【IT168 评论】混迹于二次元的童鞋都了解,数日前弹幕社区网站Acfun(以下简称“A站”)确认将被快手收购,就在大家都在期待“快手+A站”能够摩擦出怎样的火花时,A站自曝受到黑客攻击,导致近千万条用户数据外泄。
消息一经曝出立刻引起了业界关注。甚至有人猜测此次黑客攻击事件是否会对最终的收购价格产生影响,毕竟雅虎数据泄露事件就是一活生生的例子。随着雅虎、Facebook等公司数据泄露事件接二连三的出现,用户对于数据安全问题愈发敏感,而A站作为二次元爱好者的重要聚集地,自然拥有着大量的用户,那从本次数据泄露事件我们能够看到些什么?又暴露了企业的哪些问题?
撕掉“遮羞布”,对用户负责!
事件发生后,外界对于A站被拖库这件事褒贬不·一,但我们应该看到的是A站在事后的态度。要知道很多企业在遭遇网络安全攻击后大多“忍气吞声”,隐而不报。唯恐消息曝光对自身业务产生影响,以至于用户的个人信息在毫不知情的情况下被黑产利用,同时在另一个层面助长了黑产的嚣张气焰。
在A站自曝被拖库后,腾讯玄武实验室的TK教主于旸在第一时间发表了自己的看法,他对A站的态度表示了肯定:
确实,在这个对于网络安全事故“一棒子打死”的时代,敢于说真话的人不多,A站本着对用户负责的态度敢于在第一时间跳出来这本身就需要很大的勇气。
如何完善数据库安全建设?
当然仅是依靠诚恳的态度来“取悦”用户是远远不够的,更重要的是完善安全建设,那对于企业来讲,数据安全应该如何来开展?对此我们特地对昂楷科技总经理兼CTO刘永波进行了简单的交流,让我们一起来了解下专注数据安全的昂楷科技对A站本次拖库事件有怎样的看法:
昂楷科技总经理兼CTO刘永波
刘永波谈到,通过本次A站拖库事件,再次说明数据安全的形式严峻,尤其对于互联网企业来讲,防范的压力和挑战更大。由于互联网服务企业,需要对公众用户提供相应的互联网内容服务,其服务平台裸露在互联网世界,加之需要对运营成本、平台效率等因素进行综合考量、还有受限于当前数据安全产品技术水准的限制等多种原因,A站成为了数据泄露旋涡之中的又一个受害企业。作为一名数据安全从业者,我们对此表示同情, 同时深感肩上责任之大,希望广大A站用户尽快修改互联网平台密码,防止撞库,避免损失。
为了减少此类事件的发生,企业数据库安全工作究竟该如何开展呢?对此刘永波给出了几点建议:
对于互联网服务企业来讲,数据安全建设难度非常之大。数据安全建设工作,要制度体系与技术手段相结合,尤其要加强数据库安全的防范,当然也不能狭隘的谈数据库安全,应该建设从WEB安全,边界安全,内网安全尤其是数据库安全的综合纵深的防范体系。
首先加强对外服务平台的漏洞扫描加固工作,防止黑客采用系统工程手段攻破弱点,达到对内部网络的控制,进而从内部发起对数据库的最后攻击,达到拖库的目的。
由于数据库的特殊性,其安全建设不可孤立看待,应做到精准可视联动联防,对于重要敏感数据在不影响业务的情况下审慎的采用加密措施,但要注意加密强度与业务效率的平衡。
此外,数据库审计和安全态势感知系统是企业过去往往忽略的一部分,黑客已经攻击到了最后的堡垒时,而不察知。应加强数据库审计及安全感知系统建设,以此为指挥系统,调度整个网络信息安全防御体系的联动联防,才能真正避免或者减少攻击事件的发生,或者当事件发生之时,能立即感知,采取有效应急措施。