2023年9月安全事件及其防范
发布时间:2023-10-07
汇总本月发生的重大安全事件,分析事件的发生原因、影响和对应解决方案,可提高对相应事件的应对能力,实现“防患于未然”。
事件概况:
北京农商行因发生重要信息系统突发事件未报告等,根据《中华人民共和国银行业监督管理法》第四十六条规定,罚款80万元。
北京农商银行违法违规事实有:(1)发生重要信息系统突发事件,但未向监管部门报告,严重违反审慎经营规则。(2)信息系统开发测试管理不到位,严重违反审慎经营规则。
如何防范:
管理上:
1、风险评估和管理:定期进行风险评估,识别和评估系统的潜在风险,并采取相应的风险管理措施。
2、监控和响应:部署实时监控系统,以便快速检测异常活动并采取适当的响应措施。
3、合规性:银行必须遵守适用的法规和合规要求,包括信息安全法规。
4、报告机制:建立明确的安全事件报告机制,确保任何安全事件都能及时报告,并采取适当的措施。
5、供应商管理:对与银行合作的供应商进行严格的安全审查,确保他们也符合相应的安全标准。
6、应急计划:制定详细的信息安全应急计划,以应对突发事件,包括数据泄露、网络攻击等。
技术上:
1、安全漏洞管理:银行应该定期进行安全漏洞扫描和漏洞修复,确保系统不容易受到已知漏洞的攻击。
2、入侵检测和防御系统:银行应该部署入侵检测和入侵防御系统,以监控和阻止潜在的恶意活动。
3、身份验证和访问控制:强化身份验证机制,确保只有授权用户可以访问关键系统。采用多因素身份验证可以增加安全性。
4、数据加密:所有敏感数据都应该在传输和存储时进行加密,以保护其免受未经授权的访问。
5、灾备和备份:建立完备的灾备计划,确保即使发生系统故障或数据丢失,银行也能迅速恢复正常运营。
6、定期更新和升级:及时升级操作系统、应用程序和安全软件,以修复已知漏洞并提高系统的整体安全性。
泄露数据:公民个人信息数据1.5万余条
事件概况:
经上海市网信办调查,该公司主要从事政务信息系统技术支撑工作。2022年该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。另外还发现该公司在开展数据处理活动中未能有效履行数据安全和个人信息保护义务,没有建立全流程数据安全管理制度,未采取技术防护措施保障数据安全和公民个人信息安全,导致平台频繁遭受境外远程访问和数据泄露风险。
上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。
如何防范:
管理上:
1、供应商管理:对与公司合作的供应商进行严格的安全审查,确保他们也采取了适当的安全措施,不会泄露敏感数据。
2、合规性和监管遵从:遵守适用的法规和合规要求,包括数据隐私法规和网络安全法等,以减少潜在的法律风险。
3、监控和审计:建立监控和审计机制,对涉及到重要系统或者存储有敏感信息的系统进行定期审计,及时发现不当行为并采取措施。
4、培养技术人员:定期为员工提供安全培训和教育,提高他们对敏感数据保护的意识。
技术上:
1、数据加密:所有敏感数据在存储和传输时都应进行强加密,以确保即使数据被盗取,也无法轻易解密。
2、访问控制:建立细粒度的访问控制,只有经过授权的人员可以访问敏感数据。采用身份验证、权限管理和审计日志来跟踪数据访问。
3、网络安全:强化网络安全措施,包括防火墙、入侵检测系统和入侵防御系统,以便检测和阻止恶意网络活动。
4、安全审查和漏洞管理:定期进行安全审查和漏洞管理,以及时修复系统和应用程序中的漏洞。
5、监控和响应:部署实时监控系统,以监视不寻常的活动,并制定应急响应计划,以应对潜在的安全事件。
事件概况:
经国家互联网信息办公室查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
如何防范:
管理上:
1、隐私政策:制定明确的隐私政策,详细说明数据收集和处理方式,以及用户的权利和选择。
2、法律合规性:确保公司遵守适用的数据保护法律和法规,包括获得用户明示同意和提供清晰的隐私通知。
3、员工培训:为员工提供隐私和数据保护培训,确保他们了解如何处理个人信息,并遵守公司政策和法规。
4、风险评估和管理:定期进行隐私风险评估,以识别和减轻潜在的违规风险。
5、投诉和响应机制:建立投诉处理机制,以便用户能够报告隐私问题,并迅速响应这些投诉。
6、账号注销和数据删除:提供用户注销账号的功能,并确保在用户注销后及时删除他们的个人信息。
技术上:
1、数据分类和标记:确保个人信息在数据存储和传输中被正确标记和分类,以便明确识别敏感数据。
2、数据加密:使用强加密算法来保护个人信息的传输和存储,以防止未经授权的访问。
3、访问控制和权限管理:强化访问控制,只有经过授权的员工可以访问个人信息。采用权限管理系统来管理和跟踪数据访问。
4、数据审计和监控:实施数据审计和监控机制,以监视和记录个人信息的访问和处理情况,以及检测不寻常的活动。
5、数据最小化原则:遵守数据最小化原则,只收集和处理必要的个人信息,避免过度收集。
6、用户隐私设置:提供用户隐私设置,使用户能够选择共享哪些个人信息以及如何处理他们的数据。
2.1 北京农商行因发生重要信息系统突发事件未报告等,被罚80万
事件日期:2023-09-27事件概况:
北京农商行因发生重要信息系统突发事件未报告等,根据《中华人民共和国银行业监督管理法》第四十六条规定,罚款80万元。
北京农商银行违法违规事实有:(1)发生重要信息系统突发事件,但未向监管部门报告,严重违反审慎经营规则。(2)信息系统开发测试管理不到位,严重违反审慎经营规则。
如何防范:
管理上:
1、风险评估和管理:定期进行风险评估,识别和评估系统的潜在风险,并采取相应的风险管理措施。
2、监控和响应:部署实时监控系统,以便快速检测异常活动并采取适当的响应措施。
3、合规性:银行必须遵守适用的法规和合规要求,包括信息安全法规。
4、报告机制:建立明确的安全事件报告机制,确保任何安全事件都能及时报告,并采取适当的措施。
5、供应商管理:对与银行合作的供应商进行严格的安全审查,确保他们也符合相应的安全标准。
6、应急计划:制定详细的信息安全应急计划,以应对突发事件,包括数据泄露、网络攻击等。
技术上:
1、安全漏洞管理:银行应该定期进行安全漏洞扫描和漏洞修复,确保系统不容易受到已知漏洞的攻击。
2、入侵检测和防御系统:银行应该部署入侵检测和入侵防御系统,以监控和阻止潜在的恶意活动。
3、身份验证和访问控制:强化身份验证机制,确保只有授权用户可以访问关键系统。采用多因素身份验证可以增加安全性。
4、数据加密:所有敏感数据都应该在传输和存储时进行加密,以保护其免受未经授权的访问。
5、灾备和备份:建立完备的灾备计划,确保即使发生系统故障或数据丢失,银行也能迅速恢复正常运营。
6、定期更新和升级:及时升级操作系统、应用程序和安全软件,以修复已知漏洞并提高系统的整体安全性。
2.2 公民个人信息泄露遭境外披露兜售,上海市一政务信息系统技术服务公司被行政处罚
事件日期:2023-09-15泄露数据:公民个人信息数据1.5万余条
事件概况:
经上海市网信办调查,该公司主要从事政务信息系统技术支撑工作。2022年该公司租用1台私有云服务器用于对未交付政务系统的研发测试和演示验收工作,存储了大量公民信息和政务信息,涉及公民个人信息数据1.5万余条。另外还发现该公司在开展数据处理活动中未能有效履行数据安全和个人信息保护义务,没有建立全流程数据安全管理制度,未采取技术防护措施保障数据安全和公民个人信息安全,导致平台频繁遭受境外远程访问和数据泄露风险。
上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。
如何防范:
管理上:
1、供应商管理:对与公司合作的供应商进行严格的安全审查,确保他们也采取了适当的安全措施,不会泄露敏感数据。
2、合规性和监管遵从:遵守适用的法规和合规要求,包括数据隐私法规和网络安全法等,以减少潜在的法律风险。
3、监控和审计:建立监控和审计机制,对涉及到重要系统或者存储有敏感信息的系统进行定期审计,及时发现不当行为并采取措施。
4、培养技术人员:定期为员工提供安全培训和教育,提高他们对敏感数据保护的意识。
技术上:
1、数据加密:所有敏感数据在存储和传输时都应进行强加密,以确保即使数据被盗取,也无法轻易解密。
2、访问控制:建立细粒度的访问控制,只有经过授权的人员可以访问敏感数据。采用身份验证、权限管理和审计日志来跟踪数据访问。
3、网络安全:强化网络安全措施,包括防火墙、入侵检测系统和入侵防御系统,以便检测和阻止恶意网络活动。
4、安全审查和漏洞管理:定期进行安全审查和漏洞管理,以及时修复系统和应用程序中的漏洞。
5、监控和响应:部署实时监控系统,以监视不寻常的活动,并制定应急响应计划,以应对潜在的安全事件。
2.3 国家网信办对知网(CNKI)处以人民币5000万元罚款
事件日期:2023-09-06事件概况:
经国家互联网信息办公室查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
如何防范:
管理上:
1、隐私政策:制定明确的隐私政策,详细说明数据收集和处理方式,以及用户的权利和选择。
2、法律合规性:确保公司遵守适用的数据保护法律和法规,包括获得用户明示同意和提供清晰的隐私通知。
3、员工培训:为员工提供隐私和数据保护培训,确保他们了解如何处理个人信息,并遵守公司政策和法规。
4、风险评估和管理:定期进行隐私风险评估,以识别和减轻潜在的违规风险。
5、投诉和响应机制:建立投诉处理机制,以便用户能够报告隐私问题,并迅速响应这些投诉。
6、账号注销和数据删除:提供用户注销账号的功能,并确保在用户注销后及时删除他们的个人信息。
技术上:
1、数据分类和标记:确保个人信息在数据存储和传输中被正确标记和分类,以便明确识别敏感数据。
2、数据加密:使用强加密算法来保护个人信息的传输和存储,以防止未经授权的访问。
3、访问控制和权限管理:强化访问控制,只有经过授权的员工可以访问个人信息。采用权限管理系统来管理和跟踪数据访问。
4、数据审计和监控:实施数据审计和监控机制,以监视和记录个人信息的访问和处理情况,以及检测不寻常的活动。
5、数据最小化原则:遵守数据最小化原则,只收集和处理必要的个人信息,避免过度收集。
6、用户隐私设置:提供用户隐私设置,使用户能够选择共享哪些个人信息以及如何处理他们的数据。
上一篇:2023年8月份漏洞通告 下一篇:2023年9月份漏洞通告
返回列表
