案例一:北京某公司未建立數(shù)據(jù)安全管理制度和操作規(guī)程�,造成大量公民個人信息泄露
北京某公司的數(shù)據(jù)管理人員,某天發(fā)現(xiàn)公司的客戶數(shù)據(jù)疑似泄露在境外非法網(wǎng)站上隨后報警����。經(jīng)檢查����,該公司的技術(shù)人員在數(shù)據(jù)庫系統(tǒng)測試過程中����,將有權(quán)限的測試賬號密碼設(shè)為弱口令,且系統(tǒng)正式使用后未將測試賬號進(jìn)行刪除清空處理�。該公司未建立數(shù)據(jù)安全管理制度和操作規(guī)程,賬號因弱口令被破解��,造成大量公民個人信息泄露,警方根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條第一款之規(guī)定�,給予該公司罰款人民幣五萬元的行政處罰�。
案例二:南昌市某學(xué)校公示附件中 4000 條個人信息未脫敏,導(dǎo)致信息泄露風(fēng)險被罰
南昌市某學(xué)校網(wǎng)站上發(fā)布的公示信息附件中含有大量學(xué)生姓名����、身份證號等明文信息,存在個人信息泄露風(fēng)險�。查明:學(xué)校未采取技術(shù)措施和其他必要措施,對公示附件中的學(xué)生名字�、身份證號等4000多條個人信息開展脫敏或去標(biāo)識化處理,導(dǎo)致信息泄露風(fēng)險�����。2024年9月12日�,南昌市網(wǎng)信辦依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條第一款的規(guī)定,對該學(xué)校作出警告的行政處罰���。
案例三:北京某軟件公司內(nèi)數(shù)據(jù)信息未采用加密等技術(shù)措施�,存在數(shù)據(jù)泄露隱患
北京某軟件公司在一次數(shù)據(jù)安全檢查中暴露出其研發(fā)系統(tǒng)存在數(shù)據(jù)泄露隱患的情況�,經(jīng)警方工作后查明,該公司研發(fā)的“數(shù)據(jù)分析系統(tǒng)”中存有公民信息��、技術(shù)等數(shù)據(jù)信息,涉及數(shù)據(jù)總量達(dá) 19.1GB����。該公司系統(tǒng)內(nèi)數(shù)據(jù)信息未采用加密措施,未落實(shí)安全保護(hù)措施�,屬于未履行數(shù)據(jù)安全保護(hù)義務(wù),違反《中華人民共和國數(shù)據(jù)安全法》第四十五條第一款之規(guī)定�����,警方給予該公司警告并處罰款五萬元的行政處罰����,責(zé)令該公司立即整改。
案例四:鄭州市某科技公司未對重要數(shù)據(jù)進(jìn)行訪問管控與安全管理��,導(dǎo)致敏感數(shù)據(jù)泄露
鄭州市某科技有限公司缺乏網(wǎng)絡(luò)安全意識����,沒有正確配置數(shù)據(jù)庫,導(dǎo)致數(shù)據(jù)庫存在未授權(quán)訪問漏洞�。攻擊者通過漏洞登錄數(shù)據(jù)庫,查看�����、下載數(shù)據(jù),導(dǎo)致敏感數(shù)據(jù)泄露����。經(jīng)查,由于該公司系統(tǒng)訪問日志功能未開啟�、重要的通聯(lián)日志留存不足六個月�����,數(shù)據(jù)庫系統(tǒng)配置不當(dāng)���,存在未授權(quán)訪問漏洞���,在網(wǎng)絡(luò)安全管理方面存在缺失,未能按照《數(shù)據(jù)安全法》要求對企業(yè)重要數(shù)據(jù)進(jìn)行分級分類管理�,系統(tǒng)日志存儲時未對用戶個人敏感信息進(jìn)行脫敏處理,存在安全風(fēng)險���。針對以上違法情況����,鄭州市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條��、第四十五條,對該科技公司作出責(zé)令改正���,給予警告����,并處人民幣5萬元罰款的行政處罰�����。
案例五:湖南某信息技術(shù)公司未履行數(shù)據(jù)安全保護(hù)義務(wù)�,存在未授權(quán)訪問漏洞,被罰二十萬元
湖南省互聯(lián)網(wǎng)信息辦公室依法查明�����,湖南某信息技術(shù)有限公司存在不履行網(wǎng)絡(luò)安全�、數(shù)據(jù)安全保護(hù)義務(wù)行為,其相關(guān)系統(tǒng)未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全�,存在未授權(quán)訪問漏洞,造成部分?jǐn)?shù)據(jù)多次泄露�,嚴(yán)重?fù)p害數(shù)據(jù)安全。湖南省互聯(lián)網(wǎng)信息辦公室依據(jù)《中華人民共和國數(shù)據(jù)安全法》和《湖南省網(wǎng)絡(luò)安全和信息化條例》對該公司責(zé)令改正�,給予警告,并處對該公司����、主管人員和直接責(zé)任人員分別罰款二十萬元����、三萬元和二萬元的行政處罰�。
案例六:岳陽市網(wǎng)信辦分別通報全市衛(wèi)健委 6 家單位存在風(fēng)險隱患
岳陽市網(wǎng)信辦分別通報了全市衛(wèi)健系統(tǒng) 6 家單位存在的網(wǎng)絡(luò)安全漏洞和風(fēng)險隱患情況,指出相關(guān)單位存在的網(wǎng)絡(luò)安全主體責(zé)任落實(shí)不到位���、未完善個人信息安全管理制度、未落實(shí)數(shù)據(jù)分類分級管理要求����,以及網(wǎng)絡(luò)安全防范意識和能力薄弱等問題。被約談單位分別作了表態(tài)發(fā)言��,表示要深刻吸取教訓(xùn)���,提高思想認(rèn)識�����,立即全面開展漏洞隱患排查�����,堅決做到即知即改��、立行立改��,如期完成問題整改任務(wù)����,堅決防止類似問題再次發(fā)生。
由上述案例可以看出����,企業(yè)在開發(fā)測試、大數(shù)據(jù)業(yè)務(wù)����、數(shù)據(jù)庫運(yùn)維等數(shù)據(jù)使用場景中存在明顯的數(shù)據(jù)安全漏洞,缺乏有效的數(shù)據(jù)安全管控方案和技術(shù)措施�����。具體表現(xiàn)在數(shù)據(jù)庫賬號權(quán)限管理混亂�����、數(shù)據(jù)庫訪問權(quán)限管控不足���、數(shù)據(jù)庫重要數(shù)據(jù)與個人敏感數(shù)據(jù)未采取加密脫敏措施�,以及未對企業(yè)重要數(shù)據(jù)分類分級管理等方面,這些問題極易導(dǎo)致企業(yè)重要數(shù)據(jù)資產(chǎn)��、用戶個人敏感信息泄露等風(fēng)險�。
建議一:細(xì)化數(shù)據(jù)訪問權(quán)限管控,防止未授權(quán)訪問行為
訪問控制和權(quán)限管理是保障企業(yè)數(shù)據(jù)安全的重要措施之一����。建議企業(yè)根據(jù)業(yè)務(wù)情況自定義數(shù)據(jù)集,并針對用戶/用戶組�����、敏感數(shù)據(jù)類型��、安全級別等條件來配置訪問控制策略�����,細(xì)化數(shù)據(jù)訪問權(quán)限控制����,進(jìn)而允許����、拒絕或告警特定用戶對特定數(shù)據(jù)集的訪問���,防止未授權(quán)訪問行為,如越權(quán)訪問和非工作場所訪問等���,減少敏感數(shù)據(jù)的過度訪問����、暴露����,進(jìn)而幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)訪問的最小授權(quán)。
建議二:加強(qiáng)數(shù)據(jù)庫賬號治理��,實(shí)現(xiàn)“專人專戶”
由于數(shù)據(jù)庫運(yùn)維工作量大�,為方便管理,企業(yè)普遍存在多人共享同一個高權(quán)限數(shù)據(jù)庫賬號訪問數(shù)據(jù)庫的情況���,導(dǎo)致無法實(shí)現(xiàn)“專人專戶”與數(shù)據(jù)訪問的最小權(quán)限���,且多人共享數(shù)據(jù)庫賬號還存在賬號憑證外泄風(fēng)險。建議企業(yè)通過數(shù)據(jù)庫訪問用戶認(rèn)證代理能力�����,為每一個數(shù)據(jù)庫訪問人員創(chuàng)建個人所有的代理賬號和訪問憑據(jù),實(shí)現(xiàn)“專人專戶”��。數(shù)據(jù)庫訪問人員只需使用個人代理賬號和訪問憑據(jù)即可訪問數(shù)據(jù)庫����,無需暴露數(shù)據(jù)庫的真實(shí)賬號和訪問憑據(jù),降低數(shù)據(jù)泄露隱患�����。
建議三:完善敏感數(shù)據(jù)保護(hù)措施���,落實(shí)數(shù)據(jù)脫敏���、加密等技術(shù)措施
企業(yè)應(yīng)遵循國家��、行業(yè)和地方分類分級規(guī)范要求�,建立核心數(shù)據(jù)、敏感數(shù)據(jù)目錄��,并保持動態(tài)更新��。同時,需將分類分級管理與保護(hù)策略�����、措施融入數(shù)據(jù)保護(hù)工作中�。通過對敏感數(shù)據(jù)進(jìn)行自動化的發(fā)現(xiàn)、識別����、分類分級以及打標(biāo)處理,構(gòu)建一個統(tǒng)一的可視化敏感數(shù)據(jù)目錄地圖����,以敏感數(shù)據(jù)目錄為核心,銜接數(shù)據(jù)安全保護(hù)技術(shù)措施�����,為敏感數(shù)據(jù)配套差異化的安全策略����,并實(shí)施數(shù)據(jù)動態(tài)脫敏、數(shù)據(jù)庫透明加密等技術(shù)措施��,降低敏感數(shù)據(jù)暴露風(fēng)險。
建議四:構(gòu)建全鏈路數(shù)據(jù)安全審計能力���,及時發(fā)現(xiàn)數(shù)據(jù)安全違規(guī)風(fēng)險
審計日志的完整性直接關(guān)乎安全事件的追查定位和溯源效果���,但目前數(shù)據(jù)安全審計產(chǎn)品普遍存在日志關(guān)鍵要素缺失、無關(guān)要素冗余�、日志查看繁瑣等問題,云數(shù)據(jù)庫審計成本也一直居高不下��。建議企業(yè)選擇支持多云�����、混合云架構(gòu)下的一體化日志審計方案��,例如一體化數(shù)據(jù)安全平臺 uDSP����,能夠支持自然人、應(yīng)用賬號����、應(yīng)用系統(tǒng)��、API 路徑、數(shù)據(jù)庫連接��、數(shù)據(jù)庫��、表��、字段端到端的全鏈路審計��,實(shí)現(xiàn)從真實(shí)用戶獲取數(shù)據(jù)完整過程的信息捕獲和日志記錄����。通過將多個數(shù)據(jù)源的審計日志匯總到一個分析平臺,呈現(xiàn)統(tǒng)一視圖�����,不僅能滿足安全合規(guī)要求����,還能高效地追蹤和溯源數(shù)據(jù)安全事件。
