我们应该从Facebook数据泄漏事件中思考些什么？

最近Facebook数据泄露事件刷爆了各大头条和社交媒体。让我们来一起回顾一下此次事件：
一家名叫剑桥分析（Cambridge Analytica）的数据分析公司从Facebook获取了5000万用户的资料。

起初，一位剑桥大学教授以学术研究为名，在Facebook上运行程序邀请用户进行心理测试，并获用户授权抓取其个人信息；但该程序不仅抓取了这些用户的信息，还抓取了这些用户好友的信息，该教授又私自将获取的数据给了剑桥分析；其后以此为基础，结合从其他渠道获得的用户信息，试图影响其政治倾向和投票行为。

5000万用户是极其惊人的数量，相当于近四分之一的美国选民；如果真能左右这些选民的行为，无疑会对美国政局产生重大影响。事件曝光后，Facebook的股价暴跌，陷入了重大危机。

Facebook数据泄露事件虽远在大洋彼岸，却影响着互联网时代我们每个人的切身利益，在当下各行各业都涉及数据信息，“数据安全”关乎个人、关乎政企、更关乎国家安全。移动互联网、物联网的普及，让越来越多的个人数据通过不同工具被曝露在不同地方，并在用户知情或不知情的情况下被拿来使用。对数据资源收集和使用牵涉到正当性的问题，波及个人隐私、经济利益甚至是社会舆论和事件等。数据已经成为新时代的石油，是最核心的资产。

我们相信没有一家互联网企业愿意成为下一个泄露门的主角，那应该如何将危机防范于未然呢？

首先，要建立健全的法律体系及各项规章制度。
近年来，我国已在用户信息保护方面推出了一系列的法律法规，包括全国人大常委会2012年通过的《关于加强网络信息保护的决定》，工信部2013年发布的《电信和互联网用户个人信息保护规定》，以及2017年6月实施的《网络安全法》。今年5月1日将实施的《信息安全技术个人信息安全规范》则进一步在个人信息收集、保存、使用、委托处理、共享、转让、公开披露、个人信息安全事件处置等方面提出了多条具体措施，并提供了用户明示同意和隐私政策的模板。

现行法律法规对于用户信息的保护制定了四大原则：
1.经同意：收集用户信息应当向用户明示并取得用户同意；
2.必要性：收集、使用用户个人信息，应当遵循合法、正当、必要的原则，不得收集与其服3.务无关的个人信息；
4.披露：应当公开收集、使用规则，并明示收集、使用信息的目的、方式和范围；
5.安全措施：应当采取必要措施，确保信息安全，防止信息泄露、丢失。

如上述总结所提，在法律法规不断的完善，同时先进的技术手段必不可少。对于任何一个要对大数据敏感信息进行维护处理的企业或机构，甚至是国家，首要任务是提高数据安全性以及完善数据保护机制。

优炫软件安全研究院的安全研究员认为，我们可以从系统安全、数据安全、应用安全三个方面进行防护。

系统安全
面对新时期网络威胁新常态，已呈现出由网络安全向数据安全转变、由被动防御向主动保护发展的趋势。当下部署相应的主动防御类网络安全工具是关键。

优炫操作系统安全增强系统通过安装在服务器的安全内核保护服务器数据，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计功能，不用更改操作系统就可以安装，提供信息系统主动防护功能，操作方便、易于系统管理和安全管理。

操作系统安全增强系统运行在内核态中保护着系统的安全性，抵御外部攻击，防止未知病毒运行和远程shell获取。从文件、进程、CMD命令行、USB端口等多方面强有力保护系统和数据安全。

数据安全
优炫安全研究院的安全研究员认为，保证数据安全对敏感数据的访问权限进行加密操作是必不可少的，除此之外，密码设置要增加难度，并进行适当的密钥管理，以实现真正保护。

优炫数据库透明加密系统实时监控整个数据环境里的活动，主动识别并阻止攻击、防止信息泄密、恶意活动和欺诈、并对数据库审计自动化、对数据及数据库安全提供立体化的数据保护。增加对特权用户权限的控制，保证数据入库后的安全。防止数据存储介质丢失、数据库文件被复制、SQL注入攻击导致的DBA权限泄漏（滥用）等情况造成的数据泄密。

同时，优炫安全研究院的安全研究员还表示：生产环境用于开发测试、数据挖掘时、被临时人员或外来人员访问更容易造成数据泄露。然而生产环境中数据保护手段并不适合用于非生产环境。

优炫数据脱敏平台提供给客户有效的数据隐私保护解决方案，优炫数据脱敏系统通过复杂的变形算法，能有效屏蔽数据库中的敏感数据，并且还可以完整的保持业务应用的逻辑性，以便满足测试开发等环境使用。

另外，优炫安全研究院的安全研究员还提醒用户应综合考虑内部数据分类和访问权限政策。分类数据是极其私密的，公众用数据控制器来确定不同数据类型所适应的保护等级，以及限制用户访问，这需要特别注意云存储和第三方平台上的数据。

优炫云数据库是一款为云平台打造的NewSQL数据库系统，为优炫软件自主研发，完全自主可控的国产数据库系统。可全面兼容传统的关系型数据库的数据建模模式并保证事物处理的一致性，吸纳NoSQL的横向扩展性和高速的吞吐性能的特性，突破传统关系型数据库无法支持海量数据的局限，及NoSQL数据存储不能使用SQL语言进行查询的不足。

应用安全
审计日记是审计人员以人为单位按时间顺序反映其每日实施审计全过程的书面记录。多方位回溯事件发生前，多节点还原事件原貌。

优炫安全研究院的安全研究员认为，Web应用防火墙能有效防止黑客入侵，避免数据泄露。防火墙就像一个保护层，阻止恶意信息进入网站，清除潜在威胁。

优炫下一代防火墙可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，优炫下一代防火墙能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

对于许多互联网企业，对用户信息的采集和处理是其商业模式的核心。互联网时代，政府或企业机构如何在商业利益和保护用户信息之间找到一个合理的平衡点，将会成为持续的挑战。

政府或企业机构的决策层及其产品和运营团队应对此保持关注和敏感，不应在数据泄露后才意识到保护数据的重要性，而是应该提前部署信息安全工作，防止数据泄露。