在全球范围内,重大数据泄露事件的发生向来是备受关注的焦点新闻。然而令人遗憾的是,这类“顶流”新闻的数量正在连年增长,并在2019年“再创新高”…
从理论角度来看,无论安全专家采取何种防御措施,攻击者都可以绕过;无论组织大小,都无一幸免的会成为数据泄露的受害者。不管哪个组织,存储着什么类型的数据,规模有多大,似乎总有一双“眼睛”在注视着它们,并试图进行盗取或破坏行为。
瑞典国家卫生服务热线记录的呼叫已存储在未加密的系统中,任何与互联网连接的人都可以公开访问该系统。据当地报道,估计有270万个电话被未受保护的NAS(网络连接存储)系统打开,并且无需密码或任何身份验证即可访问。相关消息称,有57000个瑞典电话号码出现在与音频文件关联的数据库中。Outpost24的首席安全官Martin
Jartelius说:“这可能是现代瑞典最严重的隐私泄露事件,该设备是NAS设备,在软件上已经过时了。”
安华金和专家分析:传统的TCP/IP协议不可避免的给NAS带来一些“先天”的缺点。NAS只适用于较小的网络或局域网中,受限于企业网络的带宽,很可能会出现当多台客户端访问NAS文件系统时,NAS的性能大大下降,最终不能满足用户需求的情况。企业对于基础设备的升级不容忽视,相关工作刻不容缓。
北京时间3月6日消息,美国伍斯特理工学院研究人员在英特尔处理器中发现另外一个被称作Spoiler的高危漏洞,与之前被发现的Spectre相似,Spoiler会泄露用户的私密数据。虽然Spoiler也依赖于预测执行技术,现有封杀Spectre漏洞的解决方案对它却无能为力。无论是对英特尔还是其客户来说,Spoiler的存在都不是个好消息。
研究论文明确指出,Spoiler不是Spectre攻击。Spoiler的根本原因是英特尔内存子系统实现中地址预测技术的一处缺陷,现有的Spectre补丁对Spoiler无效。但与Spectre一样,Spoiler可能被黑客恶意利用,以从内存中窃取密码、安全密钥或其他关键数据。
英特尔对此发表声明称,“英特尔已获悉相关研究结果,我们预计软件补丁能封堵这一漏洞。
安华金和专家分析:近几年硬件的安全漏洞越来越多,这些漏洞并不容易修复,而且硬件漏洞带来的影响更大,厂商在不断提高产品性能的同时,也需要在安全性上多加考虑,才能避免这种事情不断发生。
2、FEMA暴露了230万灾难受害者的个人信息
美国国土安全部监察长办公室周五发布的一份报告中说,FEMA错误地暴露了230万灾难受害者的个人信息,包括地址和银行帐户信息。报告称,发生该违规行为是因为FEMA不能确保私人承包商仅收到其履行公务所需的信息。受影响的受害者包括哈维、艾尔玛和玛丽亚飓风以及2017年加州野火的幸存者,他们或将面临身份盗用和欺诈等风险。
安华金和专家分析:首先,上述事件:“发生该违规行为是因为FEMA不能确保私人承包商仅收到其履行公务所需的信息“反映出内部安全管理的完善不容忽视,部分机构或企业甚至大型互联网企业内部,安全管理制度松懈或得不到有效执行,造成数据主动泄露。数据持有者应将保护用户数据安全放在更重要的位置上。其次,政府行业一直都是数据泄露的重灾区,政府拥有身份证号等多种隐私数据,更有可能拥有私密项目的数据,这些数据一旦泄露后果不堪设想。对更多缺乏保护的政府部门来说,他们需要对自己的数据进行跟踪,记录,对未知的安全威胁进行探查,确保丢失的数据也不能被人利用,为此可以和安全公司合作,运用漏扫、审计、加密等一系列技术。最后,在事件发生后应及时通知受影响用户小心防范。
美国医疗收集机构(AMCA)在经历灾难性的数据泄露事件后,于近日申请破产保护。
AMCA去年被黑客入侵(2018年8月1日到2019年3月30日),导致约2000万美国公民的医疗数据泄露。黑客洗劫了AMCA的内部系统以窃取用户数据,随后在暗网进行出售。被盗数据包括用户姓名、社会安全号码、地址、出生日期和支付卡信息等,并导致包括Quest Diagnostics、LabCorp、BioReference Laboratories、Carecentrix和Sunrise
安华金和专家分析:对于企业,在支付卡这种信息上应着重保护,进行多层加密等;对于个人,“撞库”是数据盗窃常见的途径,所以在不同的网站应尽量设置不同的密码,尤其是金融类、购物类涉及钱财的网站,尽量避免某一网站信息被窃,其余网站也受损失的情况发生。
6月3日,美国Quest Diagnostics公司证实了一起数据泄露事件,导致1190万名患者信息受到曝光,包括财务资料、社会保险号码和医疗信息等。Quest Diagnostics是一家实验室测试提供商,提供诊断测试、信息和服务,患者和医生可以利用这些信息做出更好的医疗决策。
此次泄露主要是由于Quest将账单服务外包给Optum360公司,Optum360公司又将此服务委托至美国医疗托收机构(AMCA)来处理,而AMCA的系统遭到了未经授权的访问,由于该系统包含AMCA患者个人信息,导致本次数据泄露事件发生。
安华金和专家分析: 数据泄露往往是由于公司内部原因造成,随着企业业务复杂度不断增加,研发部门架构也越来越复杂,中间可能会夹杂不同的供应商和外包公司,对于这些不同成员的权限控制至关重要。此外,涉及人员调换、离场时,需要做好用户账号和权限的清理。企业内部还要加强安全管理工具的配置,企业成员的所有操作都应有详细的日志记录,防止此类事件再次上演。
据路透社23日报道,马印航空在一份声明中表示,两名曾在该公司印度发展中心就职,供职于为马印航空提供电商服务的GoQuo公司前职员“不恰当地获取并盗窃了乘客的个人数据”。
当地时间18日,马印航空证实大量乘客信息泄露,受影响乘客人数或达数百万。位于莫斯科的网络安全公司卡巴斯基实验室在一则报告中披露,马印航空及泰国狮航约3千万乘客的资料被上传并存储在开放的亚马逊云端运算服务(AWS)。卡巴斯基还指出,部分数据在暗网中售卖。不过,马印航空表示,数据的泄露与亚马逊云端运算服务的安全架构无关,泄露的信息包括护照信息、住址和电话号码等,但付款信息并未遭到牵连。
安华金和专家分析:航空公司储存有大量的个人隐私信息,如护照信息,身份证号等,被“有心之人”拿到,容易被拿去“撞库”。数据库安全审计系统主要用于并记录对的各类操作行为,通过对的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标用户操作的监控和审计。同时,内部人员盗窃也是数据泄露的重要原因之一,在信息安全上应实施“责任到人”,加大对审计产品的重视。
2、警方铲除百亿“套路贷”!两大“套路”模式指向大数据泄露
10月初有媒体报道,俄罗斯联邦储蓄银行正在针对“信用卡数据的潜在泄露问题”开展内部调查,并表示可能有至少200个客户的帐户受到影响,而雇员的“犯罪行为”被认为是造成该事件的主要诱因。
但是,《生意人报》认为:与多达6000万张信用卡持有人相关的信息正在黑市上出售,所谓“200个帐户”仅是供潜在买家试用的“样本”。如果上述对泄露范围的判断准确的话,那将是对国有银行的一次重大攻击。目前,俄罗斯联邦储蓄银行有大约1800万活跃信用卡用户。
安华金和专家分析:因内部人员盗窃数据而导致损失的风险也不容小觑。由于数据黑产的发展,内外勾结盗窃用户数据谋取暴利的行为正在迅速蔓延。未采取有效的数据访问权限管理,身份认证管理、数据利用控制等措施是大多数企业数据内部人员数据盗窃成功的主要原因。
对员工批量下载数据的异常行为发出警告和风险预防,针对内部人员数据访问需要设置严格的数据管控,并对数据进行脱敏处理,才能有效确保企业数据的安全。
3、俄罗斯互联网服务提供商 Beeline 870万客户数据泄露
据俄罗斯媒体北京时间10月7日报道称,俄罗斯互联网服务提供商Beeline的870万客户数据正在网上出售和共享。数据包含个人详细信息,例如姓名、地址、手机号码和家庭电话号码。据悉,这一漏洞发生于2017年,尽管从未公开有黑客入侵行为,但已找到了当时的责任人。事后该公司表示,此番泄露的数据绝大部分来自已不再是Beeline客户的用户。
安华金和专家分析:企业数据安全管理面临更高的要求,必须建立严格的安全能力体系,不仅需要确保对用户数据进行加密处理,更要据的访问权限进行精准控制,即使不再是客户也要储存保护好其数据。
1、FB再曝隐私漏洞:100位软件开发者违规访问用户数据
LifeLabs是一家位于加拿大、业内领先的医疗诊断和测试服务提供商。该公司宣布向黑客支付赎金,以赎回上月安全泄露事件中被窃取的数据和资料。目前尚不清楚该公司为恢复这些数据支付了多少费用。外媒ZDNet通过电话联系LifeLabs发言人时,表示不会立即对此事发表评论。LifeLabs此前表示本次泄露事件覆盖加拿大将近半数人口,超过1500万人的资料可能已经泄露。
安华金和专家分析:数据安全事件造成了大量用户数据丢失,即使支付赎金拿回数据,用户的隐私已经遭到泄露。如果不能从此次事件中吸取教训,及时改进数据库系统安全状况的话,后续很可能还会造成更大的损失。公司应当加大网络安全上投入,配置数据库加密、数据库漏扫等安全产品加固数据库,防止黑客再次侵入数据库。
【现状趋势与总结建议】
1、2019年度全球数据安全概况
对于安全领域,2019 年是不平静的一年。主流媒体将 Facebook 漏洞和勒索软件攻击作为头条新闻报道,而安全专家在幕后努力抵御不断涌现的漏洞、爬虫程序和其他威胁。
尽管不断开展用户培训和实施端点防御,网络钓鱼仍然有效。据相关报告显示,所有数据泄露事件中的32%以及网络间谍事件中的78%都涉及某种形式的网络钓鱼。如今,犯罪分子使用在暗网上出售的网络钓鱼工具来轻易地冒充知名品牌进行数据盗窃。移动设备和社交媒体则助长了攻击更快速地传播。有时,网络钓鱼站点甚至通过隐藏在合法的网站和服务器上来逃避检测。
从2018年1月到2019年6月,针对科技和媒体公司的平均每日Web攻击量几乎翻了一番。在同一时期,35%的撞库攻击针对的是这些垂直行业。视频媒体行业比任何其他垂直行业都吸引了更多的撞库攻击。此外,流媒体公司面临的独特安全挑战,包括安全人才短缺。
如今,对金融服务机构的攻击似乎在数量和复杂程度上都呈现攀升趋势。这种针对金融服务行业日益膨胀的高级网络攻击犯罪行为包括:从最容易遭受撞库攻击的身份验证机制,到使用被盗身份获取不义之财。有利可图的网络钓鱼变体以及犯罪分子常常通过发起“佯攻”来掩护其真实目标。事实证明,犯罪分子在金融服务领域如果攻击得手,随后相关手段往往会转移到其他行业继续作案。
犯罪分子总是会追求金钱。如今,在虚拟游戏世界中,真正的金钱也会遭到偷窃。针对游戏行业发起的撞库攻击有日益普及上升的趋势。大多数成功的账户接管具有以下特征:一个密码在多个网站重复使用;与朋友共享密码;密码容易被猜到。在17 个月的时间里,相关人员统计了120亿次攻击,发现SQL注入和LFI两种攻击方式占所有Web应用程序攻击的近90%。
一项 API 流量研究表明,API 现在占所有点击量的83%,而HTML流量在总流量中的占比则下降到了17%。DNS流量研究显示,IPv6流量可能被低估;许多支持IPv6的系统仍然倾向于IPv4。而对凭证滥用和滥用零售商库存的僵尸网络的研究表明,这是一个日益严重的问题,需要得到关注。
根据漏洞情报公司Risk Based Security的报告信息显示,与去年相比,今年上半年数据泄露的数量急剧增加。2019年前六个月的安全事件与去年同期相比增长了54%,而数据泄露的数量增长了52%。2019年上半年数据泄露量约为41.9亿条,2018年同期约为27.4亿条。
被泄露数据类型主要为邮件和密码,分别占被泄露数据集的70%和65%。11%的数据泄露中涉及地址、信用卡和社会安全号码,10%的数据泄露中涉及账号。
2、国内数据安全现状及未来趋势
“十三五”时期,我国将大力实施网络强国战略,要求网络与信息安全有足够的保障手段和能力,通过切实推进自主可控和国产化替代,政策化培养和市场化发展双向结合,信息安全市场国产化脚步逐步加快。
据显示,2018年中国云安全市场规模达37.76亿元,增长45%。随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56.1亿元,增长近五成。到2021年,预计我国云安全市场规模将超100亿元。
数据来源:中商产业研究院整理
由于工业互联网推动企业信息科技(IT)和操作技术(OT)融合,因此工业互联网安全是工业生产安全和网络空间安全相融合的领域,包含了工业数字化、网络化、智能化运行过程中的各个要素和环节的安全,主要体现为工业控制系统安全、工业网络安全、工业大数据安全、工业云安全、工业电子商务安全、工业APP安全等。
据数据显示,2018年中国工业互联网安全市场规模在95亿元左右,同比增长近三成。随着对工业互联网安全的重视,未来市场规模将扩大,预计2019年将近125亿元。到2021年,中国工业互联网规模或将达到230亿元,涨幅超35%。
数据来源:中商产业研究院整理
3、网络安全行业创新领域介绍
自主可控技术发展保卫网络空间
“十三五”时期,信息安全市场的自主可控和国产化替代趋势非常明确。在技术方面,网络安全产品为了完成自主可控,必须在以下关键组成部分实现国产化替代,包括:芯片、操作系统、数据库和中间件。
从芯片角度分析,国内的龙芯、申威、飞腾和兆芯,分别使用MIPS、Alpha、ARM和X86架构,不论是自主研发指令集和微结构,或是购买外厂商指令集授权配合自主研发的微结构并开放源码检查,都可以满足现阶段安全可控的要求。
从国产操作系统方面分析,中标麒麟、普华等国产操作系统,可以满足自主可控需求,也已经形成面向桌面操作系统、服务器操作系统、安全操作系统等多类型产品,能支持X86、龙芯、申威、飞腾等CPU平台。
综合以上情况分析,对于自主可控技术的关键组成部分,业界已经基本具备了国产化替代国外产品的能力,应用条件已经相对成熟。可以预见的是,自主可控产品将在这样良好的条件下大力发展,真正做到保卫国家网络空间。
云情报、机器学习等人工智能预测技术成为安全防护的重点
传统的安全架构中,较多依赖特征匹配的模式。在这种模式中,防护设备需要先将某个攻击事件写入特征库,然后才能防御这个攻击,而且安全设备的特征库,数量是非常有限的,所以最大的问题在于滞后性和局限性,防护方永远落后于攻击方,对0day等未知威胁无能为力。如今,网络安全界的潮流是转后手为先手,让安全变得更主动、更前置,主要的技术手段包括云威胁情报和机器学习预测技术。
自适应安全架构促使智能安全落地
自适应安全理论体系打破了传统安全的理念,在安全架构中增加了诸多环节,指明了不同环节之间的融合关系,这促使了安全产品不仅要不断推出新功能,还要将不同的功能进行互相关联和顺序编排,从而推进了智能化技术在安全产品上落地。在未来,自适应安全将会纳入更多环节,安全产品的特性也将会越来越多,智能化发展趋势已成必然。
云安全催生虚拟化安全新架构
云安全技术的发展,不仅更好地解决了云内安全问题,也让以NFV(网络功能虚拟化)的生态得到了良好的发展。目前,以安全能力虚拟化+安全能力调度为技术架构的众多一体机产品,例如等级保护一体机、网点出口一体机、数据中心安全防护一体机,已经实现了对嵌入式网络通信平台的部分替代。
未来,网络安全技术的划分会更加精细,安全能力将会越来越多,尤其是在私有云等环境下尤为明显,虚拟化安全新架构将会有更广阔的应用前景。
4、数据安全主要政策出台及制定情况
对于网络空间安全的重视正在不断升级。自2017年《网络安全法》颁布以来,信息安全的立法进程越来越紧凑,今天我们重点关注大数据安全领域国家或者地方纷纷出台的一系列的政策、法律法规。
(1)《贵阳市大数据安全管理条例》
全国首部大数据安全地方法规,明确措施防范数据泄露。
作为全国首部大数据安全管理的地方法规,《贵阳市大数据安全管理条例》(以下简称《条例》)即将于今年10月1日正式施行。该《条例》分别对大数据安全定义、防风险安全保障措施、监测预警与应急处置、投诉举报等方面做出规定。
本法规的颁布对大数据安全使用提出了要求:安全责任单位应当建立大数据安全审计制度,记录并保存数据分类、采集、清洗、查询和销毁等操作过程,定期进行安全审计分析,详细记录数据全生命周期活动,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险,以保障数据安全。
除此之外,在大数据安全立法领域,站在国家层面,覆盖各个方面、细粒度更高的若干标准制定项目已经蔚为有序,这些政策法规将助力大数据安全建设,从而为建设网络安全强国贡献力量。
(2)《信息安全技术 个人信息安全规范》
《信息安全技术 个人信息安全规范》明确定义了个人敏感信息。
其中,全国信息安全标准化技术委员会2017年12月29日正式发布的规范《信息安全技术 个人信息安全规范》(标准号:GBT
)已于2018年5月1日正式实施。本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
本规范针对个人信息和个人敏感信息加以定义,其中个人敏感信息 personal sensitive information指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14
岁以下(含)儿童的个人信息等。
(3)《信息安全技术 大数据服务安全能力要求》
《信息安全技术 大数据服务安全能力要求》考察大数据服务安全能力。
《信息安全技术 大数据服务安全能力要求》(标准号:GB/T )于2017年12月29日发布,2018年7月1日实施,本标准规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。
本标准适用于对政府部门和企事业单位建设大数据服务安全能力,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。
(4)《信息安全技术 大数据安全管理指南》
2017年5月24日,全国信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术 大数据安全管理指南》征求意见稿,公开征求意见。该征求意见稿规定:大数据安全管理原则;大数据安全管理基本概念;制定大数据安全目标、战略和策略;明确大数据安全管理角色与责任;管理大数据安全风险;管理大数据平台运行安全。
同时,征求意见稿附录部分还就电信行业数据分类分级、国家基础数据、生命科学大数据风险分析以及大数据安全风险给出了示例和说明。
(5)《信息安全技术 个人信息安全影响评估指南》
2018年6月13日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿征求意见的通知。标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了在特定场景下进行评估的具体方法。
适用于各类组织自行开展个人信息安全影响评估工作。同时,为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导和依据。
(6)《信息安全技术 个人信息去标识化指南》
2017年9月,国标《信息安全技术个人信息去标识化指南》征求意见稿在全国信息安全标准化技术委员会官网上发布。
该标准在内容上汲取了当前国内个人信息处理机构、安全测评机构和研究机构的最新成果,并借鉴了国外个人信息去标识化的最新研究理论,提炼了当前业内通行的最佳实践。通过研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南,从而在保障个人信息安全的前提下,推动数据的开放共享,充分发挥大数据的价值。
(7)《信息安全技术 数据安全能力成熟度模型》
2017年中旬,全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》。“大数据安全能力成熟度模型“这项国家标准的研究课题于2016年6月立项,2018年送审稿修订工作完成启动。
数据安全能力成熟度模型》DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,促进大数据参与方的数据安全能力评估与提升,促进大数据在组织间的交换、共享与流转,发挥大数据的价值,促进我国大数据产业的健康发展。同时,也可以有效地支撑《中华人民共和国网络安全法》、国务院《促进大数据发展行动纲要》、国家十三五规划纲要等国家政策和法规的有效落地。
(8)《信息安全技术 大数据交易服务安全要求》
习总书记在2017年12月8日强调,要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。我国加快了制定数据交易等制度的步伐,尤其是在安全领域。国家标准化管理委员会在2018年1月9日下达制定国家标准计划《信息安全技术 大数据交易服务安全要求》的任务,计划号:-T-469。
该标准即将成为我国首个大数据交易安全国家标准,有助于理清数据交易安全界限,促进数据交易行为合法合规。此标准的出台,势必会推动我国数据交易机构的安全建设,促进数据交易行为合法合规,使全国数据要素有序流通,充分释放数据红利,助力“数字中国”建设。
(9)《信息安全技术 数据出境安全评估指南》
2017年,全国信安标委秘书处发布《信息安全技术 数据出境安全评估指南》、《信息安全技术 网络产品和服务安全通用要求》等六项国家标准,完成征询意见反馈。
该指南规定了数据出境安全评估流程、评估要点、评估方法等内容,适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。一旦发现存在的安全问题和风险,及时采取措施,防止个人信息未经用户同意向境外泄露,损害个人信息主体合法利益;防止国家重要数据未经安全评估和相应主管部门批准存储在境外,给国家安全造成不利影响。据悉,这是“我国的数据出境安全管理办法之中非常重要的文件”。
(10)全国人大常委会正式通过《密码法》
2019年10月26日,第十三届全国人大常委会第十四次会议正式通过《密码法》,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
《密码法》共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施;第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施;第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度;第四章法律责任部分,规定了违反本法相关规定应当承担的相应法律后果;第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜及本法的施行日期。
(11)网络安全等级保护制度2.0系列标准正式发布
2019年5月13日,《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布,并将于2019年12月1日正式实施。
原来的等级保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
(12)十部门联合发布《加强工业互联网安全工作的指导意见》
2019年8月28日,工信部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局十部门联合发布《加强工业互联网安全工作的指导意见》。
(13)国资委发布《中央企业负责人经营业绩考核办法》,网络安全纳入考核指标
2019年3月7日,国务院国有资产监督管理委员会官网上发布新版《中央企业负责人经营业绩考核办法》,自2019年4月1日起施行。《办法》将网络安全纳入考核指标,相关条款主要体现在第34条和第48条。
(14)公安部发布《公安机关办理刑事案件电子数据取证规则》
2019年1月2日,公安部发布《公安机关办理刑事案件电子数据取证规则》,自2019年2月1日起施行。
(15)贵州省出台《贵州省大数据安全保障条例》
2019年8月1日,贵州省通过《贵州省大数据安全保障条例》,对大数据安全责任、监督管理、支持与保障、法律责任等进行了明确。《条例》于2019年10月1日起施行。
(16)国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》
2019年5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称“征求意见稿”),意见反馈截止时间为2019年6月28日。
(17)国家互联网信息办公室正式发布《儿童个人信息网络保护规定》
2019年8月23日,《儿童个人信息网络保护规定》正式出台,并将于2019年10月1日起施行。
(18)工信部发布《工业互联网网络建设及推广指南》
2019年1月18日,工信部发布《工业互联网网络建设及推广指南》,明确提出将以构筑支撑工业全要素、全产业链、全价值链互联互通的网络基础设施为目标,着力打造工业互联网标杆网络、创新网络应用,规范发展秩序,加快培育新技术、新产品、新模式、新业态。到2020年,形成相对完善的工业互联网网络顶层设计。
工信部提出,到2020年,初步建成工业互联网基础设施和技术产业体系,包括建设满足试验和商用需求的工业互联网企业外网标杆网络,建设一批工业互联网企业内网标杆网络,建成一批关键技术和重点行业的工业互联网网络实验环境,建设20个以上网络技术创新和行业应用测试床,形成先进、系统的工业互联网网络技术体系和标准体系等。
工信部特别提出,建立工业互联网网络发展监测评估机制,加强网络资源管理和安全保障,提升安全防护能力。
(19)全国信息安全标准化技术委员会发布27项国家标准
2018年12月28日,全国信息安全标准化技术委员会(“信安标委”)归口的27项国家标准正式发布,自2019年7月1日起施行。这27项国家标准涉及数字签名、网络安全等级保护、公民网络电子身份标识、物联网、病毒防治、网络攻击、密码等多项内容。
(1)数据安全事件的变化和危害
随着各种规模的企业对数据的依赖性越来越强,数据泄露已引起广泛关注。敏感的业务数据存储在本地计算机,企业数据库或者是云服务器上,非法访问的难度也各有不同。
当公司开始以数字化的方式存储其受保护的数据时,数据泄露就没有停止过。实际上,只要个人和公司保持记录并存储私人信息,就会存在数据泄露。随着数据安全事件的增多,公众对数据安全的认识开始提高,各个国家也制定了一系列法律法规,这些法规能够对敏感信息提供必要的保护措施,但却并非在所有行业中都存在并被有效执行,也因而无法阻止数据泄露的发生。
有关数据泄露的大多数信息都集中在2005年至今的这段时间,很大程度上是由于技术的进步和电子数据在世界范围内的扩散,使得数据泄露成为企业和消费者的一大困扰。如今,数据泄露动辄影响成千上万(甚至以百万计)的用户群体,更可怕的是这种量级的数据泄露可能仅发生于对一家公司的某一次攻击之中。
在这些数据中,泄露发生最多的就是身份信息,包括:姓名、地址、身份识别号码等等。特别是航空、酒店等服务行业,因其留存顾客的身份证号、护照号等个人识别信息,可被用于进行不法交易,因而成为黑客攻击的重点目标;其次,是用户账号数据。在互联网时代,人们为使用各种互联网服务而注册了大量的账号,这些账号所涉及的用户信息既可能是真实信息,也可能是虚构信息。获得这些账号不仅意味着获得了对应用户的访问权限,更能进行“撞库”,继而导致用户的其他网站或应用程序账号被盗,影响波及甚广;再者是机密数据和敏感数据。这里指政府部门或企业掌握的不适宜公开传播的内部信息,包括国家秘密、商业秘密和内部文档等。这些数据的泄露轻则影响机构的声誉,重则直接造成经济损失甚至影响国家安全。
从数据泄露的来源来分析,大部分被泄露数据来自于互联网服务公司,涉及社交网站、在线招聘网站、数字营销公司、约会网站、电商网站等;位居第二的是公共服务机构,包括医疗机构、银行、天然气公司、电信运营商等。公共服务机构由于掌握大量居民的信息,因此也成为数据窃取的主要目标;此外,政府机构的数据泄露也较为严重。
(2)数据安全防护的观念、方法及措施
数据安全防护是通过采用一组控件,应用程序和技术来保护网络上的文件,数据库和帐户的过程。这些控件,应用程序和技术可以识别不同数据集的相对重要性、敏感性及法规遵从性要求,然后应用适当的保护措施来保护这些数据集资源。
数据安全性的核心要素是机密性,完整性和可用性。这是一种安全模型和指南,可帮助组织保护其敏感数据免受未经授权的访问导致的数据泄露威胁。
尽管数据安全防护不是万能药,但是采取多方位的措施确实可以大大减少安全事件的发生,从而降低企业和用户的损失。我们可以采取以下措施加强数据安全防护:
最普遍、也是最具破坏性的错误往往都是人为造成的。例如,一个包含客户个人信息的U盘或笔记本电脑的丢失或被盗会对企业声誉造成恶劣的影响,还会带来高昂的罚款。因此,开展员工安全意识培训就是一项帮助员工意识到数据资产价值以及掌握安全处理数据能力的有效手段。
90%的漏洞攻击都需要所利用的账号具备一定的权限。所以请用户配置数据库帐号时,只给出能满足应用系统使用最小权限的账号,因为任何额外的权限都可能是潜在的攻击点。大部分大型数据泄露事件都是由内部员工造成的,因此严格控制数据访问权限和数据获取权限更显重要,也就是遵循所谓的最小权限原则。
定期进行风险评估,发现组织内部的潜在风险。评估范围应包括方方面面,从数据泄露风险到物理威胁(如停电)。这项工作能够帮用户发现目前数据安全系统中的脆弱点,并从每一次的评估工作中,不断优化组织的数据保护模式。
定期安装数据库厂商提供的漏洞补丁
根据以往经验,可以形容为95%以上的数据库存在被黑客入侵的可能。然而,黑客使用的漏洞有时却并非0day一类,而恰恰是数据库厂商已发布过修复补丁的漏洞。因此,即便有时因应用系统等原因无法及时打补丁,也请通过虚拟补丁等技术暂时或永久加固数据库。
2020年,安华金和愿与您一同推动数据安全建设,让数据使用自由而安全。
点击联系发帖人
