企业要做数据泄露“幸存者”,安华金与有话说.docxVIP

企业要做数据泄露“幸存者”，安华金和有话说企业如果要成为数据泄露频发事件的“幸存者”，不妨认真聆听安华金和CEO刘晓韬怎么说？随着近几年数据泄露事件频发，包括一些拖库、撞库的事件也引起了众多网友的关注，个人隐私的泄露成为广大网友比较关注的问题，越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商，对此有着自己独特的视角和看法。近期，安华金和CEO刘晓韬做客IT168演播室，与广大用户畅谈数据库安全市场的发展状况，未来的发展趋势，以及安华金和如何保障企业的核心数据安全。数据泄露进入“新常态”IT168：如何看待目前频发的数据泄露事件？安华金和刘晓韬：关于信息泄露事件，现在有一个新词叫做新常态，现在几乎每天都能看到很多的数据泄露事件的发生，在安华金和创建之初，已经意识到安全市场的前景，随着信息化与互联网的发展，数据安全也将是政府和普通民众共同关注的一个问题。但是没有想到这两年泄露事件来的这么迅猛，说严重一点有些出乎意料的迅猛。从四月份暴漏的社保大规模信息泄露之后，互联网圈也相继爆出信息泄露事件。这些不太平的背后却有着客观规律，首先，国家信息化发展到现阶段，已经积累了很多有价值的东西，不像以前家里一穷二白的时候不用上锁，当家里积累财富多到一定程度的时候才开始要上锁，要开始装防盗门甚至雇佣保镖，这充分说明一件事，我们国家有钱了，网上的数据库里面的数据也都有了价值；其次，我们现在倡导的互联互通、倡导的信息共享，在这种情况下可访问数据的途径变多了，那么在系统中留下的后门和窃取数据的途径也变多了；再者，数据的价值增大，就形成了产业链，黑产交易增加。这种情况下信息泄露事件频发也就不足为怪了。IT168：为什么企业面对数据安全所产生的问题时，会如此的手足无措？安华金和刘晓韬：这种手足无措，源于2个方面：一是，客观原因，情况复杂了，信息化发展自身建设能力增强的同时，黑客的能力也在不断进步。而系统越复杂，自身的漏洞也会越多，漏洞越多伴随着的是黑客的攻击手段也会越来越多。以前黑客往往都是直接攻击，现在又出现了APT攻击，APT攻击意味着潜伏期更长了，攻击手段也不仅仅限于技术手段，还融入了社会工程学，另外，利益驱动下，企业内部人员，也会越过法律干这些事。所以从客观环境来说，信息泄露的事件本身变得复杂，以前的安全防护思维去做安全防护已经跟不上现在的发展了，同时需要兼顾企业对于安全防护的重视度。二是，主观原因。很多新兴企业，如互联网金融P2P企业，他们首要忙的是让业务系统运转，至于这里面的信息安不安全往往是第二步，这跟我们国家的立法环境也有很大的关系。目前在我们国家企业的信息泄露之后，企业的安全责任很低。sony泄露事件出来后sony的高层要开新闻发布会，得进行道歉，得进行赔偿。但是国内的企业在出现信息泄露之后几乎就没有企业站出来开很正式的新闻发布会进行道歉，更别说对用户赔偿了，因为企业的犯错成本很低，企业不愿意在信息安全方面做更多投资。据安华金和观察，在国外信息安全防护方面，主观上的意愿比较强烈，但是由于现在客观环境非常复杂，谁也不能保证数据信息的绝对安全。此外，安防技术和攻防技术的发展，以前我们可能更加注重边界防护，强调对外部人员的防护，但现在的实际情况是不光有来自外部的攻击，也有内外部的沟通，这就是堡垒从内部被攻破；还有，在网络通讯层乔装打扮，突破边界进入到内部。如今，信息安全又在考虑塔式防守，就是边界防御被突破后，内部防御怎样再进一步加强。这些都说明我们在下一步信息安全的理念上要配合国家和企业，但是这个前提是企业的安全意识要加强才行。数据库在裸奔数据泄露后知后觉IT168：安华金和觉得在数据库安全方面，企业的重视程度如何？企业在主观意识上有没有提升或改变？安华金和刘晓韬：企业以前所强调的那些安全概念，“觉得东西放到家里就相对安全了，把家里的防盗门装好，家里的东西本身就不需要再做什么安全措施。”这好比数据库都是放到企业内部或者内网当中，企业外围加上防火墙，再加一些控制就变得很安全。实际上这并不符合当前的实际情况。因为，首先很多企业、政府请第三方开发人员，可以直接访问数据库，或弄一个测试库，但测试库又与真实数据库中的数据想通，实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的；第二是运维，运维人员的问题在于现在一些企业和政府缺乏足够的运维人员，运维也是外包服务，这就造成外部的运维人员可以直接接触到企业或者政府的生产库，所以这些外部的运维人员是可以直接把数据库中的数据拿走。第三是数据库服务器丢，数据库服务器丢失以后，实际上后端的那些数据存储是完全有手段还原成明文的，那个时候数据自身的一些防护措施已经不起作用了。现在企业数据库中的数据就好比家庭的核心资产，金条，银票，存折什么的。总得想一些手段对核心