隨著互聯(lián)網技術在社會各方面的滲透，個人生活工作的便利與企業(yè)效率的提升常常是通過個人讓渡一部分隱私權實現(xiàn)的。這其中有用戶對個人隱私保護的輕視，但更多來源于部分企業(yè)對于用戶信息的過度索取，導致大量個人用戶的信息以數(shù)據(jù)方式存儲于企業(yè)的數(shù)據(jù)庫中，形成了數(shù)據(jù)聚合的“洼地”。
近日發(fā)布的一份報告顯示，有九成以上的受訪者都使用過人臉識別，不過有六成受訪者認為人臉識別技術有濫用趨勢，還有三成受訪者表示，已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。那么“刷臉”時代，我們的人臉信息安全嗎？
記者調查發(fā)現(xiàn)，在某些網絡交易平臺上，花2元錢就能買到上千張人臉照片。這些照片若落入不法分子手中，照片主人除了有可能遭遇精準詐騙，還有可能因人臉信息被用于洗錢、涉黑等而卷入刑事訴訟！
數(shù)據(jù)是怎么流失的？
那么，我們的人臉照片是怎么流失的呢？產業(yè)互聯(lián)網時代，企業(yè)在生產、運營中都高度依賴數(shù)據(jù)，數(shù)據(jù)從生產之初就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環(huán)節(jié)且循環(huán)往復，并在流動的過程中產生大量的接觸和交互——內部的研發(fā)和運營管理人員的經手，服務器、云平臺、大數(shù)據(jù)處理與分析系統(tǒng)中的流動，與眾多伙伴、客戶的共享，這些都使得數(shù)據(jù)面臨安全風險。
結合近幾年新聞曝光的事故統(tǒng)計和研究資料表明，黑客、公開數(shù)據(jù)庫、數(shù)據(jù)庫配置錯誤、“內鬼”是數(shù)據(jù)泄露的四大“罪魁禍首”——
黑客：利用特定的漏洞來竊取信息，通過暗網或黑市交易獲取利益；
公開數(shù)據(jù)庫：因選型不當或技術疏忽而對數(shù)據(jù)庫未加保護，使其暴露于互聯(lián)網上；
數(shù)據(jù)庫配置錯誤：錯誤地關閉云提供商標準化的默認安全設置，或對某些服務允許不受限制的訪問設置；
“內鬼”：員工數(shù)據(jù)盜竊、員工賄賂和售賣信息、運維人員報復性操作等。
此外，非授權訪問、系統(tǒng)或者網站漏洞等也會引發(fā)數(shù)據(jù)泄露風險；隨著AI、大數(shù)據(jù)、云計算等新技術被黑客應用，原有的數(shù)據(jù)安全防護體系不得不面臨更大的壓力。
企業(yè)應如何防護數(shù)據(jù)安全？
那么，對于數(shù)據(jù)存量高、信息流動性強的企業(yè)，到底應如何構建數(shù)據(jù)安全的防護體系呢？具體來說，分為四大階段：
1、數(shù)據(jù)安全的梳理。
企業(yè)對應在數(shù)據(jù)生產之初就加強數(shù)據(jù)管理的分類和治理，包括對數(shù)據(jù)進行感知、風險識別和分級，明確定位哪些是機密數(shù)據(jù)、敏感數(shù)據(jù)、普通數(shù)據(jù)，進而根據(jù)數(shù)據(jù)的不同等級，設置不同的安全策略，做到加強感知、聯(lián)防聯(lián)控。
2、管理制度的建設。
數(shù)據(jù)安全不僅是技術問題，更是管理問題，一方面需要通過數(shù)據(jù)安全的相關產品把制度落地。通過自動化的工具來清點數(shù)據(jù)資產，快速明確核心數(shù)據(jù)分級和資源分配，實時監(jiān)控訪問權限和訪問行為軌跡；同時需要重視運維審計和數(shù)據(jù)庫審計，對數(shù)據(jù)庫運行過程中的潛在風險進行挖掘。
3、解決方案的落地。
在數(shù)據(jù)存儲、傳輸、使用過程中，應充分應用先進的數(shù)據(jù)保護技術，如加密和脫敏技術，針對機密數(shù)據(jù)則需要持續(xù)性的保護。企業(yè)必須確保其數(shù)據(jù)庫、文檔管理系統(tǒng)、文件服務器在整個生命周期內正確分類和保護機密數(shù)據(jù)；通過密鑰管理對數(shù)據(jù)訪問權限進行限定，集中管控以及安全存儲數(shù)據(jù)庫憑證、API密鑰和其他密鑰、配置信息等敏感憑據(jù)以避免越權操作行為。
4、強化安全運營。
企業(yè)應當加強事前-事中-事后的全流程安全保障，打造覆蓋全生命周期的預防、檢測、響應和可視的安全運營體系。
事前檢查服務器、數(shù)據(jù)庫有沒有部署訪問控制，有沒有開啟數(shù)據(jù)備份，做到防患于未然。
事中：識別云控制臺只能夠用戶操作的異常行為。
事后：通過接入的云操作行為日志、云產品配置變更日志及各類安全產品日志，可以實現(xiàn)事后的全面分析和調查溯源，及時分析定位安全事件。
新網云數(shù)據(jù)庫，通過IP白名單授權機制，嚴格管控訪問源。支持通過VPC來獲取更高程度的網絡訪問控制，為企業(yè)的業(yè)務數(shù)據(jù)提升安全性。多重安全防護措施，完善的性能監(jiān)控體系，可視化界面管理，讓企業(yè)更專注于業(yè)務發(fā)展；http://www.xinnet.com/cs/rds.html