据外媒报道,国际网络安全咨询公司的安全专家在2018年12月21日发现了一个没有得到很好保护的Elasticsearch集群,其中包含数百万非常敏感的数据记录。
其中,名为“mistertemp-2.14.0”的索引所包含的记录总数约为290万(2,898,153)条。每一条记录都包含了相当详细和敏感的申请人个人信息,如姓名、电子邮箱地址、住址、出生日期、国籍、手机号码、教育水平、技能、工作经验和可供下载简历和身份证件扫描件的外部S3存储链接。此外,其中一些记录还包含申请人的社会保障卡或护照号码。这次事件事件无疑给企业“敲响警钟”—风险控制、预警机制、技术和运营的防漏洞能力,都需要时时盯紧,防患未然才是明智之举。
HTTPS加密防范被于未然
面对诸多的网络安全事件,企业要做的是防患于未然-部署SSL证书实行HTTPS加密,让数据在传输之初就得到保护。千万不要小看HTTPS对数据隐私的保护。HTTPS是由“HTTP协议+SSL证书”构建的可进行加密传输、身份认证的一种网络通信协议。HTTPS对网站起到两个作用,一是将传输中的数据进行记录、封装、加密;二是在数据传输开始前,通讯双方进行身份真实性认证并协商加密算法、交换加密密钥等。
SSL证书保护数据安全
互联网上存在着许多假冒、欺诈、钓鱼网站,购物或交易活动有很大的安全隐患。SSL证书需要验证网站域名的所有权,更高安全级别的增强型EV SSL证书,还需验证企业身份,并且直接在地址栏显示企业名称,方便用户确认网站的真实身份,防止被骗。同时使用Https加密协议访问网站,可以激活客户端浏览器到网站服务器之间的”SSL加密通道”(SSL协议),SSL证书能对数据传输实现高强度双向加密传输,防止信息被窃取和篡改,保证信息传输的机密性。
SSL证书-大势所趋
各大浏览器纷纷要求网站部署SSL证书,将HTTP明文访问升级成HTTPS加密访问。比如谷歌Chrome为所有HTTP网站打红叉;火狐Firefox对“使用非HTTPS提交密码”的页面进行警告;苹果宣布所有提交到App Store的应用强制通过HTTPS连接网络服务,通过SSL证书加密保障用户数据安全;微信小程序也不再支持HTTP方式,必须使用HTTPS加密。
选择权威CA机构更靠谱
虽然SSL证书已成必然趋势,但选择权威的CA机构申请HTTPS证书才更靠谱。数安时代GDCA是受信任的证书颁发机构,已通过WebTrust国际认证,提供各类型多品牌SSL证书,为政府机构、金融、电子商务等平台提供安全可靠的认证服务!关于SSL证书如果还有其他问题,可以登陆数安时代GDCA官网了解更多详情。
