解码《数据安全法》:如何用DBSCAN 护航数据安全?
数字经济浪潮下,数据成为关键生产要素,各类数据不断增多,说是“海量数据”并不夸张。例如可穿戴医疗设备不仅能收集用户的基本信息,还能采集实时的客观生命体信息和主观输入的事件信息。
如此海量的数据,在安全和治理上都面临着重大的挑战。IBM Security 发布的《2020年数据泄露成本报告》中指出数据泄露事件给企业造成的平均成本为386万美元,对全球500多个组织数据泄露事件的深入分析发现,有80%的事件导致了客户个人身份信息暴露。
数据安全事件频发
2019年1月,2.02亿中国求职者履历遭泄露
由于数据库存在不安全的配置,导致2.02亿中国求职者的信息被公开,包括姓名、生日、手机号码、邮箱、婚姻状况、政治面貌和工作经历等个人数据,可以直接从BinaryEdge或Shodan中搜索到,没有任何密码保护,文件共计854GB。
2020年1月,微软2.5亿条PII泄露
据微软发布的公告称,数据泄露的具体原因是“数据库网络安全组进行的更改中含有配置不当的安全规则”。此次事件曝光了微软2.5 亿条客户服务和支持记录,泄露了客户邮箱、IP地址、地理位置、CSS声明等。
2020年5月,法国《费加罗报》泄露74亿条数据
Security Detectives 的安全研究人员发现Dedibox公司托管的8TB的数据库服务器没有设置密码,存在数据泄露事件。该数据库属于LeFigaro,其中包含注册用户的登录凭证、服务器的技术日志信息以及个人身份信息(PII)。
在此背景下,6月10日,历经三审,第十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》(下称《数据安全法》),将于2021年9月1日起施行。这是我国第一部有关数据安全的专门法律,将保障国家、企业及个人的数据安全推向了新高度,规范了数据处理活动,保障数据安全,促进数据开发利用。
DAS-DBScan为数据安全保驾护航
明鉴数据库漏洞扫描系统(DAS-DBScan),深入分析研究数据库典型安全漏洞以及流行的攻击技术,专用于扫描数据库漏洞,能够扫描数千种不当的数据库配置或者潜在漏洞,并具有强大的弱口令发现功能。
《数据安全法》第四章第二十九条指出:“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。”
DBSCAN支持国内外Oracle、SQL SERVER、Mysql、DB2、Informix、Sybase、PostgreSQL、达梦、人大金仓等九种数据库的漏洞检测、弱口令检测、敏感数据检测等弱点风险检测,策略个数达3300+,能做到事前发现风险,提前修复,让数据更安全。
《数据安全法》第四章第二十九条指出:“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”
黑客入侵数据库后,往往会通过篡改数据库内核对象达到长期隐蔽控制数据库的目的。DBSCAN可通过独有的技术一次扫描发现被篡改的数据库内核,并能检测出被黑客隐藏的对象。时候及时发现并处置数据库中存在的威胁,减少影响的进一步扩大。
《数据安全法》第四章第三十条指出:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”
DBSCAN拥有丰富的数据库安全风险报表,支持pdf、doc、xls、xml等多种格式,提供详细的风险扫描报告,包括漏洞名称、描述信息、风险等级、修补建议等,还可进行定制化,在输出报表前可以对报表的各部分数据进行选择,并可以定制报表的页眉、页脚、标题等内容。