搜索
搜索
imgboxbg

新闻中心

当前位置:
首页
/
/
“健康宝照片”泄露危机如何化解?建立数据安全防御体系是关键

“健康宝照片”泄露危机如何化解?建立数据安全防御体系是关键

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2020-12-30 17:25
  • 访问量:

【概要描述】

“健康宝照片”泄露危机如何化解?建立数据安全防御体系是关键

【概要描述】

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2020-12-30 17:25
  • 访问量:
详情

12月28日,红星新闻一篇名为“明星‘健康宝照片’被泄露 1元买1000位艺人身份证号”的报道,再度引发网友对于隐私数据安全的关注。从目前公开信息可以推测,本次泄露事件是“健康宝”小程序验证机制不健全造成的。

认证机制存在漏洞,隐私数据遭泄露

据红星新闻记者报道,记者在微信中搜索“北京健康宝”小程序,将本人信息注册之后,点击“健康服务预约查询”,随后点击底部链接打开“核酸检测”服务,最后点击“他人核酸检测结果代查”即可达到输入界面。在上述页面中输入明星的姓名与身份证号,无需再次人脸识别,即可获得他人在录入个人信息时,进行人脸识别的照片,即“代拍”们所贩卖的“健康宝照片”。同时,如果被搜索的人做过核酸检查,通过该方式还可得到此人的核酸检查结果与检测机构、检测时间。

(明星健康宝照片泄露 图据网络)

从现象分析,“北京健康宝”小程序身份验证存在逻辑漏洞,任何人都可以凭借他人的身份证号和姓名查询获得核酸检查相关信息和照片,存在个人数据泄露风险。此次数据泄露事件不仅暴露出软件认证的逻辑漏洞,更加凸显出大数据时代隐私保护的迫切性。

数据隐私受重视,法律法规亟待完善

从通常意义上讲,数据安全是指为保护数据本身的机密性、完整性、可用性而采取的措施,而隐私保护则更多关注数据的可控性和数据行为的不可否认性。

隐私安全是公民权利的重要组成部分,近年来,我国十分重视公民隐私权的保护。《民法通则》第100条规定:“公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。”第120条规定:“公民的姓名权、肖像权、名誉权受到伤害的,有权要求停止侵害,恢复名誉,消除影响,赔礼道歉,并可要求赔偿损失。”这些法规虽然适用于公民隐私的保护,但对于数据使用、留存、运用的组织、企业的职责、权利则没有明确的规范。

因此,数据隐私相关法律法规的制定就变得更为迫切。目前,我国正在制定与数据安全相关的法律法规主要包括《数据安全法》与《个人信息保护法》。《数据安全法》明确强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护,而《个人信息保护法》侧重于对个人信息、隐私等涉及公民自身安全的保护。

以上法律法规基本明确了数据隐私保护的对象和要求。但就目前情况看,数据安全作为信息安全的新领域,其技术体系特别是隐私保护技术体系还存在诸多不足。

数据安全存在差异,应建立技术体系

相对比于传统的网络安全,数据安全防护存在多方面差异,包括:从防外为主,到防内为主;防护对象的边界属性不清晰;用户与数据位于不同位置;数据泄露渠道多元等问题。对此,首先要针对性建立数据安全防御体系,明确安防的主客体。

首先,数据是安全防护的客体,也是重要的被保护对象。为了实现数据安全,应面向识别出的重要隐私数据进行全过程监控,构建集约化、全覆盖的数据安全监管能力,形成数据操作行为的异常数据操作细粒度审计、分析和报警技术手段。一方面,对不法分子形成威慑,使其不敢、不想违规操作;另一方面,可根据数据操作行为的关联分析建模,提前预判发现违规行为,一旦出现问题,能够及时追查和溯源以准确定位泄露源头。

其次,人作为数据访问和使用的主体,必须在数据全生命周期中进行识别、跟踪和控制,确保授权人员依照策略访问权限范围内数据,同时阻止非授权人员违规接触数据。对此,我们应建立以身份为中心的集约化安全体系,主要包括身份识别、授权管理和责任认定等。身份识别负责收集主体用户的网络身份,构建身份库标识数据访问人员;授权管理应针对主体网络用户的访问需求,开展授权和访问控制等工作;责任认定是通过对用户行为的记录跟踪,对违规行为进行告警追查。

转变防御思路 破解数据安全困局

数据隐私保护是近年网络安全的关键点之一,如何确保数据产生、传输、存储、加工、使用、销毁全生命周期的安全正成为整个安全行业发展的重点。然而,系统漏洞的必然性使得安全防护永远处于“道高一尺、魔高一丈”的困局。若想打破困局,必须改变游戏规则,转变传统重防外、轻防内的网络防御思路,以行为逻辑为分析重点,从合法行为中发现违规操作,找到数据安全漏洞。

深耕网络安全行业二十余年,网御星云在数据安全领域已积累了丰富的实践经验,具有相对完备的安全产品及解决方案,始终走在数据安全新技术前沿。在我国数据安全相关法律法规的指引下,网御星云还将不断创新安全技术和服务,助力政企筑牢数据安全防御闭环。

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

北京网御星云信息技术有限公司   京ICP备05080314号-1  

这是描述信息