随着互联网化、数字化转型的深入发展，互联网关键信息基础设施安全则成为社会生活稳定的有力保障，信息数据已从资产保护对象转为重要的经济生产工具，网络安全形势仍然十分严峻，数据安全更加面临着前所未有的威胁。数据泄露、高危漏洞、网络攻击以及各类网络安全事件层出不穷，个人安全意识的缺乏和企业安全投入不足，也加重了网络安全事件所带来的损失和影响。

下面我们回顾一下2019年国内外发生过的网络安全事件：

拼多多优惠券事件：遭黑产团伙盗取数千万元

2019年1月20日凌晨，拼多多被曝出现重大BUG，通过一个过期的优惠券漏洞盗取数千万元平台优惠券。一晚上200多亿都是话费充值”。 

京东金融APP被曝获取用户隐私事件：

2019年2月16日凌晨，爆出京东金融APP获取用户的截图和照片并上传。经排查，发现安卓系统上的APP5.0.5以后版本存在该问题，并已定位问题且下线修复，该功能属于需求错误开发。

易到用车服务器遭受攻击：遭黑客勒索巨额比特币

2019年5月26日，易到用车服务器遭到连续攻击，给用户使用带来严重的影响。攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。

日本加密数字货币交易所遭黑客攻击，损失资产3200万美元

2019年7月11日，日本持牌数字货币交易所BitpointJapan的系统检测出汇款相关的错误，调查结果是BitpointJapan管理的热钱包中存储的加密数字货币遭窃。被盗币种目前可确定包括XRP，初步损失预估在35亿日(约合3200万美元)元左右。该交易所的母公司Remixpoint股价暴跌触及跌停线。这一消息标志着日本又一家交易所被攻破。2018年9月，日本金融厅旗下的授权交易所Zaif曾遭到黑客攻击，价值6000万美元的加密货币被盗。

阿里云宕机致大波互联网公司网站瘫痪

2019年3月3日凌晨，阿里云疑似出现了宕机故障，造成购买阿里云服务的企业网站或APP无法正常使用。“华北2地域可用区C部分ECS服务器等实例出现IO HANG”，经紧急排查处理后逐步恢复。

澳大利亚维多利亚州有3万名政府雇员个人信息被泄露

2019年1月1日，据ABC报道，不知名政党下载了部分维多利亚州政府名录后，3万名维多利亚州公务员工作详情数据遭窃。这个给政府员工使用的名录包含工作电邮、职称以及工作电话号码。

在过去的一年里发生过太多网络安全事件，我们在这里就不一一列举了。

网络安全专家提出的一个预防措施是多因素验证，需要密码和代码才能使用设备或访问帐户。但由于这些安全措施需要花费额外的时间和精力。调查显示62%的人认为安全是可以为了效率而牺牲的，52%的人认为太麻烦。尽管网络安全攻击能够造成的可能很严重的损失，但企业仍在冒险。

缺乏安全后果可能会对任何企业造成不利影响。有问题的企业不仅冒着暴露公司信息的风险，而且还冒着暴露其客户的风险。实际上，平均数据泄露事件在全球范围内暴露了25575个敏感的消费者记录。这也可能导致财务损失。

安全漏洞可以轻易造成数百万美元的支出，包括调查成本，财产丢失或被盗，甚至是业务损失。

除了财务成本外，企业还可能对其声誉造成负面影响，这也可能导致收入损失甚至诉讼等其他费用，这很值得避免。

企业面对数据安全风险，应该如何防范呢?

严格控制信息的出入：

针对网络攻击和未授权的访问，我们建议企业严格控制信息的出入，通过安全审计来检测和监督可疑用户，取消可疑用户的权限，调用更强的保护机制。

维护备份策略：

服务器备份对于保持网站安全至关重要。在代码级别，网站数据应通过配置系统进行管理，随时跟踪每个更改并随时间存储版本记录，如发现安全漏洞便可及时修补。在数据库层，如果不是更频繁，则应至少每天记录完整快照备份，具体取决于发生的更改和添加类型。另外保持备份副本安全也非常重要，建议云环境中和本地办公室的硬件上同时保留一组备份。

每份数据分隔：

数据位于一台共享服务器还是一个专用系统中?使用一个专用服务器，服务器上只有你的信息。如果在一台共享服务器上，则磁盘空间、处理能力、带宽等资源都是有限的，因为还有其他人一起共享这个设备。你需要确定自己是需要私有云还是公有云，以及谁在托管服务器。如果是共享服务器，那么数据就有可能和其他数据混在一起。

使用加密方式：

加密方式也应该在考虑范围内。原始数据是否允许离开企业，或者它们应该留在内部，才能符合法规要求?数据在静止和/或移动过程中，是否会使用加密措施?此外，你还应该了解其中所使用的加密类型。例如，DES和AES就有一些重要差别。另外，要保证自己知道是谁在维护密钥，然后再签合约。加密手段一定要出现在云安全问题清单中。

分布式部署策略：

分布式技术是目前使用较好的安全技术，分布式锁，分布式储存，分布式数据库等技术，互联网应用研发服务商源中瑞科技（www.ruiec.com），为各大企业提供互联网项目技术支持，为各行业提供各类技术解决方案。

启动权限管控：

权限管控系统可根据用户，角色、操作、访问策略和控制对象之间的关联关系，同时考虑权限的正负向授予，计算出用户的最小权限。集中控制来自应用系统的所要访问的权限计算服务，并返回权限关系表。不同角色拥有不同后台权限，超出用户角色之外的板块该用户登录账户之后只做展示不可操作或直接无法访问。

出现安全漏洞之后应对措施：

如果发生了安全事故，你可以从云提供商获得哪些支持?虽然许多提供商都宣称自己的服务是万无一失的，但是基于云的服务是极其容易受到黑客攻击的。侧向通道、会话劫持、跨站脚本和分布式拒绝服务等攻击都是云数据经常遇到的攻击方式。

尽管许多企业仍未做好应对数据泄露的准备，但比以往任何时候都更要重视网络和物理安全。通过在线和物理场所采取适当的安全措施，可以通过多种方式保护资产。