行及時監(jiān)控和告警,對數(shù)據(jù)導(dǎo)出的位置進(jìn)行嚴(yán)格限定,并加密存儲。在本地敏感數(shù)據(jù)進(jìn)行郵件外發(fā)、網(wǎng)絡(luò)傳輸、打印、內(nèi)部分享等動作時進(jìn)行審計(jì)和阻斷,對于敏感信息的查詢要進(jìn)行脫敏,對于信息的日常分享具有防擴(kuò)散的能力,對于惡意泄密的行為要具備取證能力;
· 審計(jì)工作要獨(dú)立,審計(jì)信息要完整,系統(tǒng)需要具備數(shù)據(jù)分析和挖掘能力,能夠完整的還原整個泄密事件,并具備風(fēng)險趨勢預(yù)警的能力。
雖然雅虎公司3日宣布,雅虎將繼續(xù)與執(zhí)法機(jī)構(gòu)合作,致力于打造最高標(biāo)準(zhǔn)的問責(zé)制和透明度,并在不斷變化的網(wǎng)絡(luò)威脅中為用戶提供安全保護(hù),但是網(wǎng)絡(luò)輿論與媒體報道普遍都持懷疑態(tài)度。因此,中國企業(yè)應(yīng)當(dāng)更加警醒,對網(wǎng)絡(luò)安全防護(hù)建設(shè)工作更加重視。
更多行業(yè)資訊請關(guān)注聯(lián)軟科技官方微信