2020年4月1日，万豪国际首次披露今年2月底检测到的数据泄露事件，近520万房客个人信息被泄露，数据涉及个人姓名、地址、电话号码以及会员账户信息、伙伴关系与从属关系信息、客户偏好等。这也是万豪继2018年11月喜达屋5亿条用户数据泄露事件后发生的又一起重大安全事件。

　　在全球来看，数据泄露事故并非偶发现象。据安全情报供应商Risk Based Security (RBS) 的2019年Q3季度的报告，2019年1月1日至2019年9月30日，全球披露的数据泄露事件有5183起，泄露的数据量达到了79.95亿条记录。

　　·2019.3某安全研究人员对外披露一个可公开访问的 MongoDB 数据库，包含9.8亿条数据记录；

　　·2019.4 Facebook的应用服务商Cultura Colectiva上5.4亿数据由于数据库配置错误导致数据泄露；

　　·2019.5 澳大利亚的平面设计服务网站 Canva被一名黑客攻破，窃取1.39亿用户数据；

　　·2019.5美国房地产和产权保险巨头First American 8.85亿份敏感客户财务记录被泄露；

　　·2019.12国外网络安全研究人员发现Elasticsearch 数据库27 亿个电子邮件地址泄露；

　　数据“洼地”行业成为泄露的重灾区

　　近几年，随着信息技术与众多产业的融合以及全球资产数字化的发展趋势，个人与企业数据的价值剧增，掌握海量用户信息的行业和企业频繁面临数据泄露的安全风险。尤其金融、保险、教育、医疗、科技、政府等行业作为数据的“洼地”，已成为黑客和黑产的主要攻击目标。纵观历年数据泄露事故，不仅数据规模惊人，动辄千万级甚至上亿，同时泄露数据的颗粒度愈发精细、全面，对于企业和用户都造成了直接或间接的巨大损失。

　　随着互联网技术在社会各方面的渗透，个人生活工作的便利与企业效率的提升常常是通过个人让渡一部分隐私权实现的。这其中有用户对个人隐私保护的轻视，但更多来源于部分企业对于用户信息的过度索取，导致大量个人用户的信息以数据方式存储于企业的数据库中，形成了数据聚合的“洼地”。

　　而数据本身也存在一定的安全风险。产业互联网时代，企业在生产、运营中都高度依赖数据，数据从生产之初就会进入传输、存储、处理、分析、访问与服务应用等各环节且循环往复，并在流动的过程中产生大量的接触和交互——内部的研发和运营管理人员的经手，服务器、云平台、大数据处理与分析系统中的流动，与众多伙伴、客户的共享，这些都使得数据面临安全风险。

　　结合近几年新闻曝光的事故统计和研究资料表明，黑客、公开数据库、数据库配置错误、“内鬼”是数据泄露的四大“罪魁祸首”——

　　·黑客：利用特定的漏洞来窃取信息，通过暗网或黑市交易获取利益；

　　·公开数据库：因选型不当或技术疏忽而对数据库未加保护，使其暴露于互联网上；

　　·数据库配置错误：错误地关闭云提供商标准化的默认安全设置，或对某些服务允许不受限制的访问设置；

　　·内鬼：员工数据盗窃、员工贿赂和售卖信息、运维人员报复性操作等；

　　此外，非授权访问、系统或者网站漏洞等也会引发数据泄露风险，随着AI、大数据、云计算等新技术被黑客应用，原有的数据安全防护体系不得不面临更大的压力。

　　企业应如何防护数据安全？

　　风险背后，是企业数据防护思维和体系的缺位。在传统的安全构架中，企业依赖于特征匹配的防御模式，即把已出现的攻击事件写入特征库再进行同类型防御操作；由于已有特征的局限性，往往会使企业在面对新攻击时应对滞后或束手无策，造成严重的经济损失。那么，对于数据存量高、信息流动性强的企业，到底应如何构建数据安全的防护体系呢？如何转后手为先手，让安全防护更具主动性和前瞻性呢？

　　腾讯安全数据安全负责人彭思翔表示，数据泄露事件折射出的是仅仅依靠单点防护难以达到真正的安全防护效果。企业保护数据安全应该转向以数据为中心构建防护策略，并遵循数据流动的方向，构建基于全生命周期的安全防护。具体来说，构建全生命周期的防护体系分为四大阶段：

　　数据安全的梳理。企业对应在数据生产之初就加强数据管理的分类和治理，包括对数据进行感知、风险识别和分级，明确定位哪些是机密数据、敏感数据、普通数据，进而根据数据的不同等级，设置不同的安全策略，做到加强感知、联防联控。