近期典型事件案例
案例一:北京某公司未建立数据安全管理制度和操作规程,造成大量公民个人信息泄露 北京某公司的数据管理人员,某天发现公司的客户数据疑似泄露在境外非法网站上随后报警。经检查,该公司的技术人员在数据库系统测试过程中,将有权限的测试账号密码设为弱口令,且系统正式使用后未将测试账号进行删除清空处理。该公司未建立数据安全管理制度和操作规程,账号因弱口令被破解,造成大量公民个人信息泄露,警方根据《中华人民共和国数据安全法》第四十五条第一款之规定,给予该公司罚款人民币五万元的行政处罚。 案例二:南昌市某学校公示附件中 4000 条个人信息未脱敏,导致信息泄露风险被罚 南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。查明:学校未采取技术措施和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。2024年9月12日,南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定,对该学校作出警告的行政处罚。 案例三:北京某软件公司内数据信息未采用加密等技术措施,存在数据泄露隐患 北京某软件公司在一次数据安全检查中暴露出其研发系统存在数据泄露隐患的情况,经警方工作后查明,该公司研发的“数据分析系统”中存有公民信息、技术等数据信息,涉及数据总量达 19.1GB。该公司系统内数据信息未采用加密措施,未落实安全保护措施,属于未履行数据安全保护义务,违反《中华人民共和国数据安全法》第四十五条第一款之规定,警方给予该公司警告并处罚款五万元的行政处罚,责令该公司立即整改。 案例四:郑州市某科技公司未对重要数据进行访问管控与安全管理,导致敏感数据泄露 郑州市某科技有限公司缺乏网络安全意识,没有正确配置数据库,导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库,查看、下载数据,导致敏感数据泄露。经查,由于该公司系统访问日志功能未开启、重要的通联日志留存不足六个月,数据库系统配置不当,存在未授权访问漏洞,在网络安全管理方面存在缺失,未能按照《数据安全法》要求对企业重要数据进行分级分类管理,系统日志存储时未对用户个人敏感信息进行脱敏处理,存在安全风险。针对以上违法情况,郑州市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。 案例五:湖南某信息技术公司未履行数据安全保护义务,存在未授权访问漏洞,被罚二十万元 湖南省互联网信息办公室依法查明,湖南某信息技术有限公司存在不履行网络安全、数据安全保护义务行为,其相关系统未采取技术措施和其他必要措施保障数据安全,存在未授权访问漏洞,造成部分数据多次泄露,严重损害数据安全。湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对该公司责令改正,给予警告,并处对该公司、主管人员和直接责任人员分别罚款二十万元、三万元和二万元的行政处罚。 案例六:岳阳市网信办分别通报全市卫健委 6 家单位存在风险隐患 岳阳市网信办分别通报了全市卫健系统 6 家单位存在的网络安全漏洞和风险隐患情况,指出相关单位存在的网络安全主体责任落实不到位、未完善个人信息安全管理制度、未落实数据分类分级管理要求,以及网络安全防范意识和能力薄弱等问题。被约谈单位分别作了表态发言,表示要深刻吸取教训,提高思想认识,立即全面开展漏洞隐患排查,坚决做到即知即改、立行立改,如期完成问题整改任务,坚决防止类似问题再次发生。
案例分析与建议 由上述案例可以看出,企业在开发测试、大数据业务、数据库运维等数据使用场景中存在明显的数据安全漏洞,缺乏有效的数据安全管控方案和技术措施。具体表现在数据库账号权限管理混乱、数据库访问权限管控不足、数据库重要数据与个人敏感数据未采取加密脱敏措施,以及未对企业重要数据分类分级管理等方面,这些问题极易导致企业重要数据资产、用户个人敏感信息泄露等风险。 建议一:细化数据访问权限管控,防止未授权访问行为 访问控制和权限管理是保障企业数据安全的重要措施之一。建议企业根据业务情况自定义数据集,并针对用户/用户组、敏感数据类型、安全级别等条件来配置访问控制策略,细化数据访问权限控制,进而允许、拒绝或告警特定用户对特定数据集的访问,防止未授权访问行为,如越权访问和非工作场所访问等,减少敏感数据的过度访问、暴露,进而帮助企业实现数据访问的最小授权。 建议二:加强数据库账号治理,实现“专人专户” 由于数据库运维工作量大,为方便管理,企业普遍存在多人共享同一个高权限数据库账号访问数据库的情况,导致无法实现“专人专户”与数据访问的最小权限,且多人共享数据库账号还存在账号凭证外泄风险。建议企业通过数据库访问用户认证代理能力,为每一个数据库访问人员创建个人所有的代理账号和访问凭据,实现“专人专户”。数据库访问人员只需使用个人代理账号和访问凭据即可访问数据库,无需暴露数据库的真实账号和访问凭据,降低数据泄露隐患。 建议三:完善敏感数据保护措施,落实数据脱敏、加密等技术措施 企业应遵循国家、行业和地方分类分级规范要求,建立核心数据、敏感数据目录,并保持动态更新。同时,需将分类分级管理与保护策略、措施融入数据保护工作中。通过对敏感数据进行自动化的发现、识别、分类分级以及打标处理,构建一个统一的可视化敏感数据目录地图,以敏感数据目录为核心,衔接数据安全保护技术措施,为敏感数据配套差异化的安全策略,并实施数据动态脱敏、数据库透明加密等技术措施,降低敏感数据暴露风险。 建议四:构建全链路数据安全审计能力,及时发现数据安全违规风险 审计日志的完整性直接关乎安全事件的追查定位和溯源效果,但目前数据安全审计产品普遍存在日志关键要素缺失、无关要素冗余、日志查看繁琐等问题,云数据库审计成本也一直居高不下。建议企业选择支持多云、混合云架构下的一体化日志审计方案,例如一体化数据安全平台 uDSP,能够支持自然人、应用账号、应用系统、API 路径、数据库连接、数据库、表、字段端到端的全链路审计,实现从真实用户获取数据完整过程的信息捕获和日志记录。通过将多个数据源的审计日志汇总到一个分析平台,呈现统一视图,不仅能满足安全合规要求,还能高效地追踪和溯源数据安全事件。