首頁 > 關于我們 > 安恒動態 > 2023 > 正文

以案為戒｜被罰100萬的背后：《數據安全法》究竟如何遵守

閱讀量：次 文章來源：安恒信息

2023年3月，浙江溫州公安網安部門根據《中華人民共和國數據安全法》第四十五條的規定，對某科技公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。主要原因是該科技有限公司在為浙江某縣級市政府部門開發運維信息管理系統的過程中，在未經建設單位同意的情況下，將建設單位采集的敏感業務數據擅自上傳至租用的公有云服務器上，且未采取安全保護措施，造成了嚴重的數據泄露。

從該案例可以看出，不管是承建方還是建設方對于開發測試運維等技術人員在訪問操作敏感數據的各個環節中是缺乏技術手段進行監測預警和及時阻斷的。分析本次處罰的主要原由可能包括二個方面。

一方面是科技公司技術人員將政府部門的敏感業務數據私自下載到本地，并上傳至個人在公有云上租賃的服務器中，由于個人公有云服務器的安全保護措施簡陋，最終導致敏感數據泄露。突出了組織對于內部技術人員日常訪問數據的管理措施的不足，具體如下：

一是組織對敏感數據資產分布不清，無法對分布在不同存儲位置的不同級別數據實施有針對性的安全管控措施；

二是組織對人員訪問數據的賬號權限管理薄弱，運維人員在數據資產載體上私自創建的、長期不登錄的、長期未改密的、私自提權的特權賬號無法被全量發現，給越權訪問數據、惡意分子獲取數據帶來便利；

三是人員操作行為管控缺失，技術人員惡意操作、誤操作，操作過程無干預，例如接觸敏感數據后，在非授權情況下下載到訪問終端，并將終端上的敏感數據上傳至公有云上，造成敏感數據泄漏；例如開發測試人員直接獲取原始數據進行業務開發，未對敏感數據進行去標識化處理，導致敏感數據泄漏；

四是行為審計告警欠缺，對于正在發生的數據竊取行為，未能根據人員的身份權限進行判別，及時發現數據泄漏風險并通知管理員進行干預，最終造成數據泄漏到公有云上。

基于此，政企組織應該加強內部人員的管理制度、監測防護技術體系的構建。安恒信息基于多年為政企客戶落地的數據安全實踐能力，以敏感數據盤點為核心，圍繞人員身份權限、操作行為管控、日志審計留痕總結性提出針對內部技術人員日常訪問數據的整體數據安全防護框架：

整體思路如下：

1、首先通過數據分類分級系統對組織全量的數據資產進行盤點，并根據分類分級標準，統一梳理展示組織當前的敏感數據分布情況。

2、將數據分類分級結果復用到脫敏、審計、網關設備，針對人員訪問敏感數據的過程進行有針對性的防護監測，包括開發測試環節的數據去敏感化、運維人員訪問數據庫敏感數據時的操作行為審計及運維人員訪問數據庫敏感數據過程的安全管控，有效保障組織敏感數據的安全性。

3、通過堡壘機從身份認證、資產授權、操作管控、行為審計四個方面對技術人員訪問數據資產的過程進行統一管理，保障敏感數據的保密性、完整性及可用性。

4、通過終端/網絡防泄漏，對人員通過終端應用外發、打印、拍照敏感數據的行為通過水印、攔截、告警等措施，確保敏感數據的安全性；對從組織內部向外發送的敏感數據進行全量監測，及時發現數據泄露風險。

另一方面是科技公司技術人員根據業務需要，將政府部門的敏感業務數據下載到本地，并上傳至科技公司租賃的公有云服務器上，協調內部人員輔助進行相關問題的處理。但由于該科技公司對租賃的公有云服務器未建設起完善的安全保護措施，最終導致敏感數據泄露。

當前云計算技術蓬勃發展的態勢下，組織對于云上業務數據安全的防護能力較為欠缺，包括多租戶場景下的用戶訪問權限管理薄弱，導致未授權人員訪問到非權限范圍內的數據，致使上傳到公有云上的敏感數據被泄漏；云端數據操作行為管控欠缺，異常操作行為無干預，導致敏感數據被破壞、泄漏；云端數據操作行為流量監測匱乏，目前僅有極少數云廠商支持VPCflow，絕大部分并不支持，導致云端數據操作行為難以審計等。

基于此，組織應當關注云上數據安全的防護能力建設，保障業務數據上云后的整體安全性。安恒云經過多年的沉淀積累，針對云上租戶場景的數據安全風險，安恒云-天池集成數據分類分級系統、數據脫敏系統等，為云上租戶提供可訂閱的數據安全能力，以通用授權的方式按需激活，實現租戶的整體數據安全防護體系建設，保護租戶的敏感數據、控制人員身份權限等。

數據安全產業是為保障數據持續處于有效保護、合法利用、有序流動狀態提供技術、產品和服務的新興業態，同樣也是安恒信息的重點戰略方向。安恒信息也將持續洞察行業需求，圍繞具體場景，深耕創新技術，持續構建數據安全護城河，筑牢數字經濟的安全基石。

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>