近期数据安全事件通报处罚案例分析与建议

近期典型事件案例

案例一:北京某公司未建立数据安全管理制度和操作规程,造成大量公民个人信息泄露

北京某公司的数据管理人员,某天发现公司的客户数据疑似泄露在境外非法网站上随后报警。经检查,该公司的技术人员在数据库系统测试过程中,将有权限的测试账号密码设为弱口令,且系统正式使用后未将测试账号进行删除清空处理。该公司未建立数据安全管理制度和操作规程,账号因弱口令被破解,造成大量公民个人信息泄露,警方根据《中华人民共和国数据安全法》第四十五条第一款之规定,给予该公司罚款人民币五万元的行政处罚。 

案例二:南昌市某学校公示附件中 4000 条个人信息未脱敏,导致信息泄露风险被罚
南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。查明:学校未采取技术措施和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。2024年9月12日,南昌市网信办依据《中华人民共和国网络安全法》第六十四条第一款的规定,对该学校作出警告的行政处罚。

案例三:北京某软件公司内数据信息未采用加密等技术措施,存在数据泄露隐患

北京某软件公司在一次数据安全检查中暴露出其研发系统存在数据泄露隐患的情况,经警方工作后查明,该公司研发的“数据分析系统”中存有公民信息、技术等数据信息,涉及数据总量达 19.1GB。该公司系统内数据信息未采用加密措施,未落实安全保护措施,属于未履行数据安全保护义务,违反《中华人民共和国数据安全法》第四十五条第一款之规定,警方给予该公司警告并处罚款五万元的行政处罚,责令该公司立即整改。 

案例四:郑州市某科技公司未对重要数据进行访问管控与安全管理,导致敏感数据泄露

郑州市某科技有限公司缺乏网络安全意识,没有正确配置数据库,导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库,查看、下载数据,导致敏感数据泄露。经查,由于该公司系统访问日志功能未开启、重要的通联日志留存不足六个月,数据库系统配置不当,存在未授权访问漏洞,在网络安全管理方面存在缺失,未能按照《数据安全法》要求对企业重要数据进行分级分类管理,系统日志存储时未对用户个人敏感信息进行脱敏处理,存在安全风险。针对以上违法情况,郑州市网信办依据《数据安全法》第二十七条、第四十五条,对该科技公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。

案例五:湖南某信息技术公司未履行数据安全保护义务,存在未授权访问漏洞,被罚二十万元

湖南省互联网信息办公室依法查明,湖南某信息技术有限公司存在不履行网络安全、数据安全保护义务行为,其相关系统未采取技术措施和其他必要措施保障数据安全,存在未授权访问漏洞,造成部分数据多次泄露,严重损害数据安全。湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对该公司责令改正,给予警告,并处对该公司、主管人员和直接责任人员分别罚款二十万元、三万元和二万元的行政处罚。

案例六:岳阳市网信办分别通报全市卫健委 6 家单位存在风险隐患

岳阳市网信办分别通报了全市卫健系统 6 家单位存在的网络安全漏洞和风险隐患情况,指出相关单位存在的网络安全主体责任落实不到位、未完善个人信息安全管理制度、未落实数据分类分级管理要求,以及网络安全防范意识和能力薄弱等问题。被约谈单位分别作了表态发言,表示要深刻吸取教训,提高思想认识,立即全面开展漏洞隐患排查,坚决做到即知即改、立行立改,如期完成问题整改任务,坚决防止类似问题再次发生。

案例分析与建议

由上述案例可以看出,企业在开发测试、大数据业务、数据库运维等数据使用场景中存在明显的数据安全漏洞,缺乏有效的数据安全管控方案和技术措施。具体表现在数据库账号权限管理混乱、数据库访问权限管控不足、数据库重要数据与个人敏感数据未采取加密脱敏措施,以及未对企业重要数据分类分级管理等方面,这些问题极易导致企业重要数据资产、用户个人敏感信息泄露等风险。

建议一:细化数据访问权限管控,防止未授权访问行为

访问控制和权限管理是保障企业数据安全的重要措施之一。建议企业根据业务情况自定义数据集,并针对用户/用户组、敏感数据类型、安全级别等条件来配置访问控制策略,细化数据访问权限控制,进而允许、拒绝或告警特定用户对特定数据集的访问,防止未授权访问行为,如越权访问和非工作场所访问等,减少敏感数据的过度访问、暴露,进而帮助企业实现数据访问的最小授权。

建议二:加强数据库账号治理,实现“专人专户”

由于数据库运维工作量大,为方便管理,企业普遍存在多人共享同一个高权限数据库账号访问数据库的情况,导致无法实现“专人专户”与数据访问的最小权限,且多人共享数据库账号还存在账号凭证外泄风险。建议企业通过数据库访问用户认证代理能力,为每一个数据库访问人员创建个人所有的代理账号和访问凭据,实现“专人专户”。数据库访问人员只需使用个人代理账号和访问凭据即可访问数据库,无需暴露数据库的真实账号和访问凭据,降低数据泄露隐患。

建议三:完善敏感数据保护措施,落实数据脱敏、加密等技术措施

企业应遵循国家、行业和地方分类分级规范要求,建立核心数据、敏感数据目录,并保持动态更新。同时,需将分类分级管理与保护策略、措施融入数据保护工作中。通过对敏感数据进行自动化的发现、识别、分类分级以及打标处理,构建一个统一的可视化敏感数据目录地图,以敏感数据目录为核心,衔接数据安全保护技术措施,为敏感数据配套差异化的安全策略,并实施数据动态脱敏、数据库透明加密等技术措施,降低敏感数据暴露风险。

建议四:构建全链路数据安全审计能力,及时发现数据安全违规风险

审计日志的完整性直接关乎安全事件的追查定位和溯源效果,但目前数据安全审计产品普遍存在日志关键要素缺失、无关要素冗余、日志查看繁琐等问题,云数据库审计成本也一直居高不下。建议企业选择支持多云、混合云架构下的一体化日志审计方案,例如一体化数据安全平台 uDSP,能够支持自然人、应用账号、应用系统、API 路径、数据库连接、数据库、表、字段端到端的全链路审计,实现从真实用户获取数据完整过程的信息捕获和日志记录。通过将多个数据源的审计日志汇总到一个分析平台,呈现统一视图,不仅能满足安全合规要求,还能高效地追踪和溯源数据安全事件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/63073.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于 webRTC Vue 的局域网 文件传输工具

文件传输工具,匿名加密,只需访问网页,即可连接到其他设备,基于 webRTC 和 Vue.js coturn TURN 服务器 docker pull coturn/coturn docker run -d --networkhost \-v $(pwd)/my.conf:/etc/coturn/turnserver.conf \coturn/coturn…

【FFmpeg】FFmpeg 内存结构 ⑥ ( 搭建开发环境 | AVPacket 创建与释放代码分析 | AVPacket 内存使用注意事项 )

文章目录 一、搭建开发环境1、开发环境搭建参考2、项目搭建 二、AVPacket 创建与释放代码分析1、AVPacket 创建与释放代码2、Qt 单步调试方法3、单步调试 - 分析 AVPacket 创建与销毁代码 三、AVPacket 内存使用注意事项1、谨慎使用 av_init_packet 函数2、av_init_packet 函数…

D94【python 接口自动化学习】- pytest进阶之fixture用法

day94 pytest的fixture详解 学习日期:20241210 学习目标:pytest基础用法 -- pytest的fixture详解 学习笔记: fixture的介绍 fixture是 pytest 用于将测试前后进行预备、清理工作的代码处理机制。 fixture相对于setup和teardown来说有以…

2024首届世界酒中国菜国际地理标志产品美食文化节成功举办篇章

2024首届世界酒中国菜国际地理标志产品美食文化节成功举办,开启美食文化交流新篇章 近日,首届世界酒中国菜国际地理标志产品美食文化节在中国国际地理标志大厦成功举办,这场为期三天的美食文化盛会吸引了来自世界各地的美食爱好者、行业专家…

AI发展与LabVIEW程序员就业

人工智能(AI)技术的快速发展确实对许多行业带来了变革,包括自动化、数据分析、软件开发等领域。对于LabVIEW程序员来说,AI的崛起确实引发了一个值得关注的问题:AI会不会取代他们的工作,导致大量失业&#x…

展柜设计公司平面布置小程序的分析与设计springboot+论文源码调试讲解

3系统的需求分析 需求分析的任务是通过详细调查展柜设计公司平面布置小程序软件所需的对象,充分了解系统的工作概况,明确功能实现的各种需求,然后在此基础上确定系统的功能。系统必须充分考虑今后可能的扩充和改变。 3.1可行性分析 通过对…

家校通小程序实战教程10部门管理前后端连接

目录 1 加载后端的数据2 为什么不直接给变量赋值3 保存部门信息4 最终的效果5 总结 现在部门管理已经完成了后端功能和前端开发,就需要在前端调用后端的数据完成界面的展示,而且在录入部门信息后需要提交到数据库里,本篇我们介绍一下前后端如…

spark-sql 备忘录

wordcount sc.textFile("../data/data.txt").flatMap(_.split(" ")).map((_,1)).reduceByKey(__).collect 读取json 文件 并通过sql 执行 join 查询 public static void main(String[] args) {SparkSession session SparkSession.builder().master(&qu…

Java并发编程学习(二)

线程的状态 有说5种的,有说6种的 5种的,从操作系统层面来讲 初始状态:也就是语言层面创建了线程对象,还未与操作系统线程关联。Java中也就是new了一个线程,还未调用。可运行状态:(就绪状态&a…

Docker方式安装人人影视离线完整安装包

本文软件由网友 ルリデ 推荐; 上周,人人影视创始人宣布将人人影视二十年字幕数据开源分享 目前提供了两种使用方式: “在线应用” :意味着需要有互联网才可以使用。官方提供了网站:https://yyets.click “离线使用” …

Leetcode 3389. Minimum Operations to Make Character Frequencies Equal

Leetcode 3389. Minimum Operations to Make Character Frequencies Equal 1. 解题思路2. 代码实现 题目链接:3389. Minimum Operations to Make Character Frequencies Equal 1. 解题思路 这一题从答题从test的结果来说来说做出的人很少,主要确实有些…

大文件处理的终极武器:Yield详解

【大文件处理的终极武器:Yield详解】🚀 一、大文件处理的痛点 内存限制数据量巨大传统方法效率低 二、Yield解决方案 def read_large_file(file_path):with open(file_path, r) as file:# 每次只读取一行,而不是全文for line in file:yie…

SpringBoot 学习

SpringBoot 学习 什么是 Springboot Spring Boot 是 Spring 提供的一个子项目,用于快速构建 Spring 应用程序 传统的问题: 导入依赖繁琐项目配置繁琐 SpringBoot 的特性 起步依赖:整合所有 web 的依赖配置好了自动配置:bean…

到达率的变化动态调整服务器的服务率,实现负载均衡,提高资源利用效率

中心可以根据任务到达率的变化动态调整服务器的服务率,实现负载均衡,提高资源利用效率 服务率和到达率 中心可以根据任务到达率的变化动态调整服务器的服务率,实现负载均衡,提高资源利用效率服务率(Service Rate)到达率(Arrival Rate)控制参数实现负载均衡的方法在云计…

最新全开源IM即时通讯系统源码(PC+WEB+IOS+Android)部署指南

全开源IM(即时通讯)系统源码部署是一个复杂但系统的过程,涉及多个组件和步骤。以下是一个详细的部署指南,旨在帮助开发者或系统管理员成功部署一个全开源的IM系统,如OpenIM。      IM即时通讯系统源码准备工作   …

CAD c# 生成略缩图预览

代码如下: using (Transaction tr currentdb.TransactionManager.StartTransaction()){//当前数据库开启事务using (Database tempdb new Database(false, true)) //创建临时数据库(两个参数:是否创建符号表,不与当前文档关联){try{Bitmap …

CloudberryDB(二) 演化路线图

CloudberryDB 制定了演化路线图(https://github.com/orgs/cloudberrydb/discussions/369)并在逐步改进,这是 Cloudberry Database 发挥独特价值之处。 计划、正在进行或已完成的一些工作。 支持轻松升级 PostgreSQL 内核版本。 原有 Greenp…

单片机:实现呼吸灯(附带源码)

单片机实现呼吸灯详细解读 呼吸灯是一种常见的灯光效果,广泛应用于电子产品、汽车、家居照明等领域。其基本特性是通过逐渐增亮和减弱的方式,使得灯光呈现出“呼吸”的效果,给人一种平缓、舒适的视觉感受。在嵌入式系统中,呼吸灯…

[面试题]--索引用了什么数据结构?有什么特点?

答:使用了B树: 时间复杂度:O(logN),可以有效控制树高 B树特点: 1.叶子节点之间有相互链接的作用,会指向下一个相近的兄弟节点。 MySQL在组织叶子节点使用的是双向链表 2.非叶子节点的值都保存在叶子节点当中 MySQL非叶…

ansible自动化运维(五)roles角色管理

Roles角色管理 角色(roles)是ansible自1.2版本开始引入的新特性,用于层次性,结构化地组织playbook。 roles能够根据层次型结构自动装载变量文件、tasks以及handlers等。要使用roles只需要在playbook中使用include指令即可。简单的…