近日，IBM安全發(fā)布了《2023年數(shù)據(jù)泄露成本報(bào)告》，該報(bào)告針對(duì)全球553個(gè)組織所經(jīng)歷的數(shù)據(jù)泄露事件進(jìn)行深入分析研究，探討數(shù)據(jù)泄露的根本原因，以及能夠減少數(shù)據(jù)泄露的技術(shù)手段。

根據(jù)報(bào)告顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬(wàn)美元，達(dá)到歷史新高，比2022年的435萬(wàn)美元增加了2.3%，比2020年的386萬(wàn)美元增加了15.3%。

在眾多領(lǐng)域中，醫(yī)療行業(yè)數(shù)據(jù)泄露成本最高，達(dá)到1093萬(wàn)美元，其后分別是金融、能源、工業(yè)、科技、服務(wù)、運(yùn)輸、教育等行業(yè)，其中金融機(jī)構(gòu)的數(shù)據(jù)泄露平均成本為590萬(wàn)美元，能源行業(yè)的平均成本為478萬(wàn)美元，教育行業(yè)的平均成本為365萬(wàn)美元。

造成數(shù)據(jù)泄露的主要攻擊方式仍是網(wǎng)絡(luò)釣魚(yú)和憑證泄露（被盜），這兩種攻擊手段分別占泄露行為的16%和15%。其后則是云配置錯(cuò)誤和商業(yè)電子郵件泄露，分別占11%和9%。此外，在今年報(bào)告中首次將零日漏洞和已知未修補(bǔ)的漏洞進(jìn)行研究，發(fā)現(xiàn)有5%泄露與此有關(guān)。

IBM安全在報(bào)告中指出，隨著各領(lǐng)域業(yè)務(wù)的全面信息化，數(shù)據(jù)泄露風(fēng)險(xiǎn)變得更加復(fù)雜，各行業(yè)要想更好地保護(hù)機(jī)密數(shù)據(jù)安全，需要部署更加完善的安全管理措施，提高風(fēng)險(xiǎn)發(fā)現(xiàn)以及應(yīng)對(duì)能力。

意識(shí)層面

從IBM的報(bào)告中可以看出，內(nèi)部人員憑證泄露或被盜是導(dǎo)致數(shù)據(jù)泄露的最主要原因之一，因此提升內(nèi)部人員的安全意識(shí)非常重要。在日常工作管理過(guò)程中，政府和企業(yè)應(yīng)建立完善的數(shù)據(jù)安全教育體系，將安全意識(shí)融入到員工的日常工作中，讓員工明白數(shù)據(jù)安全的重要性，了解數(shù)據(jù)泄露的可能途徑和避免數(shù)據(jù)泄露的規(guī)范操作，并通過(guò)定期培訓(xùn)，提高員工對(duì)最新威脅的識(shí)別和預(yù)防能力。

管理層面

明確數(shù)據(jù)分類管理，按照分類設(shè)置不同的安全級(jí)別和訪問(wèn)權(quán)限，加強(qiáng)權(quán)限管理，根據(jù)員工不同職能和崗位來(lái)設(shè)置和管理訪問(wèn)權(quán)限，避免權(quán)限濫用情況的發(fā)生。建立安全事故報(bào)告和處理機(jī)制，鼓勵(lì)員工及時(shí)匯報(bào)任何涉及數(shù)據(jù)泄露的事故，以便快速采取應(yīng)對(duì)措施。制定科學(xué)有效的應(yīng)急響應(yīng)機(jī)制，確保能夠在數(shù)據(jù)泄露發(fā)生時(shí)快速作出反應(yīng)，將損失降至最低。

技術(shù)層面

建立完善的安全防護(hù)體系，使用防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密、多因素身份驗(yàn)證等技術(shù)來(lái)保護(hù)數(shù)據(jù)安全。采用數(shù)據(jù)加密技術(shù)，對(duì)敏感數(shù)據(jù)進(jìn)行加密，即使數(shù)據(jù)被竊取，也無(wú)法被未經(jīng)授權(quán)的人解讀。使用數(shù)據(jù)泄露檢測(cè)和恢復(fù)工具，在數(shù)據(jù)泄露發(fā)生時(shí)，能夠及時(shí)發(fā)現(xiàn)并處理，減少損失。定期進(jìn)行數(shù)據(jù)備份，并測(cè)試數(shù)據(jù)的恢復(fù)過(guò)程，確保在發(fā)生數(shù)據(jù)泄露時(shí)也能夠快速將業(yè)務(wù)恢復(fù)到正常狀態(tài)。

除此之外，SSL證書(shū)在防止數(shù)據(jù)泄露方面也發(fā)揮著非常重要的作用。通過(guò)安裝SSL證書(shū)，可以在網(wǎng)站服務(wù)器與客戶端瀏覽器之間創(chuàng)建起一道加密通道，通過(guò)加密通信，確保只有接收者能夠解密并讀取原始數(shù)據(jù)，杜絕了數(shù)據(jù)在傳輸過(guò)程中被中間人監(jiān)聽(tīng)、竊取或篡改，因此隨著各行業(yè)信息化程度的提升，越來(lái)越多的網(wǎng)站都已經(jīng)安裝上SSL證書(shū)，通過(guò)啟用HTTPS協(xié)議，來(lái)確保敏感數(shù)據(jù)的傳輸安全，防止重要數(shù)據(jù)的泄露風(fēng)險(xiǎn)。

中科三方與國(guó)內(nèi)外知名CA機(jī)構(gòu)合作，提供多品牌多類型的SSL證書(shū)，能夠滿足不同領(lǐng)域客戶對(duì)不同業(yè)務(wù)場(chǎng)景的安全需要。專業(yè)工程師團(tuán)隊(duì)提供從售前咨詢、需求分析、產(chǎn)品推薦，到證書(shū)申請(qǐng)、應(yīng)用部署、安全檢測(cè)等整個(gè)生命周期的系統(tǒng)化咨詢服務(wù)。7*24小時(shí)一對(duì)一解決問(wèn)題，保障用戶在使用SSL證書(shū)遇到任何問(wèn)題都能在第一時(shí)間得到響應(yīng)和解決。通過(guò)專業(yè)的技術(shù)和服務(wù)，中科三方為眾多國(guó)家機(jī)關(guān)、金融、科研、國(guó)央企、教育、醫(yī)療等重點(diǎn)領(lǐng)域頭部客戶提供SSL證書(shū)服務(wù)，為我國(guó)的數(shù)據(jù)安全建設(shè)貢獻(xiàn)了科技力量。