近期典型事件案例

案例一：北京某公司未建立數據安全管理制度和操作規程，造成大量公民個人信息泄露

北京某公司的數據管理人員，某天發現公司的客戶數據疑似泄露在境外非法網站上隨后報警。經檢查，該公司的技術人員在數據庫系統測試過程中，將有權限的測試賬號密碼設為弱口令，且系統正式使用后未將測試賬號進行刪除清空處理。該公司未建立數據安全管理制度和操作規程，賬號因弱口令被破解，造成大量公民個人信息泄露，警方根據《中華人民共和國數據安全法》第四十五條第一款之規定，給予該公司罰款人民幣五萬元的行政處罰。?

案例二：南昌市某學校公示附件中 4000 條個人信息未脫敏，導致信息泄露風險被罰

南昌市某學校網站上發布的公示信息附件中含有大量學生姓名、身份證號等明文信息，存在個人信息泄露風險。查明：學校未采取技術措施和其他必要措施，對公示附件中的學生名字、身份證號等4000多條個人信息開展脫敏或去標識化處理，導致信息泄露風險。2024年9月12日，南昌市網信辦依據《中華人民共和國網絡安全法》第六十四條第一款的規定，對該學校作出警告的行政處罰。

案例三：北京某軟件公司內數據信息未采用加密等技術措施，存在數據泄露隱患

北京某軟件公司在一次數據安全檢查中暴露出其研發系統存在數據泄露隱患的情況，經警方工作后查明，該公司研發的“數據分析系統”中存有公民信息、技術等數據信息，涉及數據總量達 19.1GB。該公司系統內數據信息未采用加密措施，未落實安全保護措施，屬于未履行數據安全保護義務，違反《中華人民共和國數據安全法》第四十五條第一款之規定，警方給予該公司警告并處罰款五萬元的行政處罰，責令該公司立即整改。?

案例四：鄭州市某科技公司未對重要數據進行訪問管控與安全管理，導致敏感數據泄露

鄭州市某科技有限公司缺乏網絡安全意識，沒有正確配置數據庫，導致數據庫存在未授權訪問漏洞。攻擊者通過漏洞登錄數據庫，查看、下載數據，導致敏感數據泄露。經查，由于該公司系統訪問日志功能未開啟、重要的通聯日志留存不足六個月，數據庫系統配置不當，存在未授權訪問漏洞，在網絡安全管理方面存在缺失，未能按照《數據安全法》要求對企業重要數據進行分級分類管理，系統日志存儲時未對用戶個人敏感信息進行脫敏處理，存在安全風險。針對以上違法情況，鄭州市網信辦依據《數據安全法》第二十七條、第四十五條，對該科技公司作出責令改正，給予警告，并處人民幣5萬元罰款的行政處罰。

案例五：湖南某信息技術公司未履行數據安全保護義務，存在未授權訪問漏洞，被罰二十萬元

湖南省互聯網信息辦公室依法查明，湖南某信息技術有限公司存在不履行網絡安全、數據安全保護義務行為，其相關系統未采取技術措施和其他必要措施保障數據安全，存在未授權訪問漏洞，造成部分數據多次泄露，嚴重損害數據安全。湖南省互聯網信息辦公室依據《中華人民共和國數據安全法》和《湖南省網絡安全和信息化條例》對該公司責令改正，給予警告，并處對該公司、主管人員和直接責任人員分別罰款二十萬元、三萬元和二萬元的行政處罰。

案例六：岳陽市網信辦分別通報全市衛健委 6 家單位存在風險隱患

岳陽市網信辦分別通報了全市衛健系統 6 家單位存在的網絡安全漏洞和風險隱患情況，指出相關單位存在的網絡安全主體責任落實不到位、未完善個人信息安全管理制度、未落實數據分類分級管理要求，以及網絡安全防范意識和能力薄弱等問題。被約談單位分別作了表態發言，表示要深刻吸取教訓，提高思想認識，立即全面開展漏洞隱患排查，堅決做到即知即改、立行立改，如期完成問題整改任務，堅決防止類似問題再次發生。

案例分析與建議

由上述案例可以看出，企業在開發測試、大數據業務、數據庫運維等數據使用場景中存在明顯的數據安全漏洞，缺乏有效的數據安全管控方案和技術措施。具體表現在數據庫賬號權限管理混亂、數據庫訪問權限管控不足、數據庫重要數據與個人敏感數據未采取加密脫敏措施，以及未對企業重要數據分類分級管理等方面，這些問題極易導致企業重要數據資產、用戶個人敏感信息泄露等風險。

建議一：細化數據訪問權限管控，防止未授權訪問行為

訪問控制和權限管理是保障企業數據安全的重要措施之一。建議企業根據業務情況自定義數據集，并針對用戶/用戶組、敏感數據類型、安全級別等條件來配置訪問控制策略，細化數據訪問權限控制，進而允許、拒絕或告警特定用戶對特定數據集的訪問，防止未授權訪問行為，如越權訪問和非工作場所訪問等，減少敏感數據的過度訪問、暴露，進而幫助企業實現數據訪問的最小授權。

建議二：加強數據庫賬號治理，實現“專人專戶”

由于數據庫運維工作量大，為方便管理，企業普遍存在多人共享同一個高權限數據庫賬號訪問數據庫的情況，導致無法實現“專人專戶”與數據訪問的最小權限，且多人共享數據庫賬號還存在賬號憑證外泄風險。建議企業通過數據庫訪問用戶認證代理能力，為每一個數據庫訪問人員創建個人所有的代理賬號和訪問憑據，實現“專人專戶”。數據庫訪問人員只需使用個人代理賬號和訪問憑據即可訪問數據庫，無需暴露數據庫的真實賬號和訪問憑據，降低數據泄露隱患。

建議三：完善敏感數據保護措施，落實數據脫敏、加密等技術措施

企業應遵循國家、行業和地方分類分級規范要求，建立核心數據、敏感數據目錄，并保持動態更新。同時，需將分類分級管理與保護策略、措施融入數據保護工作中。通過對敏感數據進行自動化的發現、識別、分類分級以及打標處理，構建一個統一的可視化敏感數據目錄地圖，以敏感數據目錄為核心，銜接數據安全保護技術措施，為敏感數據配套差異化的安全策略，并實施數據動態脫敏、數據庫透明加密等技術措施，降低敏感數據暴露風險。

建議四：構建全鏈路數據安全審計能力，及時發現數據安全違規風險

審計日志的完整性直接關乎安全事件的追查定位和溯源效果，但目前數據安全審計產品普遍存在日志關鍵要素缺失、無關要素冗余、日志查看繁瑣等問題，云數據庫審計成本也一直居高不下。建議企業選擇支持多云、混合云架構下的一體化日志審計方案，例如一體化數據安全平臺 uDSP，能夠支持自然人、應用賬號、應用系統、API 路徑、數據庫連接、數據庫、表、字段端到端的全鏈路審計，實現從真實用戶獲取數據完整過程的信息捕獲和日志記錄。通過將多個數據源的審計日志匯總到一個分析平臺，呈現統一視圖，不僅能滿足安全合規要求，還能高效地追蹤和溯源數據安全事件。