当前位置： 首页 >> 数据安全 >> 数据安全常见风险

---

数据安全常见风险

2023-09-17 11:00:31 星期日  发表于北京  阅读：731

---

 在实际安全系统项目立项的过程中，一个企业可以把自己的需求和这些列出的风险场景做个对照，看看通过本期的项目资金投入建设，能够实实在在地解决哪些风险问题 #### 数据库部署情况不清 在企业的发展过程中，信息系统是逐步建设起来的，数据库也会随之部署，随着业务的快速发展，会出现数据库部署情况底数不清的状况，其主要由以下原因导致 ##### 数据库使用场景丰富 数字化时代，数据库使用场景非常丰富，用于生产、用于测试开发、用于培训、用于机器学习等各类场景。而大多数资产管理者往往只重视生产环境而忽略其他环境，又或者只重视硬件资产而对软件和数据等关注不足，从而导致在资产清单中未能完整记载资产信息，数据库资产信息有偏差 ##### 数据库部署方式不明 由于安全可靠性的要求，数据库的部署方式也可能不同，典型的情况包括单机单实例、单机多实例、MPP、RAC、主数据库/备份数据库、读写分离控制架构等，部署的方式千差万别 ##### 人员变动 数据库一般由系统管理员进行建设和运维管理。随着时间变化，系统管理员可能会出现离职、转岗等情况，交接过程可能会出现有意或无意的清单不完整的情况，导致数据资产信息的不完整 #### 数据库基础配置不当 在数据库安装和使用过程中，不适当的或不正确的配置可能会导致数据发生泄露。主要涉及以下几种： >1、账号 2、授权 3、密码 4、日志 5、安全补丁 6、可信访问源 #### 敏感重要数据分布情况不清 在互联网企业中，通过数据驱动决策优化市场运营活动、改进自身产品，已是寻常操作。然而，大多数企业对数据的数量、分布、来源、存储、处理等一系列情况却是黑盒 敏感重要数据分布情况底数不清，意味着对数据处理活动的风险无法准确评估，也就难以有针对性地进行数据的分类分级保护 #### 敏感数据和重要数据过度授权 在实际的情况中，我们遇到的过度授权问题主要对应以下两类： **(1)给只需要访问业务数据表的角色授予了创建数据库结构的权限、系统表访问权限、系统包执行权限等 (2)将业务上只需给A子部门的数据表，设为了A、B子部门均可见 ** 第一类问题主要会增加操作风险，而第二类问题则有可能造成额外的内控风险 #### 高权限账号管控较弱 管理员可能将一些高权限的角色或权限直接赋予了一些通用角色，如public角色。这样，任意用户通过“间接赋权”的方式就可获得较高的权限，且由于是间接赋权，再加上public角色通过基础数据字典如dba_roles或dba_role_privs是无法查到的，因此很难被察觉 #### 数据存储硬件失窃 在实际的工作场景中，对于进出机房及带出硬件一般都会进行严格的检查和审批，因此这类数据硬件失窃的风险相对较低，属于小概率事件 常见的硬件失窃主要有以下途径 (1)到维护期需要更换新的硬件，在旧的设备被替换后，直接申请报废，无人维护和管理，造成数据丢失 (2)磁盘阵列或服务器RAID组中某一块硬盘或磁带库（光盘）中的某一卷故障，被替换后无人管理造成丢失 (3)磁盘或其他设备故障后，未经妥善的数据处理就送去维修，导致数据失窃。 以上问题的本质都是对被淘汰设备的管理不到位。为避免此类问题，应当建立完善的数据存储设备更换、保存、销毁流程和制度，避免因管理疏漏造成的数据丢失或其他财产损失。 #### 敏感数据泄露风险 ##### 常见数据泄露风险 ###### 黑客窃取数据 黑客能以专用的或自行编制的程序来攻击网络，入侵服务器，窃取数据 ###### 员工失误 组织中许多数据泄露事故常常是内部人员疏忽或意外造成的。某咨询公司的一项研究发现，40%的高级管理人员和小企业主表示，疏忽和意外损失是他们最近一次安全事件的根本原因。 ###### 员工有意泄露 内部员工（前雇员或在职人员）可能是造成数据泄露最大的出口。内部员工，尤其是肩负重要职位的人员，通常是组织中最先得到大量核心数据的人，他们会在各种可能的情况下出卖或带走数据 ###### 通信风险 通信工具的漏洞和风险无处不在（包括常见的即时通信工具） ###### 网络诈骗 ###### 电子邮件泄露 很多数据泄露事件发生在电子邮件中