大數據時代如何打好信息保衛戰？

百萬學生信息，黑市叫賣價格近10萬，趣店數據泄露恐是今年曝出最嚴重的學生信息泄露事件。學生群體社會經驗較少，個人信息被不法分子掌握后，很有可能面臨精準電信網絡詐騙、甚至身份被盜用后惡意貸款等風險。獵網平臺近期發布的《2017年Q3網絡詐騙趨勢研究報告》顯示，受騙網民年齡段統計中，90后和00后網絡詐騙受害者占比超過一半，越來越多的不法分子將學生群體作為實施詐騙的目標群體。

無獨有偶，近期優步也被曝出曾發生用戶和司機個人信息泄漏事件，黑客獲取優步在全球5700多萬用戶和約700萬名司機的個人信息，但優步并未向用戶告知，還支付10萬美元給黑客作為“贖金”。

其實，此類數據泄露事件已經不是新鮮事，今年發生的重大數據泄露事件已經不勝枚舉：洲際酒店、凱悅酒店系統相繼被黑，先后有1000家以上的酒店用戶數據遭泄露；必勝客、麥當勞等連鎖餐飲數十萬用戶數據被泄露；四大會計師事務所之一的德勤24.4萬名員工郵箱、500萬份內部郵件遭泄露；全球最大的管理咨詢公司埃森哲因為服務器配置不當，導致數百GB用戶敏感信息招泄露。

黑客都是如何竊取數據信息的？

拖庫是最常見的黑客攻擊方式之一，近期趣店與優步的數據泄露就是黑客通過“拖庫”的方式來實現的。360安全專家介紹，黑客對目標網站進行掃描，查找其存在的漏洞，然后在網站服務器上建立“后門”，通過該后門獲取服務器操作系統的權限，進而直接下載備份數據庫，竊取用戶賬號密碼等信息。

另外，黑客通過收集這些互聯網已泄露的用戶和密碼信息，生成對應的字典表，用來“撞庫”：由于很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，嘗試批量登陸其他網站后，得到一系列可以登錄的賬戶。除了撞庫，黑客對于弱密碼還會進行暴力破解，簡單來說就是將密碼進行逐個推算直到找出真正的密碼為止。

除此之外，黑客還會在公共場所搭建一些名字與官方WiFi接近的釣魚WiFi，一旦連上這種釣魚WiFi，用戶設備所有上傳下行的數據都有可能被全部竊取。同時，還會仿冒真實網址以及頁面內容，做成釣魚網站，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。

不過，除了黑客是數據安全的頭號勁敵，“內鬼”也會利用特殊身份和工作便利直接獲取用戶個人信息。來自快遞、中介、銀行等保有大量個人信息的行業中，“內鬼”是公民信息安全的嚴重威脅。

數據泄露事件發生后 企業該如何應對？

360安全專家指出，數據泄露事件發生時，企業應做到“堅持兩個原則，完成兩個流程”：堅持對用戶安全負責的原則；堅持專業的事要交給專業的人做的原則，聯合和信任相關安全專業團隊參與安全事件處理。同時，一方面要完成內外協同的完整的事件應急處置流程，包括事件回溯和負責任的影響面評估等；另一方面要完成安全事件對外披露的義務和受影響用戶可感知的安全行動。

目前，通過網站漏洞攻擊服務提供商拖庫依舊是主要的泄露渠道，企業應正視網絡安全，定期進行滲透測試，對員工和研發人員要做好信息安全培訓工作，及時對有漏洞的服務打補丁；同時做好完整可靠的數據安全措施，對密碼加密存儲杜絕明文密碼存儲，即便被攻擊也能減少損失；另外還要對用戶數據交互點進行防御，如注冊登錄點加驗證碼等二步驗證方式，增加攻擊者撞庫攻擊成本。

個人用戶應該如何防范密碼被惡意竊取？

1.避免“一個密碼走天下”，在不同的地方設置不同的密碼；

2.在公共場所上網時，盡量不要連接不明來源的免費WiFi；

3.提高密碼安全強度，使用字母+數字+符號的強密碼形式；

4.從正規的應用商店下載App，以便確保下載的App安全可靠；

5.熟記常用的網站地址，區分釣魚網站與官網的異同；

6.使用360安全衛士、360手機衛士等安全軟件攔截木馬和釣魚網站。

如今網絡已進入大安全時代，網絡安全已經不僅僅是網絡本身的安全，還涉及到國家安全、社會安全、基礎設施安全、城市安全甚至人身安全。360安全專家在此提醒廣大用戶，注意保護個人信息安全，謹防被黑客竊取數據，造成財產損失；廣大企業也同樣需要注意保護數據，為用戶負責，為企業負責。