近日,《焦点访谈:无休无止信息泄露》曝光了电话营销触目惊心的内幕,引起众多关注。
从“群呼系统”到用户信息泄露,从电话营销到电话骚扰,普通大众成为了数据安全防护措施缺失的受害者。
推销电话甚至知道用户的姓名、孩子年龄、家庭财产情况等更详细的信息,而这样精准的个人信息,电话销售是从什么渠道获得的?
江苏常州市公安局网安支队三大队副大队长畅通表示,公安人员侦查以后也觉得非常吓人,银行业、快递业、社保中心、计生委等,各行各业都有源头内鬼存在。
江苏常州市公安局钟楼分局网安大队民警张帆表示,经过调查,这些信息都来自于房管局的一位工作人员,他以每条0.3元的价格,出卖4万多条业主信息,卖给了200多家装修公司。
某地方商业银行原信贷部副经理,则把3000多个客户的征信信息,以每条30元的价格出售了。
任何内部人员都可能误用或泄露数据内部人员对敏感信息的泄露不仅让大众成为受害者,最终也会让企事业单位成为损失买单者。根据Ponemon Institute公布的《2018年全球组织内部威胁成本报告》中显示,64%的企业信息泄漏都是由员工和承包商的疏忽导致的,而外部攻击者和内鬼造成的安全事件比例则为23%。
安全专家指出,任何内部人员都可能误用或泄露数据,但最应该关注以下三个群体:
1、特权用户。他们通常是公司中最值得信赖的员工,但他们也可能有意或无意地误用/泄漏数据。此外,内鬼和黑客都有可能窃取这些特权用户的账号,以获取某些机密信息,并以此牟利;
2、第三方。承包商、第三方供应商和合作伙伴等,都可以访问企业的系统,而企业对系统安全性,甚至对那些访问数据的人员都一无所知;
3、离职员工。正如上文提到的情况,员工在离职时可以随身携带重要数据。更要命的是,他们甚至还能在离职之后照样访问公司数据。
如何进行全面的数据安全防护?对于互联网服务企业来讲,数据安全建设难度非常之大。数据安全建设工作,要制度体系与技术手段相结合,尤其要加强数据库安全的防范,当然也不能狭隘的谈数据库安全,应该建设从WEB安全,边界安全,内网安全尤其是数据库安全的综合纵深的防范体系。
昂楷数据库审计系统采用数据库深度报文协议解析技术DPI及动态流检测技术DFI等,通过双向审计机制,全面覆盖WEB应用、数据库客户端、数据库接口,实时了解数据库的使用情况,筛选、记录核心数据的访问和使用过程,及时对违规事件进行告警,达到“事前预防+事中防范十事后取证”的立体防御效果。
深度检测,双向审计,不漏审,不误审
大数据安全审计系统支持类SQL语句的嵌套、函数、绑定变量、长语句、返回结果、脚本等复杂等操作行为的审计。深度识别和立体分析,不漏审、不误审,准确防范各种危险行为,能够防范黑客级“高手”,让其无可遁形。
独创六元组技术,精确定位到人
支持应用层账号(即当前用户登录应用程序的工号),在复杂环境下难以定位到“人”。特别是对于账号共享行为,通过IP没法锁定最终的操作者。
丰富的规则设置条件,实现更细粒度的审计
不仅内置安全规则,而且有丰富的规则设置条件,可按各种场景自定义安全预警规则,更容易满足不同数据库系统的不同审计需求。
定向行为分析,事件溯源取证
通过事件、端口等因素构建出事件的关联性及现场,通过模拟回放,还原事件场景,模拟出整个事件的行动轨迹,直观的追溯事件的前后关联性及风险蕴含较深的操作行为,真实再现完整操作过程,进行电子取证,为溯源和取证提供有力的证据。
昂楷科技秉承以数据库审计为核心,以大数据与人工智能为引擎的数据安全治理理念,结合行业应用特点,兼顾业务稳定有效,打造精品、以点带面,积极探索成熟稳定的非网关型加密、脱敏方案,逐步打造覆盖数据全生命周期的安全治理解决方案。
网友评论