信息泄露“伤人”于无形，数据安全防范分秒必争

近日，美国电商巨头因违反欧盟数据保护条例，泄露用户隐私被监管局重罚近9亿，这是欧盟有史以来最大的数据隐私泄露罚款。刚刚结束的日本东京奥运会也出现了购票者与志愿者的数据被泄露情况，相关负责人表示已在积极补救。此外，2012年伦敦奥运会、2016年里约奥运会、2018年的平昌冬奥会均出现过不同程度的信息泄露，不仅导致赛事运行受阻，更为信息被泄露者埋下了安全隐患。

众所周知，欧盟数据保护法GDPR堪称“史上最严”，其“长臂管辖”模式有效保障了用户数据安全；作为亚洲最早颁布隐私保护相关法律的国家之一，日本对于违法泄露信息者将按照情节追究法律责任。在国内，个人信息保护意识也在逐步强化，我国公民个人信息遭受侵害时可以直接向公安机关进行报案。同时国家法律层面针对个人信息的保护也在加速完善，最高人民法院、最高人民检察院与公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》规定与《个人信息保护法(草案)》都在明确保护公民个人信息……近期发生的事件再次为我们敲响了警钟。

公民个人信息保护方面需要多措并举：

1、行业监管自律保护：健全安全管理制度，加强内部人员法制教育，落实岗位个人管理责任。加强存储介质管理，明确信息查询下载权限，从源头杜绝“内外勾结”贩卖用户个人信息问题出现；

2、政策法规驱动保护：追究侵犯个人信息犯罪刑事责任，司法机关追究刑事责任到个人、单位；

3、个人防范意识提升：普及个人信息的重要性，提升公民安全防范意识。

因“拖库”、“撞库”导致数据泄漏的事件屡见不鲜，攻击者利用数据库自身防护漏洞进行攻击，企业稍有“不慎”便会造成大量的数据泄漏。因此，无论是重大活动赛事活动，还是企业日常运营不仅需要做好数据安全防护，更需要将防护措施落实到部署上。

具体防护策略如下：

1. 设置可访问数据库的IP;

2. 限制数据库单位时间内的访问频次;

3. 限制数据库的访问行数，防止大批量数据的抽取。

对此，天融信数据安全专家建议可采取限制数据批量导出、数据库密码猜测登录、数据库漏洞防御规则库、SQL注入防御规则等安全防护策略，为数据库中的数据提供实时安全防护。天融信数据库安全网关系统专门针对数据库提供主动、实时的防护能力，内置“拖库”、“撞库”防御规则，并具备事后操作行为审计能力、数据库状态监控、数据库访问控制等功能，可及时发现并有效阻止“拖库”、“撞库”行为。

从早期酒店客户信息泄露到美国某电商被罚9亿，数据安全问题将成为数字经济发展首要解决的问题之一。为此我国自2015年以来，各地区、各行业陆续发布数据安全相关政策、法规、标准，随着《数据安全法》的出台，相关合规要求也在加速发布。在网络安全防护体系建设中，除了部署安全设备保障数据安全外，企业应建立起以数据为中心的全生命周期安全防护体系，将数据安全分类分级、数据标签、数据加密、数据访问控制、数据防泄漏、数据脱敏、容灾备份等多种数据安全技术措施与现有安全防护手段相结合，同时结合领先的大数据分析技术，建立数据安全管控平台，实现数据安全态势感知，提供从业务到安全的全方位挖掘分析能力，“重塑数据安全、保障业务价值”。

天融信作为国内网络安全领军企业，在数据安全领域不断突破，陆续推出数据防泄漏、数据脱敏、数据库安全网关、数据存储容灾备份、大数据安全防护等系列数据安全产品。未来，天融信将继续在数据安全技术和产品领域深耕，构建更加完善的数据安全体系，为客户提供全方位数据安全保障能力、为数据安全的发展及实践提供可靠保障。