1.4.2 数据安全威胁分析

近年，大规模数据泄露事件激增，2017年前11个月的数据泄露事件数量已比2016年全年总数量多出10%。美国知名信用机构Equifax在9月份透露曾遭黑客袭击，导致1.43亿名用户的信息泄露；科技公司Uber则发现，5700万名乘客和司机的信息在2016年一次大规模数据泄露事件中被黑客窃取。数据泄露的目标除了政府机构和金融机构，已经扩大到第三方承包商、数据集成商，以及安全厂商和解决方案提供商自身，企业和个人可能会因为敏感数据泄露而处于危险之中。

1．数据库漏洞与利用

许多数据库的读取接口直接暴露在互联网上，而且没有设置完整的访问控制策略，攻击者通过弱密码甚至空密码就可以直接获取数据库的控制权限。数据库勒索是指黑客通过各种攻击手段获取数据库控制权，加密或破坏数据，以此要挟受害者支付赎金。

数据库安全成为2017年的安全热点，我们针对近三年来勒索事件涉及的数据库的中危、高危漏洞进行了统计（见图1.16）。

图1.16 中危、高危漏洞统计

其中MySQL的漏洞暴露最严重，从增速方面看，除了MySQL外，PostgreSQL在过去三年里的漏洞也有较快的增长。相比之下，MongoDB、ElasticSearch、Redis、Hadoop等数据库则相对安全，不过漏洞数量有一定程度的增长。从数据库漏洞的发展态势上看，数据库的安全问题也越来越受到关注。

2．内部人员数据倒卖

根据Identity Theft Resource Center和CyberScout发布的报告，2017年全年有多达1500起数据泄露事件发生，相比2016年发生的1093起增加37%。Loudhouse曾发布的企业安全调查报告也显示，如果价格到位，35%的员工会倒卖包括公司专利、财务记录和客户信用卡等在内的敏感数据（见图1.17）。

图1.17 数据泄露成因

2017年6月，Verizon证实有600万用户的数据被泄露，并表示此次数据泄露是由该公司供应商的一名员工造成的，他因操作失误导致可通过外部进入云存储区域访问信息。同年，Verizon发布的数据泄露调查报告指出，在已发生的数据泄露事件中，有25%是由内部人员造成的。因此，金融行业作为信息泄露高发的行业，应完善敏感信息保护措施，加强内部管理，建立必要的制度与控制机制。

3．云上数据窃取

2017年中国私有云市场规模预估已达425亿元左右，到2020年市场规模将达到762.4亿元。有问卷调查显示，我国金融行业约60%的机构使用了云服务，大部分使用的是私有云，也有超过20%的机构使用公有云或者混合云（见图1.18）。在使用云业务时，金融行业最关注的安全风险是数据及隐私保护、业务的访问权限控制（见图1.19）。

图1.18 企业使用云计算服务比例

图1.19 云计算服务安全风险点

个人数据及隐私安全不仅是企业自身的安全要求，也是国家监管机构越来越重视的方面。如欧盟颁布的《一般数据保护条例》（General Data Protection Regulation, GDPR），于2018年5月25日起实施，要求加强对欧盟所有人的隐私权保护、物联网的隐私权保护，并简化数据保护的管理。而在国内，新颁布的《中华人民共和国网络安全法》和正在制订的《中华人民共和国个人信息保护法》也突出了国家对数据及隐私安全的重视。