首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

以案為戒｜被罰100萬(wàn)的背后：《數(shù)據(jù)安全法》究竟如何遵守

閱讀量：次 文章來(lái)源：安恒信息

2023年3月，浙江溫州公安網(wǎng)安部門(mén)根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)某科技公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款100萬(wàn)元、8萬(wàn)元、6萬(wàn)元的行政處罰。主要原因是該科技有限公司在為浙江某縣級(jí)市政府部門(mén)開(kāi)發(fā)運(yùn)維信息管理系統(tǒng)的過(guò)程中，在未經(jīng)建設(shè)單位同意的情況下，將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至租用的公有云服務(wù)器上，且未采取安全保護(hù)措施，造成了嚴(yán)重的數(shù)據(jù)泄露。

從該案例可以看出，不管是承建方還是建設(shè)方對(duì)于開(kāi)發(fā)測(cè)試運(yùn)維等技術(shù)人員在訪問(wèn)操作敏感數(shù)據(jù)的各個(gè)環(huán)節(jié)中是缺乏技術(shù)手段進(jìn)行監(jiān)測(cè)預(yù)警和及時(shí)阻斷的。分析本次處罰的主要原由可能包括二個(gè)方面。

一方面是科技公司技術(shù)人員將政府部門(mén)的敏感業(yè)務(wù)數(shù)據(jù)私自下載到本地，并上傳至個(gè)人在公有云上租賃的服務(wù)器中，由于個(gè)人公有云服務(wù)器的安全保護(hù)措施簡(jiǎn)陋，最終導(dǎo)致敏感數(shù)據(jù)泄露。突出了組織對(duì)于內(nèi)部技術(shù)人員日常訪問(wèn)數(shù)據(jù)的管理措施的不足，具體如下：

一是組織對(duì)敏感數(shù)據(jù)資產(chǎn)分布不清，無(wú)法對(duì)分布在不同存儲(chǔ)位置的不同級(jí)別數(shù)據(jù)實(shí)施有針對(duì)性的安全管控措施；

二是組織對(duì)人員訪問(wèn)數(shù)據(jù)的賬號(hào)權(quán)限管理薄弱，運(yùn)維人員在數(shù)據(jù)資產(chǎn)載體上私自創(chuàng)建的、長(zhǎng)期不登錄的、長(zhǎng)期未改密的、私自提權(quán)的特權(quán)賬號(hào)無(wú)法被全量發(fā)現(xiàn)，給越權(quán)訪問(wèn)數(shù)據(jù)、惡意分子獲取數(shù)據(jù)帶來(lái)便利；

三是人員操作行為管控缺失，技術(shù)人員惡意操作、誤操作，操作過(guò)程無(wú)干預(yù)，例如接觸敏感數(shù)據(jù)后，在非授權(quán)情況下下載到訪問(wèn)終端，并將終端上的敏感數(shù)據(jù)上傳至公有云上，造成敏感數(shù)據(jù)泄漏；例如開(kāi)發(fā)測(cè)試人員直接獲取原始數(shù)據(jù)進(jìn)行業(yè)務(wù)開(kāi)發(fā)，未對(duì)敏感數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理，導(dǎo)致敏感數(shù)據(jù)泄漏；

四是行為審計(jì)告警欠缺，對(duì)于正在發(fā)生的數(shù)據(jù)竊取行為，未能根據(jù)人員的身份權(quán)限進(jìn)行判別，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄漏風(fēng)險(xiǎn)并通知管理員進(jìn)行干預(yù)，最終造成數(shù)據(jù)泄漏到公有云上。

基于此，政企組織應(yīng)該加強(qiáng)內(nèi)部人員的管理制度、監(jiān)測(cè)防護(hù)技術(shù)體系的構(gòu)建。安恒信息基于多年為政企客戶落地的數(shù)據(jù)安全實(shí)踐能力，以敏感數(shù)據(jù)盤(pán)點(diǎn)為核心，圍繞人員身份權(quán)限、操作行為管控、日志審計(jì)留痕總結(jié)性提出針對(duì)內(nèi)部技術(shù)人員日常訪問(wèn)數(shù)據(jù)的整體數(shù)據(jù)安全防護(hù)框架：

整體思路如下：

1、首先通過(guò)數(shù)據(jù)分類(lèi)分級(jí)系統(tǒng)對(duì)組織全量的數(shù)據(jù)資產(chǎn)進(jìn)行盤(pán)點(diǎn)，并根據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，統(tǒng)一梳理展示組織當(dāng)前的敏感數(shù)據(jù)分布情況。

2、將數(shù)據(jù)分類(lèi)分級(jí)結(jié)果復(fù)用到脫敏、審計(jì)、網(wǎng)關(guān)設(shè)備，針對(duì)人員訪問(wèn)敏感數(shù)據(jù)的過(guò)程進(jìn)行有針對(duì)性的防護(hù)監(jiān)測(cè)，包括開(kāi)發(fā)測(cè)試環(huán)節(jié)的數(shù)據(jù)去敏感化、運(yùn)維人員訪問(wèn)數(shù)據(jù)庫(kù)敏感數(shù)據(jù)時(shí)的操作行為審計(jì)及運(yùn)維人員訪問(wèn)數(shù)據(jù)庫(kù)敏感數(shù)據(jù)過(guò)程的安全管控，有效保障組織敏感數(shù)據(jù)的安全性。

3、通過(guò)堡壘機(jī)從身份認(rèn)證、資產(chǎn)授權(quán)、操作管控、行為審計(jì)四個(gè)方面對(duì)技術(shù)人員訪問(wèn)數(shù)據(jù)資產(chǎn)的過(guò)程進(jìn)行統(tǒng)一管理，保障敏感數(shù)據(jù)的保密性、完整性及可用性。

4、通過(guò)終端/網(wǎng)絡(luò)防泄漏，對(duì)人員通過(guò)終端應(yīng)用外發(fā)、打印、拍照敏感數(shù)據(jù)的行為通過(guò)水印、攔截、告警等措施，確保敏感數(shù)據(jù)的安全性；對(duì)從組織內(nèi)部向外發(fā)送的敏感數(shù)據(jù)進(jìn)行全量監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露風(fēng)險(xiǎn)。

另一方面是科技公司技術(shù)人員根據(jù)業(yè)務(wù)需要，將政府部門(mén)的敏感業(yè)務(wù)數(shù)據(jù)下載到本地，并上傳至科技公司租賃的公有云服務(wù)器上，協(xié)調(diào)內(nèi)部人員輔助進(jìn)行相關(guān)問(wèn)題的處理。但由于該科技公司對(duì)租賃的公有云服務(wù)器未建設(shè)起完善的安全保護(hù)措施，最終導(dǎo)致敏感數(shù)據(jù)泄露。

當(dāng)前云計(jì)算技術(shù)蓬勃發(fā)展的態(tài)勢(shì)下，組織對(duì)于云上業(yè)務(wù)數(shù)據(jù)安全的防護(hù)能力較為欠缺，包括多租戶場(chǎng)景下的用戶訪問(wèn)權(quán)限管理薄弱，導(dǎo)致未授權(quán)人員訪問(wèn)到非權(quán)限范圍內(nèi)的數(shù)據(jù)，致使上傳到公有云上的敏感數(shù)據(jù)被泄漏；云端數(shù)據(jù)操作行為管控欠缺，異常操作行為無(wú)干預(yù)，導(dǎo)致敏感數(shù)據(jù)被破壞、泄漏；云端數(shù)據(jù)操作行為流量監(jiān)測(cè)匱乏，目前僅有極少數(shù)云廠商支持VPCflow，絕大部分并不支持，導(dǎo)致云端數(shù)據(jù)操作行為難以審計(jì)等。

基于此，組織應(yīng)當(dāng)關(guān)注云上數(shù)據(jù)安全的防護(hù)能力建設(shè)，保障業(yè)務(wù)數(shù)據(jù)上云后的整體安全性。安恒云經(jīng)過(guò)多年的沉淀積累，針對(duì)云上租戶場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)，安恒云-天池集成數(shù)據(jù)分類(lèi)分級(jí)系統(tǒng)、數(shù)據(jù)脫敏系統(tǒng)等，為云上租戶提供可訂閱的數(shù)據(jù)安全能力，以通用授權(quán)的方式按需激活，實(shí)現(xiàn)租戶的整體數(shù)據(jù)安全防護(hù)體系建設(shè)，保護(hù)租戶的敏感數(shù)據(jù)、控制人員身份權(quán)限等。

數(shù)據(jù)安全產(chǎn)業(yè)是為保障數(shù)據(jù)持續(xù)處于有效保護(hù)、合法利用、有序流動(dòng)狀態(tài)提供技術(shù)、產(chǎn)品和服務(wù)的新興業(yè)態(tài)，同樣也是安恒信息的重點(diǎn)戰(zhàn)略方向。安恒信息也將持續(xù)洞察行業(yè)需求，圍繞具體場(chǎng)景，深耕創(chuàng)新技術(shù)，持續(xù)構(gòu)建數(shù)據(jù)安全護(hù)城河，筑牢數(shù)字經(jīng)濟(jì)的安全基石。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>