日前,国家网信办发布了近期网络安全、数据安全、个人信息保护相关执法典型案例。
其中,湖南某科技股份有限公司数据存在泄露安全风险案发人深省。经查,该企业内网数据库存在未授权访问漏洞和弱口令漏洞,某软件研发工程师为工作便利,将合作项目中掌握的大量用户数据拷贝至企业内网数据库,并打开企业内网的公共互联网访问端口,导致内网数据库相关数据暴露在互联网上。
网信部门在工作排查中发现,湖南某科技股份有限公司的内网数据库存在严重的数据泄露风险。具体问题如下:
1.漏洞长存。调查发现,该企业内网数据库长期存在未授权访问漏洞和弱口令漏洞。这好比家门的密码锁使用“123456”这样的简单密钥,任何人可以轻易推门而入。
2. 违规拷贝。该公司一名软件研发工程师为个人工作便利,擅自将在合作项目中掌握的大量用户数据拷贝至企业内网数据库中,该行为为后续安全事件埋下隐患。
3.内网破防。该工程师在拷贝数据后,擅自打开企业内网的公共互联网访问端口,直接导致本应被隔离保护的内网数据库及其中的敏感数据完全暴露在公共互联网。
经查,出现上述问题的根源在于:该公司未依法建立网络安全和数据安全管理制度,涉事系统未采取任何必要的技术措施以保障数据安全,最终导致数据泄露风险。据此,属地网信办认定其违反了《网络安全法》《数据安全法》《网络数据安全管理条例》等相关规定,依法对其作出责令改正、给予警告并处以罚款的行政处罚。
本案的典型性在于,暴露企业从管理到技术再到人员的全面失守,击中了当前许多企业在数据合规领域的软肋。
1.管理制度缺失。《网络安全法》第二十一条及《数据安全法》第二十七条明确要求,数据处理者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。该案反映出该公司处于一种无制度、无管理、无责任的状态。没有制度,员工无法确定行为边界;没有管理,安全漏洞无法被及时发现和补救;没有责任落实,员工难以建立风险意识。这种管理上的真空状态,是导致企业违法的首要原因。
2.技术措施缺位。《网络安全法》第十条及《网络数据安全管理条例》第九条要求网络数据处理者采取技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用。
该公司的技术缺陷体现为以下三方面:
(1)未授权访问漏洞:表明系统未实施严格的访问控制策略,身份认证机制缺失。
(2)弱口令漏洞:是最低级却最常见的安全隐患,体现了对基础安全规范的漠视。
(3)端口管理混乱:内网端口可被随意开启并映射至公网,说明网络边界安全防护措施失效。
本次网信部门的处罚决定释放了明确信号,即使数据没有发生实际泄露,只要存在巨大的安全风险,企业同样需要承担法律责任,监管的焦点从事后补救前移到事前防护和事中监管,体现了数据安全的强监管态势。
对于涉事企业而言,此次行政处罚固然是直接损失,但更应看到背后的隐患,数据不安全的名声一旦传出,将严重打击客户和合作伙伴的信任,商业机会大幅减少,有违法记录的企业在后续融资、上市、参与政府项目时都可能遇到阻碍。若因本次漏洞导致用户数据泄露,企业还可能面临海量的用户民事索赔。
(来源:天眼新闻)
天锐蓝盾通过 “漏洞防控 + 数据加密 + 权限管控 + 行为审计 + 端口管理” 的一体化技术方案,可帮助企业从根源规避此类风险:一方面,自动扫描内网数据库、终端设备的未授权访问、弱口令等漏洞,推送一键修复方案,同时严格管控端口开启权限,禁止擅自映射公网,从技术层面堵住 “内网破防” 缺口;另一方面,对用户数据等敏感信息实行全生命周期加密,限制违规拷贝行为,详细记录数据操作与人员操作日志,结合管理制度固化安全流程,既解决 “技术措施缺位” 问题,又助力企业落实合规要求,避免因管理与技术双重失守面临法律处罚与信任危机。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...