如何防护被滥用的用户隐私数据？网站实现https不能被忽视

发布日期：2020-02-02

大数据正在改变个人隐私，而且并不是以人人平等的方式进行。我们越来越依赖技术，而技术又反过来需要我们的个人信息才能发挥作用。正因如此，个人隐私数据、企业敏感信息也成为各种不法分子虎视眈眈的猎物。诸多互联网应用以及传统行业向“互联网+”的转型，都面临着如何使用、保存用户敏感数据的关键问题。

近年来，数据泄露事件不绝于耳，事件的“主角”小至路边餐饮店，大至国际商业巨头。然而这些事件的背后，受损的绝不仅仅是用户个人，对企业名誉与相关利益更是致命的。

信息泄露事件频繁发生，这也给消费者带来警示。消费者或用户会更加提高自身安全意识、保持更高警惕性，会更加谨慎地选择服务商以及访问网站。而这也给各大企业和网站带来警示，一方面数据泄露会带来巨大的经济损失，另一方面，如果在网络安全方面不能给用户带来信任感，也会导致大量的客户流失。

(图片来源于网络，如涉及侵权请告知，我们将会在第一时间删除)

1、黑客攻击

目前已知的来自外部黑客常见的攻击手段和漏洞包括：SQL 注入、缓冲区溢出、拒绝服务、提权等，也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系。

2、明文存储

信息的明文存储使得数据文件、备份文件被拷贝后，可以轻易恢复。DBA 等高权限用户可以随时任意访问敏感数据。

3、越权访问

企业内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作；当获取数据库管理员账号便可假冒正常的应用账户或合法的数据库用户绕过应用程序，来访问和批量导出数据文件。

在当前大数据的场景下，群众对数据的重要性认知愈加清晰，2017年6月1日起施行的《网络安全法》，无不在说明隐私数据的重要性。但是传统的保护手段已难以满足对隐私数据保护的要求，无论是边界防护方式还是数据库加密手段，都无法实现数据全流程的防护。

1. 未经用户同意不得随意将敏感类数据分享给第三方。数以亿计用户的合法权益能不能得到保护和尊重，决定了互联网产业是否可以健康发展，互联网企业是否可以稳健成长。

2. 通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞，从而满足操作系统的安全性能指标，提高操作系统的防御能力。

3. 部署SSL证书，使用HTTPS加密传输协议。SSL证书又叫https证书，是数字证书的一种，SSL证书主要有两大功能，一是使用户浏览器到web服务器之间的数据进行加密传输，二是验证证书持有者的真实身份。

在未安装SSL证书之前，数据以http协议明文传输，是不受保护的，任何恶意的第三方都可以查看到。而安装SSL证书之后，在用户浏览器和服务器之间的所有信息都是加密传输，防止数据被截取、窃听和篡改，从而保证网络数据传输的安全性和完整性。

而且网站如果没有安装SSL证书，各大主流浏览器也会在地址栏发出“不安全”的警告，而这种警告将会带来什么样的后果，相信大家心里也都非常明白。

在互联互通的全球数字经济背景下，数据是企业最重要的战略资产。只有提升对数据价值的认识，对数据存储、使用和管理的方式予以高度重视并将其置于企业战略的核心，同时建立有效的数据保护策略，方能保障企业安全。