从雅虎数据泄露门看数据安全治理.docxVIP免费优质

从雅虎数据泄露门看数据安全治理2016年9月，美国著名互联网门户网站雅虎公司宣布，雅虎网络系统中的5亿用户数据遭到泄露。2017年10月，雅虎公司再次宣布所有30亿用户的个人数据被盗取，涉及用户姓名、电子邮件、电话号码、出生日期、登录密码、安全问题及答案等诸多数据内容。事件发生后，雅虎公司成立了安全团队对本次数据泄露事件展开调查，结果证实本次用户数据泄露与黑客入侵有关。迄今为止，雅虎数据泄露门称得上是史上规模最大、最具有代表性的数据安全事件。深入剖析雅虎数据泄露事件能够对我国数据安全防护工作起到警示作用，也可以为世界数据安全事件的处置提供启示。构建系统规范的数据安全监测预警制度雅虎数据泄露门发生的一个重要原因是疏于防范数据泄露风险。早在2013年，雅虎公司就因黑客攻击导致10亿用户数据遭到泄露。一年之后，雅虎公司又因类似的黑客攻击导致5亿用户数据被泄露，直至2017年披露的数据显示，高达30亿用户的数据均遭泄露。在本次事件中有超过15万美国政府和军方雇员的信息被泄露，被泄露账户的主人包括美国国会议员、白宫工作人员、国家安全局官员等多个重要机构的工作人员。英特尔负责安全的首席技术官史蒂夫·“格罗勃曼表示，对于将数据当作武器使”用的人来说，数据价值连城。黑客可以利用这些数据创建可搜索数据库（如生日和电话号码），从而实现盈利并参与商业或国家间谍活动的目的。接二连三的数据泄露说明雅虎公司始终没有重视数据安全风险防范工作，安全漏洞一直没有被彻底发现与填补，最终导致大规模数据泄露事件的发生。如果雅虎公司有着高度的数据安全风险预防意识以及完善的数据安全风险预防制度，那么可能就不会发生如此大规模、连续性的数据安全事件。可以看出，数据安全风险预防环节对于提升数据安全应急能力至关重要。加强数据安全风险预防环节建设的重点，在于建立包含客观深入的数据安全风险评估制度、高效权威的数据安全风险报告制度、集中统一的数据安全信息共享制度、系统规范的数据安全风险监测预警制度等在内的数据安全风险预防制度体系，积极实现从静态防护到动态防护、从被动防护到主动防护的形式转变，从而真正做到从源头上发现、缓解、消除数据安全风险。同时，通过多层次、多方面、多角度的数据安全预防制度体系，掌握数据安全状况，感知数据安全发展态势，总结数据安全变化规律，预测数据安全未来动向，对数据安全风险作出正确战略研判。具体而言，一方面，通过数据安全风险报告制度，及时传递上报数据安全风险信息，以便于尽早作出决策。同时，通过数据安全信息共享制度，实现数据安全信息的串联共通，有效促进多方共同预防数据安全风险。另一方面，通过数据安全监测预警机制，实时掌握数据安全状况并依据数据安全风险等级正确发出数据安全预警。完善高效统一的数据安全应急处置机制雅虎公司处置本次数据泄露事件的过程较为混乱，没有章法，充分反映出了其在数据安全应急处置机制方面的短板。根据报道，在黑客攻击发生后，雅虎公司并未采取有效的应急处置措施。在技术层面，黑客攻击发生后，雅虎公司没有及时采取技术措施，制止黑客攻击并防止数据的进一步泄露。在补救措施上，数据泄露事件发生后，雅虎公司仅仅是提醒用户更改密码等信息，并未采取强有力的补救措施来制止危害后果的扩大。最后，数据泄露后，雅虎公司并未及时上报和对外公示，甚至直到2016年才正式披露这一事件，体现出其应急反应的片面与滞后。过于疏松的安全措施与相对迟缓的应急响应是造成雅虎数据泄露愈演愈烈的重要原因。因此，提升数据安全应急能力必须重视数据安全应急处突能力建设，着力完善高效统一的数据安全应急处置机制。一方面，提升数据安全应急处突能力首先要设计科学合理、贴近实际、切实可行的数据安全应急处置预案，界定数据安全应急处置对象、厘清数据安全应急处置流程、确定数据安全应急处置方法、明晰数据安全责任主体权责、统筹数据安全应急处置机制脉络，确保数据安全应急处置机制的运行做到有章可循、有据可查。另一方面，数据安全应急处置机制的确立与运行还需要得到法律保障，要在数据安全法、个人信息保护法、网络安...