热搜回来了，数据源头安全如何管控

近年来，侵犯公民个人信息的违法违规现象屡见不鲜，互联互通的数字时代，人们享受着技术进步带来的红利，却也面临着前所未有的信息泄露风险。长此以往，不仅公民的信息安全遭受威胁，对互联网的长远发展也埋下了安全隐患。

新浪微博被“约谈”？

据国家网信办消息，6月10日，国家互联网信息办公室指导北京市互联网信息办公室，约谈新浪微博负责人，针对微博在蒋某舆论事件中干扰网上传播秩序，以及传播违法违规信息等问题，责令其立即整改，暂停更新微博热搜榜一周，时间自6月10日15时至6月17日15时，暂停更新热门话题榜一周，时间自6月10日15时至6月17日15时，严肃处理相关责任人，同时，要求北京市互联网信息办公室对新浪微博依法从严予以罚款的行政处罚。

微博用户数据泄露？

据悉，“这已经不是新浪微博第一次被约谈了”，有用户发现5.38亿条微博用户信息在暗网出售，其中，1.72亿条有账户基本信息，售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。经安全圈人士验证，部分测试数据属实！在2020年3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈。

工信部要求新浪微博遵循《网络安全法》和《电信和互联网用户个人信息保护规定》等要求，并对照工信部等部门制定的《App非法收集使用个人信息审批办法》，进一步采取有效措施消除数据安全风险。具体要求如下：

一、尽快完善隐私政策，规范用户个人信息的收集和使用；

二、加强对用户信息的分类保护，强化用户查询界面风控等安全保护策略；

三、加强企业内部数据安全管理，定期和新业务开展前开展数据安全合规自我评估，及时防范数据安全风险；

四、在发生重大数据安全事件时及时通知用户并报告主管部门。

对此，微博安全总监罗诗尧回应表示：“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的，内部突发现异常后马上堵住了口子。我们第一时间报了警，取证后把相关信息递到了警方，同时一直也在追查网上售卖信息的黑灰产业。用户的隐私至关重要，尤其还是涉及到手机号。”

近年来，数据安全形势愈演愈烈，各种数据安全事件层出不穷。在当前形势下，互联网公司认识到，虽然无法完全阻止攻击，但底线是敏感数据不能泄漏。也即是说，即使服务器遭到了渗透，但敏感数据也不能被拖走。数据泄漏会对公司造成声誉、经济双重影响。

互联网公司在数据安全层面，无论是传统理论提出的数据安全生命周期，还是安全厂商提供的解决方案，都面临着落地困难的问题。其核心点在于对海量数据、复杂应用环境下的可操作性并不佳。

例如：在数据安全生命周期的阶段与环节，首先要对数据进行分类分级，然后才是保护。但互联网公司的数据飞速生长，往往安全防护能力跟不上数据增长的速度。当存量数据已经形成庞大的规模，且日以万计的增量数据不断涌入，这种情况下如何实现数据分类分级？人工梳理显然不现实。

例如：安全厂商提供的数据审计解决方案，也都是基于传统关系型数据库的硬件设备。Hadoop环境下的数据审计方案是什么？面对海量数据，怎么快速、高效率审计？这些都是需要考虑并且落地的。

因此，互联网公司迫切需要一些符合自身特点的手段，来进行数据安全保障。为此，观数科技对互联网行业进行了数据安全层面的探索。这些探索主要包括基于hadoop 计算环境下的数据安全需求。

在数据安全建设环节重点要从以下几点进行考量：

1.数据资产地图，安全部门需要知道当前数据平台上有哪些高敏感数据资产，资产的使用情况，以及平台上哪些人拥有什么权限。因此，通过元数据、血缘关系、操作日志，形成了一个可视化的资产地图。仅仅形成地图并不够，扩展下来，还需要能够及时预警、行为阻断等干预措施。

2.敏感数据发现，智能化的分类分级、敏感识别，快速梳理出敏感分布状况。

3.数据脱敏，对敏感数据进行变形、混淆、加密等，从而起到保护敏感数据的目的，防止敏感数据泄露。

4.数据安全审计，利用大数据的计算能力及特点，将访问行为和敏感数据进行关联，分析异常行为。安全审计不仅要提供详细的用户行为审计，还要有风险告警，提供对所有数据库访问行为的记录，对风险行为进行提示告警，提供运维事后追踪分析的能力。

综合以上几点是贯穿整个数据生命周期的安全需求，企业也可以根据自身业务安全需求进行删减优化。总之，业务能力可以让企业做大做强，但重视安全可以让企业走的更长远。

观数科技不仅可以为传统企业提供数据安全建设，也可为中小型互联网企业提供专业化的数据安全方面的咨询、规划与建设，快速的将互联网业务与数据安全融合，减少中小型企业在数据安全方面的投入，帮助企业用最小化的成本投入解决最大化的数据安全需求。