运营商30亿条用户数据被盗取,如何加强数据安全体系建设

信息化观察网
丁历
近日,一则涉及用户个人信息泄露的新闻被刷屏:新三板上市公司瑞智华胜涉嫌从运营商处窃取30亿条个人信息流量遭劫持,接连导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取。 总体来说,&ldquo...

近日,一则涉及用户个人信息泄露的新闻被刷屏:新三板上市公司瑞智华胜涉嫌从运营商处窃取30亿条个人信息流量遭劫持,接连导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取。

总体来说,“30亿用户信息遭窃”对运营商敲醒了警钟,如此多的用户遭受损失,如此多的互联网平台被波及,实在是触目惊心,这暴露出运营商对于数据安全的松懈,也暴露出如下安全问题:

1、服务器访问缺乏统一的身份授权管理;

2、对数据全生命周期流程缺乏统一管理;

3、传统以安全硬件为主的单点防御的安全体系已经不能满足云化和大数据化的安全需求。

运营商应当如何加强数据安全体系建设?

一、建立统一的身份鉴权及访问控制体系

随着云计算和大数据的蓬勃发展,传统信息安全的分散割据化、对应用的封闭化、硬件盒子化已不再适合新一代应用的需求了,信息安全与应用的跨界融合是主流方向,而这种安全和应用的跨界融合,催生了由应用与信息安全二者融合驱动的软件定义信息安全。以多种安全服务能力进行联动协作的安全运营体系建设势在必行,建立统一的身份鉴权及访问控制体系,将外部应用或其它业务访问业务中心服务的安全控制机制进行汇总,包括应用访问的认证、授权、鉴权、数据传输安全和访问敏感数据用户授权等,解决应用服务器访问缺乏管理授权问题。

二、保障数据在整个生命周期各个环节安全

从数据采集、传输、存储、访问、使用等各个环节入手,发现、识别敏感数据并对其进行分类分级,生成多个维度的敏感信息地图。实时监测平台中敏感数据的分布、流向及使用情况,并对其操作行为进行合规审计,违规行为进行阻断。

●在采集环节建立敏感数据分类分级标准及识别与检测模型,自动识别生成环节中的敏感数据。

●在传输环节通过采用SM2、AES、SHA等加密及摘要算法对不同安全级别的数据的传输进行加密保护。

●在存储环节使用对称加密、非对称加密算法实现敏感数据加密,除加密措施外,针对极为重要的敏感信息还应采取有效的存储备份恢复措施来保障其可用性。

●在访问环节通过访问控制实现对业务系统访问角色权限的细粒度控制;

●在使用环节统一管控业务系统数据对外流通入口、出口,敏感数据完成静态脱敏与动态脱敏;透明解密不保存密钥,使用数据签名摘要方法。

三、打造全局业务风控安全防御体系

将原来的烟囱式防护措施全部打通,结合安全算法、机器学习算法、规则引擎等安全基础技术,以基础安全技术和安全运营管理为支撑,打造以数据安全为中心的纵深防御体系,建立事前、事中、事后防御能力,为运营商业务安全态势感知赋能。

THEEND