什么是云泄漏?

技术在改变着人们的生活:移动支付、共享经济、电子商务、在线医疗…让人们的生活更加便捷,生活质量进一步提升。但同时,数据泄漏事件似乎在不断的发生,银行卡账号、个人身份信息、医疗记录、出行记录在随着数字化生活给人们带去便利的同时,也被大量的企业、服务机构获取,使用。

NviaMbi

随着意识的提高,人们越来越重视个人隐私保护。“黑客”、“网络攻击”、“违规”、“泄漏”,这些词不断挑动着人们的神经。其中,有一种较为特殊的“泄漏”,一旦发生可能会涉及到大量的数据,给相关用户和企业造成巨大的损失,我们称之为云泄露。

云泄漏是指存储在云服务器中的敏感数据毫无防备的暴露在互联网上。云服务商在互联网上为企业提供了私有空间来部署系统、存储数据。大多数云服务商会提供选项允许企业将自己的存储空间面向互联网开放。若管理员在处理数据时修改了权限,云服务器和互联网之间的边界就消失了,意味着所有人都可以访问这些数据。2017年版《OWASP Top 10 》显示, “安全配置错误”在10项最严重的web应用程序安全风险中排在第五位 。无论是错误的配置还是云中脆弱的服务器,都会将隐私数据至于危险的境地。而专门有一类人,出于获取利益的目的,在持续的搜寻着云泄漏,将会扩大云泄露的影响。

2017年5月,因AWS S3存储桶权限设置失当导致至少 220万 道琼斯公司客户信息半公开,让免费AWS账户都可以访问里面内容。同年7月,Verizon公司超过 1400万 用户个人资料因第三方供应商云服务器安全配置不当遭到外泄,数据所属的云储备被配置为允许公开访问并可完全下载。同年9月,因承包商问题,导致美国陆军及NSA情报平台绝密文件暴露在Amazon S3服务器上。这些都是典型的云泄漏事件。云泄漏是企业及组织面临的独特风险,出现错误的简单性与它可能导致后果的严重程度形成巨大的反差。

云泄露的严重性 云泄露中最常见的数据分为两类:

1. 个人信息

身份信息(姓名、性别、年龄、地址、电话号码…)活动信息(订单、生活轨迹、浏览习惯…),银行卡信息、医疗记录…这一类信息极具价值,买卖公民信息的黑市在互联网平台并不鲜见。当下,政府及监管机构非常关注公民个人信息的保护,在今年5月1日实施的《信息安全技术个人信息安全规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。在同月生效的《通用数据保护条例》中,也将对个人信息的保护提升到了新的高度,影响行业广泛,对涉事企业处罚力度大。

2. 企业信息

企业内部的文件、邮件、备忘;合作伙伴、供应商信息;项目信息等。财务信息;设计;知识产权信息;代码等。一旦这些信息暴露,被竞争对手或有不良企图的人获得,将会给企业带来致命的伤害。

数据泄露,可能会让公民面临诈骗、骚扰、甚至人身安全威胁,可能让企业面临来自竞争对手的致命打击、来自监管机构的高额处罚,及无法估量的名誉损失。可以说,云泄露可给相关各方带来巨大的伤害。

如何防止云泄露?

云泄漏并非由外部攻击造成,而是由日常工作中的操作导致的。企业在使用云服务时,应意识到其风险的存在。企业在对云服务配置时,应该持续验证每一步操作以保证风险的可见。

企业除了规范流程,降低由操作错误导致数据外泄的同时,也应当关注到为企业处理数据的第三方合作伙伴,企业作为数据的责任人,一旦出现泄漏,与第三方需要承担同样的责任。这使得评估和优化第三方合作伙伴网络风险与企业内部的风险控制同样重要。2018年6月,“安全值”联合“供应链安全联盟”发布了《第三方安全风险管理能力框架》,文中提到“ 第三方是组织的扩展,其行为可以直接影响到合规性和品牌声誉 。这就要求企业对几十个,几百个甚至数千个第三方进行调查,评估和后续跟进,并对风险采取行动。第三方风险管理能力将应用于从合同签订之前到合同执行过程中一直到合同完成之后整个生命周期,并且在数字化环境下,风险控制需要得到领导充分的重视和支持,经多个业务和职能部门的协同来完成。”

仅仅关注企业自身的内部风险,却把同样的数据毫无措施的交由第三方合作伙伴,这是毫无意义的。合作伙伴的选择和评估应该与企业在保护其内部资产和信息时一样谨慎。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-08-09 08:47:41
云技术 什么是边缘计算,它将如何影响企业?
远程传输数据的过程包括将文件从办公工作站复制到磁盘,然后复制到家庭计算机。将数据复制到软盘和其他磁盘的日子已经过去,我们看到边缘计算的兴起。但很多公司都在自问, <详情>
2018-08-07 17:59:22
大健康说 互联网医疗 真的能让药店零售弯道超车吗?
今年两会后,国务院正式发布了《关于促进“互联网+医疗健康”发展的意见(国办发〔2018〕26号)》,明确允许依托医疗机构发展互联网医院,支持探索医疗机构处方信息与药品零 <详情>
2018-08-06 13:50:54
云安全 九个可能危害云服务器安全的因素
云计算技术在近年来获得前所未有的增长。云技术如今已被运用到银行、学校、政府以及大量的商业组织。但是云计算也并非万能的,和其他IT部署架构一样存在某些难以弥补的缺陷 <详情>
2018-08-06 10:42:24
云技术 降低多云战略风险的五种方法
如今,网络对企业业务来说至关重要,并且由于全球互联,它也从未像现在这样变得更加难以预测。在IT预算转移到外部的情况下,企业比以往任何时候都更依赖于他们不拥有或无法 <详情>
2018-08-06 10:10:21
云资讯 印度政府力推“云数据”本地化
近年来,互联网用户数据遭泄露或窃取的丑闻频繁曝光。面对这种情形,印度政府着手推进“云数据”存储本地化,相关政策预计将在近期出台。业内人士预测,印度即将出台的新政 <详情>