2018-2019年，全球各地深受數(shù)據(jù)泄露事件的困擾，已造成數(shù)以萬計損失。

據(jù)《數(shù)據(jù)泄露損失研究》評估顯示，遭遇數(shù)據(jù)泄露事件的公司企業(yè)平均要損失386萬美元，同比去年增加了6.4%。

面對如此嚴峻的數(shù)據(jù)安全形勢，如何有效地保障數(shù)據(jù)安全成為了眾多企業(yè)的當務(wù)之急。

從數(shù)據(jù)泄露的途徑分析，數(shù)據(jù)泄漏主要分為三種：竊密、泄密和失密。

結(jié)合各種實際情況分析，數(shù)據(jù)泄露的主要途徑有以下幾種：竊密攻擊者主動竊密：惡意攻擊者或外部競爭對手，基于經(jīng)濟利益或政治原因驅(qū)動，通過層出不窮的高超技術(shù)手段，竊取企業(yè)的各種重要數(shù)據(jù)。

泄密離職人員泄密：由于權(quán)限管理疏忽等，離職人員在離職時有意或無意違規(guī)帶走大量核心數(shù)據(jù)（專利著作及源碼數(shù)據(jù)等）。

內(nèi)部人員泄密：由于內(nèi)部員工安全意識薄弱，數(shù)據(jù)安全分級不明確，操作失誤，部分涉密人員無意中泄露數(shù)據(jù)；部分員工因情緒化報復、利益收買等主動泄露數(shù)據(jù)。

失密權(quán)限失控失密：由于帳號生命周期管理不善，權(quán)限劃分及認證鑒別方式失控，導致人員對數(shù)據(jù)的密級訪問權(quán)限不對等，高密級數(shù)據(jù)流向低權(quán)限帳號，涉密數(shù)據(jù)流向無權(quán)限帳號等。

數(shù)據(jù)維護及處置失密：不安全的加密方式或明文存儲、公開的存儲位置、管理密鑰或存儲介質(zhì)丟失、未完全擦除報廢，存儲數(shù)據(jù)發(fā)生泄露。

信息發(fā)布失密：合作渠道商管理不善數(shù)據(jù)交互泄露，發(fā)布信息審核不當涉及密級數(shù)據(jù)泄露，信息數(shù)據(jù)流入未授權(quán)、競爭關(guān)系的第三方。

綜合分析數(shù)據(jù)泄露的原因可能如下：數(shù)據(jù)通信安全：網(wǎng)絡(luò)端口、數(shù)據(jù)傳輸?shù)榷紩蚋鞣N原因造成電磁泄露，企業(yè)數(shù)據(jù)庫存儲未安置防護設(shè)施，信息在通信傳輸過程中未進行加密處置，竊聽、非法終端接入、利用非應(yīng)用方式侵入數(shù)據(jù)庫、線路干擾等方式都可以得知通信信息數(shù)據(jù)。

數(shù)據(jù)庫管理系統(tǒng)脆弱性：數(shù)據(jù)及數(shù)據(jù)庫管理系統(tǒng)通常以分級管理，由此DBMS必然存在很多弱點。

另外，為了方便訪問數(shù)據(jù)，DBMS會留下不少接口，但其與操作系統(tǒng)的配套必然存在不少不足之處，而且這種不足是先天的，無法完全克服。

病毒與非法入侵：由于病毒或者非法入侵而導致數(shù)據(jù)泄漏，病毒入侵感染后，破壞數(shù)據(jù)、勒索加密數(shù)據(jù)等導致數(shù)據(jù)不可用，甚至盜取拖庫，非法入侵指惡意攻擊者運用不道德的手段侵入數(shù)據(jù)庫或者數(shù)據(jù)存儲空間，盜取數(shù)據(jù)。

系統(tǒng)漏洞：系統(tǒng)內(nèi)數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞，硬件上防火墻、存儲設(shè)備等網(wǎng)絡(luò)產(chǎn)品的漏洞，補丁更新不及時或不安全配置，導致惡意攻擊者主動發(fā)現(xiàn)了系統(tǒng)存在的漏洞，從而竊取數(shù)據(jù)。

訪問控制和權(quán)限管理不善：人和數(shù)據(jù)的權(quán)限分層、安全分級，帳號的生命周期管理，安全的訪問控制，以及因為人的脆弱性存在而導致的數(shù)據(jù)泄露屢見不鮮。

在數(shù)據(jù)安全防護措施上有哪些成熟的建議呢？M1 預防性措施：l 安全訪問控制l 身份鑒別（強口令認證）l 權(quán)限分離l 多因素認證MFAl 安全策略配置l 數(shù)據(jù)分級l 數(shù)據(jù)脫敏l 數(shù)據(jù)加密l 安全意識培訓對數(shù)據(jù)的訪問，進行帳號權(quán)限的劃分，三權(quán)分立，知其所需，通過完善接入安全，固定接入的終端設(shè)備、應(yīng)用接口，將非法接入拒之門外，同時采用多因素認證(MFA)方式和強口令認證，周期性修改口令，防止弱口令和權(quán)限泄露；數(shù)據(jù)相關(guān)的系統(tǒng)更改不安全的默認配置，進行加固操作；對數(shù)據(jù)根據(jù)重要程度和敏感級別進行分級，劃分訪問權(quán)限；存儲和傳輸數(shù)據(jù)時，進行敏感數(shù)據(jù)脫敏和加密處理，同時對內(nèi)部員工進行安全培訓，提供保障數(shù)據(jù)安全意識。

M2 檢測性措施：l 準入控制l 漏洞檢測/修復l 安全行為審計l IDS/IPS/FW對系統(tǒng)內(nèi)數(shù)據(jù)的訪問，通過管理權(quán)限檢測、網(wǎng)絡(luò)分層（網(wǎng)絡(luò)層、應(yīng)用層）控制檢測、物理控制做到準入安全；及時檢測系統(tǒng)存在的漏洞，進行補丁升級修復或風險規(guī)避；對數(shù)據(jù)訪問行為進行記錄，通過審計來不斷調(diào)整權(quán)限和發(fā)現(xiàn)違規(guī)事件；通過入侵檢測發(fā)現(xiàn)惡意訪問事件，進行及時告警。

M3 威懾性措施：l 防掃描l WAF/數(shù)據(jù)庫防火墻l 行為阻斷告警通過WEB和數(shù)據(jù)庫防火墻功能，來保障數(shù)據(jù)安全訪問，及時阻斷已知的惡意攻擊，同時結(jié)合告警反饋和防掃描技術(shù)來達到對惡意攻擊者的威懾。

M4 恢復性措施：l 數(shù)據(jù)備份l 異地災備通過數(shù)據(jù)備份、異地災備，可以在數(shù)據(jù)遭受勒索病毒加密、入侵破壞后，快速恢復業(yè)務(wù)應(yīng)用。