数据安全“三重奏”:上好数据“安全锁”
数据安全“三重奏”:上好数据“安全锁”
数字化时代,数据安全无小事。加强数据安全防护,守护数字时代的信息防线,是我们每个人共同的责任。
什么是数据安全
数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的一系列措施和技术,主要包括以下几个方面:
数据保密性:确保数据只能被授权人员访问和使用,防止数据泄露和盗窃。
数据完整性:确保数据在存储和传输过程中不被篡改或损坏,保证数据的准确性和可靠性。
数据可用性:确保数据在需要时可以及时、可靠地获取和使用,避免数据丢失或不可用的情况。
发生数据安全“十害”
数据安全的发生对个人和单位的危害是多方面的,必须引起足够的重视。一旦发生数据安全,将会产生以下危害:
系统“全面宕机”:核心数据库遭攻击瘫痪,导致各类相关系统停摆,各类服务中断停滞。
服务“连接断链”:数据共享平台发生异常,引发跨部门业务全线停滞。
隐私“大量泄露”:敏感数据发生泄露,造成个人或企业法人等敏感信息被不法分子滥用。
公信“地基塌陷”:重要数据、敏感数据等发生外泄,引发民众信任危机。
信息“篡改绑架”:相关数据信息被恶意修改,从而发生不良影响,导致业务运行受阻。
财物“冒领盗用”:后台数据被入侵篡改,导致个人、企业相关财物被挪用盗用。
信息“永久消失”:未备份的各类数据遭恶意攻击删除后无法恢复,导致数据丢失。
运营“成本激增”:因数据安全问题导致额外支出,如系统修复、赔偿等情况。
管理“决策失真”:基础数据或者统计数据出错或丢失,导致做出的各类决策发生偏差。
法律“红线触发”:未落实《数据安全保护法》等法定职责,单位或个人被依法追究责任。
产生数据安全“十因”
U盘“四处串门”:数据接触人员用U盘等介质来拷贝各类敏感数据,发生介质丢失或病毒入侵导致发生数据安全。
系统“老牛拉车”:使用老旧系统和服务器来存储和处理数据,导致处理速度慢、系统风险多。
密码“一码通用”:一直使用“十年不换”初始密码、简单密码登录业务系统,易造成系统被攻破和数据丢失。
权限“大水漫灌”:系统账号只增不减,“沉睡”账号易被破解。技术运维人员权限高,能直接访问重要隐私数据库。
传输“赤膊上阵”:通过微信等即时通讯工具发送未加密的重要数据和文件,增加数据泄露风险。
数据“野蛮生长”:在采集归集数据时,不以需求为导向,过度采集归集数据,增加数据泄露风险。
审计“形同虚设”:系统日志保留期限短,可以人为清除痕迹,导致发生数据安全事件后无从查证。
演练“纸上谈兵”:未制定数据安全应急处置预案,或未开展实战化的应急演练,一旦发生数据安全事件就无从下手。
防护“外强中干”:只注重外部防护,不注重内部安全监控,未及时开展渗透测试,易发生系统内部崩塌。
意识“与我无关”:相关业务科室和工作人员认为数据安全都是技术部门的事,轻视日常数据安全防护。
防范数据安全“十策”
加强“数据意识”:定期开展数据安全宣传,营造“人人关心数据安全,人人维护数据安全”的良好氛围。
密码“定期更换”:为不同的账户设置不同且复杂的密码,避免使用生日、手机号等简单组合,并定期更换密码。
规避“钓鱼攻击”:谨慎处理电子邮件和消息等,不随意点击来源不明的链接或下载未知附件,以免中了木马病毒或钓鱼网站的陷阱。
权限“动态瘦身”:定期清理账号,对不常用或离职人员账号及时回收,同时加强用户管理和开展操作行为定期审查。
漏洞“疫苗计划”:建立系统监测机制,24小时自动化扫描系统漏洞,并及时进行修补。
介质“封闭航道”:对服务器、终端采用封堵USB接口等方式,避免介质直接接入,导致感染病毒或造成数据泄露。
采集“必要最小”:根据数据需求开展数据采集归集,采集归集数据需定期评估,对超范围采集行为发出预警。
外包“透明牢笼”:对第三方技术服务商的数据操作进行全程记录,确保操作日志无法更改,按需留存日志。
备份“生存测试”:定期对数据库和备份数据库开展“断网恢复测试”,确保备份数据安全可靠。
应急“实战演练”:制定数据安全应急处置预案,每年定期开展实战化演练,确保发生数据安全事件时能及时响应和处置。
本文原文来自澎湃新闻