數位化時代,更多的徐玉玉需要保護
徐玉玉案宣判了。
花季少女的殞命,引起了社會各界對資訊安全的強烈關注。
但是,隨著互聯網和大資料迅猛發展,技術的演進帶來很多新問題,我們應該如何以智慧和專業,避免更多的徐玉玉悲劇出現?
IT從業人士應該積極思考、研究,並通過技術手段不斷加強對隱私資料和資訊安全的保護,提升老百姓的安全感。
【數位化時代,資料可以描繪出更真實的你】
我們即將面臨的一個現實問題是,在數位化時代,每一個人都有可能成為下一個徐玉玉。
當前,我們正在從互聯網時代,走向一個全面的數位化時代。
越來越多的傳統企業和行業,正在狂飆突進地奔向數位化:一方面,科技領域的創新,尤其是物聯網的發展,正在讓越來越多的實物完成數位化鏡像,成為了資料;另一方面,
2015年曾有統計說,全球的資料量每年在以50%的增長率增加,當前在用的資料中80%都是近兩年產生的;而現在,現實的情況可能比這個統計更誇張,各種資料的擴張速度,已經讓人難以想像。
在這個過程中,資料的生成方式已產生質變,從我們主動的、可控的、有意識地提供資料,演變為被動的提供資料。
以前,被攔住要求填寫問卷並贈予小禮品的時候,
更值得關注的是:隨著大資料產業的發展,資訊和資料越來越豐富,對個體的畫像也越來越全面而精准,個人的隱性特徵甚至隱私都可能被"計算"出來。用資料描繪出來的特徵,甚至比你自己還瞭解你自己,
這是好事,但其中的風險也同樣可怕。
如今,不法分子利用資訊詐騙已經成為社會公害,無數的案例場景都表明:如果個人資料和資訊被壞人掌握和利用,我們每一個人都有中招的可能;而如果對於任何事都要花大量的時間和精力去驗證,會產生多少社會資源的損耗;在一個缺乏安全感的環境裡生存,又會讓我們有多少本不必要的困擾。
道高一尺魔高一丈,如今我們必須對於資料資訊安全予以足夠的關注和重視,將技術和管理手段相結合,構建資訊社會的安全屏障。將資訊安全保護做到位元,也是推動大資料發展和數位化轉型的手段和舉措。否則人人自危,這個產業還怎麼發展?
【他山之石:電信運營商的資訊防護手段】
相對於其他行業和產業,電信運營商在數位化以及資料處理方面是領先的。
上個世紀的"97工程"等IT基礎能力建設完成後,運營商面向客戶的訂單、話單、帳單等資訊早就全部實現數位化,網路設備管理以及企業內部管理也已實現數位化,再加之客戶規模和系統規模超大,所以在資訊安全管控方面已經有相對成熟的經驗。
國內在數位化、資訊化領域領先的還有金融行業,但由於業務特性等方面的差異,電信運營商的IT系統比金融行業更加開放,因此也就面臨更多的安全威脅,有了更豐富的應對經驗。
一般來說,IT系統對資料的"增"、"刪"、"改"等操作比較重視,但往往對資料訪問的安全管控不夠。
究其原因,一方面是對安全性的重視不夠,另一方面也有苦衷:如今的業務,大多更強調用戶使用的便利性,以及IT系統的回應速度;如果加強對資料訪問的安全管理,強化對資料訪問的安全管控,可能導致訪問效率的降低,影響查詢等操作的即時性。
事實上,不少企業的IT系統並非不知道安全的重要性,並非沒有解決辦法,只是沒有去做而已。
在現實中的資訊洩露案件中,很多都是過於強調開放性和便利性,忽視對資料關鍵資訊的保護。
比如,代理商可以直接訪問系統核心資料庫,調用客戶資料,查閱訂單資訊等,而對這些行為,系統既沒有進行隱私保護,又沒有對查詢訪問行為進行記錄,出現問題之後無法回溯。
如果我們的個人資料都存放在這樣的系統裡,客戶隱私幾乎是在裸奔,何談安全感!
那麼,應該如何平衡資料訪問的便利性和安全性呢?
首先是要做到資訊分級處理,之後就可以將需要高度關注和保護的敏感資訊區別出來,進行重點保護,將涉及隱私或者關鍵字段的資訊做模糊化處理,對於核心的資料訪問採取"金庫模式"(參考銀行對金庫的操作方式,包括操作與授權分離等),確保所有敏感操作都有嚴格的控制。
系統對資料的訪問查詢,既包括操作人員對資料庫的查詢,也包括各種應用對資料的調用。這些查詢訪問都應該留下痕跡,所有操作都記入不可刪改的日誌裡,以備後續的審計檢查或者追溯。如果遇到非常規操作(比如某帳戶短時間內頻繁查詢不同使用者詳單等),系統自動產生告警,提示系統管理員及時確認操作的合法性。
對於開放性的IT系統來說,反黑防毒是非常重要的安全戰場,尤其是與公網相連的節點,如果安全管理手段跟不上,就可能吃大虧。
事實上,如今很多IT系統在安全上並沒有少花錢,但是疏於管理,對於漏洞和病毒的防護慢半拍;也有的存在僥倖心理,結果一旦中招,悔之晚矣。
這些手段說出來並不複雜,更多還是安全意識的問題。只要意識到位了,完全可以花小錢辦大事。
【結語】
曾幾何時,當出現客戶資訊洩露的時候,社會上就有人指責是電信運營商洩露出去的,這些壓力迫使電信運營商下大力氣做資訊安全防護。
如今,數位化時代裡的IT系統越來越多,裡面的資料越來越多,如果能將運營商在安全方面的經驗和措施進行推廣,制定IT系統裡對資料保護的規則並推行,那麼無論對資訊的保護,還是對案件的追查,都會產生非常積極的作用。
徐玉玉的不幸,也是對所有人的警醒。亡羊補牢,為時未晚。
在資料爆炸性增長的時代裡,希望各類IT系統都加強對於資料安全的保護,而且這些防護做得越早越好,越規範越好。
否則,不知道什麼時候,類似于徐玉玉的悲劇就又出現了。
上個世紀的"97工程"等IT基礎能力建設完成後,運營商面向客戶的訂單、話單、帳單等資訊早就全部實現數位化,網路設備管理以及企業內部管理也已實現數位化,再加之客戶規模和系統規模超大,所以在資訊安全管控方面已經有相對成熟的經驗。
國內在數位化、資訊化領域領先的還有金融行業,但由於業務特性等方面的差異,電信運營商的IT系統比金融行業更加開放,因此也就面臨更多的安全威脅,有了更豐富的應對經驗。
一般來說,IT系統對資料的"增"、"刪"、"改"等操作比較重視,但往往對資料訪問的安全管控不夠。
究其原因,一方面是對安全性的重視不夠,另一方面也有苦衷:如今的業務,大多更強調用戶使用的便利性,以及IT系統的回應速度;如果加強對資料訪問的安全管理,強化對資料訪問的安全管控,可能導致訪問效率的降低,影響查詢等操作的即時性。
事實上,不少企業的IT系統並非不知道安全的重要性,並非沒有解決辦法,只是沒有去做而已。
在現實中的資訊洩露案件中,很多都是過於強調開放性和便利性,忽視對資料關鍵資訊的保護。
比如,代理商可以直接訪問系統核心資料庫,調用客戶資料,查閱訂單資訊等,而對這些行為,系統既沒有進行隱私保護,又沒有對查詢訪問行為進行記錄,出現問題之後無法回溯。
如果我們的個人資料都存放在這樣的系統裡,客戶隱私幾乎是在裸奔,何談安全感!
那麼,應該如何平衡資料訪問的便利性和安全性呢?
首先是要做到資訊分級處理,之後就可以將需要高度關注和保護的敏感資訊區別出來,進行重點保護,將涉及隱私或者關鍵字段的資訊做模糊化處理,對於核心的資料訪問採取"金庫模式"(參考銀行對金庫的操作方式,包括操作與授權分離等),確保所有敏感操作都有嚴格的控制。
系統對資料的訪問查詢,既包括操作人員對資料庫的查詢,也包括各種應用對資料的調用。這些查詢訪問都應該留下痕跡,所有操作都記入不可刪改的日誌裡,以備後續的審計檢查或者追溯。如果遇到非常規操作(比如某帳戶短時間內頻繁查詢不同使用者詳單等),系統自動產生告警,提示系統管理員及時確認操作的合法性。
對於開放性的IT系統來說,反黑防毒是非常重要的安全戰場,尤其是與公網相連的節點,如果安全管理手段跟不上,就可能吃大虧。
事實上,如今很多IT系統在安全上並沒有少花錢,但是疏於管理,對於漏洞和病毒的防護慢半拍;也有的存在僥倖心理,結果一旦中招,悔之晚矣。
這些手段說出來並不複雜,更多還是安全意識的問題。只要意識到位了,完全可以花小錢辦大事。
【結語】
曾幾何時,當出現客戶資訊洩露的時候,社會上就有人指責是電信運營商洩露出去的,這些壓力迫使電信運營商下大力氣做資訊安全防護。
如今,數位化時代裡的IT系統越來越多,裡面的資料越來越多,如果能將運營商在安全方面的經驗和措施進行推廣,制定IT系統裡對資料保護的規則並推行,那麼無論對資訊的保護,還是對案件的追查,都會產生非常積極的作用。
徐玉玉的不幸,也是對所有人的警醒。亡羊補牢,為時未晚。
在資料爆炸性增長的時代裡,希望各類IT系統都加強對於資料安全的保護,而且這些防護做得越早越好,越規範越好。
否則,不知道什麼時候,類似于徐玉玉的悲劇就又出現了。