今天,我国第一部有关数据安全的法律——《数据安全法》正式开始施行。这意味着在法案中对于数据处理活动、安全保护、开发利用提出的合规要求,从今天起必须全部遵循,跨越“红线”将违法必究、按法处罚!
数据安全,是个老生常谈却历久弥新的话题,原因在于数据作为一种新的生产要素类型,被写入正式的中央文件中,与土地、劳动力、资本、技术等其他生产要素并驾齐驱。这无疑说明了数据的重要性,也意味着对于加强数据资源整合与安全保护必须提升到更高的层次。
那如何加强对数据资源的安全保护呢?在搭建保护防控体系之前,先来了解下目前数据安全主要面临风险有哪些。
经过研究,长期以来数据安全面临着以下三类风险:
风险一:内部人员数据泄露
A.来自业务人员泄露:业务人员利用工作中已申请的功能权限能够下载众多数据并进行外发,由于系统管控措施不完善,无论是恶意或者非恶意,均易造成数据泄露;
B.来自运维人员泄露:恶意的运维人员可以利用自身拥有特权账号的天然优势,直接访问应用系统的主机、数据库进行批量窃取数据;
C.来自研发人员泄露:通常研发测试区的网络权限、账号权限、监控审计等安全管控措施相对松散,敏感数据可能会从研发测试环境直接被泄露,或者经研发人员的办公终端流向外部互联网。
风险二:外部攻击窃取数据
外部攻击者利用应用系统存在的各类安全漏洞,进行批量查询、下载数据;或者先通过安全漏洞获取主机、数据库的操作权限ÿ