云泄露：简单的云服务器配置操作，蕴含巨大商业风险

 什么是云泄漏？

    技术在改变着人们的生活：移动支付、共享经济、电子商务、在线医疗…让人们的生活更加便捷，生活质量进一步提升。但同时，数据泄漏事件似乎在不断的发生，银行卡账号、个人身份信息、医疗记录、出行记录在随着数字化生活给人们带去便利的同时，也被大量的企业、服务机构获取，使用。

    随着意识的提高，人们越来越重视个人隐私保护。“黑客”、“网络攻击”、“违规”、“泄漏”，这些词不断挑动着人们的神经。其中，有一种较为特殊的“泄漏”，一旦发生可能会涉及到大量的数据，给相关用户和企业造成巨大的损失，我们称之为云泄露。

    云泄漏是指存储在云服务器中的敏感数据毫无防备的暴露在互联网上。云服务商在互联网上为企业提供了私有空间来部署系统、存储数据。大多云服务商会提供选项允许企业将自己的存储空间面向互联网开放。若管理员在处理数据时修改了权限，云服务器和互联网之间的边界就消失了，意味着所有人都可以访问这些数据。2017年版《OWASP Top 10 》显示，“安全配置错误”在10项最严重的web应用程序安全风险中排在第五位。无论是错误的配置还是云中脆弱的服务器，都会将隐私数据至于危险的境地。而专门有一类人，出于获取利益的目的，在持续的搜寻着云泄漏，将会扩大云泄露的影响。

    云泄漏是企业面临的独特风险，出现错误的简单性与它可能导致后果的严重程度形成巨大的反差。 

    云泄露的严重性

    云泄露中最常见的数据分为两类：

    个人信息：身份信息（姓名、性别、年龄、地址、电话号码…）活动信息（订单、生活轨迹、浏览习惯），银行卡信息、医疗记录…这一类信息极具价值，买卖公民信息的黑市在互联网平台并不鲜见。当下，政府及监管机构非常关注公民个人信息的保护，在今年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。在同月生效的《通用数据保护条例》，也将对个人信息的保护提升到了新的高度，影响行业广泛，对涉事企业处罚力度大。

    企业信息：企业内部的文件、邮件、备忘；合作伙伴、供应商信息；项目信息等。财务信息；设计；知识产权信息；代码等。一旦这些信息暴露，被竞争对手或有不良企图的人获得，将会给企业带来致命的伤害。

    数据泄露，可能会让公民面临诈骗、骚扰、甚至人身安全威胁，可能让企业面临来自竞争对手的致命打击、自监管机构的高额处罚，及无法估量的名誉损失。可以说，云泄露可给相关各方带来巨大的伤害。

    如何防止云泄露？

    云泄漏并非由外部攻击造成，而是由日常工作中的操作导致的。企业在使用云服务时，应意识到其风险的存在。企业在对云服务配置时，应该持续验证每一步操作以保证风险的可见。

    企业除了规范流程，降低由操作错误导致数据外泄的同时，也应当关注到为企业处理数据的第三方合作伙伴，企业作为数据的责任人，一旦出现泄漏，与第三方需要承担同样的责任。这使得评估和优化第三方合作伙伴网络风险与企业内部的风险控制同样重要。

    在与第三方合作伙伴协作处理敏感信息时，需要持续的对该合作伙伴的操作进行评估，以便能够了解它们处理数据所带来的风险。仅仅关注企业自身的内部风险，却把同样的数据毫无措施的交由第三方合作伙伴，这是毫无意义的。合作伙伴的选择和评估应该与企业在保护其内部资产和信息时一样小心。

    获取第三方安全风险管理能力框架：https://www.aqzhi.com/website/contact.html?type=report&reportid=12