對(duì)于企業(yè)來講，要說2017年是充滿挑戰(zhàn)的一年，未免太輕描淡寫。社會(huì)高度互連，對(duì)于企業(yè)來講，網(wǎng)絡(luò)攻擊并非遙不可及，它就在前方可見之處，需要我們有預(yù)案予以防備。所有企業(yè)都應(yīng)該保有一定水平的“網(wǎng)絡(luò)潔癖”，需要定時(shí)備份數(shù)據(jù)、為其系統(tǒng)及應(yīng)用打上補(bǔ)丁、盡量縮小其數(shù)字資產(chǎn)的受攻擊面。

2018年，仍然需要借助新技術(shù)來變革我們的經(jīng)營(yíng)之道，這就有必要對(duì)相關(guān)安全顧慮有所周知，從而降低風(fēng)險(xiǎn)，甚至可以不采用技術(shù)便可實(shí)現(xiàn)這種變革。我們需要對(duì)現(xiàn)有的和潛在的風(fēng)險(xiǎn)有所了解，并且知曉如何做才能減少或消除這些風(fēng)險(xiǎn)。

云就是別人的電腦，保護(hù)信息安全要常抓不懈

近日“第三方云存儲(chǔ)”這個(gè)字眼被反復(fù)提及，尤其是亞馬遜的簡(jiǎn)易存儲(chǔ)服務(wù)(Simple Storage Service,S3)。在AWS服務(wù)中有一項(xiàng)名為“Bucket”的功能，它是AWS云服務(wù)中用于在線數(shù)據(jù)存儲(chǔ)的容器，用于存儲(chǔ)敏感信息。

已經(jīng)有企業(yè)因?yàn)殄e(cuò)誤配置AWS S3 Bucket功能而泄露敏感信息的案例。最近幾個(gè)月信息泄露案件層出不窮，遭泄露的信息包括敏感文件、密碼、客戶數(shù)據(jù)庫等。這些泄露事件都是因?yàn)镾3 Bucket配置錯(cuò)誤引起的。

Bucket可進(jìn)行特定安全設(shè)置，這也是泄露問題的癥結(jié)所在，究其原因乃為人禍。

與其他云供應(yīng)商一樣，AWS遵循的是共享安全責(zé)任模式，即亞馬遜負(fù)責(zé)云端和基礎(chǔ)設(shè)施的安全，其中包括：網(wǎng)絡(luò)、存儲(chǔ)和計(jì)算。而另一方面，云上數(shù)據(jù)的安全則是由客戶負(fù)責(zé)。當(dāng)你開放數(shù)據(jù)給所有人時(shí)，一旦數(shù)據(jù)泄露，很明顯錯(cuò)在客戶一方而不是AWS。這種現(xiàn)象絕非AWS僅有，其他云平臺(tái)或數(shù)據(jù)資源庫也會(huì)遇到同樣的問題。

現(xiàn)在，企業(yè)所普遍面臨的挑戰(zhàn)是，是否有必要開放Bucket以供外界瀏覽，從而導(dǎo)致數(shù)據(jù)自動(dòng)曝光。這種操作風(fēng)險(xiǎn)巨大，原有數(shù)據(jù)很可能會(huì)被覆蓋。一旦有黑客鎖定了那些可以進(jìn)行修改的Bucket，就有能力上傳惡意軟件到Bucket里并重新寫入文件。此外，如果你將代碼存入此類資源庫，其他人就有機(jī)會(huì)對(duì)其進(jìn)行篡改。

現(xiàn)在利用網(wǎng)上的一些工具，黑客就可輕松使用關(guān)鍵詞搜索到企業(yè)的Bucket，如果正巧此Bucket已開放為可讀/可寫，那黑客就很容易對(duì)這個(gè)Bucket進(jìn)行修改。

現(xiàn)在，大多數(shù)企業(yè)已經(jīng)著手或開始向云端存儲(chǔ)數(shù)據(jù)、向云端遷移或安裝各類應(yīng)用，這就要求每個(gè)企業(yè)必須能夠查閱并確認(rèn)究竟是誰在訪問他們的數(shù)據(jù)或應(yīng)用，并且能夠基于近期發(fā)生的事件預(yù)見到是否會(huì)有人來查閱他們的數(shù)據(jù)。但如何進(jìn)行風(fēng)險(xiǎn)管理，還是需要企業(yè)自己來完成。因此，企業(yè)應(yīng)深入思考以下問題并獲得答案：

有哪些敏感數(shù)據(jù)在云端存儲(chǔ)？數(shù)據(jù)泄露會(huì)帶來哪些影響？

在貴單位員工和第三方合作伙伴里，誰有權(quán)限可以直接訪問到這些敏感數(shù)據(jù)？

這些數(shù)據(jù)是如何受到保護(hù)的？貴單位采取的保護(hù)措施能否滿足消除風(fēng)險(xiǎn)所需的安全等級(jí)？

數(shù)據(jù)推動(dòng)產(chǎn)業(yè)發(fā)展，確保其完整性是實(shí)現(xiàn)安全的關(guān)鍵

信息安全的基本原則包括保密性、完整性和可用性。

傳統(tǒng)意義上來講，大多數(shù)攻擊所針對(duì)的還是保密性和可用性：攻擊者采用攻擊或偷竊等方式來獲取知識(shí)產(chǎn)權(quán)或數(shù)據(jù)，以及然后實(shí)施拒絕服務(wù)攻擊，阻止用戶訪問相關(guān)信息和系統(tǒng)。企業(yè)運(yùn)作是如此依賴保密性和可用性這兩點(diǎn)，以至于我們常常忽略了另外一點(diǎn)：完整性，而這一點(diǎn)所面臨的挑戰(zhàn)相較前兩個(gè)有過之而無不及。

數(shù)據(jù)是新的推動(dòng)力，推動(dòng)著企業(yè)向前發(fā)展?，F(xiàn)在，數(shù)據(jù)偷竊所帶來的風(fēng)險(xiǎn)已為大眾熟知，但黑客正在改變竊取數(shù)據(jù)的方式，不是簡(jiǎn)單的將數(shù)據(jù)清空而是對(duì)數(shù)據(jù)進(jìn)行篡改，這種危害性往往更大。

保持?jǐn)?shù)據(jù)完整性，就是要確保只有授權(quán)用戶才有資質(zhì)訪問相關(guān)信息或?qū)ζ溥M(jìn)行修改。針對(duì)數(shù)據(jù)完整性的攻擊就是要破壞這種唯一性，讓黑客可以在未經(jīng)授權(quán)的情況下訪問并修改這些數(shù)據(jù)，進(jìn)而滿足一己之私，如獲得經(jīng)濟(jì)利益、損毀名譽(yù)或僅僅讓這些數(shù)據(jù)變得一文不值。

在金融市場(chǎng)，錯(cuò)誤數(shù)據(jù)必將帶來致命一擊甚至導(dǎo)致市場(chǎng)崩盤，如通過修改銷售數(shù)據(jù)引起公司股票行情波動(dòng)。此外，提供公共服務(wù)的部門、智慧城市及其他IoT系統(tǒng)，從交通信號(hào)燈到供水系統(tǒng)，如果這些部門和系統(tǒng)運(yùn)行的數(shù)據(jù)被篡改，其結(jié)果必將是混亂和致命的。

所有企業(yè)都應(yīng)該從現(xiàn)在就開始探討如何做才能有效阻止此類攻擊的發(fā)生?？偨Y(jié)起來包括：

教育員工和客戶如何操作才能實(shí)現(xiàn)安全，確保個(gè)人數(shù)據(jù)得到有效保護(hù)。這有助于加深員工對(duì)如何保護(hù)公司數(shù)據(jù)的理解。

要熟悉你的數(shù)據(jù)，它是如何生成的，如何采集的，數(shù)據(jù)中哪些內(nèi)容是最為敏感的。在開始考慮如何保護(hù)這些數(shù)據(jù)之前，更重要的是要對(duì)你所要保護(hù)的數(shù)據(jù)做一個(gè)全面的了解。

借助多因子認(rèn)證，提供額外安全層次的防護(hù)來保護(hù)用戶名和密碼。這一安全措施將唯你“所知”和“所有”的特殊因素引入，而不僅僅是通用模式比如密碼。

利用加密技術(shù)來保護(hù)敏感數(shù)據(jù)，不論它是部署在本地還是部署在云端或在混合環(huán)境中。一旦有人膽敢竊取這些敏感數(shù)據(jù)，或?qū)ζ溥M(jìn)行破壞和篡改時(shí)，我們要有能力對(duì)產(chǎn)生的影響加以限制。加密是唯一的可采取的戰(zhàn)略性管理方法，但企業(yè)要確保密鑰的安全，需要采取一定的措施，比如將其存儲(chǔ)于安全的硬件模塊中。換句話說，哪怕你用的是世界上最好的門鎖來鎖房子，但如果你把鑰匙藏到了地墊下面，而恰好被經(jīng)過的家伙看到并偷走，這也是不安全的。