2020年伊始,全民战“疫”的时刻,数据库泄露事件也频发。
一家整形软件服务公司在一个不安全的数据库中泄露了数千张病人的照片、视频和发票。任何拥有正确IP地址的人都可以浏览这些信息。这些数据包括大约90万个记录。
某化妆品公司数据库被曝发生数据泄露,公司数据库中近4.4亿条记录被曝光,其中包含大量日志和电子邮箱地。
某国际体育连锁巨头公司发生大范围数据泄露,起因是1.23亿条记录被保存在一个并不安全的数据库中。泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等。
从上述事件及近期国内外发生的数据泄露事件可以看出,数据丢失和个人信息泄露事件频发,黑灰产造成的内部恶意数据泄露事件不断出现,这些都与数据的属性从内部资产向价值资源的转变有关。
“把数据放在面向互联网的服务器上,其中包含大量未加密的、不安全的敏感数据,这就好比敞开你家里的后门一样。”那么,企业和组织机构可以采取哪些措施防止数据泄露?小编为大家整理了在数据安全防护措施的建议如下:
●主动预防性措施
➤安全访问控制:完善接入安全,固定接入的终端设备、应用接口,将非法接入拒之门外
➤身份鉴别:强口令认证,周期性修改口令,防止弱口令和权限泄露
➤安全策略配置:数据相关的系统更改不安全的默认配置,进行加固操作,进行核心数据主动防护
➤数据脱敏:根据数据的重要程度和敏感级别进行分级
➤数据加密:存储和传输数据时,进行敏感数据脱敏和加密处理
➤安全意识培训:定期进行内部员工安全培训,提高保障数据安全意识
●检测性措施
➤准入控制:通过管理权限检测、网络层、应用层控制检测、物理控制做到准入安全
➤漏洞检测与修复:通过检测系统存在的漏洞,进行补丁升级修复或风险规避
➤安全行为审计:对数据访问行为进行记录,通过审计来不断调整权限和发现违规事件
➤入侵防御系统:通过入侵防御系统,能够精确的发现各种网络入侵行为,并进行相应的防御
●威慑性措施
通过下一代防火墙、入侵防御系统功能,来保障数据安全访问,及时阻断已知的恶意攻击,同时结合告警反馈和安全检测技术来达到对恶意攻击者的威慑。
●恢复性措施
通过多种数据备份、容灾方案,保护企业的操作系统、数据库、应用、文件、虚拟机等数据,在遭遇数据灾难时,能完整、准确、快速地还原数据,最大化降低企业的经济损失。
●制度性措施
近几年,数据安全已经被逐步纳入国家法规和行业规范中,包括《网络安全法》、《网络安全等级保护基本要求 2.0》等。这些已颁布的法律法规对数据安全和个人信息保护进行了明确立法规定,对各类组织承担的数据安全保障义务与责任进行明确要求,并保障信息安全在法律范围内的可控性。
2020-02-28 09:06:47
