源代码又双叒叕遭泄漏了,数据安全再遇难题

作者:企划组 时间:2020-07-30 阅读:1184

据外媒报道,近期,涉及全球50多家科技公司的源代码泄露,其中包括华为海思、联想、微软、高通等。遭泄露的源码被发布在GitLab上一个公开存储库中,并被标记为“exconfidential”(绝密),以及“Confidential & Proprietary”(保密&专有)。

5ab5c9ea15ce36d3c28d7ef755f53180e850b17d.jpeg

虽然网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。

但是,作为有史以来最大范围的一次源代码泄露,不少安全专家仍然对此表示了深深的担忧,“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”

源代码被泄露事件屡见不鲜,由此带来的安全问题和经济损失也不容忽视。

2017年6月,微软被曝多个内部Windows操作系统版本及内核源代码泄漏到网上,获得这些数据可以开发恶意软件对全球Windows设备发动攻击。

2019年4月,中国知名弹幕视频网站bilibili(简称“B站”)整个网站后台工程源代码泄露,上传在开源及私有软件项目托管平台GitHub上,当日B站股价惨跌3.27%。

B站源代码泄露后不久,大疆前员工将公司代码上传至GitHub“公有仓库”,致使黑客非法侵入服务器,给大疆造成经济损失达116.4万元人民币。

对于任何一家科技相关的企业来讲,源代码都是公司最宝贵的财富之一,是公司多年积累的知识产权。一旦源代码泄露,对于公司的损害是难以弥补的。

源代码泄露,我们最关心的是网络数据安全问题。数字化时代,数据已成为核心资产。现在的数据安全,已经从传统的容灾备份、数据恢复、去重存储、安全删除等传统问题,慢慢转向聚焦于怎么从数据中挖掘价值、在挖掘价值的同时怎么去保护用户的隐私等等。

如今,全世界都在出台法律法规,对网络安全和数据安全提出要求和约束。我国于2017年6月1日实施的《中华人民共和国网络安全法》要求关键业务系统保障安全服务、关键信息必须加密。欧盟的《通用数据保护条例》(GDPR)于2018年的5月开始执行,要求用户数据不能泄露、不达标的业务系统不予运营;去年年底,《中华人民共和国密码法》也对外公布,为商用密码科学发展提供了法律支撑;如今,《数据安全法》(草案)已经公布,处于征询意见状态。

但是,大量信息仍然频繁泄露,其根本原因是数据库里面存的是明文。从明文存储、明文使用到明文存储、密文使用,最终我们希望存的就是密文,用的时候也是密文。但这只是一种理想的状态。如果要把数据加了密存入数据库,那数据可能就没法用了,增、删、改、查可能都没有办法执行了。

密文查询和密文计算有助于解决这个问题,包括可搜索加密、保留顺序加密和同态加密等。可搜索加密解决的其实是关键词检索的问题。在数据库里输入一个订单号查找一条记录,或者输入一本书名查找类似书籍信息的多条记录,都是关键词检索的问题。在Windows系统打开“我的电脑”,去找一个文件存在哪儿,这也是关键词检索的问题。打开邮箱,输入一个关键词,搜索过去的某一封邮件,同样是一个关键词检索的问题。这些信息存在文件或者数据库里,如果加了密,那么可搜索加密就可以替你完成这些事情,即检索密文里是否包含一个加密的关键词,这种手段是用密码技术来解决用户隐私保护的问题。数据库里经常要做范围查询,大于或小于多少、在哪个区间的范围查询。范围查询就需要在密文上保留顺序,这就是保留顺序加密能做到的事情。同态加密可以用于统计分析、求和与平均等常见数据库统计任务。上述的这些密码机制,在NoSQL数据库、分布式文件存储系统、云存储里都是可以工作的。

纯密文的状态是未来的必然趋势,现在核心关键的地方也应该率先采用这样的技术。随着《中华人民共和国密码法》的颁布,基于密码技术来实现数据价值的共享、用户隐私的保护,是一种必然趋势。然而,密码应用现在面临很多挑战,比如可搜索加密面临注入攻击,同态加密面临密文扩充、复杂计算效率太低等问题;再比如,现在国产数据库还不是全部基于密码、还做不到全密态,它们很多都是用加密卡来做的,只是在硬盘存储的时候加密。要完全解决这些问题,还需要很长的路。

如何保护数据安全、保护用户隐私,又能满足业务增长的需求,相信在全密文计算时代到来之际,这些挑战和问题都能找到答案。

葫芦娃集团网络安全业务致力于为用户提供全方位的互联网安全服务,以用户需求为导向,提升用户安全意识,共同推进中国互联网安全环境的建设。公司依托强大的智能硬件、软件研发队伍以及规模化的用户数据等资源,依据国家大数据发展战略的号召,推进信息安全技术与大数据的高效融合,全方位助力互联网安全发展,加快保护用户信息安全进程。

葫芦娃集团.png 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。