從雅虎數(shù)據(jù)泄露門看數(shù)據(jù)安全治理

來(lái)源：學(xué)習(xí)時(shí)報(bào) 時(shí)間：2024-04-03 13:24:16 作者：王新鵬

　　2016年9月，美國(guó)著名互聯(lián)網(wǎng)門戶網(wǎng)站雅虎公司宣布，雅虎網(wǎng)絡(luò)系統(tǒng)中的5億用戶數(shù)據(jù)遭到泄露。2017年10月，雅虎公司再次宣布所有30億用戶的個(gè)人數(shù)據(jù)被盜取，涉及用戶姓名、電子郵件、電話號(hào)碼、出生日期、登錄密碼、安全問(wèn)題及答案等諸多數(shù)據(jù)內(nèi)容。事件發(fā)生后，雅虎公司成立了安全團(tuán)隊(duì)對(duì)本次數(shù)據(jù)泄露事件展開(kāi)調(diào)查，結(jié)果證實(shí)本次用戶數(shù)據(jù)泄露與黑客入侵有關(guān)。迄今為止，雅虎數(shù)據(jù)泄露門稱得上是史上規(guī)模最大、最具有代表性的數(shù)據(jù)安全事件。深入剖析雅虎數(shù)據(jù)泄露事件能夠?qū)ξ覈?guó)數(shù)據(jù)安全防護(hù)工作起到警示作用，也可以為世界數(shù)據(jù)安全事件的處置提供啟示。

　　構(gòu)建系統(tǒng)規(guī)范的數(shù)據(jù)安全監(jiān)測(cè)預(yù)警制度

　　雅虎數(shù)據(jù)泄露門發(fā)生的一個(gè)重要原因是疏于防范數(shù)據(jù)泄露風(fēng)險(xiǎn)。早在2013年，雅虎公司就因黑客攻擊導(dǎo)致10億用戶數(shù)據(jù)遭到泄露。一年之后，雅虎公司又因類似的黑客攻擊導(dǎo)致5億用戶數(shù)據(jù)被泄露，直至2017年披露的數(shù)據(jù)顯示，高達(dá)30億用戶的數(shù)據(jù)均遭泄露。在本次事件中有超過(guò)15萬(wàn)美國(guó)政府和軍方雇員的信息被泄露，被泄露賬戶的主人包括美國(guó)國(guó)會(huì)議員、白宮工作人員、國(guó)家安全局官員等多個(gè)重要機(jī)構(gòu)的工作人員。英特爾負(fù)責(zé)安全的首席技術(shù)官史蒂夫·格羅勃曼表示，“對(duì)于將數(shù)據(jù)當(dāng)作武器使用的人來(lái)說(shuō)，數(shù)據(jù)價(jià)值連城”。黑客可以利用這些數(shù)據(jù)創(chuàng)建可搜索數(shù)據(jù)庫(kù)（如生日和電話號(hào)碼），從而實(shí)現(xiàn)盈利并參與商業(yè)或國(guó)家間諜活動(dòng)的目的。

　　接二連三的數(shù)據(jù)泄露說(shuō)明雅虎公司始終沒(méi)有重視數(shù)據(jù)安全風(fēng)險(xiǎn)防范工作，安全漏洞一直沒(méi)有被徹底發(fā)現(xiàn)與填補(bǔ)，最終導(dǎo)致大規(guī)模數(shù)據(jù)泄露事件的發(fā)生。如果雅虎公司有著高度的數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)防意識(shí)以及完善的數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)防制度，那么可能就不會(huì)發(fā)生如此大規(guī)模、連續(xù)性的數(shù)據(jù)安全事件?？梢钥闯?，數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)防環(huán)節(jié)對(duì)于提升數(shù)據(jù)安全應(yīng)急能力至關(guān)重要。

　　加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)防環(huán)節(jié)建設(shè)的重點(diǎn)，在于建立包含客觀深入的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)報(bào)告制度、集中統(tǒng)一的數(shù)據(jù)安全信息共享制度、系統(tǒng)規(guī)范的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警制度等在內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)防制度體系，積極實(shí)現(xiàn)從靜態(tài)防護(hù)到動(dòng)態(tài)防護(hù)、從被動(dòng)防護(hù)到主動(dòng)防護(hù)的形式轉(zhuǎn)變，從而真正做到從源頭上發(fā)現(xiàn)、緩解、消除數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)，通過(guò)多層次、多方面、多角度的數(shù)據(jù)安全預(yù)防制度體系，掌握數(shù)據(jù)安全狀況，感知數(shù)據(jù)安全發(fā)展態(tài)勢(shì)，總結(jié)數(shù)據(jù)安全變化規(guī)律，預(yù)測(cè)數(shù)據(jù)安全未來(lái)動(dòng)向，對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)作出正確戰(zhàn)略研判。

　　具體而言，一方面，通過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)報(bào)告制度，及時(shí)傳遞上報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)信息，以便于盡早作出決策。同時(shí)，通過(guò)數(shù)據(jù)安全信息共享制度，實(shí)現(xiàn)數(shù)據(jù)安全信息的串聯(lián)共通，有效促進(jìn)多方共同預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)。另一方面，通過(guò)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警機(jī)制，實(shí)時(shí)掌握數(shù)據(jù)安全狀況并依據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)正確發(fā)出數(shù)據(jù)安全預(yù)警。

　　完善高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機(jī)制

　　雅虎公司處置本次數(shù)據(jù)泄露事件的過(guò)程較為混亂，沒(méi)有章法，充分反映出了其在數(shù)據(jù)安全應(yīng)急處置機(jī)制方面的短板。根據(jù)報(bào)道，在黑客攻擊發(fā)生后，雅虎公司并未采取有效的應(yīng)急處置措施。在技術(shù)層面，黑客攻擊發(fā)生后，雅虎公司沒(méi)有及時(shí)采取技術(shù)措施，制止黑客攻擊并防止數(shù)據(jù)的進(jìn)一步泄露。在補(bǔ)救措施上，數(shù)據(jù)泄露事件發(fā)生后，雅虎公司僅僅是提醒用戶更改密碼等信息，并未采取強(qiáng)有力的補(bǔ)救措施來(lái)制止危害后果的擴(kuò)大。最后，數(shù)據(jù)泄露后，雅虎公司并未及時(shí)上報(bào)和對(duì)外公示，甚至直到2016年才正式披露這一事件，體現(xiàn)出其應(yīng)急反應(yīng)的片面與滯后。

　　過(guò)于疏松的安全措施與相對(duì)遲緩的應(yīng)急響應(yīng)是造成雅虎數(shù)據(jù)泄露愈演愈烈的重要原因。因此，提升數(shù)據(jù)安全應(yīng)急能力必須重視數(shù)據(jù)安全應(yīng)急處突能力建設(shè)，著力完善高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機(jī)制。

　　一方面，提升數(shù)據(jù)安全應(yīng)急處突能力首先要設(shè)計(jì)科學(xué)合理、貼近實(shí)際、切實(shí)可行的數(shù)據(jù)安全應(yīng)急處置預(yù)案，界定數(shù)據(jù)安全應(yīng)急處置對(duì)象、厘清數(shù)據(jù)安全應(yīng)急處置流程、確定數(shù)據(jù)安全應(yīng)急處置方法、明晰數(shù)據(jù)安全責(zé)任主體權(quán)責(zé)、統(tǒng)籌數(shù)據(jù)安全應(yīng)急處置機(jī)制脈絡(luò)，確保數(shù)據(jù)安全應(yīng)急處置機(jī)制的運(yùn)行做到有章可循、有據(jù)可查。

　　另一方面，數(shù)據(jù)安全應(yīng)急處置機(jī)制的確立與運(yùn)行還需要得到法律保障，要在數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全法等上位法律框架之下，不斷細(xì)化數(shù)據(jù)安全應(yīng)急立法，積極出臺(tái)相關(guān)配套規(guī)章制度，為數(shù)據(jù)安全應(yīng)急處置活動(dòng)提供明確的法律依據(jù)。各數(shù)據(jù)安全責(zé)任主體要根據(jù)相關(guān)立法內(nèi)容，結(jié)合自身狀況，建立高效統(tǒng)一的數(shù)據(jù)安全應(yīng)急處置機(jī)制、制定切合實(shí)際的數(shù)據(jù)安全應(yīng)急處置預(yù)案、設(shè)計(jì)運(yùn)轉(zhuǎn)流暢的數(shù)據(jù)安全應(yīng)急處置流程，不斷提升面對(duì)數(shù)據(jù)安全事件時(shí)的應(yīng)急處突能力。

　　打造科學(xué)合理的數(shù)據(jù)安全綜合治理體系

　　雅虎公司在數(shù)據(jù)泄露事件結(jié)束后并未采取明顯、有效的恢復(fù)手段，也并未對(duì)提升自身數(shù)據(jù)安全綜合治理水平作出顯著努力。從這一角度來(lái)說(shuō)，雅虎數(shù)據(jù)泄露事件警示我們必須重視數(shù)據(jù)安全恢復(fù)環(huán)節(jié)建設(shè)。因此，提升數(shù)據(jù)安全應(yīng)急能力還需要注意總結(jié)經(jīng)驗(yàn)教訓(xùn)，不斷提升數(shù)據(jù)安全綜合治理能力。

　　數(shù)據(jù)安全事后恢復(fù)環(huán)節(jié)的主要內(nèi)容是通過(guò)善后恢復(fù)與整改提升等方式使數(shù)據(jù)安全狀況恢復(fù)甚至超越數(shù)據(jù)安全事件發(fā)生前的狀態(tài)。

　　一方面，數(shù)據(jù)安全責(zé)任主體要采取綜合措施消除數(shù)據(jù)安全事件為個(gè)人、組織、社會(huì)、國(guó)家等不同主體帶來(lái)的不利影響，通過(guò)升級(jí)數(shù)據(jù)安全防護(hù)技術(shù)、彌補(bǔ)數(shù)據(jù)安全漏洞、通報(bào)事件處理進(jìn)展、更新數(shù)據(jù)安全基礎(chǔ)設(shè)施等措施對(duì)數(shù)據(jù)安全治理工作進(jìn)行整改提升。

　　另一方面，在積極消解數(shù)據(jù)安全事件所帶來(lái)的危害后果的同時(shí)，相關(guān)數(shù)據(jù)安全責(zé)任主體有必要結(jié)合經(jīng)驗(yàn)教訓(xùn)，從以下五個(gè)方面著手，不斷完善數(shù)據(jù)安全綜合治理體系。一是著力推進(jìn)數(shù)據(jù)安全合規(guī)進(jìn)程，促使自身數(shù)據(jù)安全應(yīng)急體系與國(guó)家立法內(nèi)容相協(xié)調(diào)。二是總結(jié)經(jīng)驗(yàn)教訓(xùn)，不斷提升數(shù)據(jù)安全應(yīng)急技術(shù)標(biāo)準(zhǔn)。三是宣傳典型數(shù)據(jù)安全應(yīng)急案例，推進(jìn)數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)入腦入心。四是加大數(shù)據(jù)安全應(yīng)急投入，努力創(chuàng)新數(shù)據(jù)安全防護(hù)技術(shù)手段。五是積極培養(yǎng)數(shù)據(jù)安全專業(yè)技術(shù)人才，及時(shí)推動(dòng)數(shù)據(jù)安全防護(hù)基礎(chǔ)設(shè)施更新?lián)Q代。

責(zé)任編輯：張薇