美國計(jì)算機(jī)安全專家12月29日向記者透露,存儲美國選民個(gè)人資料的一個(gè)數(shù)據(jù)庫在網(wǎng)絡(luò)上遭到公開���,約1.91億選民的個(gè)人信息外泄��,原因或?yàn)閿?shù)據(jù)庫設(shè)定錯誤�。
來自美國得克薩斯州奧斯汀的計(jì)算機(jī)安全專家克里斯·維克里告訴路透社記者���,這個(gè)數(shù)據(jù)庫存儲了自2000年以來美國所有州以及首都華盛頓約1.91億選民的資料��,包括姓名�����、住址�、出生日期、電話��、電子郵件地址以及與政黨聯(lián)系等信息�����。
此事件新聞報(bào)道中指出����,可能因?yàn)閿?shù)據(jù)庫設(shè)定錯誤而導(dǎo)致數(shù)據(jù)泄露�,但并未具體說明是數(shù)據(jù)庫設(shè)定的哪些錯誤。作為國內(nèi)專業(yè)的數(shù)據(jù)庫安全廠商安華金和����,對于事件背后的泄露原因進(jìn)行了初步分析,安華金和安全顧問提出自己的認(rèn)知和看法�����。
從目前網(wǎng)上的信息來看�,泄露的原因大概可以分為兩種情況:
第一:數(shù)據(jù)庫配置不當(dāng)
從數(shù)據(jù)庫能夠被直接從公網(wǎng)下載來看���,這個(gè)配置不當(dāng)很有可能是由于運(yùn)維人員的疏忽直接改變了數(shù)據(jù)庫的環(huán)境,使本來應(yīng)該在內(nèi)網(wǎng)的數(shù)據(jù)庫直接暴漏在了公網(wǎng)上�����;還有可能存在其他一些錯誤�����,例如數(shù)據(jù)庫中有可能存在弱口令等相關(guān)的配置問題��。
第二:數(shù)據(jù)庫的管理不當(dāng)
還有一種可能就是對于數(shù)據(jù)庫的管理出現(xiàn)了問題��,網(wǎng)上的文章中提到了一個(gè)為政客提供管理軟件的軟件商N(yùn)ationBuilder����,這也可能是數(shù)據(jù)庫泄露的一個(gè)原因。
安華金和建議廣大用戶���,數(shù)據(jù)庫是企業(yè)的核心信息資產(chǎn)���,對數(shù)據(jù)庫的安全管理是重中之重。
對于配置不當(dāng)問題,建議定期對數(shù)據(jù)庫進(jìn)行漏洞掃描����,及時(shí)對發(fā)現(xiàn)的疏忽人為造成的諸多安全隱患:諸如低安全配置、弱口令���、高危程序代碼�����、權(quán)限寬泛等���,進(jìn)行有效的修復(fù)與防護(hù)。
針對第三方軟件供應(yīng)商或者運(yùn)維人員���,需要加強(qiáng)管理,必要時(shí)對開發(fā)或者測試庫的敏感數(shù)據(jù)進(jìn)行脫敏處理����,例如數(shù)據(jù)庫脫敏、加密等手段�。
從選民個(gè)人信息被泄露的這個(gè)事件中,也需要組織機(jī)構(gòu)進(jìn)行進(jìn)一步反思�����,作為用戶信息的擁有者,在發(fā)展自身業(yè)務(wù)��,為用戶提供服務(wù)的同時(shí)�,是否進(jìn)行了一些
基本的數(shù)據(jù)安全措施?是否對網(wǎng)絡(luò)狀況和數(shù)據(jù)庫的狀況��,提前經(jīng)過安全評估��?正如微博大V段郎說事對于某泄露事件的點(diǎn)評:既然公民交付了全部個(gè)人信息�,那么有
關(guān)部門必須同時(shí)具備保護(hù)公民這些核心信息不被泄密的能力。筆者在這里想說的是:不光是有關(guān)部門���,企業(yè)���、團(tuán)體也同樣有保護(hù)用戶信息的責(zé)任與義務(wù)。
產(chǎn)品咨詢:4000 258 365 
